Архитектура информационной безопасности
Архитектура информационной безопасности содержит описание всех аспектов системы, связанных с безопасностью, включая основные принципы, которыми необходимо руководствоваться при ее проектировании.
Пример проекта: наличие в Компании антивирусной программы и установленного «где-то» сетевого экрана не означает, что все риски информационной безопасности находятся под эффективным контролем.
Мы предлагаем следующие услуги:
- Анализ и приоритизация требований Компании;
- Эталонная архитектура информационной безопасности;
- Общая инфраструктура сервисов безопасности;
- Методология внедрения мер по обеспечению безопасности или анализ кода и жизненного цикла разработки программного обеспечения (SDLC).
В результате Вы получаете: снижение рисков информационной безопасности, относящихся к ИТ-инфраструктуре компании; комплексное управление рисками информационной безопасности.
Безопасность использования мобильных устройств
Предоставление сотрудникам доступа к корпоративным базам данных с использованием мобильных устройств создаёт как удобства, так и риски для бизнеса. Отсутствие эффективного решения по обеспечению безопасности может препятствовать использованию мобильных технологий а также привести к утрате важнейших данных и причинению ущерба репутации компании.
Пример проекта: деловые документы и деловая электронная переписка могут появляться на личных устройствах сотрудников, при этом существует риск потери или хищения мобильных устройств. Компанию это понимает и желает оценить риски, связанные с использованием личных устройств при работе с корпоративными данными.
Мы помогаем клиентам в решении следующих задач:
- Анализ требований Компании при использовании мобильных устройств;
- Разработка стратегии «Принеси на работу свое устройства» (BYOD) и процессов управления рисками при использовании личных устройств;
- Управление рисками, связанными с использованием мобильных устройств.
В результате Вы получаете: снижение рисков, связанных с использованием мобильных устройств; повышение эффективности управления данными.
Безопасность облачных ресурсов
Мы оказываем содействие клиентам в снижении рисков при реализации инициатив благодаря выявлению и устранению барьеров, связанных с безопасностью, конфиденциальностью и нормативно-правовым регулированием. Наш опыт развертывания облачных сервисов дополняют глубокие коммерческие и технические знания, методология, доказавшая свою эффективность, а также подход, охватывающий все этапы проекта, от разработки стратегии и вплоть до ее практической реализации.
Мы оказываем следующие услуги:
- разработка стратегии обеспечения безопасности облачных решений и моделей корпоративного управления для создания стандартной операционной среды, соответствующей всем требованиям;
- проектирование результатов непрерывного аудита, управления рисками, конфиденциальности и нормативно-правового соответствия для облачных решений;
- безопасная миграция и автоматизация процессов обеспечения безопасности и нормативно-правового соответствия DevOps;
- внедрение эталонной архитектуры обеспечения безопасности м шаблонов проектирования специально для поставщиков облачных услуг;
- оценка безопасности облачных решений, включая проверку наличия и функционирования контролей безопасности и активации встроенных механизмов защиты и управления;
- расширение охвата управления идентификационной информацией и доступом для включения в него облачных сервисов;
- проектирование систем защиты данных для облачных решений, включая предотвращение потери данных, шифрование, управление ключами / сертификатами;
- включение мер безопасности облачных систем и реагирования на инциденты в процессы DevOps; эффективная интеграция журналов / технологии управления информационной безопасностью и событиями безопасности и анализа угроз в режиме реального времени.
Вопросы информационной безопасности: осведомленность и обучение сотрудников
Cпециализированная команда консультантов PwC занимается вопросами повышения осведомленности и обучения сотрудников компаний в области информационной безопасности. Наши специалисты помогают сотрудникам клиента осознать важность обеспечения корпоративной безопасности во всех подразделениях и обучают их (на любом уровне организационной структуры), как обеспечить сохранность информационных и физических активов компании.
Пример проекта: в настоящее время компании признают, что «человеческий фактор» является основной причиной возникновения инцидентов информационной безопасности. Чтобы не допустить их, необходимо иметь глубокие знания и навыки по использованию как уже существующих, так и новых средств информационной безопасности.
Мы оказываем следующие услуги:
- Процедуры и программы повышения осведомленности;
- Программы обучения, по окончании которых при успешной сдаче экзаменов выдается сертификат (диплом) и присваивается квалификация;
- Стратегия информационного взаимодействия.
В результате Вы получаете: минимизация рисков возникновения инцидентов, связанных с «человеческим фактором», и повышение эффективности управления информационной безопасностью.
Конфиденциальность и защита данных (GDPR)
Наша специализированная команда по предоставлению консультационных услуг в области конфиденциальности и защиты данных помогает компаниям реализовать широкий спектр мероприятий, направленных на развитие возможностей по обеспечению информационной безопасности. Специалисты этой группы оказывают содействие организациям во внедрении надлежащих методов обработки персональных данных клиентов и сотрудников, включая сбор, использование и хранение таких данных, а также обмен ими.
Пример проекта: критически важная деловая информация и персональные данные распространяются внутри Компании и – вполне возможно – за ее пределами. Практически в любом месте, где появляется эта информация, ее можно подсмотреть, изменить и даже уничтожить.
Мы помогаем клиентам в решении следующих задач:
- Сбор и хранение данных;
- Подотчетность;
- Уведомление;
- Выбор и согласование;
- Доступ субъекта к своим персональным данным;
- Раскрытие данных третьим лицам;
- Достоверность данных.
В результате Вы получаете: снижение риска раскрытия, неавторизованного изменения или уничтожения информации.
Обеспечение физической безопасности
Группа консультантов PwC, специализирующаяся на услугах в области физической безопасности, занимается анализом функциональных возможностей и средств, необходимых для защиты оборудования, аппаратного обеспечения, а также сотрудников компании, задействованных в обеспечении информационной безопасности.
Пример проекта: отключения электроэнергии, пожар, размещение серверной комнаты в одном помещении со складом – все это типичные явления в сегодняшней жизни, что может привести к потере или хищению данных.
Мы оказываем следующие услуги:
- Анализ состояния безопасности центра данных;
- Политики, регламенты и стандарты;
- Средства контроля доступа.
В результате Вы получаете: снижение рисков неавторизованного доступа и неожиданной потери корпоративной информации.
Соблюдение законодательных требований и политик Компании
Специалисты PwC, предоставляющие консультационные услуги по вопросам соблюдения нормативно-правовых требований и положений внутренних политик, помогают компаниям в решении задач, связанных с обеспечением соответствия:
- требованиям законодательных и нормативных документов;
- международным стандартам;
- внутренним регламентам компании.
К основным законодательным и нормативным документам, требования которых компании должны знать и соблюдать, относятся:
- Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный закон N 161-ФЗ «О национальной платежной системе»;
- Положения Банка России по вопросам информационной безопасности для финансовых организаций (382-П, 683-П, 684-П, 719-П, 747-П), а также Стандарты и рекомендации Центрального Банка Российской Федерации;
- Национальный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»;
- Серии международных стандартов ISO 270XX и NIST;
- Закон о неразрывности медицинского страхования и конфиденциальности медицинской информации (HIPAA);
- Закон Сарбейнса – Оксли (SOX).
Пример проекта: Компании необходимо представить деловым партнерам веское доказательство зрелости ее системы информационной безопасности или в Компании возникла необходимость соблюдения требований регуляторных нормативных документов.
Мы оказываем следующие услуги:
- Оценка соответствия требованиям регуляторов, в том числе требованиям Банка России;
- Разработка внутренних регламентов и стандартов по информационной безопасности;
- Проверка соблюдения требований внутренних регламентов и стандартов;
- Аттестация (оценка соответствия) по Программе обеспечения безопасности членов платежной системы SWIFT.
В результате Вы получаете:
- Уверенность в соблюдении требований и положений.
- Готовность к проверкам регуляторов по вопросам ИБ.
- Готовность к проведению необходимых сертификаций с учетом бизнес-целей и задач.
- Уверенность руководства в эффективно выстроенной системе обеспечения ИБ.
Тестирование на проникновение систем защиты от несанкционированного доступа
Группа специалистов PwC по выполнению тестов на проникновение систем защиты от несанкционированного доступа выполняет тестирование сетевой инфраструктуры и приложений Компании, цель которого – выявить и проверить возможные уязвимости в критически важных компонентах инфраструктуры и бизнес-приложениях (как внутренних, так и общедоступных).
Пример проекта: киберпреступность стремительно развивается. Хакеры существует как внутри Компании, так и за ее пределами, поэтому риск взлома ее информационных ресурсов становится более чем реальным. На подобную деятельность способны также и вирусы.
Мы оказываем содействие клиентам в решении стоящих перед ними задач путем:
- комплексного тестирования существующих систем защиты от несанкционированного доступа к инфраструктуре;
- разработки и проведения процедур тестирования безопасности Интернет-сайта;
- применения подхода тестирования по принципу «черного ящика» и «белого ящика»;
- подготовки рекомендаций по устранению выявленных уязвимых мест в системе безопасности.
В результате Вы получаете: ликвидация слабых мест в ИТ-инфраструктуре позволяет уменьшить риски потери или хищения информации.
Управление безопасностью
Управление безопасностью включает в себя мероприятия, направленные на обеспечение общей безопасности и решение задач, стоящих перед организацией. Управление безопасностью распространяется на все проекты и мероприятия, которыми занимаются сотрудники, ответственные за обеспечения безопасности на уровне политик и руководства.
Пример проекта: по мере развития ИТ-услуг и ИТ-инфраструктуры Компании возникают риски, связанные с обеспечением информационной безопасности. Если Компания хочет построить систему управления информационной безопасностью или оценить результативность и эффективность реализуемых мероприятий, мы можем оказать следующие услуги:
- Управление знаниями;
- Управление персоналом;
- Управление портфелем проектов;
- Управление безопасностью в масштабах предприятия;
- Упрвление отношениями с третьими сторонами;
- Управление рисками;
- Информационное взаимодействие.
В результате Вы получаете: минимизация актуальных рисков в сфере информационной безопасности, с которыми Компания сталкивается в ходе своей деятельности, и создание эффективной системы управления информационной безопасностью.
Управление угрозами и уязвимостями
Специализированная группа консультантов PwC предоставляет услуги по управлению угрозами и уязвимостями и оказывает содействие компаниям в решении важнейшей задачи – обеспечить защиту предприятия. В связи с постоянным расширением сетевой инфраструктуры растут риски безопасности. Деятельность команды PwC включает широкий спектр мероприятий: от установки традиционных сетевых экранов и внедрения механизмов защиты рабочих станций до построения систем по управлению рисками.
Пример проекта: классическая ситуация – Компания не знает о том, что на ее критически важные ресурсы готовится атака или что они уже подвергаются атаке.
Мы оказываем следующие услуги:
- Мониторинг вторжений;
- Обнаружение зловредных программ;
- Управление информационной безопасностью;
- Управление угрозами;
- Управление уязвимостями;
- Реагирование на инциденты;
- Управление активами.
В результате Вы получаете: снижение риска возникновения серьёзных инцидентов информационной безопасности и повышение эффективности контроля за сохранностью и безопасностью критически важных информационных ресурсов.
Управление цифровой идентичностью
Управление цифровой идентичностью связано с необходимостью цифровизировать бизнес компании, а именно централизовать, автоматизировать и управлять критически важной функцией предоставления безопасного доступа клиентам, партнерам, сотрудникам и сервисам к данным, приложениям, и сервисам организации по различным каналам.
Мы оказываем следующие услуги:
- Оценка, анализ, проектирование и внедрение систем и процессов управления цифровой идентичностью и доступом;
- Контроль, безопасность, централизация, управление и улучшение доступа клиентов, партнеров, контрагентов, сервисов и «вещей» IoT;
- Упрощенная безопасная интеграция приложений и сервисов;
- Координация и управление жизненным циклом учетных записей и ролей сотрудников, партнеров и контрагентов;
- Управление доступом привилегированных учетных записей;
- Контроль качества программ и проектов управления цифровой идентичностью;
- Ускорение цифровой трансформации бизнеса.
Центры мониторинга и реагирования на инциденты информационной безопасности (SOC)
Поскольку киберугрозы продолжают расти и развиваться, крайне важно, чтобы компании совершенствовали свои меры безопасности, максимально эффективно использовали новые технологии и быстро реагировали на угрозы по мере их возникновения. Чтобы повысить свою устойчивость к киберпространству, многие компании создают свои собственные центры безопасности (Security Operation Center), которые используют комбинацию технологий, процессов и обученного персонала для мониторинга инцидентов безопасности и принятия соответствующих мер.
Пример проекта
Компания заинтересована в наличии самостоятельного подразделения SOC. Для этого необходимо разработать стратегию создания и развития SOC, в рамках которой надо рассчитать оптимальное количество персонала, определить целевую техническую архитектуру, выделить ключевые инициативы по развитию направления SOC, провести их финансовую оценку и разработать дорожную карту их реализации. Помимо этого, требуется внедрить эффективные процессы по непрерывном мониторингу и реагированию на киберугрозы, соответствующие передовому мировому опыту, и обучить существующий персонал.
Наша команда специалистов имеет многолетний опыт работы в крупных российских и международных компаниях по созданию и развитию современных SOC. В рамках данного направления мы оказываем следующие услуги:
- финансовая оценка и подготовка бизнес-кейсов по созданию и развитию SOC;
- разработка стратегии создания и развития SOC, составление бюджета для ее реализации;
- оценка зрелости технологий, процессов и персонала SOC по внутренней методике PwC SOCCER;
- определение оптимальной организационной структуры подразделения SOC;
- внедрение метрик и KPI эффективности процессов подразделения SOC. Визуализация отчетности для руководства и технических специалистов;
- оценка работы используемых технических средств (Health Check);
- проектирование целевой верхнеуровневой технической архитектуры средств защиты информации SOC;
- составление рекомендаций по внедрению сценариев выявления инцидентов информационной безопасности (UseCase) под актуальные риски и угрозы компании;
- описание и внедрение ключевых процессов SOC;
- описание ролей, обязанностей и необходимых навыков для различных функций сотрудников SOC;
- сравнение различных вариантов реализации SOC (внутреннее подразделение или приобретение услуг MSSP-провайдеров).
В результате вы получаете: минимизацию актуальных рисков и повышение эффективности управления информационной безопасностью за счет развития направления SOC, ориентированного на своевременное выявление и реагирование на инциденты, а также на сбалансированное применение кадровых и технологических ресурсов.