Предложение компании «Инфосистемы Джет»: «Обследование состояния иб с разработкой рекомендаций по повышению уровня защищенности организации»
При обследовании состояния ИБ компания «Инфосистемы Джет» использует экспертный подход. Он заключается в учете экспертного мнения специалистов компании «Инфосистемы Джет», имеющих богатый опыт проведения консалтинговых работ в организациях различных вертикальных рынков.
Для повышения эффективности работ и предоставления заказчику наиболее достоверных результатов консультанты компании «Инфосистемы Джет» предъявляют жесткие требования к методике проведения обследования состояния информационной безопасности. К ним относятся:
-
Объективность (достоверность) результата обследования состояния ИБ. Консультанты компании «Инфосистемы Джет» предоставляют заказчику обоснование наличия угроз информационной безопасности и уязвимостей, которые существуют в информационной системе организации, а также возможных последствий (ущерба) в случае их реализации.
-
Глубина обследования состояния ИБ. В ходе обследования специалисты компании «Инфосистемы Джет» (с учетом интересов заказчика) выбирают для проверки наиболее критичные области деятельности и процессы организации, что позволяет получить более детальные данные для анализа.
-
Критерии оценки защищенности, согласованные с заказчиком. Понятные критерии оценки защищенности – одно из важных условий корректного восприятия результатов обследования. К таким критериям относятся:
-
требования законодательства Российской Федерации в области ИБ;
-
отраслевые требования по обеспечению ИБ;
-
бизнес-требования обследуемой организации;
-
нормативно-методические и организационно-распорядительные документы и стандарты в области ИБ, существующие в организации;
-
контрактные обязательства заказчика (партнерские договоры, контракты с поставщиками и т.п.).
Benchmarking
В своих консалтинговых работах специалисты компании «Инфосистемы Джет» используют и такой аналитический инструмент как benchmarking. В данном случае на русский язык этот термин можно перевести как «метод аналогов». Этот метод иногда рассматривается как «экспресс-анализ рисков», поскольку не требует глубокой оценки рисков ИБ на начальных этапах проведения работ. Собираются лишь статистические сведения, характерные для большинства компаний по отрасли, и на их основе проводится сравнение.
Benchmarking может эффективно использоваться для оптимизации текущей деятельности организации по обеспечению ИБ: оценивая эффективность деятельности организации по сравнению с другими организациями в той же отрасли и анализируя причины этих различий, можно формулировать необходимые шаги для повышения эффективности обеспечения ИБ до уровня «лучших» в отрасли. С другой стороны, применяя «метод аналогов», можно выявить собственную уникальность организации в реализации процессов обеспечения информационной безопасности.
Консультанты компании «Инфосистемы Джет» используют различные виды benchmaring (см. Рис.1 ), начиная со сравнения эффективности подразделений внутри организации и заканчивая сравнением эффективности функций компаний в целом по отрасли. В последнее время интерес вызывают такие виды, как benchmarking конкурентоспособности, когда идет сравнение эффективности деятельности компании по обеспечению ИБ с конкурентами в той или иной области, или benchmarking затрат, где сравнивается уже бюджеты на ИБ по отрасли.
Результатом работ на данном этапе является экспертная оценка эффективности используемых средств и методов защиты информационных ресурсов ИС. Кроме того, с учетом результатов предыдущих этапов, строится модель угроз информационной безопасности в отношении ресурсов ИС организации.
Построение модели угроз
На данном этапе осуществляется классификация и описание угроз и уязвимостей, обнаруженных в информационной системе заказчика с экспертной оценкой возможных последствий реализации выявленных угроз.
В итоге этих работ является модель угроз, классифицированных по уровню критичности для организации. Такая модель включает описание угрозы, в том числе агента реализации угрозы, выявленных уязвимостей, активов, в отношении которых возможна реализация угрозы, типов возможных потерь в случае нарушения конфиденциальности, целостности или доступности активов.
Степень детализации модели угроз может быть различна и определяется реальными потребностями для каждой организации в отдельности.
- Практическое занятие № 4 Тема: Консалтинг в области информационной безопасности.
- План практического занятия
- Указания по проведению практического занятия
- 2. Основная часть Консалтинг в области информационной безопасности
- Определение консалтинга в области иб
- Актуальность услуг по консалтингу в области иб
- Виды консалтинга в области информационной безопасности
- Формы оказания услуг по консалтингу в области информационной безопасности
- Определение уровня информационной безопасности
- Обследование состояния информационной безопасности с разработкой рекомендаций
- Информационное обследование
- Анализ полученной информации
- Предложение компании «Инфосистемы Джет»: «Обследование состояния иб с разработкой рекомендаций по повышению уровня защищенности организации»
- Подготовка рекомендаций
- Анализ рисков информационной безопасности
- Идентификация и оценка критичности активов
- Разработка методики анализа рисков
- Предложения компании «Инфосистемы Джет»: «Внедрение процесса управления рисками иб»
- Идентификация рисков
- Оценка рисков
- Выбор мер противодействия рискам
- Результаты анализа рисков иб
- Обеспечение требований бизнеса к информационной безопасности
- Разработка стратегии информационной безопасности
- Обеспечение требований законодательства
- Требования к защите персональных данных
- Предложение Компании «Инфосистемы Джет» по приведению процессов обработки персональных данных в соответствии с требованиями Закона о персональных данных
- Отраслевые требования по информационной безопасности Стандарт Банка России по обеспечению иб
- Обеспечение соответствия безопасности платежных систем требованиям стандарта pci dss
- Предложение компании «Инфосистемы Джет»: «Консалтинг в области сто бр» Целевая аудитория
- Назначение услуги
- Состав работ:
- Оптимизация системы обеспечения иб Построение системы управления иб
- Предложение Компании «Инфосистемы Джет» по консалтингу в области pci dss
- Назначение услуги
- Задачи, решаемые в ходе проведения работ по данной услуге:
- Обследование, обнаружение и анализ соответствия требованиям стандарта iso/iec 27001:2005
- Создание суиб в соответствии с требованиями стандарта iso/iec 27001:2005
- Внедрение процессов суиб и подготовка суиб к сертификации
- Подход компании «Инфосистемы Джет» к построению суиб
- Внедрение процесса управления непрерывностью бизнеса
- Внедрение процесса управления инцидентами иб
- Выводы или Как не ошибиться с выбором консультанта?!