Экспертный консалтинг по информационной безопасности от компании «Инфосистемы Джет» позволяет оценить практическую защищенность ИТ-систем и влияние на бизнес происходящих и потенциальных инцидентов. Это создает необходимые условия для оптимального планирования развития системы ИБ в соответствии с бизнес-задачами в виде конкретных шагов (внедрения или модернизации механизмов и стратегии ИБ), а также соответствующих ресурсов, в том числе финансовых.

Проблематика

В различных компаниях задачи ИБ варьируются, но в их решении можно выделить несколько общих сложностей. Самая масштабная связана с частым расхождением целей служб ИБ и бизнес-подразделений. В этом случае служба информационной безопасности живет как бы в отрыве от компании. Это приводит к недопониманию и недовольству со стороны бизнеса, результатом которых становятся частые кадровые перестановки и бюджетирование по остаточному принципу.

В то же время постоянно возникает вопрос «Сколько денег необходимо выделить на систему защиты и почему именно столько?». Как правило, сотрудники служб информационной безопасности знают на него ответ, но не могут его донести до бизнеса, в итоге финансирование ведется по принципу «чем меньше, тем лучше».

Обоснование бюджета требует достоверного определения текущего состояния защищенности и создания пропорциональной защиты. При этом основная проблема заключается в том, чтобы действительно достоверно оценить состояние защищенности, а не ограничиться умозрительными заключениями. Иначе можно упустить важные уязвимости и потратить средства на защиту «воздушных замков». Вторая сложность – распределение средств на защиту, соответствующую выявленным рискам. Часто случается так, что потрачен значительный бюджет, закрыты уязвимости, создающие невысокие риски, а легкоустранимые уязвимости упущены из виду, несмотря на то, что связанные с ними угрозы критичны.

Можно внедрить DLP-систему, контролирующую утечки через внешние каналы и съемные носители, но при этом не учесть разрешенную в компании возможность удаленного подключения к рабочим серверам через VPN или подключения к рабочим станциям и ноутбукам беспроводных USB-модемов. А может оказаться и так, что DLP не нужна компании в принципе, так как ущерб от возможных утечек ничтожно мал по сравнению со стоимостью её внедрения.

При этом расходы на её внедрение оказываются крайне неэффективными. Это наглядно демонстрируется при возникновении инцидента, но обычно он дорого обходится компании.

Решение

Эксперты компании «Инфосистемы Джет» объединили методологию всесторонней оценки состояния защищенности компании с механизмами анализа критичности уязвимостей и расчета бюджета на построение комплексной системы защиты. Этот принцип реализован в услуге «Экспертный консалтинг по ИБ», решающей задачи:

  • достоверной оценки текущего положения;
  • разработки и обоснования плана действий по достижению желаемого (целевого) состояния информационной безопасности.

Услуга включает два блока мероприятий:

  • практическую оценку информационной безопасности – мероприятия по оценке различных аспектов информационной безопасности с помощью инструментальных тестов и проверок:
    • оценку уровня надежности защитных мер;
    • технический анализ уязвимостей информационных систем;
    • технический тест на проникновение в информационные системы;
    • технический анализ утечек конфиденциальной информации;
    • технический анализ запросов к базам данных;
    • технический анализ условий хранения конфиденциальной информации;
    • тестирование персонала с использованием методов социальной инженерии.

По итогам каждого из тестов формируется отчет с подробным описанием полученных результатов и рекомендациями по их корректировке. Результаты работ «практического» блока в дальнейшем используются для анализа и планирования информационной безопасности.

  • анализ и планирование информационной безопасности – комплекс работ по оценке текущего положения дел и разработке мероприятий, сокращающих разрыв между текущим и желаемым (целевым) состоянием. Поскольку подходы к планированию у различных организаций отличаются, различны и услуги, содержащиеся в данном блоке.
    Оценка текущего состояния информационной безопасности может быть выполнена одним или несколькими способами, которые включают:
    • анализ уровня защищенности информационных ресурсов организации (аудит ИБ);
    • анализ рисков информационной безопасности (количественная или качественная оценка степени ущерба от реализации угроз с учетом их возможности);
    • benchmarking обеспечения информационной безопасности (сравнение соответствующих показателей организации со средними по отрасли результатами).

В зависимости от целей проводимой оценки выбирается подход к планированию мероприятий, направленных на сокращение разрыва между текущим и целевым состоянием ИБ. Планирование может осуществляться путем:

  • разработки стратегии ИБ (увязывание целей бизнеса и целей в области ИБ);
  • разработки программы мероприятий по снижению наиболее значительных рисков;
  • разработки программы мероприятий по совершенствованию процессов обеспечения информационной безопасности;
  • разработки процессов системы управления информационной безопасностью (СУИБ), являющейся основой для развития программы обеспечения ИБ.

В поддержку каждого из перечисленных блоков мероприятий могут быть разработаны:

  • нормативно-регламентирующие документы;
  • план, необходимый для обеспечения ресурсами мероприятий по информационной безопасности;
  • бюджетная оценка отдельных проектов по информационной безопасности.

Результат проведенного экспертного консалтинга – целостный и логически связанный набор решений, отвечающий на три основных вопроса: «В чем проблема?», «Что делать?» и «Почему это нужно делать именно так?».

Выгоды

Экспертный консалтинг по информационной безопасности позволяет:

  • наглядно продемонстрировать состояние защищенности компании в понятной бизнесу и техническим специалистам форме;
  • обосновать затраты на информационную безопасность;
  • снизить риски финансовых потерь при возникновении инцидентов;
  • решить локальные проблемы и построить комплексную систему защиты, при которой цели и задачи ИБ неразрывно связаны с целями и задачами бизнеса;
  • сократить время, необходимое для решения вопросов ИБ, за счет отлаженного проектного подхода к выполнению работ и использования современных методик, учитывающих специфику российских компаний.

Преимущества работы с компанией «Инфосистемы Джет»

  • опыт экспертов, имеющих за плечами десятки успешно выполненных консалтинговых проектов в сфере информационной безопасности;
  • гарантированное получение практических рекомендаций, планов мероприятий и стратегий, а не теоретических выкладок: все, что рекомендуют и предлагают эксперты компании, многократно опробовано и может быть реализовано в формате "под ключ";
  • возможность сравнить полученные показатели конкретной компании с актуальными данными по отрасли в целом (во многом это возможно благодаря накопленному опыту).