Управление рисками кибербезопасности и непрерывностью бизнеса
Повысим киберзрелость компании, а также минимизируем возможный ущерб бизнес-деятельности, применяя BIA и риск-ориентированный подход
Назначение
Помогаем организациям выстроить управление технологиями и процессами, необходимыми для кибербезопасности и непрерывности бизнеса. Направление включает шесть услуг, которые позволяют минимизировать возможные негативные последствия для вашей компании.
В работе мы применяем подход «BIA
Услуги в направлении
Построение систем менеджмента информационной безопасности (СМИБ) и непрерывности бизнеса (СМНБ)
Помогаем привести системы к соответствию требованиям ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701 или ISO 22301, а также подготовиться к сертификации по ним. Проводим полный цикл работ — от GAP-анализа до сопровождения и поддержки
Что вы получаете
-
Риск-ориентированную систему менеджмента в соответствии с международными стандартами
-
Подтверждение для клиентов и заинтересованных сторон, что в компании организовано управление безопасностью и непрерывностью бизнес-процессов
-
Механизм для проверки результативности, а также поддержания безопасности и непрерывности бизнеса в актуальном состоянии
Этапы работы
-
Обследование
- Изучение существующей системы обеспечения безопасности и непрерывности (GAP-анализ)
- Анализ контекста деятельности, целей и основных бизнес-процессов компании
- Определение области действия системы менеджмента
-
Разработка и внедрение
- Анализ возможных рисков, сбоев, нарушений и их последствий
- Разработка (или совершенствование) процессов управления и нормативно-методической документации
- Внедрение (или модернизация) необходимых мер для обеспечения безопасности и непрерывности бизнеса
-
Проверка и коррекция
- Проведение внутреннего аудита
- Тестирования и учения
- Анализ и улучшение системы менеджмента
-
Поддержка и совершенствование
- Сопровождение на сертификационном аудите
- Годовая поддержка и сопровождение процессов после внедрения или сертификации
Управление рисками, мерами и инцидентами кибербезопасности
Детально прорабатываем и реализуем отдельные процессы управления кибербезопасностью в соответствии с принципами PDCA
Что вы получаете
-
Контролируемый и управляемый процесс, учитывающий риски
-
Документированные верхнеуровневые политики
-
Инструкции для исполнителей, соответствующие реальным процессам
-
Полный перечень метрик для анализа эффективности процессов по кибербезопасности
Этапы работы
-
Планирование процессов управления кибербезопасностью
- Формализация целей, потребностей, требований и ожиданий
- Обследование состояния мер, процедур и неформализованных практик
- Определение текущих и целевых задач
- Формирование индивидуального плана работ
-
Построение процессов
- Разработка общей схемы, ролевой модели и принципиальной политики процессов управления
- Детализация процедур и отдельных операций по процессам, интеграция со смежными процессами, процедурами и активностями
- Разработка комплекса метрик для оценки результативности и анализа отклонений
- Учет верхнеуровневых документов по процессам с учетом внутренней культуры компании
- Разработка инструкций и регламентов: по процедурам, операциям, а также управляемым мерам и мероприятиям
-
Внедрение процессов
- Инструктаж сотрудников по ролям, задачам и действиям
- Совместное выполнение и супервайзинг пошаговых операций по процессам
- Консультации с учетом целей управления: по сбору и расчету метрик, а также анализу эффективности процессов кибербезопасности
- Контроль подготовки и оформления необходимых отчетных материалов и документов
-
Поддержка реализации задач
- Проведение трудоемких работ: оценки рисков, расследования инцидентов и т. п.
- Разработка планов: обработки рисков, реагирования на инциденты и т. п.
- Подготовка отчетов, материалов и документов
- Оценка метрик и показателей эффективности процессов, разработка рекомендаций для совершенствования кибербезопасности
Управление непрерывностью бизнеса
Возьмем под контроль все этапы: от расчета требований бизнеса к отказоустойчивости информационных систем (RTO, RPO и т. п. в соответствии с ISO/IEC 27031) до внедрения процесса управления непрерывностью деятельности в соответствии с ISO 22301
Что вы получаете
-
Ущерб-ориентированную систему оценки негативных последствий и рисков, учитывающую бизнес-цели и стратегические приоритеты компании
-
Карту возможных сбоев и нарушений в технических процессах с ранжированием по уровню потенциального ущерба
-
Реестр критичных продуктов и услуг, бизнес-процессов, технологических операций и активов
-
Требования и процедуры для обеспечения непрерывности, позволяющие минимизировать ущерб от сбоев и простоев
-
Процесс управления непрерывностью с измеримыми показателями для достижения целей бизнеса
Этапы работы
-
Обследование
- Анализ основных и поддерживающих бизнес-процессов, выявление используемых активов
- Изучение текущего состояния мер, процедур и неформализованных практик непрерывности
-
Проведение BIA
- Инвентаризация активов и ресурсов, вовлеченных в основную деятельность компании
- Составление шкалы оценки негативных последствий
- Определение критичности ущерба в результате сбоев и нарушений деятельности
-
Разработка плана обеспечения непрерывности (ПОН)
- Выявление целевых параметров обеспечения непрерывности (RTO
, RPO и т. п.) - Проработка и формирование ПОН с учетом RTO/RPO: как работать, если произошел сбой (BCP), и как восстанавливать IT-системы (DRP)
- Подготовка внедрения ПОН, проверка планов DRP/BCP (тестирования и учений)
-
Построение процесса управления непрерывностью
- Разработка общей схемы и ролевой модели основного процесса управления непрерывностью, а также интеграция со смежными процессами IT и кибербезопасности
- Расчет SLA
IT-сервисов на основе RTO и организация мониторинга признаков сбоев и отказов, ожидаемых по результатам BIA - Подготовка комплекса измеримых метрик и KPI для анализа отклонения процесса от целевых показателей
- Разработка регламентирующих и методологических документов, определяющих систему процессов и процедур по управлению непрерывностью бизнеса
-
Внедрение и поддержка процесса
- Внедрение и оптимизация DRP-/BCP-процедур, а также сценариев реагирования и ликвидации последствий
- Подготовка планов тестирования DRP-/BCP-процедур и сценариев проведения учений
- Оценка метрик и KPI, анализ эффективности, разработка рекомендаций по совершенствованию
- Регулярный пересмотр результатов BIA, актуализация ПОН, совершенствование внутренней нормативной документации и т. п.
Совершенствование системы менеджмента информационной безопасностью (СМИБ) и переход на ISO/IEC 27001:2022
Подключимся к решению спектра задач: улучшим системы управления кибербезопасностью; внедрим новые контроли непрерывности и безопасности, учитывая изменения в деятельности компании; проведем переход на требования новой версии ISO/IEC 27001:2022 и двухуровневую методологию управления рисками в соответствии с новым ISO/IEC 27005:2022
Что вы получаете
-
Актуализацию СМИБ в соответствии с изменениями в деятельности организации
-
Новые меры защиты и практики безопасности согласно ISO/IEC 27001:2022
-
Усовершенствованную методологию оценки рисков кибербезопасности и обновленную карту угроз
-
Оптимизированные процессы кибербезопасности, детализированные метрики и внутреннюю нормативную документацию
Этапы работы
-
Обследование
- Определение бизнес-целей и целевых требований, GAP-анализ несоответствия требованиям
- Изучение результатов аудитов, технических проверок, расследований инцидентов, замечаний, предложений и рекомендаций
- Анализ метрик и отклонений от ключевых показателей достижения целей в управлении кибербезопасностью
-
Совершенствование мер и процессов в управлении кибербезопасностью
- Подготовка регламентирующих материалов по недостаточным мерам обеспечения информационной безопасности и по целям их применения
- Пересмотр внутренних нормативных документов по следующим процессам: управление рисками, инцидентами и непрерывностью кибербезопасности; аудиты и несоответствия; оценка результативности; анализ отклонений от целевых оценок метрик и показателей эффективности процессов с учетом выявленных задач
- Анализ и совершенствование методологии управления рисками с учетом выявленных недостатков, а также рекомендаций ISO/IEC 27005:2022
- Пересмотр оценки рисков нарушения кибербезопасности
- Пересмотр планов обработки рисков, а также обеспечения непрерывности с применением новых мер и контролей кибербезопасности
- Доработка отдельных политик и процедур для реализации мер кибербезопасности
Верификация недопустимых событий (НС) и проведение киберучений
Определим реестр НС на основе подхода BIA. Выясним, как они могут реализоваться из-за нарушений в защите внешнего периметра, отказов внутренних систем и сбоев техпроцессов. А также проверим готовность сотрудников к внештатным ситуациям
Что вы получаете
-
Реестр недопустимых событий на уровне организации, общества и государства
-
Проверку, возможна ли реализация НС (проводится совместно с командой пентестеров)
-
Комплект документации по форме Минцифры: аналитический и технический отчеты
-
Подтверждение, что организация защищена от последствий НС из-за нарушений кибербезопасности
-
Рекомендации, как улучшить защищенность внешнего периметра и киберустойчивость компании
Этапы работы
-
Обследование
- Сбор первичных сведений об основных видах деятельности и стратегических целях организации
- Изучение основных бизнес-процессов, ключевых технологий и технологических цепочек операций
- Анализ факторов влияния на стратегические цели и интересы организации
-
Анализ негативных последствий
- Определение перечня недопустимых стратегических последствий методом BIA
- Анализ возможных сбоев и условий критичных нарушений техпроцессов, приводящих к реализации недопустимых последствий
-
Определение перечня НС
- Определение целевых систем и активов, нарушение свойств безопасности которых может привести к недопустимым последствиям
- Анализ угроз нарушения безопасности и критериев воздействия на целевые системы и активы
- Формирование реестра НС
-
Верификация НС
- Техническая проверка возможности реализации НС в результате нарушений защищенности внешнего периметра
- Подготовка рекомендаций и отчетной документации по форме Минцифры
-
Киберучения по непрерывности
- Подготовка сценариев проверки планов реагирования в случае реализации НС
- Проверка и отработка готовности к обнаружению признаков НС, своевременному реагированию и ликвидации недопустимых последствий
- Подготовка рекомендаций по улучшению мер выявления и планов реагирования в случаях НС
Повышение зрелости кибербезопасности
Сквозное повышение зрелости принципов, политик и ключевых мер для обеспечения кибербезопасности, а также системы процессов управления ею. Цель — минимизировать бизнес-последствия, выявленные при проведении BIA, внедрить подход «BIA — риски — инциденты»
Что вы получаете
-
Интегрированную систему сквозного управления активами, рисками, уязвимостями и инцидентами в IT и кибербезопасности. Будут учтены возможные негативные последствия
-
Перечень сценариев, которые описывают ситуации с существенными бизнес-последствиями из-за нарушений безопасности и непрерывности основных бизнес-процессов
-
План мер, которые помогут снизить ущерб бизнес-деятельности из-за сбоев в IT-инфраструктуре и инцидентов кибербезопасности
-
Показатели достижения целей, позволяющих минимизировать ущерб из-за нарушений безопасности и непрерывности основной деятельности организации
Этапы работы
-
Планирование
- Уточнение бизнес-целей и задач, необходимых для обеспечения безопасности и непрерывности основной деятельности
-
BIA и анализ рисков нарушения кибербезопасности
- Разработка шкалы сквозной классификации уровня критичности возможных негативных последствий
- Выявление сценариев воздействий на активы бизнес-процессов и ранжирование последствий по критичности ущерба бизнесу
- Оценка рисков в реализации значимых и критичных для бизнеса сценариев с нарушением безопасности активов бизнес-процессов
-
Снижение простоев
- Ранжирование простоев по критичности негативных последствий
- Расчет требований к процессам и активам для обеспечения непрерывности бизнеса
- Определение целевого времени реагирования на инциденты и восстановления штатного режима деятельности
- Подготовка решений для резервирования и восстановления активов в целевые сроки
-
Митигация рисков и последствий
- Выбор мер защиты бизнес-активов в зависимости от уровня возможного ущерба
- Организация мониторинга ранних признаков воздействий на целевые системы и активы
- Оптимизация сценариев реагирования на значимые для бизнеса инциденты кибербезопасности и IT в целевые сроки
- Подготовка аварийных режимов работы в нештатных ситуациях
-
Совершенствование процессов и метрик управления
- Внедрение единой шкалы критичности ущерба в процессы управления активами, доступом к ним, рисками, уязвимостями, инцидентами кибербезопасности и IT, а также непрерывностью деятельности
- Пересмотр политик процессов и мер с учетом актуальных рисков
- Доработка процессов управления безопасностью и непрерывностью деятельности
- Разработка метрик для процессов и показателей, отражающих прогресс в снижении ущерба бизнесу
- Внедрение практик, позволяющих извлекать уроки и анализировать отклонения от целей управления
Преимущества
Гарантируем профессионализм
Компетенции нашей команды признаны на международном уровне, а также подтверждены сертификатами ISO 31000:2018, ISO 31000:2018, ISO 27001:2013, ISO 27001:2022, ISO 27017:2015, ISO 27018:2014, ISO 27701:2019, ISO 22301:2019
Выполняем работы в полном объеме
Обеспечим соответствие требованиям регуляторов и головной организации при минимальных издержках. Работаем с компаниями любого масштаба. Сопровождение и оперативный отклик 24/7. Качество услуг подтверждено сертификатами ISM 27001 и 9001
Решаем задачи любой сложности
Успешно выполняем нестандартные проекты, в том числе на основе уже внедренных решений. Наши специалисты имеют опыт аудита и построения СМИБ для крупных децентрализованных компаний с широкой филиальной сетью в России и в мире
Есть все лицензии
Обладаем полным набором лицензий ФСТЭК и ФСБ в области защиты информации
Задайте вопросы экспертам и узнайте стоимость услуг
Вам также может подойти
Руководства и исследования
Октябрь 2023 г.
Руководство по защите репутации компании. Рассказываем, как с помощью анализа воздействия на бизнес оценить риски и сохранить имидж при киберинциденте
- Почему защита репутации важна для успешного бизнеса
- Какие киберинциденты могут навредить репутации бренда
- Как анализ воздействия на бизнес поможет оценить и снизить репутационный ущерб
- Как отрабатывать инциденты, угрожающие репутации: инструкции и чек‑лист для PR‑службы
Июль 2023 г.
Межотраслевое исследование по трем направлениям, связанным со стабильностью IT‑инфраструктуры:
Содержание
- Управление непрерывностью бизнеса
- Управление инцидентами
- Управление событиями безопасности
В каждом разделе даем рекомендации: как развивать кибербезопасность и обеспечить бесперебойные процессы
Апрель 2023 г.
Практическое руководство по анализу воздействия на бизнес и контролю над негативными сценариями. Все, что нужно знать, чтобы защитить компанию от неожиданных угроз: как спрогнозировать риски, взять под наблюдение критические участки и застраховаться от убытков
- Business impact analysis. Как подготовить компанию к возможным негативным событиям
- Управление киберрисками. Как определить главные угрозы для компании
- Импортозамещение без остановки процессов
- Осведомленность. Как снизить влияние человеческого фактора на кибербезопасность
- Мониторинг. Как быстрая реакция на события безопасности помогает отражать кибератаки
- Страхование киберрисков. Как извлечь пользу и выбрать подходящие условия
Май 2022 г.
Гайд, который поможет быстро разобраться в управлении непрерывностью бизнеса и объяснит, какую роль в этом играет кибербезопасность
- Что такое BCM и зачем его внедрять
- 7 шагов к внедрению BCM
- Чек-лист
Руководство по построению зрелой системы реагирования на киберинциденты и обеспечению непрерывности процессов. Материал будет полезен IT‑директорам, руководителям по цифровой трансформации, а также техническим специалистам по кибербезопасности
- Угрозы и возможности для бизнеса в цифровую эпоху
- Непрерывность бизнеса при цифровой трансформации
- Реагирование на киберинциденты как защита непрерывности бизнеса
Публикации
