Основными целями проекта стали:
• Получение объективной и независимой оценки текущего уровня защищенности информационных активов, а также его соответствие действующим нормативным документам.
• Определение приоритетных направлений совершенствования в области ИБ.
• Обеспечение осведомленности о наличии и уровне угроз ИБ.
Реализация проекта осуществлялась в головном офисе оператора в Москве, заняла около трех месяцев, выполнялась в один этап и включила в себя:
• Сбор и анализ исходных данных об организационной и функциональной структуре системы обеспечения ИБ, включая организационные и технологические компоненты систем, сетей и ИБ-решений.
• Анализ существующих политик, процедур обеспечения ИБ на предмет полноты и эффективности, включая ОРД и реально существующие процедуры.
• Анализ существующих рисков, связанных с осуществлением угроз ИБ.
• Анализ выполнения требований, предъявляемых регуляторами и законодательством РФ, в т.ч. по защите систем, обрабатывающие персональные данные.
• Выборочный инструментальный анализ систем, включая ПО, сетевые узлы и их уязвимости.
• Структурирование и анализ полученной информации с целью выявления соответствий/несоответствий предъявляемым требованиям, сильных/слабых мест системы защиты, проблем в организации процессов обеспечения ИБ.
• Выработку предложений по повышению уровня ИБ, включая как организационную, так и техническую составляющие.
• Разработку заключения по результатам обследования.
В результате реализации проекта получена объективная оценка уровня обеспечения ИБ заказчика, выдано заключение, разработаны рекомендации по совершенствованию технической и организационной составляющей ИБ.
Заключение включило в себя:
• Сведения о выполнении требований нормативных актов и законодательства в области обеспечения ИБ.
• Рекомендации по разработке/доработке политик и процедур по обеспечению информационной безопасности.
• Предложения по технической модернизации системы защиты информации для повышения уровня надежности и безопасности информационной системы.
Руководитель направления комплексного обеспечения информационной безопасности «АСТ» Инна Сергиенко: «Важно, когда заказчик реально оценивает значимость вопроса обеспечения информационной безопасности, стремится создать надежную защиту от внешних и внутренних угроз. Этот проект – как раз такой случай. Масштаб бизнеса, конкурентность рынка, значимость обрабатываемых данных – все это вызывает необходимость не просто соответствовать требованиям законодательства, а обеспечивать высокий уровень защиты данных. Проведя аудит мы, вместе со специалистами заказчика, точно определили то, что требует внимания, разработали план конкретных действий, программу их реализации. Все это позволит компании обеспечить высокий уровень безопасности информационных систем и данных».