Synergy of Trustworthy Efforts and Leadership

  1. Главная
  2. Услуги
  3. Консалтинг в области информационной безопасности и непрерывности бизнеса и сертификация по стандартам ISO 27001, 22301

Консалтинг в области информационной безопасности и непрерывности бизнеса и сертификация по стандартам ISO 27001, 22301

Консалтинг в области информационной безопасности и непрерывности бизнеса и сертификация по стандартам ISO 27001, 22301

Определение консалтинга в области ИБ

Консалтинг – это, прежде всего, вид интеллектуальной деятельности. Его основная задача заключается в анализе и обосновании перспектив развития, а также в использовании научно-технических и организационно-экономических инноваций с учетом предметной области и проблем клиента. Консалтинг решает вопросы управленческой, экономической, финансовой, инвестиционной деятельности организаций, стратегического планирования, оптимизации общего функционирования компании, ведения бизнеса, исследования и прогнозирования рынков сбыта, движения цен и т. д. Исходя из вышесказанного, постараемся сформулировать определение консалтинга в области информационной безопасности (далее ИБ).

Консалтинг в области информационной безопасности представляет собой комплекс услуг, оказываемых компанией-консультантом заказчику с целью определения:

  • текущего уровня обеспечения (уровня зрелости) ИБ в организации, в соответствии с лучшими мировыми практиками по обеспечению ИБ, отраслевыми требованиями, а также с точки зрения эффективности противодействия существующим угрозам ИБ;
  • направления развития ИБ, целей и решаемых задач с учетом стратегических целей развития организации;
  • конкретных действий, необходимых для продвижения по выбранному направлению и достижения поставленных целей и задач.

Актуальность услуг по консалтингу в области ИБ

Сегодня консалтинг в области ИБ очень востребован на рынке. Это связано с актуальностью задач, решаемых с его помощью.

В каких же случаях и кто обращается в консалтинговую компанию? Можно выделить четыре основных повода.

Во-первых, это происходит тогда, когда организация не знает, на каком уровне развития находится информационная безопасность ее ресурсов, отвечает ли она потребностям бизнеса и внешним требованиям (законодательство, отраслевые, регулирующие требования, требования заказчиков и т.п.), нет полного понимания, какие действия необходимо предпринимать и нужны ли они вообще. При этом в штате организации отсутствуют квалифицированные специалисты, способные решить вышеперечисленные задачи.

Во-вторых, когда существующая система ИБ построена и функционирует неэффективно, и это сказывается на текущей деятельности. В такой организации часто возникают инциденты информационной безопасности, приводящие к значительным ущербам, остаются высокие риски реализации угроз ИБ из-за отсутствия или малой результативности отдельных мер по ее обеспечению. При этом в организации не хватает необходимого опыта и внутренних ресурсов для выстраивания эффективных защитных мер, а также обеспечения адекватной и своевременной реакции на возникающие инциденты ИБ.

В-третьих, когда существует явная необходимость привести имеющиеся механизмы обеспечения ИБ в соответствие с внешними требованиями в области информационной безопасности. В основном это относится к требованиям различных регуляторов в той отрасли, в которой работает организация. Сюда же можно отнести и выполнение требований законодательства.

В-четвертых, когда организация, достигнув нового, более высокого уровня развития, понимает, что существующий уровень обеспечения ИБ не только не удовлетворяет текущим потребностям, но и является сдерживающим фактором для дальнейшего развития. В данном случае необходимо выстроить процессы управления ИБ, тесно взаимоувязанные с существующими бизнес-процессами, что позволит перевести на более высокую ступень развития и управления ИБ в организации. Это, в свою очередь, поможет добиться прозрачности и ясности вопросов обеспечения информационной безопасности как для высшего руководства организации и существующих акционеров, так и для потенциальных инвесторов. Такой консалтинг заключается в построении системы управления ИБ в соответствии с лучшими мировыми практиками и, при необходимости, в подготовке системы управления к сертификации1 по международным стандартам в области ИБ.

Инициаторами приобретения услуг консалтинга в сфере информационной безопасности, как правило, являются:

  • руководство организации, если оно хочет разобраться в том, на каком уровне находится ИБ в организации, сделать ее эффективной с точки зрения затрат и, соответственно, адекватной угрозам, что необходимо предпринять, чтобы улучшить состояние процессов обеспечения защиты информации. При этом руководство осознает, что собственных ресурсов для решения такой задачи недостаточно. В некоторых случаях руководство может быть инициатором приглашения внешнего консультанта, если хочет составить для себя объективную картину того, насколько качественно службы, ответственные за выполнение задач по обеспечению ИБ, выполняют их;
  • служба автоматизации или служба информационной безопасности, когда существующий уровень компетенций сотрудников в части ИБ в целом недостаточен для решения поставленных задач по построению эффективной системы информационной безопасности;
  • служба информационной безопасности в случаях, когда перед ней ставятся новые задачи, выходящие за рамки установленных обязанностей и компетенций (периодические работы, требующие высокой квалификации сотрудников, внедрение новых систем и технологий и т.п.). В данном случае внешние
  • высококвалифицированные специалисты привлекаются для решения данных специализированных задач, в то время как штатные сотрудники службы могут сконцентрироваться на решении профильных повседневных вопросов.

Виды консалтинга в области информационной безопасности

Каждый консалтинговый проект в области ИБ сам по себе уникален. Однако можно выделить основные виды услуг, предоставляемых консалтинговыми компаниями:

  • аналитическая деятельность (анализ и оценка деятельности организации по защите информационных ресурсов, включая анализ эффективности применяемых средств и методов защиты информации, экспертизу ведущихся проектов в части ИБ, сравнительные исследования с показателями по отрасли и т. д.);
  • прогнозирование (на основе проведенного анализа и используемых консультантом методик – составление прогнозов по указанным выше направлениям);
  • консультации с выдачей рекомендаций по самому широкому кругу вопросов, касающихся защиты бизнес-процессов и ресурсов организации, разработки и внедрения мероприятий и систем защиты;
  • стратегическое планирование деятельности организации в области ИБ и решение совокупности проблем, связанных с организацией управления информационной безопасностью.

Формы оказания услуг по консалтингу в области информационной безопасности

Формы предоставления услуг также могут быть различными в зависимоси от сложности проекта и пожеланий заказчика:

  • консультации с периодическими выездами на площадку заказчика для сбора исходных данных, согласования результатов анализа и выдаваемых рекомендаций;
  • удаленные консультации без выезда на площадку заказчика;
  • постоянное присутствие на площадке заказчика определенного числа консультантов в течении всего срока проекта (аутстаффинг).