Как строили работу
Методы были стандартными для проектов такого типа: интервью и анкетирование, затем аудит и проектирование.
1. Интервью и сбор фактуры
Через интервью собрали информацию о процессах, системах, ролях и текущих правилах ИБ. Это нужно, чтобы не назначать меры без понимания реальных потоков информации, технических ограничений и зон ответственности.
2. Аудит ИБ
Провели аудит текущего состояния безопасности и выявили зоны, где защита не соответствовала требованиям, рискам или внутренним ожиданиям контроля.
3. Разработка модели угроз
Сформировали модель угроз с учетом специфики деятельности клиента и внешней обстановки. Модель стала основой для выбора приоритетов и обоснования мер защиты.
4. Техническое задание и проектирование системы защиты
Подготовили техническое задание и спроектировали систему защиты так, чтобы меры были реализуемыми и поддерживали внутренние требования контроля.
5. Разработка внутренних ЛНА по ИБ
Разработали внутренние локальные нормативные акты по ИБ. Для компаний с большим количеством ролей и подрядчиков ЛНА — не бумажный слой, а способ закрепить правила: кто и как получает доступ, что считается допустимым, как реагировать на инциденты, кто утверждает изменения.
6. Обоснование закупки средств защиты
Отдельной ценностью проекта стала помощь в обосновании закупки необходимых средств защиты.
В корпоративной среде это критично: без понятного обоснования закупки зависают, а риски остаются. Модель угроз и техническое задание помогают перевести риск в понятные аргументы для руководства и внутреннего согласования.