💡 ИБ за 60 секунд
💡Управлением рисками занимаются только зрелые компании. Деятельностью в этой сфере считается, даже если учет рисков ведется в документе Excel.
❇️Комплаенсом занимаются все компании, так как это соответствие организации требованиям и нормативам регуляторов.
❓Но как угодить и регуляторам и реально защитить компанию?
👉Управлять соответствием. Стоит учитывать, что нормативные документы по требованиям к компаниям пересекаются от 40% до 60%. На что обязательно обратить внимание:
- Соответствие обработки ПДн;
- Управление соответствием ISO 27001
- Управление соответствием SWIFT;
- Управление соответствием PCI DSS;
- Управление соответствием КИИ;
- Соответствием Положением Банка России (683, 757(684), 747(672),716,719);
- Управление аудитами и стандартами ИБ
👉Проводить внешние и внутренние аудиты без автоматизации:
- Разослать опросные листы;
- Агрегировать данные, провести анализ, подготовить отчет;
- Передать сотрудникам задачи на устранение несоответствий и контролировать исполнение.
👉Создавать собственные стандарты. Их рекомендуется формировать, исходя из рекомендаций в документации, опыта коллег, учитывая инфраструктуру и особенности компании.
👉Управлять рисками в компании, сочетая качественную оценку с количественной. Опираться можно на угрозы ФСТЭК и общеизвестные техники Mitre Attack, а также имеющиеся активы в компании.
💭А Вы выполняете требования регуляторов для «бумажной» безопасности или для защиты компании от реальных атак? Поделитесь в комментариях!