Наши специалисты проводят полный цикл работ:
Этап № I – Аудит системы безопасности ИТ инфраструктуры
На данном этапе работ проводится определение актуальных угроз безопасности информации в компании и анализ соответствия требованиям по обеспечению безопасности информационных систем заказчика.В рамках работ мы проводим:
- сбор сведений о количественном составе ИС (ГИС/МИС, ИСПДн, объектов КИИ) и характеристиках технических и программных средств, технологий обработки и передачи информации, сведений об используемых средствах защиты информации, о кадровом обеспечении по вопросам защиты информации;
-
категорирование информационных систем;
-
описание логической схемы ИТКС;
-
анализ имеющейся организационно-распорядительной документации по защите информации;
-
оценку соответствия требованиям законодательства Российской Федерации в области защиты информации;
- формирование рекомендаций по реализации требований законодательства Российской Федерации в области защиты информации.
- тестирование информационной системы на проникновение (ссылка на раздел пентеста);
- работы по анализу защищенности информационной системы;
- проверку системного и (или) прикладного программного обеспечения.
Этап № II – Установление требований к обеспечению безопасности
По результатам аудита системы безопасности ИТ инфраструктуры мы:
-
проводим анализ угроз безопасности информации (далее – УБИ) для выявления актуальных УБИ, реализация которых может привести к нарушению безопасности информации в информационной системе;
-
разрабатываем модели угроз и нарушителя безопасности информации на основе проведённого анализа УБИ;
-
разрабатываем требования к обеспечению безопасности, которые включают в себя техническое задание на создание подсистемы безопасности ИС.
Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации, а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации, в том числе выявленные в ходе тестирования информационной системы на проникновение и/или анализа защищенности информационной системы.
Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583) и ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее - ГОСТ Р 51624).
Этап № III – Разработка системы защиты информации информационной системы
При разработке системы защиты информации информационной системы мы учитываем ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями.Разработка системы защиты информации информационной системы осуществляется с учетом ГОСТ 34.601 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания" (далее - ГОСТ 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и включает:
-
проектирование системы защиты информации в обследуемой системе;
-
предоставление эксплуатационной документации на систему защиты информации.;
В техническом проекте мы отражаем предъявляемые регулятором требования в соответствии с функционалом системы безопасности информации, а также учитываем основные положения нормативных правовых актов в области обеспечения безопасности информации.
Разработка эксплуатационной документации на систему защиты информации в обследуемой системе осуществляется в соответствии с техническим проектом на создание системы защиты информации, и содержит:
-
описание архитектуры подсистемы безопасности значимого объекта;
-
порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации;
-
правила эксплуатации программных и программно-аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации).
В случае наличия обоснованных замечаний ФСТЭК России, ФСБ России или Роскомнадзора на оказанные нами услуги, мы безвозмездно устраняем указанные замечания
Этап № IV – Внедрение системы защиты информации информационной системы
Наша компания имеет необходимые лицензии ФСТЭК России и ФСБ России для оказания услуг по внедрению средств защиты информации, обладает широким спектром демонстрационного оборудования, имеет в штате специалистов высокого уровня, и является официальным партнером основных российских и зарубежных производителей средств защиты информации. Для некоторых производителей наша компания является первой линией технической поддержки, технологическим партнером и эксклюзивным поставщиком решений. Это позволяет провести внедрение технического проекта без привлечения сторонних организаций и специалистов производителей средств защиты информации:При внедрении системы защиты информации информационной системы мы проводим:
-
установку и настройку различных средств защиты информации (САВЗ, СЗИ от НСД, систем АНЗ, СКЗИ, UTM/NGFW, IDS/IPS, WAF, SIEM, SandBox, DLP, 2fa и т.д.);
-
разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации;
-
проверку внедренных организационных мер защиты информации;
-
предварительные испытания системы защиты информации информационной системы /опытную эксплуатацию системы защиты информации информационной системы;
-
приемочные испытания системы защиты информации информационной системы.
При построении системы защиты информации мы руководствуемся следующими основными принципами:
-
обеспечение необходимого и достаточного уровня информационной безопасности обрабатываемой информации;
-
соблюдение строгого соответствия требованиям нормативно-правовой базы в области обработки и защиты Информации;
-
оптимизация совокупных затрат на выполнение работ.
Основная цель реализуемых нами проектов по защите информации – повышение уровня безопасности информации, циркулирующей в информационной системе Заказчика и приведение информационной системы в соответствие требованиям законодательства Российской Федерации в области защиты информации.
Комплексный поход к построению системы защиты информации, который включает в себя различные типы аудитов, проектирование систем безопасности, пилотирование средств защиты информации, их внедрение и оценка соответствия требованиям по безопасности, позволяет создать оптимальную систему защиты информации, которая будет учитывать реальные векторы атак для компании, ее финансовые, технические и функциональные возможности.