Кибербезопасность

Ваша уверенность в завтрашнем дне

Как система информационной безопасности помогает достичь поставленных бизнес-целей?

В настоящее время компании испытывают постоянно растущее давление, связанное с необходимостью соответствовать требованиям регулирующих органов, поддерживать высокий уровень операционной эффективности и стабильность бизнеса, а также увеличивать акционерную привлекательность компании. В условиях чрезвычайно конкурентной среды компании больше не могут позволить себе заниматься информационной безопасностью эпизодически.

Чтобы обеспечить сохранность и защиту интеллектуальной собственности, конфиденциальной клиентской информации и другой информации, имеющей критически важное значение для ведения бизнеса, необходимо иметь комплексную стратегию в сфере безопасности, которая была бы тесно увязана с целями и задачами бизнеса.

Наши специалисты группы консультационных услуг по анализу и контролю рисков опираются в своей работе на международные и национальные стандарты в сфере информационной безопасности (ISO/IEC 27001:2005, PCI DSS, СТО БР ИББС и др.), а также на собственную методологию оценки систем информационной безопасности под названием SecurityATLAS™, созданную с учетом обширного опыта реализации проектов для различных клиентов. Мы используем эту методологию для разработки стратегии обеспечения информационной безопасности в масштабах всей компании, доведения ее основных целей и задач до сведения всех заинтересованных сторон, а также для оказания содействия компаниям в реализации этой стратегии в 11 функциональных областях и в обеспечении устойчивости достигнутых результатов.

loading-player

Playback of this video is not currently available

  
Специалисты PwC могут оказать содействие компаниям в решении задач в следующих важнейших областях:

Управление безопасностью

Управление безопасностью включает в себя мероприятия, направленные на обеспечение общей безопасности и решение задач, стоящих перед организацией. Управление безопасностью распространяется на все проекты и мероприятия, которыми занимаются сотрудники, ответственные за обеспечения безопасности на уровне политик и руководства.

Пример проекта: по мере развития ИТ-услуг и ИТ-инфраструктуры Компании возникают риски, связанные с обеспечением информационной безопасности. Если Компания хочет построить систему управления информационной безопасностью или оценить результативность и эффективность реализуемых мероприятий, мы можем оказать следующие услуги:

  • Управление знаниями;
  • Управление персоналом;
  • Управление портфелем проектов;
  • Управление безопасностью в масштабах предприятия;
  • Упрвление отношениями с третьими сторонами;
  • Управление рисками;
  • Информационное взаимодействие.

В результате Вы получаете: минимизация актуальных рисков в сфере информационной безопасности, с которыми Компания сталкивается в ходе своей деятельности, и создание эффективной системы управления информационной безопасностью.

View more

Вопросы информационной безопасности: осведомленность и обучение сотрудников

Cпециализированная команда консультантов PwC занимается вопросами повышения осведомленности и обучения сотрудников компаний в области информационной безопасности. Наши специалисты помогают сотрудникам клиента осознать важность обеспечения корпоративной безопасности во всех подразделениях и обучают их (на любом уровне организационной структуры), как обеспечить сохранность информационных и физических активов компании.

Пример проекта: в настоящее время компании признают, что «человеческий фактор» является основной причиной возникновения инцидентов информационной безопасности. Чтобы не допустить их, необходимо иметь глубокие знания и навыки по использованию как уже существующих, так и новых средств информационной безопасности.

Мы оказываем следующие услуги:

  • Процедуры и программы повышения осведомленности;
  • Программы обучения, по окончании которых при успешной сдаче экзаменов выдается сертификат (диплом) и присваивается квалификация;
  • Стратегия информационного взаимодействия.

В результате Вы получаете: минимизация рисков возникновения инцидентов, связанных с «человеческим фактором», и повышение эффективности управления информационной безопасностью.

View more

Управление угрозами и уязвимостями

Специализированная группа консультантов PwC предоставляет услуги по управлению угрозами и уязвимостями и оказывает содействие компаниям в решении важнейшей задачи – обеспечить защиту предприятия. В связи с постоянным расширением сетевой инфраструктуры растут риски безопасности. Деятельность команды PwC включает широкий спектр мероприятий: от установки традиционных сетевых экранов и внедрения механизмов защиты рабочих станций до построения систем по управлению рисками.

Пример проекта: классическая ситуация – Компания не знает о том, что на ее критически важные ресурсы готовится атака или что они уже подвергаются атаке.

Мы оказываем следующие услуги:

  • Мониторинг вторжений;
  • Обнаружение зловредных программ;
  • Управление информационной безопасностью;
  • Управление угрозами;
  • Управление уязвимостями;
  • Реагирование на инциденты;
  • Управление активами.

В результате Вы получаете: снижение риска возникновения серьёзных инцидентов информационной безопасности и повышение эффективности контроля за сохранностью и безопасностью критически важных информационных ресурсов.

View more

Архитектура информационной безопасности

Архитектура информационной безопасности содержит описание всех аспектов системы, связанных с безопасностью, включая основные принципы, которыми необходимо руководствоваться при ее проектировании.

Пример проекта: наличие в Компании антивирусной программы и установленного «где-то» сетевого экрана не означает, что все риски информационной безопасности находятся под эффективным контролем.

Мы предлагаем следующие услуги:

  • Анализ и приоритизация требований Компании;
  • Эталонная архитектура информационной безопасности;
  • Общая инфраструктура сервисов безопасности;
  • Методология внедрения мер по обеспечению безопасности или анализ кода и жизненного цикла разработки программного обеспечения (SDLC).

В результате Вы получаете: снижение рисков информационной безопасности, относящихся к ИТ-инфраструктуре компании; комплексное управление рисками информационной безопасности.

View more

Соблюдение законодательных требований и политик Компании

Специализированная группа специалистов PwC, предоставляющая консультационные услуги по вопросам соблюдения нормативно-правовых требований и положений внутренней политики, помогает компаниям в решении задач, связанных с обеспечением соответствия требованиям законодательных и нормативных документов и внутренними регламентами. К основным законодательным и нормативным документам, требования которых компании должны знать, относятся:

  • Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон N 161-ФЗ «О национальной платежной системе»;
  • Стандарт Центрального Банка Российской Федерации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»;
  • Стандарт безопасности данных индустрии платежных карт (PCI DSS) и стандарт безопасности данных платежных приложений (PA DSS);
  • Закон о неразрывности медицинского страхования и конфиденциальности медицинской информации (HIPAA);
  • Закон Грэма – Лича – Блили (GLBA);
  • Закон Сарбейнса – Оксли;
  • и др.

Пример проекта: Компании необходимо представить деловым партнерам веское доказательство зрелости ее системы информационной безопасности или в Компании возникла необходимость соблюдения требований нормативных документов.

Мы оказываем следующие услуги:

  • Мониторинг соблюдения требований регуляторов;
  • Управление внутренними регламентами и стандартами;
  • Соблюдение требований внутренних регламентов и стандартов.

В результате Вы получаете: своевременная готовность к проведению необходимой сертификации с учетом бизнес-целей и задач.

View more

Безопасность использования мобильных устройств

Предоставление сотрудникам доступа к корпоративным базам данных с использованием мобильных устройств создаёт как удобства, так и риски для бизнеса. Отсутствие эффективного решения по обеспечению безопасности может препятствовать использованию мобильных технологий а также привести к утрате важнейших данных и причинению ущерба репутации компании.

Пример проекта: деловые документы и деловая электронная переписка могут появляться на личных устройствах сотрудников, при этом существует риск потери или хищения мобильных устройств. Компанию это понимает и желает оценить риски, связанные с использованием личных устройств при работе с корпоративными данными.

Мы помогаем клиентам в решении следующих задач:

  • Анализ требований Компании при использовании мобильных устройств;
  • Разработка стратегии «Принеси на работу свое устройства» (BYOD) и процессов управления рисками при использовании личных устройств;
  • Управление рисками, связанными с использованием мобильных устройств.

В результате Вы получаете: снижение рисков, связанных с использованием мобильных устройств; повышение эффективности управления данными.

View more

Управление идентификационной информацией и доступом

Управление идентификационной информацией и доступом связано с управлением критически важной функцией предоставления доступа или отказа в доступе к оборудованию и данным компании. Эффективное управление доступом обеспечивает доступ авторизованных сотрудников и ограничивает доступ внешних лиц или неавторизованных сотрудников.

Пример проекта: руководство Компании не имеет четкого представления о том, кто имеет доступ к критически важной информации.

Мы оказываем следующие услуги:

  • Анализ процессов аутентификации и авторизации;
  • Управление пользователями и обеспечение предоставления или отзыва прав доступа к бизнес-ресурсам;
  • Хранение идентификационной информации и интеграция данных.

В результате Вы получаете: снижение рисков неавторизованного доступа к критически важной деловой информации.

View more

Конфиденциальность и защита данных

Наша специализированная команда по предоставлению консультационных услуг в области конфиденциальности и защиты данных помогает компаниям реализовать широкий спектр мероприятий, направленных на развитие возможностей по обеспечению информационной безопасности. Специалисты этой группы оказывают содействие организациям во внедрении надлежащих методов обработки персональных данных клиентов и сотрудников, включая сбор, использование и хранение таких данных, а также обмен ими.

Пример проекта: критически важная деловая информация и персональные данные распространяются внутри Компании и – вполне возможно – за ее пределами. Практически в любом месте, где появляется эта информация, ее можно подсмотреть, изменить и даже уничтожить.

Мы помогаем клиентам в решении следующих задач:

  • Сбор и хранение данных;
  • Подотчетность;
  • Уведомление;
  • Выбор и согласование;
  • Доступ субъекта к своим персональным данным;
  • Раскрытие данных третьим лицам;
  • Достоверность данных.

В результате Вы получаете: снижение риска раскрытия, неавторизованного изменения или уничтожения информации.

View more

Обеспечение физической безопасности

Группа консультантов PwC, специализирующаяся на услугах в области физической безопасности, занимается анализом функциональных возможностей и средств, необходимых для защиты оборудования, аппаратного обеспечения, а также сотрудников компании, задействованных в обеспечении информационной безопасности.

Пример проекта: отключения электроэнергии, пожар, размещение серверной комнаты в одном помещении со складом – все это типичные явления в сегодняшней жизни, что может привести к потере или хищению данных.

Мы оказываем следующие услуги:

  • Анализ состояния безопасности центра данных;
  • Политики, регламенты и стандарты;
  • Средства контроля доступа.

В результате Вы получаете: снижение рисков неавторизованного доступа и неожиданной потери корпоративной информации.

View more

Тестирование на проникновение систем защиты от несанкционированного доступа

Группа специалистов PwC по выполнению тестов на проникновение систем защиты от несанкционированного доступа выполняет тестирование сетевой инфраструктуры и приложений Компании, цель которого – выявить и проверить возможные уязвимости в критически важных компонентах инфраструктуры и бизнес-приложениях (как внутренних, так и общедоступных).

Пример проекта: киберпреступность стремительно развивается. Хакеры существует как внутри Компании, так и за ее пределами, поэтому риск взлома ее информационных ресурсов становится более чем реальным. На подобную деятельность способны также и вирусы.

Мы оказываем содействие клиентам в решении стоящих перед ними задач путем:

  • комплексного тестирования существующих систем защиты от несанкционированного доступа к инфраструктуре;
  • разработки и проведения процедур тестирования безопасности Интернет-сайта;
  • применения подхода тестирования по принципу «черного ящика» и «белого ящика»;
  • подготовки рекомендаций по устранению выявленных уязвимых мест в системе безопасности.

В результате Вы получаете: ликвидация слабых мест в ИТ-инфраструктуре позволяет уменьшить риски потери или хищения информации.

View more

Центры мониторинга и реагирования на инциденты информационной безопасности (SOC)

На фоне роста и развития киберугроз крайне важно, чтобы компании повышали эффективность защитных мер, с максимальной выгодой использовали новые технологические решения и быстро реагировали на возникающие киберугрозы. С целью повышения уровня киберустойчивости многие компании создают внутри своих организаций центры мониторинга и реагирования на инциденты информационной безопасности (Security Operations Center, или SOC), которые с помощью набора технологий, процессов и обученного персонала непрерывно отслеживают инциденты информационной безопасности и реагируют на них надлежащим образом. 

Пример проекта 

Компания заинтересована в наличии самостоятельного подразделения SOC. Для этого необходимо разработать стратегию создания SOC, в рамках которой надо рассчитать оптимальное количество персонала, определить целевую техническую архитектуру, выделить ключевые проекты по развитию направления SOC, провести их финансовую оценку и разработать дорожную карту их реализации. Помимо этого, в компании требуется внедрить эффективные процессы по непрерывном мониторингу и реагированию на киберугрозы, соответствующие передовому мировому опыту, и обучить существующий персонал.

Наша команда специалистов имеет многолетний опыт работы в крупных российских и международных компаниях по созданию и развитию современных SOC. В рамках данного направления мы оказываем следующие услуги:

•       финансовая оценка и подготовка бизнес-кейсов по созданию SOC;

•        разработка стратегии создания SOC и составление бюджета для ее реализации;

•        оценка зрелости технологий, процессов и персонала SOC по внутренней методике PwC SOCCER;

•        определение оптимальной организационной структуры подразделения SOC;

•       внедрение метрик и KPI подразделения SOC. Визуализация отчетности для руководства и технических специалистов;

•       оценка работы используемых технических средств (Health Check);

•       проектирование целевой верхнеуровневой технической архитектуры средств защиты информации SOC;

•       составление рекомендаций по внедрению сценариев выявления инцидентов информационной безопасности (UseCase) под актуальные риски и угрозы компании;

•        описание и внедрение ключевых процессов SOC;

•        описание ролей, обязанностей и необходимых навыков для различных функций сотрудников SOC;

•        сравнение различных вариантов реализации SOC (внутреннее подразделение или приобретение услуг MSSP-провайдеров).

В результате вы получаете: минимизацию актуальных рисков и повышение эффективности управления информационной безопасностью за счет развития направления SOC, ориентированного на своевременное выявление и реагирование на инциденты, а также на сбалансированное применение кадровых и технологических ресурсов.

View more

Программа обеспечения безопасности членов платежной системы SWIFT

В 2016 году многие члены сообщества платежной системы SWIFT (пользователи) пострадали в результате кибератак и несанкционированных проникновений. Несмотря на то что пользователи SWIFT по-прежнему несут основную ответственность за защиту своей информационной инфраструктуры, цель SWIFT — поддержать своих пользователей в борьбе против кибератак. В связи с этим специалисты SWIFT определили 16 обязательных и 11 рекомендуемых мер снижения рисков информационной безопасности для своих 11 000 пользователей.

Узнать подробнее о SWIFT

Как российским компаниям подготовиться к вступлению в силу новых правил GDPR?

24 мая 2016 года в ЕС вступили в силу новые правила защиты персональных данных (GDPR). Все компании, которые обрабатывают (как внутри, так и за пределами ЕС) персональные данные граждан европейских стран, обязаны соблюдать требования этого документа. Сфера действия новых правил GDPR распространяется на все 28 стран ЕС. Этот документ заменит существующие законы о защите персональных данных в европейских странах. 

Узнать подробнее о GDPR

PwC Game of Threats™ Имитация киберугроз

Game of Threats™ – интерактивная игра, дающая возможность стать участником имитированной кибератаки, которая могла бы произойти в реальной жизни. Она позволяет руководителям компаний лучше понять, какие меры необходимо принять для защиты своих организаций. Игровая среда создает реалистичную ситуацию, когда обе команды (компания и атакующая сторона) должны оперативно и на основании минимального объема информации, ресурсов и времени принять решения, которые могут иметь серьезные последствия.

Узнать подробнее о Game of Threats™

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? ' ' : ' '}}
{{contentList.loadingText}}

Контакты

Роман Чаплыгин
Директор, отдел анализа и контроля рисков
Тел: +7 (495) 967 6056
E-mail

Алексей Окишев
Партнер, руководитель технологической практики
Тел: +7 (495) 967 6000
E-mail

Виталий Соколов
Партнер отдела анализа и контроля рисков, руководитель практики по оказанию услуг в области информационной безопасности
Тел: +7 (495) 967 6153
E-mail

Мы в социальных сетях