Ольга Колчина
Современный бизнес невозможно представить без использования информационных технологий и больших объемов всевозможной информации: внутренней критичной информации, информации клиентов и партнеров.
Степень защищенности подобной информации напрямую влияет на конкурентные преимущества компании и получение запланированной прибыли.
Спектр актуальных угроз информационной безопасности постоянно расширяется и включает в себя, как внутренние угрозы: утечка информации от пользователей, нецелевое использование информации и средств ее обработки и т.д., так и внешние: конкурентная разведка, перехват информации при передаче по открытым каналам связи и пр.
Внедрение комплексной системы управления и обеспечения информационной безопасности, включающей как организационные, так и технические меры обеспечения и контроля ИБ, позволяет обеспечить адекватный уровень ИБ.
Наши услуги направлены на то, чтобы вы в любой момент времени могли убедиться в эффективности своей системы управления и обеспечения информационной безопасности, а также своевременно скорректировать все отклонения и несоответствия, если таковые имеют место.
Наши услуги по информационной безопасности включают:
Что может являться требованиями, на соответствие которым проводится аудит?
Международные стандарты и лучшие практики в области информационной безопасности (ISO 27001, ISO 27018, ISO 27031 и др.).
Требования законодательства и регуляторов.
Требования акционеров и головных компаний холдингов (корпоративные требования и стандарты).
Требования клиентов и партнеров в части ИБ.
Внутренние требования по ИБ.
Для кого особенно актуально проведение GAP-анализа?
Вы планируете внедрять систему управления ИБ и планируете ее сертифицировать в будущем на соответствие международным стандартам, и вам необходимо понять степень текущего соответствие требованиям выбранных стандартов.
Вы уже ведете проект по построению системы управления ИБ в соответствии с требованиями международных стандартов и не уверены в дизайне некоторых процессов или степени их соответствия выбранным стандартам и требованиям.
Вы начинаете взаимодействовать с новыми клиентами и партнерами, которые предъявляют к вам свои требования по информационной безопасности.
У вас происходит реорганизация и/или акционеры и головные компании начинают предъявлять новые требования по информационной безопасности.
Вы новый человек в компании и хотите оценить степень соответствия существующих процессов управления и обеспечения ИБ внутренним требованиям по информационной безопасности.
Во всех этих случаях результаты GAP-анализа позволят определить степень текущего соответствия актуальным для вас требованиям, и уже на основе этих результатов определить план мероприятий, направленных на достижение соответствия применимому набору требований.
Процедура GAP-анализа:
Определение состава требований по ИБ, на соответствие которым будет проводиться GAP-анализ;
Определение области проведения аудита (территориальные площадки, бизнес-процессы, подразделения и т.д.), методов и длительности проведения аудита;
Формирование и согласование плана проведения GAP-анализа;
Проведение GAP-анализа на месте;
Формирование отчета по результатам GAP-анализа.
Международный стандарт ISO/IEC 27001:2022 является стандартом де-факто в области менеджмента информационной безопасности. Требования данного стандарта могут быть применены любыми организациями независимо от их отрасли и сферы деятельности, используемых технологий.
Внедрение комплексной системы управления информационной безопасностью, соответствующей требованиям ISO/IEC 27001:2022 позволяет:
- Оптимизировать расходы на информационную безопасность.
- Снизить риски, связанные с возможными ущербами для активов организации при реализации угроз ИБ.
- Снизить операционные затраты на ИБ, за счет повышения прозрачности процессов ИБ.
- Обеспечить уровня ИБ законодательным, отраслевым, контрактным, внутрикорпоративным требованиям и целям бизнеса
Для кого особенно актуальна сертификация по ISO/IEC 27001:2022?
- Вы оказываете услуги и предоставляете сервисы своим клиентам. В частности, связанные с обработкой критичной для клиента информации. Например, банковские услуги, услуги страхования, аутсорсинга, консалтинговые услуги и т.д. Cертификация на соответствие ISO/IEC 27001:2022 позволяет повысить доверие со стороны ваших клиентов к вашим услугам.
- Вы много и часто взаимодействуете с крупными партнерами, в частности, с зарубежными. Cертификация на соответствие ISO/IEC 27001:2022 также позволяет повысить их доверие к вам.
- Вы планируете выходить на международный рынок. Сертификация на соответствие ISO/IEC 27001:2022 позволит повысить доверие иностранных партнеров и клиентов к вам.
- Вы планируете выходить на IPO. Cертификация на соответствие ISO/IEC 27001:2022 позволит повысить капитализацию компании и обеспечить прозрачность процессов управления и обеспечения ИБ.
- Вы публичная компания. Сертификация на соответствие ISO/IEC 27001:2022 позволяет повысить капитализацию компании, гарантировать прозрачность процессов управления и обеспечения ИБ, что в том числе, позволяет легче проходить финансовые аудиты.
- Вы работаете на конкурентном рынке. Сертификация на соответствие ISO/IEC 27001:2022 позволяет получить маркетинговые и конкурентные преимущества.
- Вы обладаете критичной для вашего бизнеса внутренней информацией (ноу-хау, собственные разработки и т.д.). Сертификация на соответствие ISO/IEC 27001:2022 позволит получить внешнюю независимую оценку и подтверждение эффективности процессов управления и обеспечения безопасности критичной для вас информации.
- Вы часто взаимодействуете с регулирующими и проверяющими органами. В ряде случаев наличие сертификата соответствия ISO/IEC 27001:2022 позволяет облегчить процедуры проверок со стороны регулирующих органов.
Мы оказываем услуги проведения сертификационных аудитов на соответствие требованиям ISO/IEC 27001:2022. Подробная информация в разделе СЕРТИФИКАЦИЯ ISO 27001
Подготовка персонала по темам управления информационной безопасностью является важной предпосылкой для успешного функционирования системы в целом, так как именно персонал разрабатывает, внедряет, поддерживает и заботится об улучшениях системы управления.Подробнее о наших тренингах по темам информационной безопасности можно почитать на странице Наши тренинги.
Процесс управления рисками информационной безопасности (ИБ) – ядро системы управления информационной безопасностью. Это процесс, находящийся на стыке стратегического и тактического уровней управления ИБ, позволяет обеспечить связь между уровнем бизнеса и принятия решений, и уровнем обеспечения ИБ, а также:
- Оценить критичность информационных активов в организации, включая бизнес-процессы и информацию;
- Выявить наиболее уязвимых областей в инфраструктуре организации;
- Расставить приоритеты по реализации мероприятий по обеспечению информационной безопасности;
- Сформировать и обосновать бюджет в области информационной безопасности.
Процедура проведения анализа и оценки рисков ИБ включает:
- Согласование методики анализа и оценки рисков ИБ;
- Определение области проведения анализа и оценки рисков ИБ;
- Сбор исходных данных о бизнес-процессах и информационных активах, применяемых средствах защиты;
- Проведение анализа и оценки рисков ИБ с помощью автоматизированной системы анализа рисков;
- Формирование отчетных материалов по результатам анализа и оценки рисков ИБ.
Внешнее тестирование на проникновение: осуществляется из сети Интернет и представляет собой выявление и анализ технических уязвимостей внешнего периметра корпоративной компьютерной сети заказчика.
Внутреннее тестирование на проникновение. Осуществляется с мобильной рабочей станции, включенной в локально-вычислительную заказчика, и представляет собой выявление и анализ технических уязвимостей внутренних информационных систем.
Для выполнения работ мы используем общепринятые мировые практики проведения подобных работ, включая такие методики, как OSSTMM v3.0 и OWASP Testing Guide v3.