Защита информации по требованиям законодательства

Защита информации по требованиям законодательства
Задать вопрос
Наши специалисты ответят на любой интересующий вопрос по услуге

Нашей компанией наработан богатый опыт построения систем защиты информации государственных и муниципальных информационных систем (далее – ГИС/МИС), информационных систем персональных данных (далее – ИСПДн) для крупных государственных компаний и распределенных холдинговых и коммерческих структур, значимых объектов критической информационной инфраструктуры (далее – ЗОКИИ) в сфере связи, а также ЗОКИИ, являющихся автоматизированными системами управления производственными и технологическими процессами топливно-энергетического комплекса, химической и горнодобывающей промышленностей. 

Наши специалисты проводят полный цикл работ.


Этап № I – Аудит системы безопасности ИТ инфраструктуры

На данном этапе работ проводится определение актуальных угроз безопасности информации в компании и анализ соответствия требованиям по обеспечению безопасности информационных систем заказчика.

В рамках работ мы проводим:

  • сбор сведений о количественном составе ИС (ГИС/МИС, ИСПДн, объектов КИИ) и характеристиках технических и программных средств, технологий обработки и передачи информации, сведений об используемых средствах защиты информации, о кадровом обеспечении по вопросам защиты информации;

  • категорирование информационных систем;

  • описание логической схемы ИТКС;

  • анализ имеющейся организационно-распорядительной документации по защите информации;

  • оценку соответствия требованиям законодательства Российской Федерации в области защиты информации;

  • формирование рекомендаций по реализации требований законодательства Российской Федерации в области защиты информации.
 
По решению заказчика, в ходе аудита мы можем провести:

  • тестирование информационной системы на проникновение (ссылка на раздел пентеста);
  • работы по анализу защищенности информационной системы;
  • проверку системного и (или) прикладного программного обеспечения.


Этап № II – Установление требований к обеспечению безопасности

По результатам аудита системы безопасности ИТ инфраструктуры мы:

  • проводим анализ угроз безопасности информации (далее – УБИ) для выявления актуальных УБИ, реализация которых может привести к нарушению безопасности информации в информационной системе;

  • разрабатываем модели угроз и нарушителя безопасности информации  на основе проведенного анализа УБИ;

  • разрабатываем требования к обеспечению безопасности, которые включают в себя техническое задание на создание подсистемы безопасности ИС.

Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). 

В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации, а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации, в том числе выявленные в ходе тестирования информационной системы на проникновение и/или анализа защищенности информационной системы.

Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583) и ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее - ГОСТ Р 51624).


Этап № III – Разработка системы защиты информации информационной системы

При разработке системы защиты информации информационной системы мы учитываем ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями.

Разработка системы защиты информации информационной системы осуществляется с учетом ГОСТ 34.601 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. 

Стадия "создания" (далее - ГОСТ 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и включает:

  • проектирование системы защиты информации в обследуемой системе;

  • предоставление эксплуатационной документации на систему защиты информации.

В техническом проекте мы отражаем предъявляемые регулятором требования в соответствии с функционалом системы безопасности информации, а также учитываем основные положения нормативных правовых актов в области обеспечения безопасности информации.

Разработка эксплуатационной документации на систему защиты информации в обследуемой системе осуществляется в соответствии с техническим проектом на создание системы защиты информации, и содержит:

  • описание архитектуры подсистемы безопасности значимого объекта;

  • порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации;

  • правила эксплуатации программных и программно-аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации).

В случае наличия обоснованных замечаний ФСТЭК России, ФСБ России или Роскомнадзора на оказанные нами услуги, мы безвозмездно устраняем указанные замечания


Этап № IV – Внедрение системы защиты информации информационной системы

Наша компания имеет необходимые лицензии ФСТЭК России и ФСБ России для оказания услуг по внедрению средств защиты информации, обладает широким спектром демонстрационного оборудования, имеет в штате специалистов высокого уровня, и является официальным партнером основных российских и зарубежных производителей средств защиты информации.

Для некоторых производителей наша компания является первой линией технической поддержки, технологическим партнером и эксклюзивным поставщиком решений. Это позволяет провести внедрение технического проекта без привлечения сторонних организаций и специалистов производителей средств защиты информации:

При внедрении системы защиты информации информационной системы мы проводим:

  • установку и настройку различных средств защиты информации (САВЗ, СЗИ от НСД, систем АНЗ, СКЗИ, UTM/NGFW, IDS/IPS, WAF, SIEM, SandBox, DLP, 2fa и т.д.);

  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации;

  • проверку внедренных организационных мер защиты информации;

  • предварительные испытания системы защиты информации информационной системы /опытную эксплуатацию системы защиты информации информационной системы;

  • приемочные испытания системы защиты информации информационной системы.

При построении системы защиты информации мы руководствуемся следующими основными принципами:

  • обеспечение необходимого и достаточного уровня информационной безопасности обрабатываемой информации;

  • соблюдение строгого соответствия требованиям нормативно-правовой базы в области обработки и защиты Информации;

  • оптимизация совокупных затрат на выполнение работ.

Основная цель реализуемых нами проектов по защите информации – повышение уровня безопасности информации, циркулирующей в информационной системе Заказчика и приведение информационной системы в соответствие требованиям законодательства Российской Федерации в области защиты информации.

Комплексный поход к построению системы защиты информации, который включает в себя различные типы аудитов, проектирование систем безопасности, пилотирование средств защиты информации, их внедрение и оценка соответствия требованиям по безопасности, позволяет создать оптимальную систему защиты информации, которая будет учитывать реальные векторы атак для компании, ее финансовые, технические и функциональные возможности.


Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.
Вернуться к списку