Комплекс мероприятий «Защита информации. Реальная экономика»

Что это дает?

Полная объективная картина влияния безопасности информации на бизнес. Описание всех активов, информационных систем и их слабых мест. Оценка рисков, выраженная в конкретных цифрах убытков или недополученной прибыли. Четкие рекомендации по безопасности. Необходимые изменения орг. структуры. Экономия на средствах защиты. Подготовка персонала к противодействию угрозам. Работа с лучшими экспертами информационной безопасности. Окупаемость затрат в сотни процентов.

 

Это программа для тех, кто согласен с большинством утверждений:

- Мы осознаем угрозы информационной безопасности, но полной картины нет;

- Мы не всегда понимаем, какую информацию и системы надо защищать в первую очередь;

- Мы не всегда можем объяснить «бизнесу» зачем нужна информационная безопасность;

- Мы хотим, чтобы безопасность не мешала нормальной работе;

- Мы запутались в предложениях производителей средств защиты информации;

- Мы запутались в нормах законодательства по информационной безопасности;

- Мы не знаем, что делать с обычными пользователями, нарушающими правила безопасности;

- Мы не знаем, что делать с руководством, нарушающим правила безопасности;

- Мы хотим, чтобы у нас был полный комплект документов по безопасности.

 

Что нужно сделать?

- Выявить информационные активы, оценить их;

- Выявить информационные системы;

- Составить перечни реальных угроз;

- Оценить ущерб от реализации угроз и их вероятность;

- Оценить риски;

- Определить способы обработки рисков (снижение, избегание, перенос, принятие);

- Определить способы и защиты, подобрать оптимальные технические решения;

- Составить экономическое обоснование для закупок;

- Составить план внедрения организационных мер и технических средств;

- Определить ответственных, предусмотреть ответственность пользователей и руководства;

- Разработать систему, чтобы сделать обеспечение безопасности постоянным процессом, закрепить это в документах.

 

Как это сделать?

Мы проведем анализ информационных активов, которые используются в бизнесе. Поможем оценить их по конфиденциальности, целостности и доступности.

Мы составим реальный каталог угроз. Будем учитывать особенности работы компании, уровень конкуренции на вашем рынке, заметность вашего бизнеса, возможную выгоду злоумышленников. Опишем все значимые негативные сценарии, по которым может произойти нарушение безопасности информации.

Мы определим реальный финансовый ущерб бизнесу по каждому возможному инциденту, оценим вероятности.

Мы разработаем для вас «дорожную карту» по обеспечению информационной безопасности, с указанием мероприятий, необходимых средств защиты информации, сроков внедрения. Проанализируем эффективность используемых мер, дадим рекомендации по замене, улучшению функционала, настройкам.

Мы проведем независимую оценку и сравнительный анализ любых технических средств.

Мы составим экономическое обоснование все мероприятиям и техническим средствам безопасности, поможем защитить бюджет на закупки.

Мы расскажем, как совместить требования законодательства (например, закон «О персональных данных») с реальной защитой информации.

Мы объясним, кто в компании должен отвечать за обеспечение информационной безопасности. Предложим изменения и дополнения в должностные инструкции, регламенты, трудовые договора. Разработаем полный пакет документов: от политики информационной безопасности до инструкций пользователей. Проведем обучение сотрудников основам безопасной работы с информацией.

 

Почему мы делаем это лучше всех?

По вопросам защиты информации чаще всего обращаются либо к системным интеграторам, либо к производителям средств защиты (вендорам). Интеграторы зарабатывают на поставках средств защиты информации, поэтому предлагают решения, по которым у них есть компетенции или скидки на поставку. Обычно это наиболее раскрученные бренды, продукты которых стоят миллионы рублей. Если интегратор предлагает консалтинг, то это долгий и дорогой проект. Бесплатные продукты и организационные мероприятия – это прямой ущерб бизнесу интегратора, поэтому с ними не связываются.

Вендоры предлагают свой продукт (или линейку продуктов) как панацею от всех угроз. Могут предложить консалтинг для обоснования выбора своих решений. Это не дает возможности говорить об объективном выборе.

Наш подход:

- Разработка рекомендаций, их обоснование, анализ угроз при помощи специально разработанной методики. Мы учитываем специфику работы отрасли, конкретного бизнеса, реальных угроз. Это позволяет снизить сроки и стоимость работ в несколько раз;

- В первую очередь предлагаем организационные меры и бесплатные решения. Объективно анализируем сильные и слабые стороны коммерческих продуктов;

- Предлагаем только реально выполнимые мероприятия. Рекомендуем такие меры мотивации персонала, ответственности, которые работают в других компаниях.

 

Почему нам можно доверять?

Мы – группа независимых экспертов по информационной безопасности. Изучали и понимаем все российские и зарубежные профильные стандарты. Принимали участие в десятках проектов по консалтингу и внедрению различных систем защиты.  Постоянно участвуем в конференциях и круглых столах по информационной безопасности, публикуемся в СМИ.

На основании знаний и опыта мы предлагаем для малого бизнеса методику, которая не требует больших затрат, при этом она более эффективна, чем прямое следование стандартам.

 

Программа действий:

- Получаем общую информацию о вашем бизнесе;

- Согласовываем цели проекта, отчетную документацию, сроки;

- Составляем подробный план работ;

- Подписываем договор и соглашение о неразглашении информации;

- Получаем информацию о бизнес-процессах, обрабатываемой информации, ее ценности, возможных нарушителях, ИТ-системах, персонале. В том числе проводим интервью с ключевыми сотрудниками, ИТ-персоналом, руководством;

- Получаем документы, относящиеся к обработке информации;

- Проводим анализ и составляем рекомендации, формируем отчеты;

- При необходимости проводим обучение персонала.

 

Что конкретно Вы получите?

- Перечень ключевой бизнес-информации, в каких информационных системах она обрабатывается, оценку ее ценности;

- Каталог угроз;

- Основные возможные негативные сценарии;

- Оценку риска по отдельным сценариям и в целом по компании;

- Перечень организационных мероприятий по защите информации;

- Перечень рекомендуемых технических средств, включая их сравнение;

- Рекомендации по замене, дополнительной настройке имеющихся технических средств;

- Рекомендации по принятию необходимых документов: политики, регламенты, изменения в договоры с поставщиками и аутсорсерами, трудовые договоры;

- Рекомендации по выполнению норм законодательства, относящихся к защите информации;

- Обучение сотрудников основам информационной безопасности, с упором на описанные возможных негативных сценариев;

- Консультации с руководством компании для его привлечения к процессу обеспечения безопасности

 

Полный список документов и отчетов:

  1. Перечень информационных активов с оценкой по конфиденциальности/целостности/доступности;

  2. Перечень информационных систем с их оценкой;

  3. Перечень возможных нарушителей;

  4. Перечень актуальных угроз информационной безопасности;

  5. Перечень рисков информационной безопасности;

  6. Детальный отчет по рискам информационной безопасности;

  7. Анализ существующих защитных мер;

  8. Анализ выполнения норм законодательства по защите информации;

  9. Перечень способов обработки рисков;

  10. Отчет об экономической эффективности вложений в средства защиты информации;

  11. Перечень и подробное описание предлагаемых организационных мер;

  12. Перечень и подробное описание предлагаемых технических мер (включая сравнение функционала выбранных продуктов);

  13. Отчет по аудиту контрактов (охрана, электричество, связь, операторы интернета, страхования, логистики);

  14. Отчет по аудиту собственных разработок (при наличии);

  15. План обучения персонала;

  16. Программа учебного курса;

  17. План аудитов информационной безопасности;

  18. Рекомендации по принятию комплекта документов по обеспечению информационной безопасности