Основной целью проекта является определение актуальных рисков информационной безопасности в компании и формирование плана работ по их снижению. Работы по снижению рисков выражаются в построении оптимизированной системы защиты. Оптимизация достигается за счет решения целевых задач выработанных в ходе аудита.
Второстепенная цель – выявление текущих инцидентов информационной безопасности и уровня защищенности информационных ресурсов компании. В рамках данных работ мы получаем информационный срез – “Как есть”.
ЗАДАЧИ ПРОЕКТА
- Формализация и структурирование информации по элементам и сервисам существующей информационной системы;
- Определение основных технических, организационных и правовых рисков;
- Оценка соответствия существующего уровня защиты требованиям законодательства и современным потребностям информационной безопасности;
- Оценка уровня исходной защищенности и анализ информационных потоков (с применением, в том числе, и технических инструментариев).
Конечные цели (в рамках построения системы защиты)
В результате внедрения проекта по комплексной защите информации в информационной системе, должны быть исключены (снижены) риски, связанные с:
- Финансовыми потерями в результате хищения (утечки) конфиденциальной и служебной информации;
- Финансовыми потерями в результате злоупотребления должностными обязанностями сотрудников компании;
- Потерей репутации в результате хищения (утечки) конфиденциальной и служебной информации;
- Простоем информационных сервисов, связанным со злонамеренными действиями злоумышленников и непреднамеренными действиями легитимных пользователей;
- Простоем информационных сервисов, связанным со случайным, либо злонамеренным ограничением доступности сервиса.
Выгода комплексного аудита
- Формирование требований к системе защиты
- Формирование согласованной сметы на общий комплекс работ
- Наличие отчета с описанием бизнес рисков, монетизация рисков
- Пилотирование технических решений
За счет точной оценки можно выбрать целевые группы пользователей и ресурсов, оптимизировав затраты проекта.
РЕЗУЛЬТАТЫ ПРОЕКТОВ ПО АУДИТАМ
Кредитная организация
Был выявлен факт пересылки контактов клиентов с условиями Ипотек. После клиента переманивали более низким процентом – сейчас ведется превентивный мониторинг при работе с клиентскими базами с автоматическим реагированием (предотвращённый ущерб - миллионы)
Ритейл
Были выявлены коррупционные схемы, сотрудники которые пытались вынести закрытую информацию и сотрудники, которые откровенно саботировали свои служебные обязанности. В том числе были выявленные уязвимости в общей Wi-Fi сети, через неё была возможность получить доступ к системе видеонаблюдения. Данные риски были минимизированы.
Промышленная организация
Были обнаружены уязвимости автоматизированной системы управления производством при желании конвейер мог остановить любой сотрудник с доступом в АС – сейчас система управления производством изолирована от общей сети и Интернет, регламентами и ТС доступ к ней ограничен.
Государственная компания
Были обнаружены уязвимости WI-FI сети, из которой можно было попасть в серверный сегмент и получить доступ к администрированию системы видеонаблюдения. Кроме того, с Интернета были доступны на администрирование сервисы со слабыми паролями. Данные риски были минимизированы.
Федеральный холдинг
Были выявлены сотрудники (около 7%) от числа сотрудников компании, которые на исполнение своих служебных обязанностей тратили не более 10% рабочего времени. За время проведения аудита структурных оптимизаций пилот окупился более чем в 20 раз.
В каждом из переведенных случаев система защиты закрывала целевой риск, наиболее сильно влияющий на прямые и косвенный финансовые потери.