Створення системи управління інформаційною безпекою – це відповідальний і серйозний крок, який обов’язково передбачає комплексний підхід і виділення різних категорій ресурсів.
Першим і найбільш важливим типом ресурсу є людська компетенція, тобто при побудові СУІБ без компетентних фахівців з інформаційної безпеки не обійтися. Вони здатні провести якісну оцінку ризиків, розробити політику і процедуру, а також реалізувати технічні заходи захисту. Не менш важливі експерти в області нормативних вимог, особливо якщо ваша компанія працює в регульованих галузях.
Для великих проектів також може знадобитися керівник проекту, який буде координувати всі етапи впровадження і побудови СУІБ. Що стосується технічних ресурсів, то тут включені всі засоби захисту інформації та інфраструктури для їх розміщення. Вам знадобляться системи виявлення та запобігання вторгнень, засоби антивірусного захисту, рішення для управління доступом і моніторингу подій безпеки. Також буде потрібно впровадження систем шифрування даних як в процесі передачі, так і на рівні сховищ.
Якщо ваша компанія працює з персональними даними, то обов’язково подбайте про наявність засобів захисту від витоків інформації. Тимчасові ресурси частіше недооцінюються при плануванні впровадження СУІБ, але насправді розробка і впровадження повноцінної системи СУІБ займає від 6 до 18 місяців, залежно від специфіки галузі та розміру самої організації. Також потрібно враховувати додатковий час на проведення аудиту, оцінки ризиків, розробку документації, навчання співробітників і поетапне впровадження заходів захисту.
Фінансові ресурси складаються з операційних і капітальних витрат. Обов’язково варто подбати про те, щоб ваша компанія відповідала стандартам СУІБ. І тут передбачаються витрати на придбання програмного забезпечення та обладнання, а також витрати на супровід, оновлення та навчання персоналу. Організаційні ресурси включають створення організаційної структури управління інформаційною безпекою. Тут важливо знайти відповідальних за реалізацію політик безпеки в кожному підрозділі і створити спеціальний комітет з безпеки для того, щоб в майбутньому приймати стратегічні рішення і визначати зони відповідальності для всіх учасників процесу.