1. Обследование текущей процедуры управления рисками
Результат:
Результат:
Результат:
Результат:
Фрагмент схемы процесса (пример)
Нормативный документ, определяющий требования к управлению рисками ИБ
Нормативный документ, описывающий процесс управления рисками ИБ
Нормативный документ, описывающий алгоритм расчета риска ИБ
Определяем целевые группы обучения
Не все участники процесса взаимодействуют с рисками одинаково - а значит, и обучение не может быть универсальным.
На этом этапе определяется, кто и в какой роли вовлечён в управление рисками: топ-менеджмент, владельцы бизнес-процессов, функции ИТ и ИБ и другие.
Для каждой группы формируется своя программа — с учётом уровня погружения и зоны ответственности.
Формируем обучающие материалы
Разрабатываются содержательные, практически ориентированные материалы: презентации, инструкции, справочники, шаблоны.
Всё создаётся под специфику компании — без лишней теории и с акцентом на то, что участникам действительно нужно знать для работы.
Проводим обучающие встречи
Материалы передаются через живое взаимодействие: обучающие сессии с каждой целевой группой, разбор практических кейсов, ответы на вопросы.
Цель — не поставить галочку, а добиться реального понимания.
Каталоги для оценки (пример)
Описание последствий в части ИБ
Тип последствий в части ИБ
Негативные для бизнеса события с т.з. ИБ
Пример каталога нарушителей
Хакерская группировка
Преступные группа, совершающая кибератаки по заказу конкурентов или других государств.
Когда выбрать:
Угроза проникновения внешнего нарушителя в ИТ-инфраструктуру Компании и реализации масштабной атаки:
Штатный работник компании без привилегированных прав доступа, но с доступом к чувствительной коммерческой информации.
Когда выбрать:
Угроза несанкционированных действий / непреднамеренных ошибок работника с непривилегированными правами доступа, однако являющегося специалистом бизнес-направления (например, менеджер по работе с клиентами).
Штатный работник компании с привилегированными правами доступа к информационным ресурсам и / или СЗИ.
Когда выбрать:
Угроза несанкционированных действий / непреднамеренных ошибок работника с привилегированными правами доступа.
Оценка рисков КБ перестаёт быть ситуативным ответом на возникающие угрозы, становится неотъемлемой частью корпоративной деятельности. Процесс работает непрерывно - независимо от того, случился инцидент или нет.
Методология, адаптированная под компанию
Вместо универсальных шаблонов, которые плохо ложатся на реальную специфику бизнеса, выстраивается собственный подход к оценке — с учётом отраслевого контекста, структуры активов и реального профиля угроз.
Руководство принимает решения на основе данных
Топ-менеджмент на регулярной основе получает актуальную, структурированную информацию о рисках — достаточную для того, чтобы принимать взвешенные управленческие решения: где усилить защиту, где принять риск, а где скорректировать стратегию управления риском информационной безопасности. Кибербезопасность перестаёт быть «чёрным ящиком», и становится понятным инструментом управления.
У Вас остались вопросы?
Оставьте заявку и мы свяжемся с вами в ближайшее время.