Кибербезопасность и конфиденциальность данных

Баланс безопасности, конфиденциальности и возможностей – залог смелого движения вперед

Мы не просто защищаем бизнес. Мы создаем ценность, используя механизмы обеспечения кибербезопасности для укрепления доверия к цифровым технологиям в современном мире данных.

Переход к цифровым бизнес-процессам многократно увеличивает объемы данных, генерируемых организациями, их партнерами и клиентами. Информация стала очень важным элементом современной интегрированной экосистемы бизнеса, и ее ценность для организаций – как и для злоумышленников – постоянно растет. Цифровизация бизнеса сделала компании уязвимыми перед новыми угрозами, что, разумеется, способствует актуальности проблемы эффективного обеспечения кибербезопасности и конфиденциальности данных.

Международная команда специалистов PwC поможет вам увидеть полную картину

Мы предлагаем нашим клиентам уникальные услуги по таким направлениям, как:

  • Глубокое знание отрасли, технологий, законодательства и нюансов бизнеса для успешной разработки стратегии обеспечения кибербезопасности и конфиденциальности данных в рамках корпоративного плана развития вашего бизнеса.
  • Принцип «От разработки стратегии до ее реализации», на протяжении более чем 20 лет помогающий нашим клиентам провести стратегическую оценку, разработать, внедрить и управлять программами обеспечения кибербезопасности и конфиденциальности данных.
  • Глобальное лидерство в области идей – более 3 300 экспертов с практическим опытом, свыше 60 лабораторий и центров операционной эффективности, а также отраслевые специалисты из Международного центра изучения киберугроз PwC помогут вам ознакомиться с самыми последними тенденциями.
  • Надежная база ведущих поставщиков решений и услуг в области обеспечения кибербезопасности и конфиденциальности данных.
  • Комплексный подход к решению проблемы силами кросс-функциональной команды специалистов по цифровой трансформации, управлению персоналом и организационной структурой, обеспечению устойчивости бизнеса, из области форензики, а также с помощью клиентоориентированной бизнес-модели.
  • Сконцентрированная работа, направленная на получение конкретных результатов по каждому проекту, способствующая достижению ваших стратегических целей, будь то развитие цифровых технологий, оптимизация управления рисками, гибкое реагирование и прочее.

Специалисты PwC могут оказать содействие компаниям в решении задач в следующих важнейших областях:

Архитектура информационной безопасности

Архитектура информационной безопасности содержит описание всех аспектов системы, связанных с безопасностью, включая основные принципы, которыми необходимо руководствоваться при ее проектировании.

Пример проекта: наличие в Компании антивирусной программы и установленного «где-то» сетевого экрана не означает, что все риски информационной безопасности находятся под эффективным контролем.

Мы предлагаем следующие услуги:

  • Анализ и приоритизация требований Компании;
  • Эталонная архитектура информационной безопасности;
  • Общая инфраструктура сервисов безопасности;
  • Методология внедрения мер по обеспечению безопасности или анализ кода и жизненного цикла разработки программного обеспечения (SDLC).

В результате Вы получаете: снижение рисков информационной безопасности, относящихся к ИТ-инфраструктуре компании; комплексное управление рисками информационной безопасности.

Подробнее

Безопасность использования мобильных устройств

Предоставление сотрудникам доступа к корпоративным базам данных с использованием мобильных устройств создаёт как удобства, так и риски для бизнеса. Отсутствие эффективного решения по обеспечению безопасности может препятствовать использованию мобильных технологий а также привести к утрате важнейших данных и причинению ущерба репутации компании.

Пример проекта: деловые документы и деловая электронная переписка могут появляться на личных устройствах сотрудников, при этом существует риск потери или хищения мобильных устройств. Компанию это понимает и желает оценить риски, связанные с использованием личных устройств при работе с корпоративными данными.

Мы помогаем клиентам в решении следующих задач:

  • Анализ требований Компании при использовании мобильных устройств;
  • Разработка стратегии «Принеси на работу свое устройства» (BYOD) и процессов управления рисками при использовании личных устройств;
  • Управление рисками, связанными с использованием мобильных устройств.

В результате Вы получаете: снижение рисков, связанных с использованием мобильных устройств; повышение эффективности управления данными.

Подробнее

Безопасность облачных ресурсов

Мы оказываем  содействие клиентам в снижении рисков  при реализации инициатив благодаря  выявлению и устранению барьеров,  связанных с безопасностью,  конфиденциальностью и нормативно-правовым регулированием.  Наш опыт развертывания облачных  сервисов дополняют глубокие  коммерческие и технические знания,  методология, доказавшая свою  эффективность, а также подход,  охватывающий все этапы проекта, от  разработки стратегии и вплоть до ее  практической реализации.

Мы оказываем следующие услуги:

  • разработка стратегии обеспечения безопасности облачных решений и моделей корпоративного управления для создания стандартной операционной среды, соответствующей всем требованиям;
  • проектирование результатов непрерывного аудита, управления рисками, конфиденциальности и нормативно-правового соответствия для облачных решений;
  • безопасная миграция и автоматизация процессов обеспечения безопасности и нормативно-правового соответствия DevOps;
  • внедрение эталонной архитектуры обеспечения безопасности м шаблонов проектирования специально для поставщиков облачных услуг;
  • оценка безопасности облачных решений, включая проверку наличия и функционирования контролей безопасности и активации встроенных механизмов защиты и управления;
  • расширение охвата управления идентификационной информацией и доступом для включения в него облачных сервисов;
  • проектирование систем защиты данных для облачных решений, включая предотвращение потери данных, шифрование, управление ключами / сертификатами;
  • включение мер безопасности облачных систем и реагирования на инциденты в процессы DevOps; эффективная интеграция журналов / технологии управления информационной безопасностью и событиями безопасности и анализа угроз в режиме реального времени.

Узнать больше

Подробнее

Вопросы информационной безопасности: осведомленность и обучение сотрудников

Cпециализированная команда консультантов PwC занимается вопросами повышения осведомленности и обучения сотрудников компаний в области информационной безопасности. Наши специалисты помогают сотрудникам клиента осознать важность обеспечения корпоративной безопасности во всех подразделениях и обучают их (на любом уровне организационной структуры), как обеспечить сохранность информационных и физических активов компании.

Пример проекта: в настоящее время компании признают, что «человеческий фактор» является основной причиной возникновения инцидентов информационной безопасности. Чтобы не допустить их, необходимо иметь глубокие знания и навыки по использованию как уже существующих, так и новых средств информационной безопасности.

Мы оказываем следующие услуги:

  • Процедуры и программы повышения осведомленности;
  • Программы обучения, по окончании которых при успешной сдаче экзаменов выдается сертификат (диплом) и присваивается квалификация;
  • Стратегия информационного взаимодействия.

В результате Вы получаете: минимизация рисков возникновения инцидентов, связанных с «человеческим фактором», и повышение эффективности управления информационной безопасностью.

Подробнее

Конфиденциальность и защита данных (GDPR)

Наша специализированная команда по предоставлению консультационных услуг в области конфиденциальности и защиты данных помогает компаниям реализовать широкий спектр мероприятий, направленных на развитие возможностей по обеспечению информационной безопасности. Специалисты этой группы оказывают содействие организациям во внедрении надлежащих методов обработки персональных данных клиентов и сотрудников, включая сбор, использование и хранение таких данных, а также обмен ими.

Пример проекта: критически важная деловая информация и персональные данные распространяются внутри Компании и – вполне возможно – за ее пределами. Практически в любом месте, где появляется эта информация, ее можно подсмотреть, изменить и даже уничтожить.

Мы помогаем клиентам в решении следующих задач:

  • Сбор и хранение данных;
  • Подотчетность;
  • Уведомление;
  • Выбор и согласование;
  • Доступ субъекта к своим персональным данным;
  • Раскрытие данных третьим лицам;
  • Достоверность данных.

В результате Вы получаете: снижение риска раскрытия, неавторизованного изменения или уничтожения информации.

Подробнее

Обеспечение физической безопасности

Группа консультантов PwC, специализирующаяся на услугах в области физической безопасности, занимается анализом функциональных возможностей и средств, необходимых для защиты оборудования, аппаратного обеспечения, а также сотрудников компании, задействованных в обеспечении информационной безопасности.

Пример проекта: отключения электроэнергии, пожар, размещение серверной комнаты в одном помещении со складом – все это типичные явления в сегодняшней жизни, что может привести к потере или хищению данных.

Мы оказываем следующие услуги:

  • Анализ состояния безопасности центра данных;
  • Политики, регламенты и стандарты;
  • Средства контроля доступа.

В результате Вы получаете: снижение рисков неавторизованного доступа и неожиданной потери корпоративной информации.

Подробнее

Соблюдение законодательных требований и политик Компании

Специализированная группа специалистов PwC, предоставляющая консультационные услуги по вопросам соблюдения нормативно-правовых требований и положений внутренней политики, помогает компаниям в решении задач, связанных с обеспечением соответствия требованиям законодательных и нормативных документов и внутренними регламентами. К основным законодательным и нормативным документам, требования которых компании должны знать, относятся:

  • Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон N 161-ФЗ «О национальной платежной системе»;
  • Стандарт Центрального Банка Российской Федерации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»;
  • Стандарт безопасности данных индустрии платежных карт (PCI DSS) и стандарт безопасности данных платежных приложений (PA DSS);
  • Закон о неразрывности медицинского страхования и конфиденциальности медицинской информации (HIPAA);
  • Закон Грэма – Лича – Блили (GLBA);
  • Закон Сарбейнса – Оксли;
  • и др.

Пример проекта: Компании необходимо представить деловым партнерам веское доказательство зрелости ее системы информационной безопасности или в Компании возникла необходимость соблюдения требований нормативных документов.

Мы оказываем следующие услуги:

  • Мониторинг соблюдения требований регуляторов;
  • Управление внутренними регламентами и стандартами;
  • Соблюдение требований внутренних регламентов и стандартов.

В результате Вы получаете: своевременная готовность к проведению необходимой сертификации с учетом бизнес-целей и задач.

Подробнее

Тестирование на проникновение систем защиты от несанкционированного доступа

Группа специалистов PwC по выполнению тестов на проникновение систем защиты от несанкционированного доступа выполняет тестирование сетевой инфраструктуры и приложений Компании, цель которого – выявить и проверить возможные уязвимости в критически важных компонентах инфраструктуры и бизнес-приложениях (как внутренних, так и общедоступных).

Пример проекта: киберпреступность стремительно развивается. Хакеры существует как внутри Компании, так и за ее пределами, поэтому риск взлома ее информационных ресурсов становится более чем реальным. На подобную деятельность способны также и вирусы.

Мы оказываем содействие клиентам в решении стоящих перед ними задач путем:

  • комплексного тестирования существующих систем защиты от несанкционированного доступа к инфраструктуре;
  • разработки и проведения процедур тестирования безопасности Интернет-сайта;
  • применения подхода тестирования по принципу «черного ящика» и «белого ящика»;
  • подготовки рекомендаций по устранению выявленных уязвимых мест в системе безопасности.

В результате Вы получаете: ликвидация слабых мест в ИТ-инфраструктуре позволяет уменьшить риски потери или хищения информации.

Подробнее

Управление безопасностью

Управление безопасностью включает в себя мероприятия, направленные на обеспечение общей безопасности и решение задач, стоящих перед организацией. Управление безопасностью распространяется на все проекты и мероприятия, которыми занимаются сотрудники, ответственные за обеспечения безопасности на уровне политик и руководства.

Пример проекта: по мере развития ИТ-услуг и ИТ-инфраструктуры Компании возникают риски, связанные с обеспечением информационной безопасности. Если Компания хочет построить систему управления информационной безопасностью или оценить результативность и эффективность реализуемых мероприятий, мы можем оказать следующие услуги:

  • Управление знаниями;
  • Управление персоналом;
  • Управление портфелем проектов;
  • Управление безопасностью в масштабах предприятия;
  • Упрвление отношениями с третьими сторонами;
  • Управление рисками;
  • Информационное взаимодействие.

В результате Вы получаете: минимизация актуальных рисков в сфере информационной безопасности, с которыми Компания сталкивается в ходе своей деятельности, и создание эффективной системы управления информационной безопасностью.

Подробнее

Управление угрозами и уязвимостями

Специализированная группа консультантов PwC предоставляет услуги по управлению угрозами и уязвимостями и оказывает содействие компаниям в решении важнейшей задачи – обеспечить защиту предприятия. В связи с постоянным расширением сетевой инфраструктуры растут риски безопасности. Деятельность команды PwC включает широкий спектр мероприятий: от установки традиционных сетевых экранов и внедрения механизмов защиты рабочих станций до построения систем по управлению рисками.

Пример проекта: классическая ситуация – Компания не знает о том, что на ее критически важные ресурсы готовится атака или что они уже подвергаются атаке.

Мы оказываем следующие услуги:

  • Мониторинг вторжений;
  • Обнаружение зловредных программ;
  • Управление информационной безопасностью;
  • Управление угрозами;
  • Управление уязвимостями;
  • Реагирование на инциденты;
  • Управление активами.

В результате Вы получаете: снижение риска возникновения серьёзных инцидентов информационной безопасности и повышение эффективности контроля за сохранностью и безопасностью критически важных информационных ресурсов.

Подробнее

Управление цифровой идентичностью

Управление цифровой идентичностью связано с необходимостью цифровизировать бизнес компании, а именно централизовать, автоматизировать и управлять критически важной функцией предоставления безопасного доступа клиентам, партнерам, сотрудникам и сервисам к данным, приложениям, и сервисам организации по различным каналам. 

Мы оказываем следующие услуги:

  • Оценка, анализ, проектирование и внедрение систем и процессов управления цифровой идентичностью и доступом;
  • Контроль, безопасность, централизация, управление и улучшение доступа клиентов, партнеров, контрагентов, сервисов и «вещей» IoT;
  • Упрощенная безопасная интеграция приложений и сервисов;
  • Координация и управление жизненным циклом учетных записей и ролей сотрудников, партнеров и контрагентов;
  • Управление доступом привилегированных учетных записей;
  • Контроль качества программ и проектов управления цифровой идентичностью;
  • Ускорение цифровой трансформации бизнеса.

 

Подробнее об управлении цифровой идентичностью

Подробнее

Центры мониторинга и реагирования на инциденты информационной безопасности (SOC)

Подробнее о SOC

Поскольку киберугрозы продолжают расти и развиваться, крайне важно, чтобы компании совершенствовали свои меры безопасности, максимально эффективно использовали новые технологии и быстро реагировали на угрозы по мере их возникновения. Чтобы повысить свою устойчивость к киберпространству, многие компании создают свои собственные центры безопасности (Security Operation Center), которые используют комбинацию технологий, процессов и обученного персонала для мониторинга инцидентов безопасности и принятия соответствующих мер.

Пример проекта

Компания заинтересована в наличии самостоятельного подразделения SOC. Для этого необходимо разработать стратегию создания и развития SOC, в рамках которой надо рассчитать оптимальное количество персонала, определить целевую техническую архитектуру, выделить ключевые инициативы по развитию направления SOC, провести их финансовую оценку и разработать дорожную карту их реализации. Помимо этого, требуется внедрить эффективные процессы по непрерывном мониторингу и реагированию на киберугрозы, соответствующие передовому мировому опыту, и обучить существующий персонал.

Наша команда специалистов имеет многолетний опыт работы в крупных российских и международных компаниях по созданию и развитию современных SOC. В рамках данного направления мы оказываем следующие услуги:

  • финансовая оценка и подготовка бизнес-кейсов по созданию и развитию SOC;
  • разработка стратегии создания и развития SOC, составление бюджета для ее реализации;
  • оценка зрелости технологий, процессов и персонала SOC по внутренней методике PwC SOCCER;
  • определение оптимальной организационной структуры подразделения SOC;
  • внедрение метрик и KPI эффективности процессов подразделения SOC. Визуализация отчетности для руководства и технических специалистов;
  • оценка работы используемых технических средств (Health Check);
  • проектирование целевой верхнеуровневой технической архитектуры средств защиты информации SOC;
  • составление рекомендаций по внедрению сценариев выявления инцидентов информационной безопасности (UseCase) под актуальные риски и угрозы компании;
  • описание и внедрение ключевых процессов SOC;
  • описание ролей, обязанностей и необходимых навыков для различных функций сотрудников SOC;
  • сравнение различных вариантов реализации SOC (внутреннее подразделение или приобретение услуг MSSP-провайдеров).

В результате вы получаете: минимизацию актуальных рисков и повышение эффективности управления информационной безопасностью за счет развития направления SOC, ориентированного на своевременное выявление и реагирование на инциденты, а также на сбалансированное применение кадровых и технологических ресурсов.

Узнать больше

Подробнее

Исследования в области кибербезопасности

{{filterContent.facetedTitle}}

Видео

{{filterContent.facetedTitle}}

Контакты

Алексей Окишев

Партнер, руководитель технологической
практики

Тел: +7 (495) 967 6000

Виталий Соколов

Партнер отдела анализа и контроля рисков, лидер практики по оказанию услуг в области кибербезопасности

Тел: +7 (495) 967 6153

Михаил Курзин

Директор, практика по оказанию услуг в области кибербезопасности

Тел: +7 (495) 223 5040

Мы в социальных сетях