Мы организуем, тестируем и улучшаем процессы управления компьютерной безопасностью в крупных компаниях и холдингах. Наш подход основан на двух базовых элементах:
- управление бизнес-рисками и
- обеспечение непрерывности бизнес-процессов.
Наши разработки направлены на решение обозначенных задач. Ниже Вы можете ознакомиться с наиболее популярными из них.
Разработка и внедрение BCP/DRP
Прерывание бизнес-процессов ведет к прямым материальным потерям, потере доверия со стороны партнеров по бизнесу, недовольству клиентов, снижению стоимости акций компании и другим прямым и косвенным отрицательным последствиям. Вот почему обеспечение непрерывности бизнеса компании - одна из ключевых задач ее руководителей.
Наличие эффективного плана обеспечения непрерывности бизнес процессов (Business Continuity Plan, BCP) и плана восстановления ИТ-инфраструктуры после сбоев (Disaster Recovery Plan, DRP) является общепринятой мировой практикой.
Управление ИТ-рисками является лучшей мировой практикой, позволяющей применять только экономически целесообразные меры компьютерной безопасности.
Управление ИТ-рисками в части их оценки (Business Impact Analyses, BIA) является необходимой составляющей обеспечения непрерывности бизнес-процессов.
Стандарт ISO27001 требует наличия управления ИТ-рисками.
Отсутствие формализованных процессов управления ИТ-рисками финансовые аудиторы расценивают как серьезный недостаток.
Внедрение основ управления компьютерной безопасностью
В отечественных компаниях, высшее руководство часто имеет весьма смутное представление об управлении компьютерной безопасностью и о своей ответственности за компьютерную безопасность компании.
Отсутствие необходимых действий и внимания со стороны топ-менеджмента не позволяет руководителю департамента компьютерной безопасности организовать свою работу.
Классификация информационных активов по степени конфиденциальности
Для понимания того, какие именно меры компьютерной безопасности следует предпринимать, нужно знать:
-какими информационными активами обладает компания;
-ценность этих активов с точки зрения конфиденциальности;
-владельцев информационных активов;
-места хранения и способы передачи информации.
Стандарты компьютерной безопасности, например, BS7799, ISO27001, ISF Standard of Good Practice, требуют наличия классификации информационных активов. Классификация информационных активов является общепризнанной мировой практикой.
Программа повышения информированности сотрудников в области компьютерной безопасности
Защищенность компании определяется надежностью самого слабого звена в цепи защиты. Самым слабым звеном в компьютерной безопасности является персонал. Поэтому регулярное проведение Программы повышения информированности сотрудников в области компьютерной безопасности (Security Awareness Program) считается одной из самых действенных мер.
Разработка и внедрение нормативных документов в области ИБ
Нормативные документы – это сформулированные требования руководства компании в отношении обеспечения компьютерной безопасности. В отсутствие нормативных документов сотрудники не могут исполнить требования компании, а компания – определить эти требования и проконтролировать их исполнение.
Отсутствие нормативных документов ведет к перебоям в работе информационных систем, утечке конфиденциальной информации, ошибкам в данных и отчетах.
Стандарты компьютерной безопасности, например, ISO27001, требуют наличия и исполнения нормативных документов.
Отсутствие важных нормативных документов финансовые аудиторы расценивают как серьезный недостаток.
Расследование случаев несанкционированного доступа
Для того, чтобы минимизировать последствия несанкционированного доступа необходимо знать, в какие информационные системы злоумышленник смог получить доступ и какие информационные активы попали в его руки.
Аудит компьютерной безопасности
Задача аудита – проверить эффективность предпринимаемых мер безопасности до того, как имеющиеся недостатки приведут к возникновению инцидента.
Регулярное проведение аудита компьютерной безопасности – требование стандартов безопасности, например, ISO27001, BS7799.
Отсутствие регулярного аудита компьютерной безопасности финансовые аудиторы расценивают как серьезный недостаток.
Контроль за состоянием периметра сети компании
В отсутствие регулярного, комплексного и профессионального тестирования мер и средств защиты информации компания может не иметь полного представления о недостатках в своей технической и организационной структуре, что лишает ее возможности принимать незамедлительные и адекватные меры для ликвидации уязвимых мест или сведения их к минимуму.
Безопасность беспроводных компьютерных сетей
Каждая компания, которой предстоит развернуть беспроводную сеть, задается вопросом: Насколько она будет безопасна? Не приведет ли ее использование к отрицательным последствиям для бизнеса?
Практическая оценка защищенности ИТ-инфраструктуры
Попытки несанкционированных действий, выполненные специалистами высокого класса, дают дополнительную уверенность в том, что злоумышленники, как правило, менее квалифицированные, не смогут добиться своей цели.