Инфосистемы Джет

  • Company Headquarters: Москва, ул. Краснопролетарская наб., 6
  • Сайт: http://www.jet.msk.su/
  • Телефон: (495) 411-76-01, 411-76-03
  • E-mail: info@jet.msk.su

Экспертный консалтинг по информационной безопасности



Экспертный консалтинг по информационной безопасности от компании «Инфосистемы Джет» позволяет оценить практическую защищенность ИТ-систем и влияние на бизнес происходящих и потенциальных инцидентов. Это создает необходимые условия для оптимального планирования развития системы ИБ в соответствии с бизнес-задачами в виде конкретных шагов (внедрения или модернизации механизмов и стратегии ИБ), а также соответствующих ресурсов, в том числе финансовых.

Проблематика

В различных компаниях задачи ИБ варьируются, но в их решении можно выделить несколько общих сложностей. Самая масштабная связана с частым расхождением целей служб ИБ и бизнес-подразделений. В этом случае служба информационной безопасности живет как бы в отрыве от компании. Это приводит к недопониманию и недовольству со стороны бизнеса, результатом которых становятся частые кадровые перестановки и бюджетирование по остаточному принципу.

В то же время постоянно возникает вопрос «Сколько денег необходимо выделить на систему защиты и почему именно столько?». Как правило, сотрудники служб информационной безопасности знают на него ответ, но не могут его донести до бизнеса, в итоге финансирование ведется по принципу «чем меньше, тем лучше».

Обоснование бюджета требует достоверного определения текущего состояния защищенности и создания пропорциональной защиты. При этом основная проблема заключается в том, чтобы действительно достоверно оценить состояние защищенности, а не ограничиться умозрительными заключениями. Иначе можно упустить важные уязвимости и потратить средства на защиту «воздушных замков». Вторая сложность — распределение средств на защиту, соответствующую выявленным рискам. Часто случается так, что потрачен значительный бюджет, закрыты уязвимости, создающие невысокие риски, а легкоустранимые уязвимости упущены из виду, несмотря на то, что связанные с ними угрозы критичны.

Решение

Эксперты компании «Инфосистемы Джет» объединили методологию всесторонней оценки состояния защищенности компании с механизмами анализа критичности уязвимостей и расчета бюджета на построение комплексной системы защиты. Этот принцип реализован в услуге «Экспертный консалтинг по ИБ», решающей задачи:

  • достоверной оценки текущего положения;
  • разработки и обоснования плана действий по достижению желаемого (целевого) состояния информационной безопасности.

Услуга включает два блока мероприятий:

  • практическую оценку информационной безопасности — мероприятия по оценке различных аспектов информационной безопасности с помощью инструментальных тестов и проверок:
    • оценку уровня надежности защитных мер;
    • технический анализ уязвимостей информационных систем;
    • технический тест на проникновение в информационные системы;
    • технический анализ утечек конфиденциальной информации;
    • технический анализ запросов к базам данных;
    • технический анализ условий хранения конфиденциальной информации;
    • тестирование персонала с использованием методов социальной инженерии.

По итогам каждого из тестов формируется отчет с подробным описанием полученных результатов и рекомендациями по их корректировке. Результаты работ «практического» блока в дальнейшем используются для анализа и планирования информационной безопасности.

  • анализ и планирование информационной безопасности — комплекс работ по оценке текущего положения дел и разработке мероприятий, сокращающих разрыв между текущим и желаемым (целевым) состоянием. Поскольку подходы к планированию у различных организаций отличаются, различны и услуги, содержащиеся в данном блоке.
    Оценка текущего состояния информационной безопасности может быть выполнена одним или несколькими способами, которые включают:
    • анализ уровня защищенности информационных ресурсов организации (аудит ИБ);
    • анализ рисков информационной безопасности (количественная или качественная оценка степени ущерба от реализации угроз с учетом их возможности);
    • benchmarking обеспечения информационной безопасности (сравнение соответствующих показателей организации со средними по отрасли результатами).

В зависимости от целей проводимой оценки выбирается подход к планированию мероприятий, направленных на сокращение разрыва между текущим и целевым состоянием ИБ. Планирование может осуществляться путем:

  • разработки стратегии ИБ (увязывание целей бизнеса и целей в области ИБ);
  • разработки программы мероприятий по снижению наиболее значительных рисков;
  • разработки программы мероприятий по совершенствованию процессов обеспечения информационной безопасности;
  • разработки процессов системы управления информационной безопасностью (СУИБ), являющейся основой для развития программы обеспечения ИБ.

В поддержку каждого из перечисленных блоков мероприятий могут быть разработаны:

  • нормативно-регламентирующие документы;
  • план, необходимый для обеспечения ресурсами мероприятий по информационной безопасности;
  • бюджетная оценка отдельных проектов по информационной безопасности.

Результат проведенного экспертного консалтинга — целостный и логически связанный набор решений, отвечающий на три основных вопроса: «В чем проблема?», «Что делать?» и «Почему это нужно делать именно так?».

Выгоды

Экспертный консалтинг по информационной безопасности позволяет:

  • наглядно продемонстрировать состояние защищенности компании в понятной бизнесу и техническим специалистам форме;
  • обосновать затраты на информационную безопасность;
  • снизить риски финансовых потерь при возникновении инцидентов;
  • решить локальные проблемы и построить комплексную систему защиты, при которой цели и задачи ИБ неразрывно связаны с целями и задачами бизнеса;
  • сократить время, необходимое для решения вопросов ИБ, за счет отлаженного проектного подхода к выполнению работ и использования современных методик, учитывающих специфику российских компаний.

Преимущества работы с компанией «Инфосистемы Джет»

  • опыт экспертов, имеющих за плечами десятки успешно выполненных консалтинговых проектов в сфере информационной безопасности;
  • гарантированное получение практических рекомендаций, планов мероприятий и стратегий, а не теоретических выкладок: все, что рекомендуют и предлагают эксперты компании, многократно опробовано и может быть реализовано в формате «под ключ»;
  • возможность сравнить полученные показатели конкретной компании с актуальными данными по отрасли в целом (во многом это возможно благодаря накопленному опыту).

Напишите свой отзыв:

Услуга или продукт компании:
Отзыв:

Авторизуйтесь или зарегистрируйтесь:

Ваша эл. почта:
Это будет ваш логин
Логин (Эл. почта):