А л ьтернатива «Внедрение СУИБ в ра мках ИД»
Описание
Преимущества
Нед ост атки
Оценка
Сист ема
управл ения
информационной
безопасностью
буд ет внедрена тол ько в рамках ИД
Самая низкая ст оимость внедрения
проек та
Самая низкая ст оимость владения
сист емой
управления
информационной
безопасностью
(бизнес-процессы ,
персонал
и
т ехнологии)
Самые бы стры е сроки внедрения
проекта,
за
счет
наличия
формал изованной документации ИБ
Оптимизация
затрат
на
тиражирование
СУ ИБ
на
МЭС,
филиалы и ТЭС пут ем использования
пол ученного опыта в рамках ИД
Неполный охват всех процессов
Компании, в т ом числе и основных
(т ольк о
ИД),
как
сл едствие
возникновение инцидент ов ИБ на
под станциях и МЭС
А л ьтернатива «Внедрение СУИБ в ра мках всей Компании (включая подстанции и Т ЭС)
»
Описание
Преимущества
Нед ост атки
Оценка
Сист ема
управл ения
информационной
безопасностью
буд ет внедрена в ИД, а зат ем,
поэт апно в МЭС и на подстанциях.
Возможное
сокращ ение
общих
расход ов на внедрение (например,
получ ение бол ее низких цен от
производителей в силу масштабности)
Самая
высокая
ст оимость
внед рения проекта.
Самая
высокая
ст оимость
владения сист емой управления
информационной безопасностью
(бизнес-процессы , персонал и
т ехнологии).
Самая
высокая
длительность
внед рения
В результате анализа был выбран сценарий реализации данной инициативы путем внедрения СУИБ в
рамках ИД и МЭС. Основными факторами выбора данного сценария являются:
высокий риск срыва проекта при внедрении в рамках всей Компании (ИД, МЭС, подстанция), в
связи со сложностью проекта, и отсутствием опыта и компетенций у персонала, выполняющего
внедрение;
высокая стоимость внедрения и владения при попытке внедрения в рамках всей Компании;
низкий у ровень ИБ при внедрении СУИБ ограниченный рамками ИД.
С целью обеспечения требований бизнес-процессов в области ИБ, ответственными структурными
подразделениями Компании совместно с АО «Энергоинформ», в Компании будет внедрена СУИБ в рамках
исполнительной дирекции, а затем поэтапно в МЭС. СУИБ будет основываться на следующих базовых
принципах:
конфиденциальность;
целостность;
доступность.
В качестве основы для построения СУИБ будут использованы международные стандарты и практики, как
ISO 27001, NIST, ANSI/ISA, NERC, API. При этом в Компании будет проводиться непрерывная работа по
следующим мероприятиям:
PwC
71
т естированию СУИБ на соответствие требованиям законодательства РК;
мониторингу эффективности работоспособности, анализу рисков угроз и уязвимостей, а также
применению корректирующих мер.
Реализация стратегической цели по внедрению СУИБ обеспечит Компанию следующими преимуществами:
обеспечение доступности производственных бизнес-процессов;
обеспечение конфиденциальности, целостности и доступности используемой информации в рамках
бизнес-процессов;
повышение у ровня корпоративного у правления;
повышение у ровня доверия акционеров, международных партнеров и клиентов.
PwC
72
Достарыңызбен бөлісу: |