Skip to main contentClick to view our Accessibility Statement or contact us with accessibility-related questions.
Server rack

Підрозділ Cyber Security в компанії Xerox 

Підрозділ Cyber Security в Xerox несе відповідальність за забезпечення безпеки інфраструктури Xerox і захист інформаційних активів компанії у всьому світі. Цей підрозділ підпорядковується керівнику відділу ІТ-безпеки компанії Xerox CISO. Він складається з міжнародної команди спеціалістів із кібербезпеки, які базуються в різних філіях компанії в Північній Америці, Європі та Азії.

Найголовнішими задачами підрозділу Cyber Security є: 

  • Впровадження відповідних політик безпеки, механізмів захисту та регулювання з метою попередження та виявлення кібератак, а також реагування на них. 

  • Впровадження заходів із боротьби з кіберзагрозами згідно з вимогами нормативно-правових актів і відповідності, а також із урахуванням очікувань клієнтів. 

  • Захист інтелектуальної власності компанії Xerox, її продуктів, послуг і ланцюга постачань за підтримки відділів із фінансово-господарської діяльності, розробки та інформаційних технологій.​ 

У підрозділ Cyber Security компанії Xerox об’єднані наступні відділи: 

Відділ кіберзахисту Cyber Defense

​​​​​​​​​​​​​​​Відділ займається захистом і виявленням кібератак на інформаційні активи компанії Xerox, а також реагуванням на них. До ключових компетенцій і діяльності спеціалістів відносяться: 

  • Моніторинг інформаційної безпеки (Security Operations Center (SOC)). Він забезпечує безперервний цілодобовий моніторинг інформаційних систем Xerox і приймає відповідні заходи щодо стримування подій у сфері кібербезпеки і реагування на них. 

  • Боротьба з вразливостями (Vulnerability Management). Завданнями цього напрямку є сканування вразливостей, визначення пріоритетів, формування звітів і відстежування виправлень вразливостей системи безпеки з метою вдосконалення засобів захисту систем і максимального обмеження зони поширення атаки. 

  • Дослідження методів злому (Offensive Security). Використовуючи ту саму тактику, техніки та процеси, що і зловмисники, спеціалісти безперервно оцінюють нашу інфраструктуру, сфери застосування, продукти та послуги з метою упереджувального виявлення прогалин в системах безпеки та реагування на них. 

  • Реагування на випадки порушення кібербезпеки (Cyber Security Incident Response). Цей напрямок передбачає визначення пріоритетів, аналіз, стримання загроз і відновлення інформаційних систем Xerox у разі виникнення подій, пов’язаних із порушенням кібербезпеки. 

  • Аналітика та активний пошук кіберзагроз (Cyber Threat Intelligence and Threat Hunting). Спеціалісти збирають інтелектуальні дані щодо кіберзагроз, аналізують їх на застосовність по відношенню до інформаційних систем Xerox і виконують їхній активний пошук. 

Загальне керування, керування ризиками та дотриманням відповідності вимогам (Governance, Risk and Compliance)

​​​​​​​​​​​​​​​Цей відділ займається керуванням політиками та стандартами організації Xerox Cyber Security, а також програмами керування ризиками та дотриманням відповідності нормативним вимогам. До ключових компетенцій і діяльності спеціалістів відносяться: 

  • Керування політиками безпеки (Security Policy Management). Спеціалісти керують політикою та стандартами безпеки компанії Xerox, а також вивчають способи їхнього вдосконалення в усіх відділах компанії. 

  • Навчання заходам і правилам безпеки. До цього напрямку входить керування підготовкою співробітників і підрядників під час адаптації та в процесі роботи з метою підвищення рівня їхньої обізнаності про ключові кіберзагрози та їхні обов’язки з дотримання правил безпеки. 

  • Аварійне відновлення даних (Disaster Recovery). Ця діяльність спрямована на керування програмою аварійного відновлення даних на підприємстві, а також періодичне тестування плану відновлення та рівня відмовостійкості. 

  • Керування ризиками третіх осіб (Third-Party Risk Management). Цей напрямок діяльності передбачає проведення комплексної експертизи угод зі сторонніми постачальниками як під час первинної закупівлі, так і в подальшому, в разі відновлення відносин, залежно від наявних в угоді ризиків.  

  • Керування дотриманням відповідності (Compliance Management). Фахівці працюють із програмами сертифікації та дотримання відповідності нормативним вимогам, зокрема з PCI, SOC 1, SOC 2, ISO 27001, FedRAMP, тощо. 

Архітектура та тестування систем безпеки (Security Architecture & Testing)

​​​​​​​​​Цей відділ відповідальний за безпеку всього життєвого циклу розробки та співпрацює в цьому питанні з відділами з фінансово-господарської діяльності, розробки та інформаційних технологій. До ключових компетенцій і діяльності спеціалістів відносяться: 

  • Аналіз архітектури систем безпеки (Security Architecture Review). Впровадження концепції «безпека як невід’ємна частина» в нові додатки та послуги за допомогою аналізу технічного виконання / архітектури систем безпеки. 

  • Тестування систем безпеки (Security Testing). Передбачає виконання автоматичного сканування додатку, а також ручного тестування на захист від несанкціонованого доступу перед масовим запуском. 

Керування ідентифікацією та доступом (Identity & Access Management)

​​​​​​​Цей відділ відповідальний за технології та процеси керування ідентифікацією та доступом до систем, послуг і додатків Xerox. До ключових компетенцій і діяльності спеціалістів відносяться: 

  • Керування ідентифікацією та адміністрування (Identity Governance & Administration). Діяльність спрямована на керування технологіями та процесами надання ідентифікаційних даних, скасування дозволів на надання ідентифікаційних даних і керування життєвим циклом посвідчень Xerox, а також контроль над доступом до різних систем, послуг і додатків Xerox.

  • Керування доступом (Access Management). До цього напрямку відноситься керування набором технологій аутентифікації, систем єдиного входу, багатофакторної аутентифікації та привілейованого доступу до різних систем, послуг і додатків Xerox.

Безпека клієнтів (Customer Security)

Відділ, спільно з різними відділами фінансово-господарчої діяльності відділу розробки, скеровує зусилля на підвищення рівня довіри клієнтів до продуктів і послуг Xerox. До ключових компетенцій і діяльності спеціалістів відносяться: 

  • Оцінка захищеності клієнтів (Customer Security Assessments). Спеціалісти відповідають на запити клієнтів щодо засобів захисту продуктів і послуг Xerox, а також їхньої надійності.

  • Відповідність умовам угоди з клієнтом (Customer Contract Compliance). Діяльність спрямована на перевірку положень стосовно безпеки в угодах із клієнтами перед їхнім виконанням і надання гарантій відповідності нашої програми безпеки відповідним законам, нормативним актам і очікуванням клієнтів.

Крім того, ми працюємо з внутрішніми та зовнішніми партнерами над оцінкою нашої системи кібербезпеки та її безперервним вдосконаленням за допомогою:

  • Зовнішнього тестування на проникнення (External Penetration Testing): Ми залучаємо сторонні спеціалізовані консалтингові фірми, що займаються кібербезпекою, для проведення тестування на проникнення в корпоративну інфраструктуру з високим рівнем ризику та послуги, орієнтовані на клієнтів. 

  • Аудитів системи безпеки (Security Audits): Ми проводимо комплексні аудити нашої програми з кібербезпеки, залучаючи до процесу авторитетні сторонні консалтингові фірми. Крім того, внутрішні аудити спрямовані на напрямки, які вважаються напрямками з високим ризиком. Результати зовнішніх і внутрішніх аудитів доводяться до відома Комітету з аудиту і додаються до процесів безперервного вдосконалення для подальшого посилення нашої програми з кібербезпеки.

Жінка працює на планшеті в центрі керування системою

Рішення для забезпечення безпеки Xerox® Security Solutions

Дізнайтеся, чому підприємства та уряди з найвищими вимогами до безпеки обирають Xerox.

Поділитися