• English
  • Русский
8 (800) 505-34-91
(звонок из регионов бесплатный)
 

Информационная безопасность

Современный бизнес невозможно представить без использования информационных технологий и больших объемов всевозможной информации: внутренней критичной информации, информации клиентов и партнеров.

Степень защищенности подобной информации напрямую влияет на конкурентные преимущества компании и получение запланированной прибыли.

Спектр актуальных угроз информационной безопасности постоянно расширяется и включает в себя, как внутренние угрозы: утечка информации от пользователей, нецелевое использование информации и средств ее обработки и т.д., так и внешние: конкурентная разведка, перехват информации при передаче по открытым каналам связи и пр.

Внедрение комплексной системы управления и обеспечения информационной безопасности, включающей как организационные, так и технические меры обеспечения и контроля ИБ, позволяет обеспечить адекватный уровень ИБ.

Наши услуги направлены на то, чтобы вы в любой момент времени могли убедиться в эффективности своей системы управления и обеспечения информационной безопасности, а также своевременно скорректировать все отклонения и несоответствия, если таковые имеют место.

Наши услуги по информационной безопасности включают:

GAP-анализ на соответствие требованиям по информационной безопасности

В рамках данной услуги проводится оценка соответствия системы управления и обеспечения информационной безопасности заказчика на соответствие применимым требованиям по информационной безопасности.

Что может являться требованиями, на соответствие которым проводится аудит?

  • Международные стандарты и лучшие практики в области информационной безопасности (ISO 27001, ISO 27018, ISO 27031 и др.).
  • Требования законодательства и регуляторов.
  • Требования акционеров и головных компаний холдингов (корпоративные требования и стандарты).
  • Требования клиентов и партнеров в части ИБ.
  • Внутренние требования по ИБ.

Для кого особенно актуально проведение GAP-анализа?

  • Вы планируете внедрять систему управления ИБ и планируете ее сертифицировать в будущем на соответствие международным стандартам, и вам необходимо понять степень текущего соответствие требованиям выбранных стандартов.
  • Вы уже ведете проект по построению системы управления ИБ в соответствии с требованиями международных стандартов и не уверены в дизайне некоторых процессов или степени их соответствия выбранным стандартам и требованиям.
  • Вы начинаете взаимодействовать с новыми клиентами и партнерами, которые предъявляют к вам свои требования по информационной безопасности.
  • У вас происходит реорганизация и/или акционеры и головные компании начинают предъявлять новые требования по информационной безопасности.
  • Вы новый человек в компании и хотите оценить степень соответствия существующих процессов управления и обеспечения ИБ внутренним требованиям по информационной безопасности.

Во всех этих случаях результаты GAP-анализа позволят определить степень текущего соответствия актуальным для вас требованиям, и уже на основе этих результатов определить план мероприятий, направленных на достижение соответствия применимому набору требований.

Процедура GAP-анализа:

  • Определение состава требований по ИБ, на соответствие которым будет проводиться GAP-анализ;
  • Определение области проведения аудита (территориальные площадки, бизнес-процессы, подразделения и т.д.), методов и длительности проведения аудита;
  • Формирование и согласование плана проведения GAP-анализа;
  • Проведение GAP-анализа на месте;
  • Формирование отчета по результатам GAP-анализа.

Сертификация на соответствие требованиям международного стандарта ISO/IEC 27001:2013

Международный стандарт ISO/IEC 27001:2013 является стандартом де-факто в области менеджмента информационной безопасности. Требования данного стандарта могут быть применены любыми организациями независимо от их отрасли и сферы деятельности, используемых технологий.

Внедрение комплексной системы управления информационной безопасностью, соответствующей требованиям ISO/IEC 27001:2013 позволяет:

  • Оптимизировать расходы на информационную безопасность.
  • Снизить риски, связанные с возможными ущербами для активов организации при реализации угроз ИБ.
  • Снизить операционные затраты на ИБ, за счет повышения прозрачности процессов ИБ.
  • Обеспечить уровня ИБ законодательным, отраслевым, контрактным, внутрикорпоративным требованиям и целям бизнеса

Для кого особенно актуальна сертификация по ISO/IEC 27001:2013?

  • Вы оказываете услуги и предоставляете сервисы своим клиентам. В частности, связанные с обработкой критичной для клиента информации. Например, банковские услуги, услуги страхования, аутсорсинга, консалтинговые услуги и т.д. Cертификация на соответствие ISO/IEC 27001:2013 позволяет повысить доверие со стороны ваших клиентов к вашим услугам.
  • Вы много и часто взаимодействуете с крупными партнерами, в частности, с зарубежными. Cертификация на соответствие ISO/IEC 27001:2013 также позволяет повысить их доверие к вам.
  • Вы планируете выходить на международный рынок. Сертификация на соответствие ISO/IEC 27001:2013 позволит повысить доверие иностранных партнеров и клиентов к вам.
  • Вы планируете выходить на IPO. Cертификация на соответствие ISO/IEC 27001:2013 позволит повысить капитализацию компании и обеспечить прозрачность процессов управления и обеспечения ИБ.
  • Вы публичная компания. Сертификация на соответствие ISO/IEC 27001:2013 позволяет повысить капитализацию компании, гарантировать прозрачность процессов управления и обеспечения ИБ, что в том числе, позволяет легче проходить финансовые аудиты.
  • Вы работаете на конкурентном рынке. Сертификация на соответствие ISO/IEC 27001:2013 позволяет получить маркетинговые и конкурентные преимущества.
  • Вы обладаете критичной для вашего бизнеса внутренней информацией (ноу-хау, собственные разработки и т.д.). Сертификация на соответствие ISO/IEC 27001:2013 позволит получить внешнюю независимую оценку и подтверждение эффективности процессов управления и обеспечения безопасности критичной для вас информации. 
  • Вы часто взаимодействуете с регулирующими и проверяющими органами. В ряде случаев наличие сертификата соответствия ISO/IEC 27001:2013 позволяет облегчить процедуры проверок со стороны регулирующих органов.

Мы оказываем услуги проведения сертификационных аудитов на соответствие требованиям ISO/IEC 27001:2013. Подробная информация в разделе СЕРТИФИКАЦИЯ ISO 27001

Обучение по темам управления информационной безопасностью и стандарту ISO/IEC 27001:2013

Подготовка персонала по темам управления информационной безопасностью является важной предпосылкой для успешного функционирования системы в целом, так как именно персонал разрабатывает, внедряет, поддерживает и заботится об улучшениях системы управления.

Подробнее о наших тренингах по темам информационной безопасности можно почитать на странице Наши тренинги.

Анализ и оценка рисков информационной безопасности

Процесс управления рисками информационной безопасности (ИБ) – ядро системы управления информационной безопасностью. Это процесс, находящийся на стыке стратегического и тактического уровней управления ИБ, позволяет обеспечить связь между уровнем бизнеса и принятия решений, и уровнем обеспечения ИБ, а также:

  • Оценить критичность информационных активов в организации, включая бизнес-процессы и информацию;
  • Выявить наиболее уязвимых областей в инфраструктуре организации;
  • Расставить приоритеты по реализации мероприятий по обеспечению информационной безопасности;
  • Сформировать и обосновать бюджет в области информационной безопасности.

Процедура проведения анализа и оценки рисков ИБ включает:

  • Согласование методики анализа и оценки рисков ИБ;
  • Определение области проведения анализа и оценки рисков ИБ;
  • Сбор исходных данных о бизнес-процессах и информационных активах, применяемых средствах защиты;
  • Проведение анализа и оценки рисков ИБ с помощью автоматизированной системы анализа рисков;
  • Формирование отчетных материалов по результатам анализа и оценки рисков ИБ.

Инструментальный анализ защищенности и тесты на проникновение

Мы предлагаем услуги по проведению инструментального анализа защищенности и тестов на проникновение. В ходе оказания услуги могут проводиться как внутренние, так и внешние сканирования и тесты на проникновение.

  • Внешнее тестирование на проникновение: осуществляется из сети Интернет и представляет собой выявление и анализ технических уязвимостей внешнего периметра корпоративной компьютерной сети заказчика.
  • Внутреннее тестирование на проникновение. Осуществляется с мобильной рабочей станции, включенной в локально-вычислительную заказчика, и представляет собой выявление и анализ технических уязвимостей внутренних информационных систем.

Для выполнения работ мы используем общепринятые мировые практики проведения подобных работ, включая такие методики, как OSSTMM v3.0 и OWASP Testing Guide v3.