Защита информации по требованиям законодательства

Нашей компанией наработан богатый опыт построения систем защиты информации государственных и муниципальных информационных систем (далее – ГИС/МИС), информационных систем персональных данных (далее – ИСПДн) для крупных государственных компаний и распределённых холдинговых и коммерческих структур, значимых объектов критической информационной инфраструктуры (далее – ЗОКИИ) в сфере связи, а также ЗОКИИ, являющихся автоматизированными системами управления производственными и технологическими процессами топливно-энергетического комплекса, химической и горнодобывающей промышленностей. 

Наши специалисты проводят полный цикл работ:
 

Этап № I – Аудит системы безопасности ИТ инфраструктуры

На данном этапе работ проводится определение актуальных угроз безопасности информации в компании и анализ соответствия требованиям по обеспечению безопасности информационных систем заказчика.

В рамках работ мы проводим:

• сбор сведений о количественном составе ИС (ГИС/МИС, ИСПДн, объектов КИИ) и характеристиках технических и программных средств, технологий обработки и передачи информации, сведений об используемых средствах защиты информации, о кадровом обеспечении по вопросам защиты информации;

• категорирование информационных систем;

• описание логической схемы ИТКС;

• анализ имеющейся организационно-распорядительной документации по защите информации;

• оценку соответствия требованиям законодательства Российской Федерации в области защиты информации;

• формирование рекомендаций по реализации требований законодательства Российской Федерации в области защиты информации.

По решению заказчика, в ходе аудита мы можем провести:

• тестирование информационной системы на проникновение (ссылка на раздел пентеста);
• работы по анализу защищенности информационной системы;
• проверку системного и (или) прикладного программного обеспечения.

Этап № II – Установление требований к обеспечению безопасности

По результатам аудита системы безопасности ИТ инфраструктуры мы:

• проводим анализ угроз безопасности информации (далее – УБИ) для выявления актуальных УБИ, реализация которых может привести к нарушению безопасности информации в информационной системе;

• разрабатываем модели угроз и нарушителя безопасности информации  на основе проведённого анализа УБИ;

• разрабатываем требования к обеспечению безопасности, которые включают в себя техническое задание на создание подсистемы безопасности ИС.

Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации, а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации, в том числе выявленные в ходе тестирования информационной системы на проникновение и/или анализа защищенности информационной системы.

Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583) и ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее - ГОСТ Р 51624).

Этап № III – Разработка системы защиты информации информационной системы

При разработке системы защиты информации информационной системы мы учитываем ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями.

Разработка системы защиты информации информационной системы осуществляется с учетом ГОСТ 34.601 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания" (далее - ГОСТ 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и включает:

• проектирование системы защиты информации в обследуемой системе;

• предоставление эксплуатационной документации на систему защиты информации.;

В техническом проекте мы отражаем предъявляемые регулятором требования в соответствии с функционалом системы безопасности информации, а также учитываем основные положения нормативных правовых актов в области обеспечения безопасности информации.

Разработка эксплуатационной документации на систему защиты информации в обследуемой системе осуществляется в соответствии с техническим проектом на создание системы защиты информации, и содержит:

• описание архитектуры подсистемы безопасности значимого объекта;

• порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации;

• правила эксплуатации программных и программно-аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации).

В случае наличия обоснованных замечаний ФСТЭК России, ФСБ России или Роскомнадзора на оказанные нами услуги, мы безвозмездно устраняем указанные замечания

Этап № IV – Внедрение системы защиты информации информационной системы

Наша компания имеет необходимые лицензии ФСТЭК России и ФСБ России для оказания услуг по внедрению средств защиты информации, обладает широким спектром демонстрационного оборудования, имеет в штате специалистов высокого уровня, и является официальным партнером основных российских и зарубежных производителей средств защиты информации. Для некоторых производителей наша компания является первой линией технической поддержки, технологическим партнером и эксклюзивным поставщиком решений. Это позволяет провести внедрение технического проекта без привлечения сторонних организаций и специалистов производителей средств защиты информации:

При внедрении системы защиты информации информационной системы мы проводим:

• установку и настройку различных средств защиты информации (САВЗ, СЗИ от НСД, систем АНЗ, СКЗИ, UTM/NGFW, IDS/IPS, WAF, SIEM, SandBox, DLP, 2fa и т.д.);

• разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации;

• проверку внедренных организационных мер защиты информации;

• предварительные испытания системы защиты информации информационной системы /опытную эксплуатацию системы защиты информации информационной системы;

• приемочные испытания системы защиты информации информационной системы.

При построении системы защиты информации мы руководствуемся следующими основными принципами:

• обеспечение необходимого и достаточного уровня информационной безопасности обрабатываемой информации;

• соблюдение строгого соответствия требованиям нормативно-правовой базы в области обработки и защиты Информации;

• оптимизация совокупных затрат на выполнение работ.

Основная цель реализуемых нами проектов по защите информации – повышение уровня безопасности информации, циркулирующей в информационной системе Заказчика и приведение информационной системы в соответствие требованиям законодательства Российской Федерации в области защиты информации.

Комплексный поход к построению системы защиты информации, который включает в себя различные типы аудитов, проектирование систем безопасности, пилотирование средств защиты информации, их внедрение и оценка соответствия требованиям по безопасности, позволяет создать оптимальную систему защиты информации, которая будет учитывать реальные векторы атак для компании, ее финансовые, технические и функциональные возможности.