Аудит и разработка регламентов по информационной безопасности для малых и средний компаний.
Во всем мире на текущий момент актуальны вопросы безопасности. Весь мир обеспокоен вопросами безопасности. GDPR регламентирует защиту персональных данных, но есть вопросы защиты данных в рамках организации, что не менее важно и актуально. Все больше компаний занимаются вопросами конкурентной разведки, не единожды наши заказчики сталкиваются с кражей данных. И все это обостряет проблематику защиты данных в рамках организации.
Предпосылками создания пакета таких услуг в WEB PEOPLE является наличие на рынке большого количества бизнесов небольшого и среднего размера (5-50 сотрудников), которые не могут позволить себе весь комплекс услуг “больших” игроков рынка информационной безопасности, таких как Softline, но подвержены тем же рискам, что и крупный бизнес.
Эти риски включают в себя:
Потерю данных вследствие аппаратных сбоев или не намеренных действий сотрудников
Потерю данных вследствие кражи оборудования
Потерю данных вследствие атак злоумышленников
Утечку чувствительных данных за периметр организации
Попадание внутрь периметра организации нежелательных данных (например, известны случаи “подбрасывания” конкурентами детской порнографии)
Блокировка важных данных с целью получения выкупа (его средний размер для БД предприятия - 4-8 тыс. USD)
Взлом сайта компании
Утечка или потеря персональных данных клиентов (нарушение законодательства РБ)
Снижение эффективности сотрудников из-за неправильной работы ПО
Репутационные потери в случае очевидных специалистам проблем с ИБ (например, на сайте компании)
Традиционно компании в сфере информационной безопасности предоставляют услуги аудита, тестирования на проникновение (пентесты) снаружи, тестирования на проникновение изнутри (редтиминг) и внедрения мощных решений по защите данных, таких как DLP (система защиты от утечки данных, например Falcongaze SecureTower ), систем фильтрации трафика (таких как Fortinet ), систем мониторинга действий сотрудников (например, StaffCorp ), установку и настройку сетевого оборудования корпоративного класса. Чек для такого комплекса мероприятий редко опускается ниже 30 000 долларов. Практически всегда для поддержания этих решений требуется штатный ИТ-специалист в компании.
В то же время защитить себя от 80% угроз, вызванных элементарным отсутствием в компании правильных практик информационной безопасности и бесплатных или недорогих решений, можно значительно проще.
В основе пакета - создание политики информационной безопасности организации, разбитой на отдельные регламенты, которые адаптируются для конкретных сотрудников и бизнес-процессов. Следование регламентам не сложнее, чем любому чек-листу или должностной инструкции. Внедрение политики - вопрос ~3 месяцев работы системного администратора средней квалификации, затем для поддержания работоспособности требуется эпизодический контроль администратора объемом не более 16 часов в месяц.
Мы не являемся профильными специалистами по ИБ, но опыт показывает, что следование систематизированной политике, включающей базовые и общепринятые практики многократно повышает устойчивость организации к атакам и потере данных. В дальнейшем, при росте компании и обращении к профильным специалистам уже внедренная политика значительно снижает общий чек. Если уместна аналогия, то мы - это врачи общей практики, тогда как условный софтлайн - клиника узких специалистов, с соответствующей разницей в подходе и стоимости услуг. Для большинства людей достаточно ходить регулярно к врачу общей практики.
В состав пакета входят следующие услуги:
Базовый аудит инфраструктуры, бизнес-процессов и информационной безопасности предприятия (~8 часов)
Создание адаптированной для нужд предприятия политики информационной безопасности (10-20 часов)
Консультации системного администратора компании (4-8 часов) либо помощь с наймом (10-20 часов) временного или постоянного сотрудника для реализации политики (вакансия, тестовое задание, скрининг, собеседования)
Создание календарного плана внедрения политики (4-8 часов)
Поэтапный контроль за внедрением политики на всем протяжении внедрения (5-15 часов)
Согласование и оптимизация расходов компании на приобретение необходимого ПО и оборудования (в случае жесткой экономии - работа с существующим оборудованием и только бесплатным ПО) (2-3 часа)
Дополнительно необходимо заложить как минимум 15 часов работы клиент-менеджера на базовый случай и более на случай с поиском персонала.
Политика ИБ включает следующие элементы:
Общие принципы информационной безопасности
Применимые нормативно-правовые акты Республики Беларусь
Классификации характера данных
Описание рекомендуемой ИТ-инфраструктуры компании (серверное и коммутационное оборудование)
Регламент доступа к серверам
Мониторинг и логирование
Регламенты обмена данными в личных сообщениях и корпоративном чате, электронной почте и социальных сетях
Регламент криптографической защиты важных данных
Предотвращение утечек и поступления нежелательной информации
Антивирусная защита
Регламент работы со служебными данными
Регламент работы с коммерческой тайной и персональными данными
Регламент работы с секретной информацией
Хранение и регламент работы с данными для аутентификации, в том числе в неблагоприятной среде
Регламент информационной безопасности сайта компании
Регламент резервного копирования данных
Регламент документирования ИТ-инфраструктуры предприятия
Регламент администратора по подключению нового сотрудника
Мы всегда используем принцип экономической целесообразности - для данных различного характера (и чувствительности к утечкам) применяются регламенты, соблюдение которых требует ресурсов, адекватных существующим рискам.
ИБ нужна только большим компаниям, условному “Сбербанку” и “Газпрому”, и стоит безумных денег. Это не так. Достаточно защищенную систему можно построить, потратив не более 1000 USD на ПО и используя арендованные защищенные сервера за 100-150 USD в месяц. Хороших результатов можно добиться даже не потратив ни доллара сверх времени работы администратора, только за счет следования протоколам и лучшим практикам. В то же время риски для крупного и малого бизнеса одни и те же, отличаются только пропорционально размеру компании абсолютные суммы потерь.
У нас и так все хорошо, ни разу не взламывали. Оцените потенциальный ущерб от потери данных за последнюю неделю работы. За месяц. В некоторых случаях возможна потеря всех данных. Скорее всего, эта сумма превышает расходы на внедрение и поддержание политики ИБ. Из недавних примеров взлома - “Гидропромстройка” (шифровальщик), “Евросклад” (кража сервера). Также можно почитать отчет ведущего российского разработчика систем безопасности Positive Technologies о проникновении одного из самых известных шифровальщиков Wannacry. Не застрахован никто.
Мы доверяем своим сотрудникам, они не подведут. Человеческий фактор срабатывает даже с самыми лояльными сотрудниками. Все допускают ошибки, наша задача - создать страховочную сеть, которая не превратит даже серьезную ошибку в фатальную, уберет или снизит финансовые потери.
Наши проекты
Получить предложение
Если у вас есть заполненный бриф, техническое задание и/или описание вашей задачи, то высылайте нам на почту или в мессенджеры. Мы ответим в течение дня.
Мы готовы предложить вам решение!
Высылайте бриф, ТЗ или описание задачи. Оценка займет от 2 до 24 часов, после чего мы проведем анализ и
подготовим максимально релевантное предложение
