О компании Контакты
+7 (495) 180 40 32
На главную

Внедрение средств защиты информации

Оказание экспертной помощи по вопросам, касающимся внедрения на предприятия современной системы безопасности.

Фон

Услуги по внедрению средств защиты информации

Проектирование средств защиты информации
Проектирование комплексных систем защиты информации
Внедрение средств защиты информации
Создание комплексных систем защиты информации
Техническая поддержка средств защиты информации
Сопровождение средств защиты информации
Фон

Проконсультируем по вашему проекту

Оставьте свои контактные данные. Мы свяжемся с вами и подберем универсальное решение с широкими функциональными возможностями.

Получить консультацию

Оставьте свои контактные данные. Мы свяжемся с вами и подберем универсальное решение с широкими функциональными возможностями.

Успешно!

Ваш запрос успешно отправлен! В ближайшее время с вами свяжется представитель компании и ответит на все вопросы.

Оценка и приведение в соответствие требованиям по обработке и защите персональных данных, установленных Федеральным законом № 152-ФЗ

Услуги по приведению процессов обработки персональных данных, информационных систем персональных данных и системы защиты персональных данных Заказчика в соответствие требованиям Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ и подзаконных нормативных актов могут включать в себя:

  • Аудит текущего порядка обработки и защиты персональных данных на предмет их соответствия требованиям законодательства Российской Федерации;
  • Приведение порядка обработки и защиты персональных данных в соответствие требованиям законодательства Российской Федерации;
  • Разработку организационно-распорядительных документов, удовлетворяющих требованиям к документационному обеспечению операторов персональных данных;
  • Моделирование угроз безопасности персональных данных, определение требований, проектирование и внедрение системы защиты персональных данных;
  • Консультационное сопровождение проверок со стороны Роскомнадзора.

Категорирование объектов критической информационной инфраструктуры и создание системы безопасности значимых объектов в рамках исполнения Федерального закона № 187-ФЗ

Работы по категорированию объектов критической информационной инфраструктуры для организаций, попадающих под действие Федерального закона «О безопасности критической информационной инфраструктуры РФ» от 26 июля 2017 № 187-ФЗ, включают в себя:

  • Определение критически важных процессов, а также поддерживающих данные процессы информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления – объектов критической информационной инфраструктуры, подлежащих категорированию;
  • Подготовку документов для отправки уведомления во ФСТЭК России, в соответствии с установленной законодательством процедурой;
  • Определение возможностей нарушителей;
  • Установление категорий значимости объектов критической информационной инфраструктуры;
  • Подготовку проектов актов по результатам категорирования;
  • Подготовку форм сведений для предоставления во ФСТЭК России.

Работы по созданию системы безопасности значимых объектов критической информационной инфраструктуры включают в себя:

  • Моделирование угроз безопасности информации;
  • Установление требований к обеспечению безопасности значимых объектов;
  • Проектирование и внедрение системы безопасности значимых объектов;
  • Разработку организационно-распорядительных документов по безопасности значимого объекта, определяющих правила и процедуры реализации организационных и технических мер (политик безопасности), разработанных и внедренных в рамках системы безопасности значимых объектов.

Оценка и приведение в соответствие требованиям нормативных актов Банка России в области защиты информации (Положения Банка России №683-П, №821-П, №802-П, №757-П, №716-П, 779-П/787-П и стандарты серии ГОСТ Р 57580)

Работы по оценке соответствия и реализации установленных нормативными документами Банка России (Положениями Банка России № 683-П, № 821-П, № 802-П, №757-П) уровней защиты информации, определенных национальным стандартом ГОСТ Р 57580.1–2017, позволяют получить формализованную оценку по методологии стандарта ГОСТ Р 57580.2–2018, подготовить отчетность для предоставления в Банк России и определить необходимые мероприятия по приведению в соответствие требованиям стандарта. Данные работы могут включать в себя как отдельно аудит соответствия требованиям ГОСТ Р 57580.1–2017, так и выполняться комплексно в следующем составе:

  • Предварительная оценка соответствия требованиям ГОСТ Р 57580.1–2017 с выдачей рекомендаций по устранению выявленных несоответствий и расчетом текущей оценки соответствия;
  • Разработка организационно-распорядительных документов (при необходимости) по вопросам обеспечения информационной безопасности и Плана мероприятий по устранению выявленных недостатков;
  • Итоговая оценка соответствия требованиям ГОСТ Р 57580.1–2017 с оформлением Отчета по методологии стандарта ГОСТ Р 57580.2–2018;

Отдельно также проводятся работы по оценке выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению, предусмотренных Положениями Банка России, для последующей подготовки отчетности в Банк России об оценке выполнения требований к обеспечению защиты информации. Соответствующая оценка проводится в соответствии с Методическими рекомендациями Банка России №12-МР от 02 ноября 2022 г. и №8-МР от 20 июня 2023 г.

Дополнительно могут проводиться работы по оценке зрелости процесса управления рисками информационной безопасности, предусмотренных Положением Банка России № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», включающие в себя:

  • Предварительную оценку зрелости процесса управления риском, включая GAP-анализ ГОСТ Р 57580.3-2022;
  • Работы по адаптации действующих процессов и внутренней нормативной документации Заказчика под требования Положения Банка России № 716-П и ГОСТ Р 57580.3-2022.

Дополнительно могут проводиться работы по оценке зрелости процесса управления операционной надежностью, предусмотренных Положениями Банка России №779-П / №787-П, включающие в себя:

  • Предварительную оценку зрелости процесса управления операционной надежностью, включая GAP-анализ ГОСТ Р 57580.4-2022;
  • Работы по адаптации действующих процессов и внутренней нормативной документации Заказчика под требования Положений Банка России № 779-П / № 787-П и ГОСТ Р 57580.4-2022.

Оценка и приведение в соответствие требованиям законодательства по защите биометрических персональных данных (Единая биометрическая система)

Работы по оценке соответствия и реализации установленных Федеральным законом от 29 декабря 2022 № 572-ФЗ «О единой биометрической системе» и Приказом Минцифры России от 12 мая 2023 № 453 требований к организации работы с единой биометрической системой (ЕБС), а также работы по проведению оценки соответствия требованиям по защите информации, установленных ГОСТ Р 57580.1-2017, включают в себя:

  • Предварительную оценку соответствия требованиям ГОСТ Р 57580.1-2017 применительно к сегменту взаимодействия с ЕБС с выдачей рекомендаций по устранению выявленных несоответствий и расчетом текущей оценки соответствия;
  • Моделирование угроз безопасности информации с учетом требований Приказа Минцифры России от 05 мая 2023 г. №445;
  • Определение требований и проектирование системы защиты сегмента взаимодействия с ЕБС;
  • Разработку организационно-распорядительных документов (при необходимости) по вопросам обеспечения информационной безопасности и Плана мероприятий по устранению выявленных недостатков;
  • Итоговую оценку соответствия требованиям ГОСТ Р 57580.1-2017 применительно к сегменту взаимодействия с ЕБС с оформлением Отчета по методологии стандарта ГОСТ Р 57580.2-2018

Анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4, в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013

Работы по анализу уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4, в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013, проводятся с учетом следующих нормативных актов:

  • Методический документ Банка России «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций»;
  • Семейство национальных стандартов РФ (ГОСТ) ИСО/МЭК 15408;
  • Положения Банка России в области защиты информации № 683-П и №821-П;
  • Иные документы, стандарты и лучшие практики, согласуемые с Заказчиком в ходе проведения работ.

Работы по анализу уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 включают в себя:

  • Анализ автоматизированной системы (АС), в отношении которой требуется подтверждение соответствия требованиям к оценочному уровню доверия, а также анализ текущих процессов разработки;
  • Выделение структурных подразделений и ролей на стороне Заказчика (или третьих сторон и поставщиков), задействованных в процессах;
  • Формирование необходимых отчетных документов и внутренних нормативных документов Заказчика, в рамках исполнения требований к ОУД 4;
  • Разработку пакета документов на АС и документов, регламентирующих процессы безопасной разработки, с учетом применимых требований;
  • Консультации и обучение команд, задействованных в разработке, требованиям ОУД 4;
  • Оценку соответствия требованиям к ОУД 4.

Проведение аудита и выстраивание процессов безопасной разработки программного обеспечения (DevSecOps)

Работы по аудиту процессов безопасной разработки программного обеспечения включают в себя:

  • Согласование области деятельности по анализу процессов разработки и предварительный сбор данных посредством заполнения Заказчиком опросных листов, проведения интервью, запросов и получения формализованных документов;
  • Практическое исследование инфраструктуры разработки, включая:
    • Анализ процесса сборки и деплоя;
    • Анализ применяемых в CI\CD средств защиты (SAST/DAST/SCA/vulnerability image scanner/etc);
    • GAP-анализ соответствия 1/2/3 уровню зрелости международного стандарта BSIMM;
    • Анализ процесса устранения выявленных проблем (контроль бэклога);
    • Анализ ролей и распределения прав между ними;
    • Анализ наличия требований информационной безопасности, их применения и контроля при разработке;
    • Анализ применимости и актуальности отечественных требований (нормативно-правовые акты и стандарты).
  • Формирование отчетных документов по результатам исследования и подготовка рекомендаций по развитию эффективного процесса безопасной разработки.

Работы по выстраиванию процессов безопасной разработки программного обеспечения включают в себя:

  • Разработку принципов безопасной разработки под инфраструктуру Заказчика;
  • Выбор и согласование встраивания средств безопасности кода;
  • Внедрение средств безопасности кода с выстраиванием процесса отработки срабатываний, включая разработку сопутствующих инструкций для персонала Заказчика;
  • Обеспечение поддержки функционирования выстроенной системы.

Оценка и приведение в соответствие требованиям международных стандартов (SWIFT CSCF, ISO 27001, NIST CSF, CIS Controls и других)

Работы по оценке соответствия требованиям международных стандартов таких, как SWIFT CSCF, ISO 27001, NIST CSF или CIS Controls, включают в себя:

  • Планирование и подготовку к проведению аудита, в рамках которых определяются цели аудита, формируется команда и область оценки, подготавливается план работ;
  • Проведение работ по оценке соответствия с оформлением отчетной документации, отражающей результаты аудита, согласно требованиям соответствующего стандарта;
  • Иные (опциональные) работы, включая консультации, помощь в разработке внутренней нормативной документации, внедрение процессов управления информационной безопасности и прочее.

В отдельных случаях стандарт может потребовать разработки дополнительных нормативных актов (политик безопасности, процедур, руководств и т.д.), для обеспечения соответствия оцениваемой системы защиты требованиям стандарта.

Комплексный аудит информационной безопасности

Комплексный аудит информационной безопасности позволяет получить объективную и независимую оценку состояния информационной безопасности относительно выбранных критериев. Проведение работ по комплексному аудиту позволяет:

  • оценить и подтвердить соответствие системы защиты и процессов информационной безопасности применимым требованиям (отечественным и международным стандартам, законодательным актам и др.);
  • выявить уязвимости ИТ-инфраструктуры (комплексный аудит предполагает также проведение инструментального сканирования уязвимостей, тестирования на проникновение в согласованной области проведения аудита);
  • выявить недостатки и уязвимости в процессах обеспечения и управления информационной безопасностью;
  • получить рекомендации по совершенствованию системы защиты информации и процессов информационной безопасности, рекомендации по устранению выявленных недостатков.

Работы по комплексному аудиту информационной безопасности включают в себя:

  • Определение критериев аудита, целей, области его проведения, а также используемых подходов, инструментов и методологии проведения аудита;
  • Проведение аудита, предполагающее изучение документации Заказчика по вопросам информационной безопасности, сбор свидетельств, подтверждающих выполнение тех или иных требований, проведение интервью и наблюдений за деятельностью ответственных лиц;
  • Проведение технологического аудита (сканирование уязвимостей, тестирование на проникновение) с оформлением результатов;
  • Оформление отчетной документации, отражающей результаты комплексного аудита и предлагаемые по его итогам.
  • Мероприятия по устранению выявленных недостатков в организации информационной безопасности.

Анализ рисков информационной безопасности

Работы по анализу рисков информационной безопасности проводятся на основании методологии, соответствующей ISO 31000, и включают в себя:

  • Определение и согласование с Заказчиком границ работ и используемой методологии (при необходимости также может осуществляться разработка нормативных документов, регламентирующих подход и методологию оценки рисков информационной безопасности);
  • Идентификацию рисков информационной безопасности;
  • Оценку рисков информационной безопасности;
  • Анализ влияния выявленных рисков информационной безопасности на бизнес;
  • Разработку плана управления рисками информационной безопасности;
  • Мониторинг рисков информационной безопасности и принятие решений по управлению рисками.

По итогам выполнения работ оформляется отчет с результатами анализа рисков, карта рисков или иные свидетельства, согласованные с Заказчиком.

Разработка Стратегии информационной безопасности

Стратегия информационной безопасности разрабатывается для определения стратегических целей и плана действий для их достижения с учетом применимых требований нормативных законодательных актов в области информационной безопасности, стандартов, корпоративных требований. Работы по разработке Стратегии включают в себя:

  • Обследование ИТ-инфраструктуры, действующих процессов обработки и защиты информации;
  • Анализ эффективности используемых мер информационной безопасности и внедренных средств защиты;
  • Анализ имеющихся Моделей угроз безопасности информации или моделирование угроз безопасности с учетом актуальных методик;
  • Формирование и согласование с Заказчиком рекомендуемых мероприятий для совершенствования действующих процессов информационной безопасности и реализованной системы защиты, мероприятий для устранения выявленных недостатков;
  • Определение целей и задач информационной безопасности, определение направлений для развития и совершенствования систем обеспечения и управления информационной безопасностью;
  • Разработка Стратегии информационной безопасности и согласование подготовленного документа с Заказчиком.

Разработка нормативных и методических документов в области защиты информации

Работы по разработке нормативных и методических документов в области защиты информации предполагают разработку адаптированного под уникальные потребности Заказчика пакета документов, который может быть привязан к любым требованиям и нормативам, включая внутренние корпоративные политики Заказчика, и включают в себя:

  • Сбор и анализ актуальных требований, уточнение границ системы управления информационной безопасностью и состава необходимого пакета документов;
  • Обследование текущих процессов обеспечения и управления информационной безопасностью, определение и согласование ролей, отвечающих за процессы обеспечения и управления информационной безопасностью, распределение обязанностей и ответственности между ними;
  • Согласование целевых подходов к обеспечению и управлению информационной безопасностью, которые должны быть отражены в разрабатываемых документах;
  • Разработка пакета документов и итеративное согласование каждого документа с Заказчиком;
  • Помощь и консультационная поддержка в утверждении, внедрении и сопровождении пакета документов.
Получить консультацию

Оставьте свои контактные данные. Мы свяжемся с вами и подберем универсальное решение с широкими функциональными возможностями.

Лицензия ФСТЭК № Л024-00107-00/00581776 от 28.02.2020 года на право осуществления деятельности по технической защите конфиденциальной информации

Виды работ, услуг, составляющих лицензируемый вид деятельности, на которые выдана лицензия:

  • б - услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
  • д - работы и услуги по проектированию в защищенном исполнении (д1...д3):
  • д1 - средств и систем информатизации;
  • д2 - помещений со средствами (системами) информатизации, подлежащими защите;
  • д3 - защищаемых помещений;
  • е - услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (е1...е6):
  • е4 - программных (программно-технических) средств защиты информации
  • е5 - защищенных программных (программно-технических) средств обработки информации;
  • е6 - программных (программно-технических) средств контроля эффективности защиты информации

Лицензия ФСБ № 18557/Н от 12.08.2021 года на право осуществления деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)

Виды работ, услуг, составляющих лицензируемый вид деятельности, на которые выдана лицензия:

  • Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем;
  • Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем;
  • Производство защищенных с использованием шифровальных (криптографических) средств информационных систем;
  • Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем;
  • Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах;
  • Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации;
  • Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем;
  • Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем;
  • Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов;
  • Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем;
  • Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем;
  • Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
  • Передача шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации;
  • Передача защищенных с использованием шифровальных (криптографических) средств информационных систем;
  • Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем;
  • Передача средств изготовления ключевых документов;
  • Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей;
Успешно!

Ваш запрос успешно отправлен! В ближайшее время с вами свяжется представитель компании и ответит на все вопросы.

Ошибка

К сожалению, не удалось отправить заявку. Обновите страницу или попробуйте позже.

Мы используем файлы cookie, чтобы сделать сайт удобнее. Оставаясь на сайте, вы соглашаетесь с условиями использования