Кибербезопасность и конфиденциальность данных

Предоставление сотрудникам доступа к корпоративным базам данных с использованием мобильных устройств создаёт как удобства, так и риски для бизнеса. Отсутствие эффективного решения по обеспечению безопасности может препятствовать использованию мобильных технологий а также привести к утрате важнейших данных и причинению ущерба репутации компании.

Пример проекта: деловые документы и деловая электронная переписка могут появляться на личных устройствах сотрудников, при этом существует риск потери или хищения мобильных устройств. Компанию это понимает и желает оценить риски, связанные с использованием личных устройств при работе с корпоративными данными.

Мы помогаем клиентам в решении следующих задач:

• Анализ требований Компании при использовании мобильных устройств;
• Разработка стратегии «Принеси на работу свое устройства» (BYOD) и процессов управления рисками при использовании личных устройств;
• Управление рисками, связанными с использованием мобильных устройств.

В результате Вы получаете: снижение рисков, связанных с использованием мобильных устройств; повышение эффективности управления данными.

Мы оказываем  содействие клиентам в снижении рисков  при реализации инициатив благодаря  выявлению и устранению барьеров,  связанных с безопасностью,  конфиденциальностью и нормативно-правовым регулированием.  Наш опыт развертывания облачных  сервисов дополняют глубокие  коммерческие и технические знания,  методология, доказавшая свою  эффективность, а также подход,  охватывающий все этапы проекта, от  разработки стратегии и вплоть до ее  практической реализации.

Мы оказываем следующие услуги:

• разработка стратегии обеспечения безопасности облачных решений и моделей корпоративного управления для создания стандартной операционной среды, соответствующей всем требованиям;
• проектирование результатов непрерывного аудита, управления рисками, конфиденциальности и нормативно-правового соответствия для облачных решений;
• безопасная миграция и автоматизация процессов обеспечения безопасности и нормативно-правового соответствия DevOps;
• внедрение эталонной архитектуры обеспечения безопасности м шаблонов проектирования специально для поставщиков облачных услуг;
• оценка безопасности облачных решений, включая проверку наличия и функционирования контролей безопасности и активации встроенных механизмов защиты и управления;
• расширение охвата управления идентификационной информацией и доступом для включения в него облачных сервисов;
• проектирование систем защиты данных для облачных решений, включая предотвращение потери данных, шифрование, управление ключами / сертификатами;
• включение мер безопасности облачных систем и реагирования на инциденты в процессы DevOps; эффективная интеграция журналов / технологии управления информационной безопасностью и событиями безопасности и анализа угроз в режиме реального времени.

Узнать больше

Cпециализированная команда консультантов PwC занимается вопросами повышения осведомленности и обучения сотрудников компаний в области информационной безопасности. Наши специалисты помогают сотрудникам клиента осознать важность обеспечения корпоративной безопасности во всех подразделениях и обучают их (на любом уровне организационной структуры), как обеспечить сохранность информационных и физических активов компании.

Пример проекта: в настоящее время компании признают, что «человеческий фактор» является основной причиной возникновения инцидентов информационной безопасности. Чтобы не допустить их, необходимо иметь глубокие знания и навыки по использованию как уже существующих, так и новых средств информационной безопасности.

Мы оказываем следующие услуги:

• Процедуры и программы повышения осведомленности;
• Программы обучения, по окончании которых при успешной сдаче экзаменов выдается сертификат (диплом) и присваивается квалификация;
• Стратегия информационного взаимодействия.

В результате Вы получаете: минимизация рисков возникновения инцидентов, связанных с «человеческим фактором», и повышение эффективности управления информационной безопасностью.

Наша специализированная команда по предоставлению консультационных услуг в области конфиденциальности и защиты данных помогает компаниям реализовать широкий спектр мероприятий, направленных на развитие возможностей по обеспечению информационной безопасности. Специалисты этой группы оказывают содействие организациям во внедрении надлежащих методов обработки персональных данных клиентов и сотрудников, включая сбор, использование и хранение таких данных, а также обмен ими.

Пример проекта: критически важная деловая информация и персональные данные распространяются внутри Компании и – вполне возможно – за ее пределами. Практически в любом месте, где появляется эта информация, ее можно подсмотреть, изменить и даже уничтожить.

Мы помогаем клиентам в решении следующих задач:

• Сбор и хранение данных;
• Подотчетность;
• Уведомление;
• Выбор и согласование;
• Доступ субъекта к своим персональным данным;
• Раскрытие данных третьим лицам;
• Достоверность данных.

В результате Вы получаете: снижение риска раскрытия, неавторизованного изменения или уничтожения информации.

Группа консультантов PwC, специализирующаяся на услугах в области физической безопасности, занимается анализом функциональных возможностей и средств, необходимых для защиты оборудования, аппаратного обеспечения, а также сотрудников компании, задействованных в обеспечении информационной безопасности.

Пример проекта: отключения электроэнергии, пожар, размещение серверной комнаты в одном помещении со складом – все это типичные явления в сегодняшней жизни, что может привести к потере или хищению данных.

Мы оказываем следующие услуги:

• Анализ состояния безопасности центра данных;
• Политики, регламенты и стандарты;
• Средства контроля доступа.

В результате Вы получаете: снижение рисков неавторизованного доступа и неожиданной потери корпоративной информации.

Специалисты PwC, предоставляющие консультационные услуги по вопросам соблюдения нормативно-правовых требований и положений внутренних политик, помогают компаниям в решении задач, связанных с обеспечением соответствия:

• требованиям законодательных и нормативных документов;
• международным стандартам;
• внутренним регламентам компании.

К основным законодательным и нормативным документам, требования которых компании должны знать и соблюдать, относятся:

• Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Федеральный закон N 161-ФЗ «О национальной платежной системе»;
• Положения Банка России по вопросам информационной безопасности для финансовых организаций (382-П, 683-П, 719-П, 747-П, 757-П), а также Стандарты и рекомендации Центрального Банка Российской Федерации;
• Национальный стандарт ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»;
• Серии международных стандартов ISO 270XX и NIST;
• Закон о неразрывности медицинского страхования и конфиденциальности медицинской информации (HIPAA);
• Закон Сарбейнса – Оксли (SOX).

Пример проекта: Компании необходимо представить деловым партнерам веское доказательство зрелости ее системы информационной безопасности или в Компании возникла необходимость соблюдения требований регуляторных нормативных документов.

Мы оказываем следующие услуги:

• Оценка соответствия требованиям регуляторов, в том числе требованиям Банка России;
• Разработка внутренних регламентов и стандартов по информационной безопасности;
• Проверка соблюдения требований внутренних регламентов и стандартов;
• Аттестация (оценка соответствия) по Программе обеспечения безопасности членов платежной системы SWIFT.

В результате Вы получаете:

• Уверенность в соблюдении требований и положений.
• Готовность к проверкам регуляторов по вопросам ИБ.
• Готовность к проведению необходимых сертификаций с учетом бизнес-целей и задач.
• Уверенность руководства в эффективно выстроенной системе обеспечения ИБ.

Группа специалистов PwC по выполнению тестов на проникновение систем защиты от несанкционированного доступа выполняет тестирование сетевой инфраструктуры и приложений Компании, цель которого – выявить и проверить возможные уязвимости в критически важных компонентах инфраструктуры и бизнес-приложениях (как внутренних, так и общедоступных).

Пример проекта: киберпреступность стремительно развивается. Хакеры существует как внутри Компании, так и за ее пределами, поэтому риск взлома ее информационных ресурсов становится более чем реальным. На подобную деятельность способны также и вирусы.

Мы оказываем содействие клиентам в решении стоящих перед ними задач путем:

• комплексного тестирования существующих систем защиты от несанкционированного доступа к инфраструктуре;
• разработки и проведения процедур тестирования безопасности Интернет-сайта;
• применения подхода тестирования по принципу «черного ящика» и «белого ящика»;
• подготовки рекомендаций по устранению выявленных уязвимых мест в системе безопасности.

В результате Вы получаете: ликвидация слабых мест в ИТ-инфраструктуре позволяет уменьшить риски потери или хищения информации.

Управление безопасностью включает в себя мероприятия, направленные на обеспечение общей безопасности и решение задач, стоящих перед организацией. Управление безопасностью распространяется на все проекты и мероприятия, которыми занимаются сотрудники, ответственные за обеспечения безопасности на уровне политик и руководства.

Пример проекта: по мере развития ИТ-услуг и ИТ-инфраструктуры Компании возникают риски, связанные с обеспечением информационной безопасности. Если Компания хочет построить систему управления информационной безопасностью или оценить результативность и эффективность реализуемых мероприятий, мы можем оказать следующие услуги:

• Управление знаниями;
• Управление персоналом;
• Управление портфелем проектов;
• Управление безопасностью в масштабах предприятия;
• Упрвление отношениями с третьими сторонами;
• Управление рисками;
• Информационное взаимодействие.

В результате Вы получаете: минимизация актуальных рисков в сфере информационной безопасности, с которыми Компания сталкивается в ходе своей деятельности, и создание эффективной системы управления информационной безопасностью.

Современный бизнес отличают динамичность и стремительность, поэтому нарушение нормального ритма работы даже на несколько часов может иметь катастрофические последствия для прибыльности и репутации пострадавшей компании. Притом что такие негативные последствия наступают практически сразу же, они также могут подорвать жизнеспособность организации и в долгосрочной перспективе.

Управление непрерывностью бизнеса обеспечивает эффективную "профилактику" внезапных нарушений рабочего режима, кризисных и чрезвычайных ситуаций и позволяет организациям оперативно восстановить обычный деловой ритм в случае наступления таких событий. Как только план по непрерывности бизнеса подготовлен, его необходимо протестировать, чтобы удостовериться, что процедуры работают так, как и планировалось.

Подробнее об управлении непрерывностью бизнеса

Специализированная группа консультантов PwC предоставляет услуги по управлению угрозами и уязвимостями и оказывает содействие компаниям в решении важнейшей задачи – обеспечить защиту предприятия. В связи с постоянным расширением сетевой инфраструктуры растут риски безопасности. Деятельность команды PwC включает широкий спектр мероприятий: от установки традиционных сетевых экранов и внедрения механизмов защиты рабочих станций до построения систем по управлению рисками.

Пример проекта: классическая ситуация – Компания не знает о том, что на ее критически важные ресурсы готовится атака или что они уже подвергаются атаке.

Мы оказываем следующие услуги:

• Мониторинг вторжений;
• Обнаружение зловредных программ;
• Управление информационной безопасностью;
• Управление угрозами;
• Управление уязвимостями;
• Реагирование на инциденты;
• Управление активами.

В результате Вы получаете: снижение риска возникновения серьёзных инцидентов информационной безопасности и повышение эффективности контроля за сохранностью и безопасностью критически важных информационных ресурсов.

Управление цифровой идентичностью связано с необходимостью цифровизировать бизнес компании, а именно централизовать, автоматизировать и управлять критически важной функцией предоставления безопасного доступа клиентам, партнерам, сотрудникам и сервисам к данным, приложениям, и сервисам организации по различным каналам. 

Мы оказываем следующие услуги:

• Оценка, анализ, проектирование и внедрение систем и процессов управления цифровой идентичностью и доступом;
• Контроль, безопасность, централизация, управление и улучшение доступа клиентов, партнеров, контрагентов, сервисов и «вещей» IoT;
• Упрощенная безопасная интеграция приложений и сервисов;
• Координация и управление жизненным циклом учетных записей и ролей сотрудников, партнеров и контрагентов;
• Управление доступом привилегированных учетных записей;
• Контроль качества программ и проектов управления цифровой идентичностью;
• Ускорение цифровой трансформации бизнеса.

Подробнее об управлении цифровой идентичностью

Подробнее о SOC

Поскольку киберугрозы продолжают расти и развиваться, крайне важно, чтобы компании совершенствовали свои меры безопасности, максимально эффективно использовали новые технологии и быстро реагировали на угрозы по мере их возникновения. Чтобы повысить свою устойчивость к киберпространству, многие компании создают свои собственные центры безопасности (Security Operation Center), которые используют комбинацию технологий, процессов и обученного персонала для мониторинга инцидентов безопасности и принятия соответствующих мер.

Пример проекта

Компания заинтересована в наличии самостоятельного подразделения SOC. Для этого необходимо разработать стратегию создания и развития SOC, в рамках которой надо рассчитать оптимальное количество персонала, определить целевую техническую архитектуру, выделить ключевые инициативы по развитию направления SOC, провести их финансовую оценку и разработать дорожную карту их реализации. Помимо этого, требуется внедрить эффективные процессы по непрерывном мониторингу и реагированию на киберугрозы, соответствующие передовому мировому опыту, и обучить существующий персонал.

Наша команда специалистов имеет многолетний опыт работы в крупных российских и международных компаниях по созданию и развитию современных SOC. В рамках данного направления мы оказываем следующие услуги:

• финансовая оценка и подготовка бизнес-кейсов по созданию и развитию SOC;
• разработка стратегии создания и развития SOC, составление бюджета для ее реализации;
• оценка зрелости технологий, процессов и персонала SOC по внутренней методике PwC SOCCER;
• определение оптимальной организационной структуры подразделения SOC;
• внедрение метрик и KPI эффективности процессов подразделения SOC. Визуализация отчетности для руководства и технических специалистов;
• оценка работы используемых технических средств (Health Check);
• проектирование целевой верхнеуровневой технической архитектуры средств защиты информации SOC;
• составление рекомендаций по внедрению сценариев выявления инцидентов информационной безопасности (UseCase) под актуальные риски и угрозы компании;
• описание и внедрение ключевых процессов SOC;
• описание ролей, обязанностей и необходимых навыков для различных функций сотрудников SOC;
• сравнение различных вариантов реализации SOC (внутреннее подразделение или приобретение услуг MSSP-провайдеров).

В результате вы получаете: минимизацию актуальных рисков и повышение эффективности управления информационной безопасностью за счет развития направления SOC, ориентированного на своевременное выявление и реагирование на инциденты, а также на сбалансированное применение кадровых и технологических ресурсов.

Узнать больше

По мере того, как ваша организация адаптируется к новым возможностям и вызовам, вам необходимо четко понимать, как с уверенностью управлять киберрисками и соблюдать требования законодательства и регуляторов. Наш методический, технологический, индустриальный и юридический опыт поможет вам создать стабильную основу для современного процесса управления рисками, которая поможет вам принимать решения, основанные на данных и расчетах, и поддерживать высокую стабильность бизнеса.

Наши инструменты и методика по управлению рисками основаны на данных и математических моделях, и позволяют проводить аккуратную, достоверную и повторяемую количественную оценку риска для выявления киберрисков и минимизации потенциального ущерба, который ваш бизнес может получить в ходе кибератак. В дополнение к снижению риска и обеспечению соблюдения нормативных требований мы готовы помочь вам разработать план развития информационной безопасности, благодаря которому вы сможете поддержать цифровое развитие бизнеса, снижение риска при запуске новых сервисов, территориальную и рыночную экспансию.

Подробнее о рисках кибербезопасности