7 этапов — от изучения контекста до финального пакета документов для руководства.
Интервью с руководством, изучение бизнес-контекста, определение границ диагностики, risk appetite и критичных сервисов. Собираем базовое понимание компании, ИТ-ландшафта и подрядчиков.
Определяем целевой уровень защищённости и критичные бизнес-процессы. Строим связь «процесс → активы → зависимости → владельцы» — оцениваем только то, что влияет на устойчивость.
Выявляем риски в трёх доменах через интервью, анализ практик и выборочные проверки. Фиксируем угрозы, уязвимости и возможные последствия для критичных процессов.
Параллельно выявляем меры немедленного снижения риска — до завершения полной диагностики. Клиент получает Quick Wins Log и Client Decision Record уже на этом этапе.
Оцениваем вероятность и воздействие каждого риска. Формируем управленческую картину: что критично, что терпимо, на что смотреть в первую очередь.
Определяем меры для каждого критичного риска, формируем 30-60-90-дневную дорожную карту и рекомендации по контролям. Оцениваем необходимость Security Awareness Training.
Оцениваем финансовые последствия ключевых рисков по сценариям — реалистичному и worst-case. Диапазоны вместо точных сумм, явные допущения. Ведёт финансовый аналитик команды.
Предлагаем варианты следующих шагов: что делать своими силами, что отдать подрядчикам, нужен ли Security Awareness — и как он может выглядеть.