София Мащенко, директор по развитию бизнеса
Внедрение и Сертификация ENX TISAX®
Определение области охвата имеет решающее значение для VDA ISA и ENX TISAX®. Ошибки на этом этапе приводят к лишним работам по внедрению и обслуживанию или к ошибочным результатам сертификации. Также мы определяем приоритеты задач, чтобы как можно быстрее получить максимальную безопасность. Мы выполняем этот этап для вас бесплатно. Когда вы понимаете, что вам интересно работать с нами, мы отправляем вам коммерческое предложение и подписываем договор.
Этот этап обычно занимает 3-4 недели, в зависимости от области охвата. Мы проводим собеседования с вашими сотрудниками, проверяем документы, оцениваем физическую безопасность, периметр и т. д. Этот этап включает анализ текущего состояния процессов и средств управления информационной безопасностью, бизнес-процессов и технологических процессов, анализ физической безопасности помещений, персонала, ИТ-инфраструктуры и т. д. Результатом этого этапа является отчёт о первичном аудите и анализе недостатков, а также подробный план-график внедрения средств контроля VDA ISA.
Этот этап обычно выполняется в течение 4–9 месяцев, в зависимости от области охвата, исходного состояния и результатов предыдущего этапа. Выполняется: построение и автоматизация СУИБ с использованием инструментов класса GRC, внедрение базовых процессов управления безопасностью (управление инцидентами, изменениями и т. д.), реализация необходимых базовых мер и контролей безопасности, внедрение основных элементов SDLC, обучение сотрудников политикам и правилам безопасности, разработка и расчёт KPI. В результате вы получаете не только набор точных и полных документов и записей, но также новую культуру безопасности вашей организации и высочайшую степень готовности к официальной сертификации.
Процесс сертификации обычно длится 1-3 месяца, в зависимости от утверждённой области охвата. Этот этап включает выбор органа сертификации, предварительный аудит, корректирующие действия и сертификационный аудит. Мы защищаем вас на аудите, демонстрируем, что мы создали для вас, и помогаем аудитору. После этого аудитор анализирует результаты, собирает доказательства и составляет окончательный отчёт. Наконец, вы получаете сертификат ENX TISAX®, статус официального соответствия и можете с гордостью показывать ваш новый статус вашим клиентам через портал ENX.
Подробнее.
Поддержка и Управляемое соответствие
Ежемесячное или ежеквартальное обучение сотрудников на всех местах. Тренинг занимает 1 час и может проводиться для различных категорий сотрудников (общий персонал, разработчики программного обеспечения, системные администраторы, HR и т. д.).
Обучение сотрудников |
Весь исходный код программного обеспечения, включая скрипты, необходимо анализировать, чтобы не допустить случайных или намеренных уязвимостей. У нас высокая компетенция в безопасности приложений, поэтому мы выполняем анализ безопасности кода на высшем уровне.
Аудит безопасности исходных кодов |
Многие риски безопасности невозможно заранее предусмотреть, поскольку инфраструктура и окружение организации изменяются. Появляются новые партнёры, сервисы, интерфейсы. Появляются новые уязвимости в открытых и проприетарных приложениях. Поэтому нужен ситуативный анализ рисков.
Ситуативный анализ рисков |
Сетевые файрволы, файрволы веб-приложений, VPN, NAC, системы обнаружения вторжений IDS/IPS (NIDS/NIPS), системы контроля целостности, системы DLP (предотвращения утечек данных), системы управления пользователями и доступом (IAM), системы SIEM и т.д. — всё это требует регулярного мониторинга.
Мониторинг систем безопасности |
Нормативные и операционные документы по безопасности требуют постоянного совершенствования. Это нужно для того, чтобы, с одной стороны, повышать уровень безопасности организации, но, с другой стороны, снижать неудобства, которые возникают из-за правил и систем безопасности.
Поддержка политики и процедур безопасности |
К сожалению, даже при самой продвинутой системе управления безопасностью организация не застрахована на 100% от инцидентов безопасности. Необходимо вовремя выявлять данные инциденты и правильно на них реагировать. У нас большой практический опыт не только в устранении последствий инцидентов, но и в кибер-криминалистике, то есть, в преследовании и наказании кибер-преступников.
Управление инцидентами |
Наиболее практическая сторона управления безопасностью состоит в имитации действий компьютерных преступников и других вредоносных субъектов, для испытания систем и людей на прочность и получения реальной картины безопасности. Мы являемся лидерами в проведении тестирования на проникновение и обеспечиваем высший уровень качества этого вида оценки безопасности.
Сканирование уязвимостей и пентесты |
Инструменты GRC (Governance, Risk management, and Compliance) требуют постоянного внимания и развития с целью обеспечения непрерывного соответствия требованиям безопасности, выполнения управления рисками на всех уровнях и получения удобных отчётов по текущему состоянию безопасности организации на стратегическом уровне.
Поддержка отчётности GRC |
Ежемесячные или ежеквартальные отчёты высшему руководству об инцидентах безопасности, если таковые имеются, а также об общем состоянии и прогрессе информационной безопасности.
Регулярная отчётность высшему руководству |
Узнайте больше о нас.
Новости и рекомендации
- Ознакомьтесь с нашим кейсом по внедрению ENX TISAX® в компании, которая разрабатывает автомобильные системы. Мы гордимся тем, что завершили один из первых проектов сертификации ENX TISAX® в Восточной Европе. После этого мы использовали наш опыт в других реализациях ENX TISAX®. Мы были первыми и остаёмся лучшими!
- Пройдите Онлайн-мастер оценки соответствия VDA ISA и ENX TISAX®. Проверьте за 30 минут, насколько ваша компания соответствует VDA ISA и ENX TISAX®, а также что и сколько времени вам нужно для достижения полного соответствия и сертификации.
- Рекомендуем рассмотреть нашу помощь по внедрению ISO/IEC 27001, ISO/IEC 27002, ISO/TS 16949, ASPICE (Automotive Software Performance Improvement and Capability dEtermination) и GDPR (General Data Privacy Regulation). Отправьте форму ниже для получения бесплатной консультации.
