Многие компании с ростом своего бизнеса задумываются об обеспечении защиты своих систем и данных от утечек информации и кибер-угроз. Когда минимально необходимые требования выполнены, средства защиты внедрены, и хочется понимать: что может случиться бизнесом и как этого избежать – пора задумать об аудите и улучшении своего уровня защищенности.

Системы управления информационной безопасностью (СУИБ, СОИБ, ISMS) – определяют не то, какими средствами защиты нужно защищаться, а описывает управление безопасностью в целом:

• Как определить, что нужно защищать;
• Как определить, как и от чего нужно защищать;
• Как правильно применить эту защиту
• Как следить, что защита применяется и работает с течением времени
• Как следить за результатами работы систем защиты
• Что делать, если что-то пошло не так.

То, как определять нужный уровень защищенности, как проверять, что обеспечивается, как проверять, что все работает и как реагировать, когда что-то пошло не так.

Существует несколько разных стандартов и методологий, описывающих подход к построению СУИБ. Мы в своей работе придерживаемся стандарта ISO 27001, с расширениями семейства стандартов ISO27xxx.