Кибербезопасность и конфиденциальность данных

Баланс безопасности, конфиденциальности и возможностей – залог смелого движения вперед

Мы не просто защищаем бизнес. Мы создаем ценность, используя механизмы обеспечения кибербезопасности для укрепления доверия к цифровым технологиям в современном мире данных.

Переход к цифровым бизнес-процессам многократно увеличивает объемы данных, генерируемых организациями, их партнерами и клиентами. Информация стала очень важным элементом современной интегрированной экосистемы бизнеса, и ее ценность для организаций – как и для злоумышленников – постоянно растет. Цифровизация бизнеса сделала компании уязвимыми перед новыми угрозами, что, разумеется, способствует актуальности проблемы эффективного обеспечения кибербезопасности и конфиденциальности данных.

Международная команда специалистов PwC поможет вам увидеть полную картину

Мы предлагаем нашим клиентам уникальные услуги по таким направлениям, как:

  • Глубокое знание отрасли, технологий, законодательства и нюансов бизнеса для успешной разработки стратегии обеспечения кибербезопасности и конфиденциальности данных в рамках корпоративного плана развития вашего бизнеса.
  • Принцип «От разработки стратегии до ее реализации», на протяжении более чем 20 лет помогающий нашим клиентам провести стратегическую оценку, разработать, внедрить и управлять программами обеспечения кибербезопасности и конфиденциальности данных.
  • Глобальное лидерство в области идей – более 3 300 экспертов с практическим опытом, свыше 60 лабораторий и центров операционной эффективности, а также отраслевые специалисты из Международного центра изучения киберугроз PwC помогут вам ознакомиться с самыми последними тенденциями.
  • Надежная база ведущих поставщиков решений и услуг в области обеспечения кибербезопасности и конфиденциальности данных.
  • Комплексный подход к решению проблемы силами кросс-функциональной команды специалистов по цифровой трансформации, управлению персоналом и организационной структурой, обеспечению устойчивости бизнеса, из области форензики, а также с помощью клиентоориентированной бизнес-модели.
  • Сконцентрированная работа, направленная на получение конкретных результатов по каждому проекту, способствующая достижению ваших стратегических целей, будь то развитие цифровых технологий, оптимизация управления рисками, гибкое реагирование и прочее.

  
Специалисты PwC могут оказать содействие компаниям в решении задач в следующих важнейших областях:

Управление безопасностью

Управление безопасностью включает в себя мероприятия, направленные на обеспечение общей безопасности и решение задач, стоящих перед организацией. Управление безопасностью распространяется на все проекты и мероприятия, которыми занимаются сотрудники, ответственные за обеспечения безопасности на уровне политик и руководства.

Пример проекта: по мере развития ИТ-услуг и ИТ-инфраструктуры Компании возникают риски, связанные с обеспечением информационной безопасности. Если Компания хочет построить систему управления информационной безопасностью или оценить результативность и эффективность реализуемых мероприятий, мы можем оказать следующие услуги:

  • Управление знаниями;
  • Управление персоналом;
  • Управление портфелем проектов;
  • Управление безопасностью в масштабах предприятия;
  • Упрвление отношениями с третьими сторонами;
  • Управление рисками;
  • Информационное взаимодействие.

В результате Вы получаете: минимизация актуальных рисков в сфере информационной безопасности, с которыми Компания сталкивается в ходе своей деятельности, и создание эффективной системы управления информационной безопасностью.

View more

Вопросы информационной безопасности: осведомленность и обучение сотрудников

Cпециализированная команда консультантов PwC занимается вопросами повышения осведомленности и обучения сотрудников компаний в области информационной безопасности. Наши специалисты помогают сотрудникам клиента осознать важность обеспечения корпоративной безопасности во всех подразделениях и обучают их (на любом уровне организационной структуры), как обеспечить сохранность информационных и физических активов компании.

Пример проекта: в настоящее время компании признают, что «человеческий фактор» является основной причиной возникновения инцидентов информационной безопасности. Чтобы не допустить их, необходимо иметь глубокие знания и навыки по использованию как уже существующих, так и новых средств информационной безопасности.

Мы оказываем следующие услуги:

  • Процедуры и программы повышения осведомленности;
  • Программы обучения, по окончании которых при успешной сдаче экзаменов выдается сертификат (диплом) и присваивается квалификация;
  • Стратегия информационного взаимодействия.

В результате Вы получаете: минимизация рисков возникновения инцидентов, связанных с «человеческим фактором», и повышение эффективности управления информационной безопасностью.

View more

Управление угрозами и уязвимостями

Специализированная группа консультантов PwC предоставляет услуги по управлению угрозами и уязвимостями и оказывает содействие компаниям в решении важнейшей задачи – обеспечить защиту предприятия. В связи с постоянным расширением сетевой инфраструктуры растут риски безопасности. Деятельность команды PwC включает широкий спектр мероприятий: от установки традиционных сетевых экранов и внедрения механизмов защиты рабочих станций до построения систем по управлению рисками.

Пример проекта: классическая ситуация – Компания не знает о том, что на ее критически важные ресурсы готовится атака или что они уже подвергаются атаке.

Мы оказываем следующие услуги:

  • Мониторинг вторжений;
  • Обнаружение зловредных программ;
  • Управление информационной безопасностью;
  • Управление угрозами;
  • Управление уязвимостями;
  • Реагирование на инциденты;
  • Управление активами.

В результате Вы получаете: снижение риска возникновения серьёзных инцидентов информационной безопасности и повышение эффективности контроля за сохранностью и безопасностью критически важных информационных ресурсов.

View more

Архитектура информационной безопасности

Архитектура информационной безопасности содержит описание всех аспектов системы, связанных с безопасностью, включая основные принципы, которыми необходимо руководствоваться при ее проектировании.

Пример проекта: наличие в Компании антивирусной программы и установленного «где-то» сетевого экрана не означает, что все риски информационной безопасности находятся под эффективным контролем.

Мы предлагаем следующие услуги:

  • Анализ и приоритизация требований Компании;
  • Эталонная архитектура информационной безопасности;
  • Общая инфраструктура сервисов безопасности;
  • Методология внедрения мер по обеспечению безопасности или анализ кода и жизненного цикла разработки программного обеспечения (SDLC).

В результате Вы получаете: снижение рисков информационной безопасности, относящихся к ИТ-инфраструктуре компании; комплексное управление рисками информационной безопасности.

View more

Соблюдение законодательных требований и политик Компании

Специализированная группа специалистов PwC, предоставляющая консультационные услуги по вопросам соблюдения нормативно-правовых требований и положений внутренней политики, помогает компаниям в решении задач, связанных с обеспечением соответствия требованиям законодательных и нормативных документов и внутренними регламентами. К основным законодательным и нормативным документам, требования которых компании должны знать, относятся:

  • Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон N 161-ФЗ «О национальной платежной системе»;
  • Стандарт Центрального Банка Российской Федерации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»;
  • Стандарт безопасности данных индустрии платежных карт (PCI DSS) и стандарт безопасности данных платежных приложений (PA DSS);
  • Закон о неразрывности медицинского страхования и конфиденциальности медицинской информации (HIPAA);
  • Закон Грэма – Лича – Блили (GLBA);
  • Закон Сарбейнса – Оксли;
  • и др.

Пример проекта: Компании необходимо представить деловым партнерам веское доказательство зрелости ее системы информационной безопасности или в Компании возникла необходимость соблюдения требований нормативных документов.

Мы оказываем следующие услуги:

  • Мониторинг соблюдения требований регуляторов;
  • Управление внутренними регламентами и стандартами;
  • Соблюдение требований внутренних регламентов и стандартов.

В результате Вы получаете: своевременная готовность к проведению необходимой сертификации с учетом бизнес-целей и задач.

View more

Безопасность использования мобильных устройств

Предоставление сотрудникам доступа к корпоративным базам данных с использованием мобильных устройств создаёт как удобства, так и риски для бизнеса. Отсутствие эффективного решения по обеспечению безопасности может препятствовать использованию мобильных технологий а также привести к утрате важнейших данных и причинению ущерба репутации компании.

Пример проекта: деловые документы и деловая электронная переписка могут появляться на личных устройствах сотрудников, при этом существует риск потери или хищения мобильных устройств. Компанию это понимает и желает оценить риски, связанные с использованием личных устройств при работе с корпоративными данными.

Мы помогаем клиентам в решении следующих задач:

  • Анализ требований Компании при использовании мобильных устройств;
  • Разработка стратегии «Принеси на работу свое устройства» (BYOD) и процессов управления рисками при использовании личных устройств;
  • Управление рисками, связанными с использованием мобильных устройств.

В результате Вы получаете: снижение рисков, связанных с использованием мобильных устройств; повышение эффективности управления данными.

View more

Управление идентификационной информацией и доступом

Управление идентификационной информацией и доступом связано с управлением критически важной функцией предоставления доступа или отказа в доступе к оборудованию и данным компании. Эффективное управление доступом обеспечивает доступ авторизованных сотрудников и ограничивает доступ внешних лиц или неавторизованных сотрудников.

Пример проекта: руководство Компании не имеет четкого представления о том, кто имеет доступ к критически важной информации.

Мы оказываем следующие услуги:

  • Анализ процессов аутентификации и авторизации;
  • Управление пользователями и обеспечение предоставления или отзыва прав доступа к бизнес-ресурсам;
  • Хранение идентификационной информации и интеграция данных.

В результате Вы получаете: снижение рисков неавторизованного доступа к критически важной деловой информации.

View more

Конфиденциальность и защита данных

Наша специализированная команда по предоставлению консультационных услуг в области конфиденциальности и защиты данных помогает компаниям реализовать широкий спектр мероприятий, направленных на развитие возможностей по обеспечению информационной безопасности. Специалисты этой группы оказывают содействие организациям во внедрении надлежащих методов обработки персональных данных клиентов и сотрудников, включая сбор, использование и хранение таких данных, а также обмен ими.

Пример проекта: критически важная деловая информация и персональные данные распространяются внутри Компании и – вполне возможно – за ее пределами. Практически в любом месте, где появляется эта информация, ее можно подсмотреть, изменить и даже уничтожить.

Мы помогаем клиентам в решении следующих задач:

  • Сбор и хранение данных;
  • Подотчетность;
  • Уведомление;
  • Выбор и согласование;
  • Доступ субъекта к своим персональным данным;
  • Раскрытие данных третьим лицам;
  • Достоверность данных.

В результате Вы получаете: снижение риска раскрытия, неавторизованного изменения или уничтожения информации.

View more

Обеспечение физической безопасности

Группа консультантов PwC, специализирующаяся на услугах в области физической безопасности, занимается анализом функциональных возможностей и средств, необходимых для защиты оборудования, аппаратного обеспечения, а также сотрудников компании, задействованных в обеспечении информационной безопасности.

Пример проекта: отключения электроэнергии, пожар, размещение серверной комнаты в одном помещении со складом – все это типичные явления в сегодняшней жизни, что может привести к потере или хищению данных.

Мы оказываем следующие услуги:

  • Анализ состояния безопасности центра данных;
  • Политики, регламенты и стандарты;
  • Средства контроля доступа.

В результате Вы получаете: снижение рисков неавторизованного доступа и неожиданной потери корпоративной информации.

View more

Тестирование на проникновение систем защиты от несанкционированного доступа

Группа специалистов PwC по выполнению тестов на проникновение систем защиты от несанкционированного доступа выполняет тестирование сетевой инфраструктуры и приложений Компании, цель которого – выявить и проверить возможные уязвимости в критически важных компонентах инфраструктуры и бизнес-приложениях (как внутренних, так и общедоступных).

Пример проекта: киберпреступность стремительно развивается. Хакеры существует как внутри Компании, так и за ее пределами, поэтому риск взлома ее информационных ресурсов становится более чем реальным. На подобную деятельность способны также и вирусы.

Мы оказываем содействие клиентам в решении стоящих перед ними задач путем:

  • комплексного тестирования существующих систем защиты от несанкционированного доступа к инфраструктуре;
  • разработки и проведения процедур тестирования безопасности Интернет-сайта;
  • применения подхода тестирования по принципу «черного ящика» и «белого ящика»;
  • подготовки рекомендаций по устранению выявленных уязвимых мест в системе безопасности.

В результате Вы получаете: ликвидация слабых мест в ИТ-инфраструктуре позволяет уменьшить риски потери или хищения информации.

View more

Центры мониторинга и реагирования на инциденты информационной безопасности (SOC)

Поскольку киберугрозы продолжают расти и развиваться, крайне важно, чтобы компании совершенствовали свои меры безопасности, максимально эффективно использовали новые технологии и быстро реагировали на угрозы по мере их возникновения. Чтобы повысить свою устойчивость к киберпространству, многие компании создают свои собственные центры безопасности (Security Operation Center), которые используют комбинацию технологий, процессов и обученного персонала для мониторинга инцидентов безопасности и принятия соответствующих мер.

Пример проекта

Компания заинтересована в наличии самостоятельного подразделения SOC. Для этого необходимо разработать стратегию создания и развития SOC, в рамках которой надо рассчитать оптимальное количество персонала, определить целевую техническую архитектуру, выделить ключевые инициативы по развитию направления SOC, провести их финансовую оценку и разработать дорожную карту их реализации. Помимо этого, требуется внедрить эффективные процессы по непрерывном мониторингу и реагированию на киберугрозы, соответствующие передовому мировому опыту, и обучить существующий персонал.

Наша команда специалистов имеет многолетний опыт работы в крупных российских и международных компаниях по созданию и развитию современных SOC. В рамках данного направления мы оказываем следующие услуги:

  • финансовая оценка и подготовка бизнес-кейсов по созданию и развитию SOC;
  • разработка стратегии создания и развития SOC, составление бюджета для ее реализации;
  • оценка зрелости технологий, процессов и персонала SOC по внутренней методике PwC SOCCER;
  • определение оптимальной организационной структуры подразделения SOC;
  • внедрение метрик и KPI эффективности процессов подразделения SOC. Визуализация отчетности для руководства и технических специалистов;
  • оценка работы используемых технических средств (Health Check);
  • проектирование целевой верхнеуровневой технической архитектуры средств защиты информации SOC;
  • составление рекомендаций по внедрению сценариев выявления инцидентов информационной безопасности (UseCase) под актуальные риски и угрозы компании;
  • описание и внедрение ключевых процессов SOC;
  • описание ролей, обязанностей и необходимых навыков для различных функций сотрудников SOC;
  • сравнение различных вариантов реализации SOC (внутреннее подразделение или приобретение услуг MSSP-провайдеров).

В результате вы получаете: минимизацию актуальных рисков и повышение эффективности управления информационной безопасностью за счет развития направления SOC, ориентированного на своевременное выявление и реагирование на инциденты, а также на сбалансированное применение кадровых и технологических ресурсов.

View more

Управление цифровой идентичностью

  • Оценка, анализ, проектирование и внедрение систем и процессов управления цифровой идентичностью;
  • Контроль, безопасность, управление и улучшение доступа клиентов, партнеров, контрагентов, сервисов и «вещей» IoT;
  • Координация и управление жизненным циклом учетных записей и ролей сотрудников, партнеров и контрагентов;
  • Управление доступом привилегированных учетных записей;
  • Контроль качества программ и проектов управления цифровой идентичностью;
  • Ускорение цифровой трансформации бизнеса.

View more

Безопасность облачных ресурсов

  • Разработка стратегии обеспечения безопасности облачных решений и моделей корпоративного управления для создания стандартной операционной среды, соответствующей всем требованиям;
  • Проектирование результатов непрерывного аудита, управления рисками, конфиденциальности и нормативно-правового соответствия для облачных решений;
  • Безопасная миграция и автоматизация процессов обеспечения безопасности и нормативно-правового соответствия DevOps;
  • Внедрение эталонной архитектуры обеспечения безопасности м шаблонов проектирования специально для поставщиков облачных услуг;
  • Оценка безопасности облачных решений, включая проверку наличия и функционирования контролей безопасности и активации встроенных механизмов защиты и управления;
  • Расширение охвата управления идентификационной информацией и доступом для включения в него облачных сервисов;
  • Внедрение систем защиты данных для облачных решений, включая предотвращение потери данных, шифрование, управление ключами / сертификатами;
  • Включение мер безопасности облачных систем и реагирования на инциденты в процессы DevOps; 
  • Эффективная интеграция журналов / технологии управления информационной безопасностью и событиями безопасности и анализа угроз в режиме реального времени. 

View more

Исследования в области кибербезопасности

{{filterContent.facetedTitle}}

Видео

{{filterContent.facetedTitle}}

Контакты

Алексей Окишев

Партнер, руководитель технологической практики

Тел: +7 (495) 967 6000

Виталий Соколов

Партнер отдела анализа и контроля рисков, руководитель практики по оказанию услуг в области информационной безопасности

Тел: +7 (495) 967 6153

Мы в социальных сетях