+7 (495) 560­-48-95

consulting@sinfores.ru

Экспертные услуги

Бывают ситуации, когда нет четких критериев, с которыми следует сравнить свою систему обеспечения информационной безопасности (примерами таких критериев могут служить требования СТО БР ИББС-1.0, законодательства о персональных данных, ISO\IEC 27001, PCI DSS и т.д.). Однако, необходимость оценить, насколько Ваша компания защищена существует.

Как правило, такая ситуация возникает, либо в случае, когда компания находится на низком уровне развития процессов информационной безопасности, либо, когда уровень довольно высок и сравнения с лучшими практиками уже недостаточно.

В этом случае оптимальным решением является проведение экспертного аудита, где критериями является мнение специалистов, имеющих большой опыт, как в сфере информационной безопасности, так и в соответствующей отрасли бизнеса, чтобы понимать специфические риски, стоящие перед компанией.

Мы качественно проводим такие работы, так как наши специалисты имеют большой опыт в информационной безопасности и осуществляли проекты в таких отраслях, как финансово-кредитная сфера, металлургия, телеком, ритейл, ресторанный бизнес, энергетика. Мы знаем все специфические риски присущие данным отраслям.

 
 

Элементами экспертного аудита являются:

— проведение анализа процессов информационной безопасности, а также смежных с ними процессов внутреннего контроля, управления персоналом, управления ИТ, управления операционными рисками, управления развитием и т.д.;

— проведение анализа используемых механизмов информационной безопасности, включая как организационную составляющую, так и непосредственно архитектуру информационных систем, их конфигурации, используемые технические средства защиты;

— проведение инструментальных проверок функционирования механизмов защиты информации, а также поиск уязвимостей не закрытых системой обеспечения информационной безопасности;

— разработка модели угроз, описывающей все возможные сценарии реализации негативных событий, с экспертной оценкой критичности каждого из сценариев для бизнеса компании;

— разработка набора рекомендаций по усилению уровня информационной безопасности (либо по его уменьшению в областях, где существуют излишние затраты ресурсов для минимизации неактуальных рисков).