Оценка соответствия

Чтобы обеспечить надежный уровень защиты информации, компания должна предупреждать не только технологические риски и риск вторжения злоумышленника в корпоративную ИТ-инфраструктуру, но и обрабатывать регуляторный риск. Он заключается в несоответствии требованиям законодательства или иных нормативов к организации процессов управления информационной безопасностью.

Ряд национальных и международных регуляторов выдвигает требования к российским компаниям самых разных сфер деятельности, размеров и бюджетов. Бизнесу приходится решать: найти ресурсы на соответствие требованиям или принять вероятность понести наказание. Оно может выражаться не только в значительных финансовых потерях, но и в применении правовых санкций к должностным лицам.

Риск внушительный. Так чему же соответствовать, чтобы его устранить? Нормативы в области ИБ образуют запутанную систему документов и требований. Обычная ситуация, когда компания подпадает под требования сразу нескольких регуляторов и нормативов, и ее сотрудники, помимо операционных задач, вынуждены разбираться в нетипичных для себя вопросах сразу по нескольким направлениям. Для бизнеса это выливается в дорогостоящие услуги по консалтингу. Приходится взаимодействовать не с одним, а с несколькими партнерами, объясняя одну и ту же информацию разным, узко специализированным аудиторам, и играя по пять тендеров в год. Результат такого подхода – неэффективное распределение бюджета и времени специалистов.

Однако существует альтернативное решение этой задачи. Многие требования из разных стандартов имеют точки пересечения и являются частью более глобальных и универсальных процессов управления ИБ. Таким образом, отдельные технические и организационные меры можно выстроить в единую систему обеспечения информационной безопасности в конкретной компании. Опираясь на это и используя современные подходы к проведению оценки соответствия, сбору данных и взаимодействию с заказчиком, Digital Security предлагает пакет комплаенс услуг по модели «единого окна», когда один поставщик может провести оценку соответствия, сертификационный аудит или GAP-анализ в комплексе сразу по нескольким нормативам. Это позволяет снизить общую стоимость работ (вплоть до 60% от суммарной стоимости услуг независимых поставщиков) и предоставить заказчику удобное сопровождение по всем возникающим вопросам.

Аудиторы Digital Security занимаются оценкой соответствия и консалтингом в сфере менеджмента ИБ с 2007 года. За это время мы успешно завершили более 200 комплаенс-проектов для ведущих компаний финансового сектора, связи и ритейла. Среди наших клиентов как маленькие интернет-магазины, так и системообразующие банки. Основа нашей работы — погружение в бизнес-процесс клиента, мы формируем пакет услуг в зависимости от специфики деятельности компании, конкретных задач и выделенного бюджета.

В портфеле наших услуг:

1. Оценка лицензиатом ФСТЭК соответствия:

  • Требованиям Банка России (СТО БР, 382, ГОСТ Р 57580.1 и др.);
  • Требованиям о безопасности персональных данных (152ФЗ, GDPR);
  • Нормативам ФСТЭК (ГИС – 17 ФСТЭК, КИИ – 187ФЗ, АСУ ТП).

2. Консалтинг и GAP-анализ (ISO 27001, лучшие практики управления ИБ, в том числе NIST, CIS, PCI DSS, SWIFT CSP).

По результатам работ мы предоставляем интегрированный отчет, содержащий полный перечень несоответствий требованиям регуляторов, рекомендации по их устранению, а также уникальные рекомендации для менеджмента ИБ. По договоренности с заказчиком осуществляется разработка необходимых внутренних документов и формализованной отчетности.

Соответствие СТО БР ИББС-1.0

Стандарт Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения» регламентирует вопросы информационной безопасности организаций банковской системы РФ.

Оценка соответствия требованиям Положения ЦБ РФ № 382-П

Для выполнения Федерального закона «О национальной платежной системе» 161-ФЗ в части защиты информации при осуществлении переводов денежных средств Центральным Банком было разработано Положение № 382-П.