Наши специалисты проводят полный спектр работ по оценке соответствия следующим документам: Положению 382-П, ГОСТ 57580.
Этап № I – Аудит системы безопасности ИТ инфраструктуры
На данном этапе работ проводится обследование информационных систем, затрагивающих технологические процессы финансовых организаций, связанные с переводом денежных средств.В рамках первого этапа мы проводим следующие виды работ:
-
сбор сведений о количественном составе информационных систем, задействованных в технологических процессах финансовых организаций;
-
сбор сведений о характеристиках технических и программных средств, технологий обработки и передачи информации, технологии обработки информации, сведений об используемых средствах защиты информации, о кадровом обеспечении по вопросам защиты информации;
-
категорирование информационных систем, задействованных в технологических процессах финансовых организаций;
-
описание логической схемы ИТКС;
-
анализ имеющейся организационно-распорядительной документации по защите информации в финансовой организации;
-
оценку соответствия требованиям законодательства Российской Федерации в области защиты информации финансовых организаций;
-
формирование рекомендаций по реализации требований законодательства Российской Федерации в области защиты информации финансовых организаций.
Наши специалисты, задействованные в проведении оценки соответствия, сертифицированы ассоциацией пользователей стандартов по информационной безопасности «АБИСС». Результатом данного этапа является проведение оценки соответствия Положению 382-П, ГОСТу 57580, Положению 683-П, Положению 684-П, согласно которым мы выставляем предполагаемую оценку защищенности финансовой организации. На основании проведённой оценки соответствия наша компания подготавливает рекомендации по устранению выявленных недостатков.
По результатам аудита информационных систем мы:
-
проводим анализ угроз безопасности информации (далее – УБИ) для выявления актуальных УБИ, реализация которых может привести к нарушению безопасности информации в информационной системе;
-
разрабатываем модели угроз и нарушителя безопасности информации на основе проведённого анализа УБИ;
- разрабатываем требования к обеспечению безопасности, которые включают в себя техническое задание на создание подсистемы безопасности ИС.
Этап № II – Разработка и внедрение системы защиты информации информационной системы
При разработке системы защиты информации информационной системы мы учитываем ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями.В техническом задании мы отражаем требования, предъявляемые регулятором к системе защиты информации финансовой организации.
В техническом проекте мы отражаем предъявляемые регулятором требования в соответствии с функционалом системы безопасности информации, а также учитываем основные положения нормативных правовых актов в области обеспечения безопасности информации.
В случае наличия обоснованных замечаний ЦБ РФ на оказанные нами услуги, мы безвозмездно устраняем указанные замечания.
Наша компания имеет необходимые лицензии ФСТЭК России и ФСБ России для оказания услуг по внедрению средств защиты информации.
При внедрении системы защиты информации мы проводим:
-
установку и настройку различных средств защиты информации (САВЗ, СЗИ от НСД, систем АНЗ, СКЗИ, UTM/NGFW, IDS/IPS, WAF, SIEM, Sandbox, DLP, 2fa и т.д.);
-
проверку внедренных организационных мер защиты информации;
-
предварительные испытания системы защиты информации информационной системы /опытную эксплуатацию системы защиты информации информационной системы;
-
приемочные испытания системы защиты информации информационной системы.
По решению заказчика, в ходе аудита мы можем провести:
-
тестирование информационной системы на проникновение (ссылка на раздел пентеста);
- работы по анализу защищенности программного продукта на ОУД.4;
-
проверку системного и (или) прикладного программного обеспечения;
-
разработку пакета организационно-распорядительных документов, исходя из результатов аудита, согласно требованиям ЦБ РФ.
- обеспечение необходимого и достаточного уровня информационной безопасности обрабатываемой информации;
- соблюдение строгого соответствия требованиям нормативно-правовой базы в области обработки и защиты Информации;
- оптимизация совокупных затрат на выполнение работ.
- Кражей финансовых средств предприятия посредством кибер атак;
-
Доступом внешних злоумышленников к конфиденциальной информации предприятия;
-
Любыми деструктивными действиями внешних и внутренних злоумышленников в отношении информационной системы финансовой организации;
-
Несоблюдением требований ГОСТ Р 57580.1-2017, Положения 382-П, Положения 683-П, Положения 684-П;
-
Репутационные и финансовые риски в результате ИТ инфраструктуры банка либо ее отдельных элементов.