В последнее время тема информационной безопасности (ИБ) активно развивается, а вместе с тем и законодательство, требования регулирующих органов, партнеров и клиентов в области ИБ. Требований становится так много, что иногда кажется, что они накроют лавиной, из-под завала которой уже не удастся выбраться. Отовсюду мы слышим про штрафы, про потерю имиджа, про снижение конкурентоспособности и даже про невозможность ведения бизнеса.
И тогда встает вопрос – выполнение чьих требований по ИБ необходимо для ведения конкурентоспособного бизнеса? Правильный ответ – всех заинтересованных сторон. Но этих заинтересованных сторон может быть огромное количество для любой компании!!! У каждой из таких заинтересованных сторон будут свои требования по информационной безопасности в компании. Нам необходимо им соответствовать для того, чтобы вести свой бизнес либо даже иногда для того, чтобы начать сотрудничества. Но как узнать какова текущая степень соответствия применимым требованиям в области ИБ? Какие инвестиции и в каких областях, размерах потребуются? Поможет в этом проведение GAP-анализа или диагностики соответствия требованиям по информационной безопасности.
В рамках GAP-анализа проводится оценка соответствия системы управления и обеспечения информационной безопасности заказчика на соответствие применимым требованиям по ИБ.
Что может являться требованиями, на соответствие которым проводится GAP-анализ?
Для кого особенно актуально проведение GAP-анализа?
Во всех этих случаях результаты GAP-анализа позволят определить степень текущего соответствия актуальным для вас требованиям, и уже на основе этих результатов определить план мероприятий, направленных на достижение соответствия применимому набору требований.
Прежде всего, определяется состав требований по ИБ, на соответствие которым будет проводиться GAP-анализ. Это может быть, как один из стандартов, так и целый набор требований по ИБ.
Вместе с тем, определяются область проведения GAP-анализа (территориальные площадки, бизнес-процессы, подразделения и т.д.), методы и длительности проведения аудита. Будет ли это организационная или техническая проверка, какова будет выборка? Все эти вопросы решаются на старте проекта. Как результат – формируется план проведения GAP-анализа.
GAP-анализ проводится очно, по результатам проверки формируется подробный отчет степени соответствия заявленным требованиям по ИБ. Отчет о GAP-анализе служит хорошей основой для корректировки процессов обеспечения и управления ИБ и достижения соответствия применимым требованиям по ИБ.
Преимущества внешнего GAP-анализа от органа по сертификации:
Подробнее об информационной безопасности: info@tms-cs.ru