Информационная безопасность

Аудит информационной безопасности

Аудит ИБ – это процесс объективной оценки состояния информационной системы компании и ее основных ресурсов: людских, документальных, технических и программных.

Аудит информационной безопасности является начальным и основным этапом в процессе построения и внедрения системы защиты информации в компании.

Потребность в аудите возникает при:

  • слиянии компаний, открытии новых офисов или филиалов
  • смене стратегии, модели управления, команды TOP-менеджеров или организационной структуры компании
  • изменениях в законодательстве, связанных с ИБ
  • внедрении новых ИТ-технологий, бизнес-процессов и стандартов в компании

В качестве объекта для проведения аудита может быть привлечена вся информационная система компании или ее отдельные модули обработки данных требующих защиты.

Классификация аудита ИБ:

  • в соответствии с международным стандартом ISO/IEC 27001:2005
  • экспертный аудит. Преимуществом данной модели аудита является профессиональная оценка существующей системы защиты информации, выявление недостатков существующей системы, разработка рекомендаций по внедрению комплексной системы защиты данных, в соответствии с требованиями и потребностями компании

План проведения аудита:

  • Сбор данных. Анализ бизнес-процессов и регламентов обеспечения ИБ
  • Анализ уязвимости информационной безопасности
  • Предложение по разработке или доработке процедур обеспечения ИБ
  • Предложение по модернизации информационных систем защиты информации

В результате проведения аудита информационной безопасности вы получаете:

  • Заключение текущего состояния системы ИБ
  • Рекомендации по укреплению ИБ
  • Консультации и помощь в вопросах улучшения ИБ компании
  • Подбор, внедрение и сопровождение IT-решений по информационной безопасности

Консалтинг

Обеспечение соответствия требованиям СТО БР ИББС

Для кредитных организаций введен в действие Стандарт Банка России, который рекомендуется к внедрению. Соответствие Стандартам Банка России поможет построить комплексную систему защиты информационных активов Банка.

План внедрения стандарта:

  • Определение соответствия существующей системы банка требованиям стандарта
  • Анализ рисков информационной безопасности
  • Разработка плана внедрения и требуемых регламентов
  • Реализация плана внедрения
  • Оценка соответствия созданной системы требованиям СТО БР ИББС

После завершения внедрения стандарта или вне этого процесса мы готовы обеспечить вам:

  • Поддержку для проведения самооценки системы на соответствие стандарту
  • Оказать помощь в переходе на новую версию стандарта
  • Осуществить консультирование по вопросам изменений стандарта и предложить план корректирующих мер
  • Провести независимый аудит системы, подтвердив соответствие стандарту
  • Оказать поддержку при внешней проверке регулирующих органов

Цели и процесс внедрения стандартов для каждой компании индивидуальны. На выходе вы получаете гибкую систему защиты данных в соответствии со стандартом Банка России.

Обеспечение соответствия требованиям PCI DSS

Стандарт PCI DSS предназначен для обеспечения безопасности в процессе обработки, хранения и передачи данных о держателях платежных карт и обязателен для компаний финансовой, торговой, в том числе электронной коммерции, и сервисной сферы бизнеса, работающих с международными платежными системами Visa, MasterCard, American Express и другие.

Приведение инфраструктуры и процессов в компании в соответствие со стандартом PSI DSS обеспечивает:

  • Выполнение требований национальных регуляторных
  • Выполнение требований международных платежных систем
  • Повышения авторитета компании как надежного бизнес партнера
  • Минимизация финансовых и репутационных рисков
  • Минимизация рисков штрафных санкций и ограничений со стороны платежных систем

Аудит и анализ на соответствие.

  • Определение области сертификации. Аудит информационных систем и анализ уязвимостей
  • Выработка плана рекомендаций по приведению документов и информационных систем в соответствие с требованиями стандарта PCI DSS
  • Бюджетная оценка стоимости и сроков реализации проекта. Оценка возможности альтернативных решений
  • Разработка, корректировка организационно-распорядительных документов
  • Поставка и внедрение программных и аппаратных решений, обеспечивающих приведение информационной системы в соответствие со стандартом PCI DSS
  • Работа с персоналом компании

После проведения подготовки информационной системы компании к внешнему аудиту на соответствие стандарту PCI DSS мы обеспечиваем:

  • Информационно-консультационное сопровождение
  • Ежеквартальное сканирование на уязвимости (ASV)
  • Тестирование системы на проникновение
  • Поддержание требуемого уровня безопасности в соответствие со стандартом PCI DSS

Бизнес-анализ и отраслевой консалтинг

  • Проведение обследования организации, дочерних предприятий и подразделений
  • Анализ процессов, процедур, НПА
  • Разработка проектов НПА
  • Разработка методик и моделей
  • Описание бизнес процессов в различных нотациях (IDEF0, EPC)
  • UML, CASE-средства (ErWin, Rational Rose, Rational Software Architect, Rational Data Architect)
  • Разработка методик, аналитических отчетов
  • Участие в апробации решений, методик
  • Разработка обучающих материалов

Сетевая безопасность

Технические решения обеспечения информационной безопасности:

  • системы защиты от утечек конфиденциальной информации
  • решения по сетевой безопасности
  • системы криптографической защиты информации
  • системы антивирусной защиты
  • системы мониторинга информационной безопасности
  • системы резервного копирования и восстановления данных
  • системы корпоративной инфраструктуры открытых ключей
  • системы контекстной фильтрации web-трафика
  • системы управления соответствия требованиям
  • системы управления доступом к информации
  • системы многофакторной аутентификации
  • системы противодействия мошенничеству
  • системы защиты виртуальных инфраструктур;
  • системы аутентификации и идентификации
  • системы защиты критически важных объектов (КВО)

Обеспечение безопасности АСУ ТП

Автоматизированные системы управления технологическими процессами (АСУ ТП) на сегодняшний день являются безусловной и неотъемлемой частью современного предприятия как топливно-энергетического комплекса, так и других отраслей экономики.

Снижение рисков нарушения работы АСУ ТП, выполнение требований Федерального закона от 21.07.2011 №256-ФЗ «О безопасности объектов топливно-энергетического комплекса», требований руководящих документов ФСТЭК России по ключевым системам информационной инфраструктуры (КСИИ) сегодня требует от компании проведения комплексных работ с применением организационных и технических мер информационной безопасности.

Проект построения системы информационной безопасности АСУ ТП в себя включает:

  • Аудит КСИИ, с целью проведения оценки текущего состояния системы безопасности в АСУ ТП и соответствие руководящим документам ФСТЭК России, отраслевым стандартам
  • Разработка модели информационной безопасности, оценка рисков
  • Разработка требуемого пакета документов в рамках выполнения задачи построения системы информационной безопасности АСУ ТП и выполнению требований законодательства
  • Разработка плана внедрения технических мер безопасности, обеспечивающих эффективное снижения рисков нарушения работы АСУ ТП
  • Поставка и внедрение решений
  • Разработка плана и внедрение организационных мер, по увеличению осведомленности сотрудников в вопросах информационной безопасности и ее особенностей в системах АСУ ТП. Персонал, ответственный за поддержку АСУ ТП, обычно хорошо разбирается в проблемах физической безопасности на производстве, но совершенно не знаком с рисками, целями и задачами ИБ АСУ ТП

Любой из этапов работ может быть проведен отдельно, но только комплексный подход может дать максимальные результаты.

Защита персональных данных

Обеспечение соответствия требованиям Федерального закона №152-ФЗ «О персональных данных»

27 июля 2006 года был принят, а 26 января 2007 года вступил в силу Федеральный закон №152-ФЗ «О персональных данных», который определяет и предъявляет требования к защите персональных данных субъектов (сотрудников, клиентов, посетителей и т. д.).

С учетом поправок от 25 июля 2011 года (261-ФЗ) к 152-ФЗ «О персональных данных» данный закон предъявляет достаточно жесткие требования к операторам (организациям, обрабатывающим ПД) в части организации процесса защиты персональных данных.

Задачи, которые мы совместно решаем при проведении работ по защите персональных данных:

  • выявление каналов персональных данных и формы их носителей
  • документирование существующих процессов обработки персональных данных
  • ранжирование персональных данных, циркулирующих в компании, составление карт движения и допуска к обработки персональных данных
  • обоснование требований к организационно техническим мерам обработки персональных данных
  • обоснование классификации информационных систем используемых для обработки персональные данные
  • легирование и анализ действующих организационно- технических мер обеспечивающих безопасность обработки персональных данных
  • разработка моделей угроз безопасности, возникающих при обработке персональных данных в информационных системах клиента
  • организационно-техническое проектирование системы защиты персональных данных в информационных системах
  • поставка технических решений, внедрение и сопровождение средств защиты информации; внедрение и контроль внедрения организационных мер защиты обработки персональных данных

План построения комплексной системы защиты персональных данных:

  • Аудит - Выявление существующих ресурсов, систем и источников персональных данных
  • Разработка плана технических и организационных мер по реализации. Этот план может включать в себя как минимальный набор действий для выполнения закона, так и полный перечень решений для построения комплексной системы защиты персональных данных в информационной среде компании
  • Внедрение решений
  • Сопровождение решений

НСП №161 ФЗ

Обеспечение соответствия требованиям Федерального закона №161-ФЗ «О национальной платежной системе»

27 июня 2011 года был принят Федеральный закон № 161-ФЗ «О национальной платежной системе» (далее ФЗ «О НПС»). Данный закон устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, в том числе осуществления перевода денежных средств, деятельность субъектов национальной платежной системы, а также определяет требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе.

Положения ФЗ «О НПС» устанавливают регулярную отчетность по обеспечению защиты информации при осуществлении переводов денежных средств перед Банком России для операторов платежных систем, операторов по переводу денежных средств и операторов услуг платежной инфраструктуры, а так же устанавливают ответственность за неисполнение установленных в них требований.

Требования ФЗ «О НПС» обязательны к исполнению, для:

  • банков, как операторов по переводу денежных средств
  • банковских платежных агентов/субагентов (компании, за исключением кредитных организаций, осуществляющие прием платежей физических лиц)
  • операторов платежных систем (например, Visa, MasterCard, Unistream, Western Union, УЭК и т.д.)
  • операторов услуг платежной инфраструктуры (операционный центр, платежный клиринговый центр и расчетный центр)

Независимо от роли, которую организация играет в рамках платежной системы, к ней применимы и обязательны для исполнения требования ФЗ «О НПС» и нормативные документы Банка России, разработанных на основании ФЗ «О НПС».

Мероприятия по выполнению требования ФЗ «О НПС» решают задачи:

  • Оценки состояния текущего уровня безопасности
  • Соответствие текущему законодательству. Позволяет обеспечить соблюдение полного соответствия системы защиты платежей требованиям ФЗ «О НПС» и нормативных документов Банка России, разработанных на его основе
  • Повышение уровня безопасности до уровня, удовлетворяющего потребностям бизнеса.
  • Оптимизация затрат на информационную безопасность

Решение включает в себя:

  • Анализ соответствия требованиям законодательства. Результатам этого этапа является подробный отчет о проведенном анализе и оценка уровня соответствия информационной системы.
  • Разработку рекомендаций по корректировки системы. Результатам этого этапа является подробный список организационно-технических мер, которые требуется внедрить в организации.
  • Совершенствование существующих и разработка необходимых документов. Результатом данного этапа является наличие у вас исчерпывающего пакета документов и правил в соответствии с законодательством РФ.
  • Проектирование и внедрение технических решений:
    • Сертифицированные средства шифрования.
    • Средства антивирусной защиты.
    • Средства противостояния и обнаружения вторжений.
    • Средства аутентификации и другие требуемые решения.
  • Работа с персоналом и повышения осведомленности.

Безопасность вашей компании

Классификация информационных активов

Построение системы информационной безопасности как целостного решения или внедрение отдельных ее частей, направленных на работу с одной или несколькими угрозами информационной безопасности, должно всегда начинаться с самого главного с понимания ценности той информации, защищать которую признана система.

Классификация информационных активов, это возможность понять:

  • с какой информацией мы имеем дело
  • где она находится, хранится, модифицируется
  • кто имеет доступ к информации и как с ней работает
  • какую ценность эта информация для нас представляет
  • сколько вы готовы инвестировать, чтобы защитить эту информацию

Классификация информационных активов позволяет получить:

  • разделение информации по классам, согласно выбранной методике
  • представление для формирования правил работы с информацией
  • основу для управления активами и развития системы информационной безопасности компании

В рамках проведения классификации информационных активов мы производим:

  • Сбор первичных сведений о компании и ее бизнес процессах
  • Анализ документации по бизнес процессам
  • Обследование бизнес-процессов в реальных условиях
  • Идентификация и документирование информационных активов
  • Определение критериев и методики классификации информационных активов
  • Проведение классификации информационных активов
  • Формирование требований по защите информационных активов в соответствие с классификацией

Стратегия информационной безопасности

Четкая стратегия развития компании позволяет сформировать и описать частные стратегические цели для различных областей деятельности, поддерживающих и обеспечивающих главные цели бизнеса и сформированная стратегия развития системы информационной безопасности не исключение.

Стратегия информационной безопасности требует пересмотра, в случае:

  • слияния, объединения, поглощения компании
  • смены стратегических планов компании, ее стратегии развития
  • смене владельца компании или высшего руководства
  • коренные изменения во внешних или внутренних условиях развития

Любое из этих событий коренным образом влияет на жизнь компании, вносит свои коррективы в стратегический план развития компании и в планы ее отдельных областей деятельности, в том числе и информационную безопасность.

Наша услуга по разработке стратегии включает в себя:

  • анализ существующей стратегии развития бизнеса, кадровой политики, стратегии развития IT инфраструктуры
  • аудит системы информационной безопасности и IT инфраструктуры, актуализаций текущего состояния, целей и задач, которые они решают в настоящее время
  • анализ законодательных требований и требований регламентирующих органов, действующих в отношении компании и отрасли в целом, в области информационной безопасности
  • определение основных стратегических целей информационной безопасности на короткий и длинный период
  • разработка плана, определяющего задачи и этапность достижения поставленных целей, который включает в себя как организационные, так и технические аспекты развития системы информационной безопасности
  • бюджетная оценка реализации плана достижения поставленных целей, что позволяет не только оценить и принять план развития, но и спрогнозировать бюджет на требуемый период

Обеспечение непрерывности бизнеса и восстановление после сбоя

Риск возникновения внештатных ситуации, перебоев в работе систем и сервисов компании существует всегда, и эффективность мер по противостоянию таким ситуациям будет зависеть от того, насколько компания готова столкнуться с такими проблемами.

Система обеспечения непрерывности бизнеса и восстановления после сбоя представляет собой комплекс организационно-технических мер, обеспечивающих непрерывность (устойчивость) функционирования систем компании, обеспечивающих критически важные бизнес процессы в случае нештатных ситуаций и восстановление систем в заданные сроки после сбоя.

Отсутствие такой системы, в первую очередь грозит:

  • потерей репутации компании как надежного партнера/исполнителя
  • значительные операционные расходы
  • контрактные нарушения и связанные с этим выплаты
  • расходы, связанные с «остановкой и простоем» бизнеса
  • снижение прибыли
  • ликвидация компании или невозможность восстановления ее работоспособности

Мы оказываем своим клиентам полный спектр услуг по построению системы обеспечения непрерывности бизнеса и восстановления после сбоя, а именно:

  • Разработка стратегии непрерывности бизнеса
  • Разработка и внедрение мер обеспечения непрерывности бизнеса
  • Разработка, внедрение и тестирование мер восстановления после сбоев

В своей работе мы руководствуемся практическим опытом таких систем, а также лучшими мировыми практиками, стандартами и руководящими документами.