В 2016 году наша команда начала проект по внедрению риск-ориентированного подхода в управлении информационной безопасностью в «БАРС Груп», сопровождением которого мы занимаемся и на данный момент. Основные цели на старте проекта — переход к проактивному управлению информационной безопасностью и эффективное использование ограниченных ресурсов для снижения основных рисков. Спойлер! Наши цели были успешно достигнуты, но сегодня поговорим о другом. Я хочу поделиться определенными алгоритмами и методами, которые были выработаны при внедрении этого подхода. Меня зовут Ильдар Гарипов, я являюсь руководителем службы информационной безопасности в «БАРС Груп». Начнем!
BarsUp.Access Manager (BarsUp.AM) — наш программный комплекс по защите конфиденциальной информации. При проектировании и разработке этой системы в соответствии с требованиями нормативных документов ФСТЭК России мы столкнулись со сложностями по управлению доступом к web-приложениям с использованием сертифицированных средств защиты информации.
Приказ ФСТЭК России № 17 говорит, что должен осуществляться выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами. Мы посмотрели, что было на тот момент на рынке и поняли: стоимость решений, совместимых с нашими информационными системами, зачастую превышала стоимость самих систем, либо они были несовместимы.
