Информационная безопасность

В рамках данной услуги проводится оценка соответствия системы управления и обеспечения информационной безопасности заказчика на соответствие применимым требованиям по информационной безопасности.

Что может являться требованиями, на соответствие которым проводится аудит?

• Международные стандарты и лучшие практики в области информационной безопасности (ISO 27001, ISO 27018, ISO 27031 и др.).
• Требования законодательства и регуляторов.
• Требования акционеров и головных компаний холдингов (корпоративные требования и стандарты).
• Требования клиентов и партнеров в части ИБ.
• Внутренние требования по ИБ.

Для кого особенно актуально проведение GAP-анализа?

• Вы планируете внедрять систему управления ИБ и планируете ее сертифицировать в будущем на соответствие международным стандартам, и вам необходимо понять степень текущего соответствие требованиям выбранных стандартов.
• Вы уже ведете проект по построению системы управления ИБ в соответствии с требованиями международных стандартов и не уверены в дизайне некоторых процессов или степени их соответствия выбранным стандартам и требованиям.
• Вы начинаете взаимодействовать с новыми клиентами и партнерами, которые предъявляют к вам свои требования по информационной безопасности.
• У вас происходит реорганизация и/или акционеры и головные компании начинают предъявлять новые требования по информационной безопасности.
• Вы новый человек в компании и хотите оценить степень соответствия существующих процессов управления и обеспечения ИБ внутренним требованиям по информационной безопасности.

Во всех этих случаях результаты GAP-анализа позволят определить степень текущего соответствия актуальным для вас требованиям, и уже на основе этих результатов определить план мероприятий, направленных на достижение соответствия применимому набору требований.

Процедура GAP-анализа:

• Определение состава требований по ИБ, на соответствие которым будет проводиться GAP-анализ;
• Определение области проведения аудита (территориальные площадки, бизнес-процессы, подразделения и т.д.), методов и длительности проведения аудита;
• Формирование и согласование плана проведения GAP-анализа;
• Проведение GAP-анализа на месте;
• Формирование отчета по результатам GAP-анализа.

Международный стандарт ISO/IEC 27001:2013 является стандартом де-факто в области менеджмента информационной безопасности. Требования данного стандарта могут быть применены любыми организациями независимо от их отрасли и сферы деятельности, используемых технологий.

Внедрение комплексной системы управления информационной безопасностью, соответствующей требованиям ISO/IEC 27001:2013 позволяет:

• Оптимизировать расходы на информационную безопасность.
• Снизить риски, связанные с возможными ущербами для активов организации при реализации угроз ИБ.
• Снизить операционные затраты на ИБ, за счет повышения прозрачности процессов ИБ.
• Обеспечить уровня ИБ законодательным, отраслевым, контрактным, внутрикорпоративным требованиям и целям бизнеса

Для кого особенно актуальна сертификация по ISO/IEC 27001:2013?

• Вы оказываете услуги и предоставляете сервисы своим клиентам. В частности, связанные с обработкой критичной для клиента информации. Например, банковские услуги, услуги страхования, аутсорсинга, консалтинговые услуги и т.д. Cертификация на соответствие ISO/IEC 27001:2013 позволяет повысить доверие со стороны ваших клиентов к вашим услугам.
• Вы много и часто взаимодействуете с крупными партнерами, в частности, с зарубежными. Cертификация на соответствие ISO/IEC 27001:2013 также позволяет повысить их доверие к вам.
• Вы планируете выходить на международный рынок. Сертификация на соответствие ISO/IEC 27001:2013 позволит повысить доверие иностранных партнеров и клиентов к вам.
• Вы планируете выходить на IPO. Cертификация на соответствие ISO/IEC 27001:2013 позволит повысить капитализацию компании и обеспечить прозрачность процессов управления и обеспечения ИБ.
• Вы публичная компания. Сертификация на соответствие ISO/IEC 27001:2013 позволяет повысить капитализацию компании, гарантировать прозрачность процессов управления и обеспечения ИБ, что в том числе, позволяет легче проходить финансовые аудиты.
• Вы работаете на конкурентном рынке. Сертификация на соответствие ISO/IEC 27001:2013 позволяет получить маркетинговые и конкурентные преимущества.
• Вы обладаете критичной для вашего бизнеса внутренней информацией (ноу-хау, собственные разработки и т.д.). Сертификация на соответствие ISO/IEC 27001:2013 позволит получить внешнюю независимую оценку и подтверждение эффективности процессов управления и обеспечения безопасности критичной для вас информации. 
• Вы часто взаимодействуете с регулирующими и проверяющими органами. В ряде случаев наличие сертификата соответствия ISO/IEC 27001:2013 позволяет облегчить процедуры проверок со стороны регулирующих органов.

Мы оказываем услуги проведения сертификационных аудитов на соответствие требованиям ISO/IEC 27001:2013. Подробная информация в разделе СЕРТИФИКАЦИЯ ISO 27001

Подготовка персонала по темам управления информационной безопасностью является важной предпосылкой для успешного функционирования системы в целом, так как именно персонал разрабатывает, внедряет, поддерживает и заботится об улучшениях системы управления.

Подробнее о наших тренингах по темам информационной безопасности можно почитать на странице Наши тренинги.

Процесс управления рисками информационной безопасности (ИБ) – ядро системы управления информационной безопасностью. Это процесс, находящийся на стыке стратегического и тактического уровней управления ИБ, позволяет обеспечить связь между уровнем бизнеса и принятия решений, и уровнем обеспечения ИБ, а также:

• Оценить критичность информационных активов в организации, включая бизнес-процессы и информацию;
• Выявить наиболее уязвимых областей в инфраструктуре организации;
• Расставить приоритеты по реализации мероприятий по обеспечению информационной безопасности;
• Сформировать и обосновать бюджет в области информационной безопасности.

Процедура проведения анализа и оценки рисков ИБ включает:

• Согласование методики анализа и оценки рисков ИБ;
• Определение области проведения анализа и оценки рисков ИБ;
• Сбор исходных данных о бизнес-процессах и информационных активах, применяемых средствах защиты;
• Проведение анализа и оценки рисков ИБ с помощью автоматизированной системы анализа рисков;
• Формирование отчетных материалов по результатам анализа и оценки рисков ИБ.

Мы предлагаем услуги по проведению инструментального анализа защищенности и тестов на проникновение. В ходе оказания услуги могут проводиться как внутренние, так и внешние сканирования и тесты на проникновение.

• Внешнее тестирование на проникновение: осуществляется из сети Интернет и представляет собой выявление и анализ технических уязвимостей внешнего периметра корпоративной компьютерной сети заказчика.
• Внутреннее тестирование на проникновение. Осуществляется с мобильной рабочей станции, включенной в локально-вычислительную заказчика, и представляет собой выявление и анализ технических уязвимостей внутренних информационных систем.