Управление рисками кибербезопасности и непрерывностью бизнеса

Управление рисками кибербезопасности и непрерывностью бизнеса

Повысим киберзрелость компании, а также минимизируем возможный ущерб бизнес-деятельности, применяя BIA и рискориентированный подход
Об услугах
Материалы
Назначение
Помогаем организациям выстроить управление технологиями и процессами, необходимыми для кибербезопасности и непрерывности бизнеса. Направление включает шесть услуг, которые позволяют минимизировать возможные негативные последствия для вашей компании.
В работе мы применяем подход «BIA — риски — инциденты»: наши эксперты детально прорабатывают потребности бизнес‑подразделений и создают уникальные решения. Для этого используем три основные методологии: минимизацию рисков и последствий (ISO 31000), непрерывность технологических процессов (ISO 22300) и безопасность обработки данных в цифровых системах (ISO/IEC 27000)
Услуги в направлении
Построение систем менеджмента информационной безопасности (СМИБ) и непрерывности бизнеса (СМНБ)
Помогаем привести системы к соответствию требованиям ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701 или ISO 22301, а также подготовиться к сертификации по ним. Проводим полный цикл работ — от GAP-анализа до сопровождения и поддержки
Что вы получаете
  • Риск-ориентированную систему менеджмента в соответствии с международными стандартами
  • Подтверждение для клиентов и заинтересованных сторон, что в компании организовано управление безопасностью и непрерывностью бизнес-процессов
  • Механизм для проверки результативности, а также поддержания безопасности и непрерывности бизнеса в актуальном состоянии
Этапы работы
  1. Обследование
    • Изучение существующей системы обеспечения безопасности и непрерывности (GAP-анализ)
    • Анализ контекста деятельности, целей и основных бизнес-процессов компании
    • Определение области действия системы менеджмента
  2. Разработка и внедрение
    • Анализ возможных рисков, сбоев, нарушений и их последствий
    • Разработка (или совершенствование) процессов управления и нормативно-методической документации
    • Внедрение (или модернизация) необходимых мер для обеспечения безопасности и непрерывности бизнеса
  3. Проверка и коррекция
    • Проведение внутреннего аудита
    • Тестирования и учения
    • Анализ и улучшение системы менеджмента
  4. Поддержка и совершенствование
    • Сопровождение на сертификационном аудите
    • Годовая поддержка и сопровождение процессов после внедрения или сертификации
Управление рисками, мерами и инцидентами кибербезопасности
Детально прорабатываем и реализуем отдельные процессы управления кибербезопасностью в соответствии с принципами PDCA, риск-ориентированным подходом и стратегическими целями компании — от политик и методик до метрик и конечных планов
Что вы получаете
  • Контролируемый и управляемый процесс, учитывающий риски
  • Документированные верхнеуровневые политики
  • Инструкции для исполнителей, соответствующие реальным процессам
  • Полный перечень метрик для анализа эффективности процессов по кибербезопасности
Этапы работы
  1. Планирование процессов управления кибербезопасностью
    • Формализация целей, потребностей, требований и ожиданий
    • Обследование состояния мер, процедур и неформализованных практик
    • Определение текущих и целевых задач
    • Формирование индивидуального плана работ
  2. Построение процессов
    • Разработка общей схемы, ролевой модели и принципиальной политики процессов управления
    • Детализация процедур и отдельных операций по процессам, интеграция со смежными процессами, процедурами и активностями
    • Разработка комплекса метрик для оценки результативности и анализа отклонений
    • Учет верхнеуровневых документов по процессам с учетом внутренней культуры компании
    • Разработка инструкций и регламентов: по процедурам, операциям, а также управляемым мерам и мероприятиям
  3. Внедрение процессов
    • Инструктаж сотрудников по ролям, задачам и действиям
    • Совместное выполнение и супервайзинг пошаговых операций по процессам
    • Консультации с учетом целей управления: по сбору и расчету метрик, а также анализу эффективности процессов кибербезопасности
    • Контроль подготовки и оформления необходимых отчетных материалов и документов
  4. Поддержка реализации задач
    • Проведение трудоемких работ: оценки рисков, расследования инцидентов и т. п.
    • Разработка планов: обработки рисков, реагирования на инциденты и т. п.
    • Подготовка отчетов, материалов и документов
    • Оценка метрик и показателей эффективности процессов, разработка рекомендаций для совершенствования кибербезопасности
Управление непрерывностью бизнеса
Возьмем под контроль все этапы: от расчета требований бизнеса к отказоустойчивости информационных систем (RTO, RPO и т. п. в соответствии с ISO/IEC 27031) до внедрения процесса управления непрерывностью деятельности в соответствии с ISO 22301
Что вы получаете
  • Ущерб-ориентированную систему оценки негативных последствий и рисков, учитывающую бизнес-цели и стратегические приоритеты компании
  • Карту возможных сбоев и нарушений в технических процессах с ранжированием по уровню потенциального ущерба
  • Реестр критичных продуктов и услуг, бизнес-процессов, технологических операций и активов
  • Требования и процедуры для обеспечения непрерывности, позволяющие минимизировать ущерб от сбоев и простоев
  • Процесс управления непрерывностью с измеримыми показателями для достижения целей бизнеса
Этапы работы
  1. Обследование
    • Анализ основных и поддерживающих бизнес-процессов, выявление используемых активов
    • Изучение текущего состояния мер, процедур и неформализованных практик непрерывности
  2. Проведение BIA
    • Инвентаризация активов и ресурсов, вовлеченных в основную деятельность компании
    • Составление шкалы оценки негативных последствий
    • Определение критичности ущерба в результате сбоев и нарушений деятельности
  3. Разработка плана обеспечения непрерывности (ПОН)
    • Выявление целевых параметров обеспечения непрерывности (RTO, RPO и т. п.)
    • Проработка и формирование ПОН с учетом RTO/RPO: как работать, если произошел сбой (BCP), и как восстанавливать IT-системы (DRP)
    • Подготовка внедрения ПОН, проверка планов DRP/BCP (тестирования и учений)
  4. Построение процесса управления непрерывностью
    • Разработка общей схемы и ролевой модели основного процесса управления непрерывностью, а также интеграция со смежными процессами IT и кибербезопасности
    • Расчет SLA IT-сервисов на основе RTO и организация мониторинга признаков сбоев и отказов, ожидаемых по результатам BIA
    • Подготовка комплекса измеримых метрик и KPI для анализа отклонения процесса от целевых показателей
    • Разработка регламентирующих и методологических документов, определяющих систему процессов и процедур по управлению непрерывностью бизнеса
  5. Внедрение и поддержка процесса
    • Внедрение и оптимизация DRP-/BCP-процедур, а также сценариев реагирования и ликвидации последствий
    • Подготовка планов тестирования DRP-/BCP-процедур и сценариев проведения учений
    • Оценка метрик и KPI, анализ эффективности, разработка рекомендаций по совершенствованию
    • Регулярный пересмотр результатов BIA, актуализация ПОН, совершенствование внутренней нормативной документации и т. п.
Совершенствование системы менеджмента информационной безопасностью (СМИБ) и переход на ISO/IEC 27001:2022
Подключимся к решению спектра задач: улучшим системы управления кибербезопасностью; внедрим новые контроли непрерывности и безопасности, учитывая изменения в деятельности компании; проведем переход на требования новой версии ISO/IEC 27001:2022 и двухуровневую методологию управления рисками в соответствии с новым ISO/IEC 27005:2022
Что вы получаете
  • Актуализацию СМИБ в соответствии с изменениями в деятельности организации
  • Новые меры защиты и практики безопасности согласно ISO/IEC 27001:2022
  • Усовершенствованную методологию оценки рисков кибербезопасности и обновленную карту угроз
  • Оптимизированные процессы кибербезопасности, детализированные метрики и внутреннюю нормативную документацию
Этапы работы
  1. Обследование
    • Определение бизнес-целей и целевых требований, GAP-анализ несоответствия требованиям
    • Изучение результатов аудитов, технических проверок, расследований инцидентов, замечаний, предложений и рекомендаций
    • Анализ метрик и отклонений от ключевых показателей достижения целей в управлении кибербезопасностью
  2. Совершенствование мер и процессов в управлении кибербезопасностью
    • Подготовка регламентирующих материалов по недостаточным мерам обеспечения информационной безопасности и по целям их применения
    • Пересмотр внутренних нормативных документов по следующим процессам: управление рисками, инцидентами и непрерывностью кибербезопасности; аудиты и несоответствия; оценка результативности; анализ отклонений от целевых оценок метрик и показателей эффективности процессов с учетом выявленных задач
    • Анализ и совершенствование методологии управления рисками с учетом выявленных недостатков, а также рекомендаций ISO/IEC 27005:2022
    • Пересмотр оценки рисков нарушения кибербезопасности
    • Пересмотр планов обработки рисков, а также обеспечения непрерывности с применением новых мер и контролей кибербезопасности
    • Доработка отдельных политик и процедур для реализации мер кибербезопасности
Верификация недопустимых событий (НС) и проведение киберучений
Определим реестр НС на основе подхода BIA. Выясним, как они могут реализоваться из-за нарушений в защите внешнего периметра, отказов внутренних систем и сбоев техпроцессов. А также проверим готовность сотрудников к внештатным ситуациям
Что вы получаете
  • Реестр недопустимых событий на уровне организации, общества и государства
  • Проверку, возможна ли реализация НС (проводится совместно с командой пентестеров)
  • Комплект документации по форме Минцифры: аналитический и технический отчеты
  • Подтверждение, что организация защищена от последствий НС из-за нарушений кибербезопасности
  • Рекомендации, как улучшить защищенность внешнего периметра и киберустойчивость компании
Этапы работы
  1. Обследование
    • Сбор первичных сведений об основных видах деятельности и стратегических целях организации
    • Изучение основных бизнес-процессов, ключевых технологий и технологических цепочек операций
    • Анализ факторов влияния на стратегические цели и интересы организации
  2. Анализ негативных последствий
    • Определение перечня недопустимых стратегических последствий методом BIA
    • Анализ возможных сбоев и условий критичных нарушений техпроцессов, приводящих к реализации недопустимых последствий
  3. Определение перечня НС
    • Определение целевых систем и активов, нарушение свойств безопасности которых может привести к недопустимым последствиям
    • Анализ угроз нарушения безопасности и критериев воздействия на целевые системы и активы
    • Формирование реестра НС
  4. Верификация НС
    • Техническая проверка возможности реализации НС в результате нарушений защищенности внешнего периметра
    • Подготовка рекомендаций и отчетной документации по форме Минцифры
  5. Киберучения по непрерывности
    • Подготовка сценариев проверки планов реагирования в случае реализации НС
    • Проверка и отработка готовности к обнаружению признаков НС, своевременному реагированию и ликвидации недопустимых последствий
    • Подготовка рекомендаций по улучшению мер выявления и планов реагирования в случаях НС
Повышение зрелости кибербезопасности
Сквозное повышение зрелости принципов, политик и ключевых мер для обеспечения кибербезопасности, а также системы процессов управления ею. Цель — минимизировать бизнес-последствия, выявленные при проведении BIA, внедрить подход «BIA — риски — инциденты»
Что вы получаете
  • Интегрированную систему сквозного управления активами, рисками, уязвимостями и инцидентами в IT и кибербезопасности. Будут учтены возможные негативные последствия
  • Перечень сценариев, которые описывают ситуации с существенными бизнес-последствиями из-за нарушений безопасности и непрерывности основных бизнес-процессов
  • План мер, которые помогут снизить ущерб бизнес-деятельности из-за сбоев в IT-инфраструктуре и инцидентов кибербезопасности
  • Показатели достижения целей, позволяющих минимизировать ущерб из-за нарушений безопасности и непрерывности основной деятельности организации
Этапы работы
  1. Планирование
    • Уточнение бизнес-целей и задач, необходимых для обеспечения безопасности и непрерывности основной деятельности
  2. BIA и анализ рисков нарушения кибербезопасности
    • Разработка шкалы сквозной классификации уровня критичности возможных негативных последствий
    • Выявление сценариев воздействий на активы бизнес-процессов и ранжирование последствий по критичности ущерба бизнесу
    • Оценка рисков в реализации значимых и критичных для бизнеса сценариев с нарушением безопасности активов бизнес-процессов
  3. Снижение простоев
    • Ранжирование простоев по критичности негативных последствий
    • Расчет требований к процессам и активам для обеспечения непрерывности бизнеса
    • Определение целевого времени реагирования на инциденты и восстановления штатного режима деятельности
    • Подготовка решений для резервирования и восстановления активов в целевые сроки
  4. Митигация рисков и последствий
    • Выбор мер защиты бизнес-активов в зависимости от уровня возможного ущерба
    • Организация мониторинга ранних признаков воздействий на целевые системы и активы
    • Оптимизация сценариев реагирования на значимые для бизнеса инциденты кибербезопасности и IT в целевые сроки
    • Подготовка аварийных режимов работы в нештатных ситуациях
  5. Совершенствование процессов и метрик управления
    • Внедрение единой шкалы критичности ущерба в процессы управления активами, доступом к ним, рисками, уязвимостями, инцидентами кибербезопасности и IT, а также непрерывностью деятельности
    • Пересмотр политик процессов и мер с учетом актуальных рисков
    • Доработка процессов управления безопасностью и непрерывностью деятельности
    • Разработка метрик для процессов и показателей, отражающих прогресс в снижении ущерба бизнесу
    • Внедрение практик, позволяющих извлекать уроки и анализировать отклонения от целей управления
@media screen and (max-width: 440px) { .v-tabs__head-controls { display: flex; flex-direction: column; } .tabs__tablist { font-family: Normalidad; font-size: 12px; font-style: normal; font-weight: 400; line-height: 14px; margin-bottom: 8px; margin-right: 0; } } .toggleBox__head { padding-top: 4px; padding-bottom: 14px; } .toggleBox__title { flex: none; } .toggleBox__button { margin-left: 8px; border: none; } @media screen and (max-width: 560px) { .stepList__content, .toggleBox__title {flex: 1 1;} } @media screen and (max-width: 360px) { .toggleBox__title .fs-h5 {font-size: 18px; line-height: 24px;} }
.banner-4__content { width: 50%; } .banner-4__image img { object-position: center; } @media screen and (max-width: 1024px) { .banner-4 { justify-content: flex-start; } .banner-4__content { width: 100%; } }
Преимущества
Гарантируем профессионализм

Компетенции нашей команды признаны на международном уровне, а также подтверждены сертификатами ISO 31000:2018, ISO 31000:2018, ISO 27001:2013, ISO 27001:2022, ISO 27017:2015, ISO 27018:2014, ISO 27701:2019, ISO 22301:2019

Выполняем работы в полном объеме

Обеспечим соответствие требованиям регуляторов и головной организации при минимальных издержках. Работаем с компаниями любого масштаба. Сопровождение и оперативный отклик 24/7. Качество услуг подтверждено сертификатами ISM 27001 и 9001

Решаем задачи любой сложности

Успешно выполняем нестандартные проекты, в том числе на основе уже внедренных решений. Наши специалисты имеют опыт аудита и построения СМИБ для крупных децентрализованных компаний с широкой филиальной сетью в России и в мире

Есть все лицензии

Обладаем полным набором лицензий ФСТЭК и ФСБ в области защиты информации

Задайте вопросы экспертам и узнайте стоимость услуг

Руководства и исследования
Публикации

Документация

Условия приобретения PDF Скачать