Due diligence (надлежащая проверка) в части ИБ

для оценки инвестиционной привлекательности и объема дополнительных инвестиций

Достаточно большое количество стартапов в данный момент предназначены для ускорения или упрощения операций, аналитики данных. Такие стартапы обрабатывают огромные объемы данных, утечка или потеря которых может привести к большим потерям бизнеса: от простоя, или из-за штрафных санкций и оттока клиентов.
С другой стороны, есть законодательные акты и отраслевые стандарты, регламентирующие безопасность обрабатываемых данных.

Без выполнения требований некоторых из этих стандартов (таких как требования по защите ПДн или требования Банка России) – нельзя осуществлять деятельность.
Несоответствие требованиям добровольных стандартов не блокирует работу, но способно существенно ухудшить конкурентные позиции, и это особенно критично в B2B-сегменте.

Наибольшую критичность этот вопрос имеет в секторах fintech и medtech, а также при обработке клиентских персональных данных в B2C.

При осуществлении инвестирования в стартап либо его покупке, имеет смысл оценить:

  • какие дополнительные инвестиции потребуются стартапу для выхода на рынок,
  • какие инвестиции могут быть полезны для успешной конкуренции.

КАК СТРОИТСЯ ПРОЕКТ

В рамках проекта по оценке инвестиционных потребностей в части информационной безопасности, мы решаем следующие задачи:

1

Определяем перечень обязательных применимых требований по ИБ;

2

Определяем перечень рыночных (добровольных) требований по ИБ, с учетом логичной последовательности применения и с градацией по степени необходимости;

3

Определяем существующий уровень соответствия требованиям;

4

Определяем перечень и стоимость нереализованных обязательных и добровольных требований, с учетом логичной последовательности применения и с градацией по степени необходимости.

Важно знать

В результате вы получаете понимание: что в компании уже реализовано, сколько может стоить реализовать обязательные требования по информационной безопасности, какие дополнительные требования по ИБ имеет смысл реализовать и в какой последовательности, и сколько может стоить реализация дополнительных требований по ИБ.

Так как многие наши рекомендации рассчитаны на вариативность в реализации, предоставляется приблизительная оценка, без указания точных спецификаций аппаратных или программных продуктов.

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

  • Этап 1

    5-15 раб. дней

    Анализ применимых требований

    • Проводим анализ применимых обязательных требований (требований законодательства и регуляторов, и видов деятельности)
    • Проводим анализ обрабатываемых клиентских данных на реализацию регулярно запрашиваемых требований и пожеланий от клиентов
    • Составляем перечень требований и уровней соответствия с указанием обязательности и критичности, применимости к определенным рынкам,  последовательности действий
  • Этап 2

    25-35 раб. дней

    Проведение аудита степени выполнения

    • Проводим аудит соответствия по всем выявленным наборам требований
    • Проводим аудит существующей орг. структуры на предмет достаточности и квалификации сотрудников, ответственных за аспекты ИБ
    • Разрабатываем отчет о существующем состоянии защиты.
  • Этап 3

    10-25 раб. дней

    Разрабатываем roadmap по приведению в соответствие и оценку стоимости

    Проводим инвестиционную оценку приведения в соответствие, с детализацией:

    • Логичной последовательности изменений и их критичности
    • Оценкой величины единовременных вложений (CAPEX)
    • Оценкой величины операционных и периодических расходов (OPEX)
    • Оценкой потребности и стоимости оптимизации штатного расписания (FTE или outsource)