«Кливер» реализует комплексные решения и услуги по обеспечению информационной безопасности для защиты корпоративных и ведомственных систем любого назначения и уровня сложности. Мы используем российские и зарубежные стандарты и лучшие мировые методологии для решения поставленных задач.
Партнерские отношения ведущих производителей специализированных продуктов для обеспечения информационной безопасности позволяют проектировать и внедрять широкий спектр решений с учетом отраслевой специфики.
«Кливер» имеет все необходимые лицензии на осуществление деятельности в области защиты информации, лицензии ФСТЭК и ФСБ, и обладает большим опытом реализации проектов любого уровня сложности для государственных и коммерческих организаций.
Мы понимаем что недостаточно просто проектировать решения, поэтому «Кливер» уделяет особое внимание вопросам сопровождения внедренных решений.


Защита государственных информационных систем

Защита государственных информационных систем (ГИС) осуществляется в рамках выполнения требований действующих нормативных правовых актов Российской Федерации в области информационной безопасности и направлена на предотвращение нарушения конфиденциальности, целостности и доступности государственных информационных ресурсов. Компетенции «Кливер» позволяют не только построить систему защиты информации с нуля при создании ГИС, но и привести в соответствие действующему законодательству информационную систему, уже введенную в эксплуатацию. «Кливер» выполняет полный спектр работ от формирования требований к защите информации, содержащейся в ГИС, разработки и внедрения системы защиты информации ГИС до аттестации ГИС по требованиям защиты информации. В рамках проекта также может производиться анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению. В случае если в ГИС происходит обработка персональных данных субъектов, система защиты информации строится с учетом требований законодательства в области защиты персональных данных.


Защита персональных данных

Обладая лицензией на проведение работ по технической защите конфиденциальной информации, «Кливер» предлагает комплексное решение по обследованию процессов автоматизированной и неавтоматизированной обработки персональных данных и по созданию комплексной системы защиты персональных данных при их обработке в информационных системах и гарантирует обеспечение защиты персональных данных в полном соответствии с требованиями Федерального Закона «О персональных данных» №152‑ФЗ от 27 июля 2006 года и подзаконных нормативно-правовых актов.
Защита персональных данных проводится экспертами «Кливер» поэтапно и включает в себя:
формирование требований к защите персональных данных, содержащихся в информационных системах персональных данных, включая классификацию информационной системы по требованиям защиты информации, определение актуальных угроз безопасности персональных данных;
разработка комплексной системы защиты персональных данных, включая проектирование системы защиты, разработку эксплуатационной документации, разработку проектов организационно-распорядительных документов;
ввод в эксплуатацию и гарантийное сопровождение комплексной системы защиты персональных данных.
Результатом работ по защите персональных данных заказчика является оптимальный с точки зрения стоимости, качества и снижения бизнес-рисков набор организационно-технических мер, учитывающий специфику организации и риски бизнес-деятельности в случае реализации угроз безопасности персональных данных, а также при имиджевых потерях и нарушении законодательства, включая проверки регуляторов (прокуратура, Роскомнадзор, ФСБ России, ФСТЭК России).


Аудит информационной безопасности

«Кливер» предоставляет услуги по аудиту информационной безопасности с учетом потребностей и особенностей бизнеса заказчика. Целями проведения аудита могут быть:
оценка текущего уровня защищенности критичных активов, разработка рекомендаций и плана по обработке рисков ИБ; приведение информационной безопасности организации в соответствие требованиям законодательства РФ, международных стандартов, требований акционеров и контрагентов (контрактные/договорные обязательства);
независимый аудит аутсорсинга (аудит третьей стороны) для оценки принятия должных мер (due care) и должного усердия (due diligence) организации, оказывающей критичные услуги;
выбор приоритетных направлений (концепция ИБ и стратегия ИБ), формирование портфеля проектов ИБ, формирование бизнес-кейсов и помощь в защите на бюджетном комитете организации;
улучшение системы управления информационной безопасностью и отдельных процессов и процедур ИБ.
В рамках аудита информационной безопасности проводятся анализ организационно-распорядительной документации в области ИБ; оценка уровня защищенности критичной информации и информационных систем непосредственно на объектах заказчика; тестирование отдельных узлов и информационных ресурсов на уязвимости, в том числе путем выборочной инструментальной проверки и тестовых выборок; идентификация, анализ и высокоуровневое оценивание основных рисков ИБ с помощью сценарного подхода; подготовка рекомендаций по внедрению организационных, административных, технических мер и плана мероприятий на основе проведенного аудита и оценки рисков организации.
По желанию заказчика, планирование аудита ИБ может быть проведено с помощью оценки рисков аудита по экспертной методике компании «Кливер». В ходе оценки рисков аудита будут оценены риски области аудита, риски выполнения мер безопасности и риски обнаружения уязвимостей в ходе аудита.


Оценка рисков информационной безопасности

При построении процесса менеджмента рисков информационной безопасности «Кливер» следует стандарту ISO/IEC 27005:2011, который содержит подробные рекомендации по менеджменту рисков ИБ. В ходе первичной высокоуровневой оценки рисков «Кливер» разрабатывает адаптированную оптимальную методологию оценки рисков ИБ в соответствии со спецификой деятельности заказчика и его бизнес-процессов, категорией рисков ИБ, лучшими практиками в области ИБ, экспертным опытом.
Высокоуровневый анализ существующих рисков информационной безопасности позволяет заказчику определить критические системы, бизнес-подразделения, процессы и сервисы, для которых риски информационной безопасности выше установленного предельного порога.
Заказчик может использовать разработанную и апробированную высокоуровневую методику оценки рисков ИБ в дальнейшем не только в той области, где она применялась экспертами «Кливер», но и для других площадок, проектов, информационных систем или бизнеса в целом.
По результатам оценки рисков, проведенной «Кливером», разрабатываются рекомендации по применению взаимоувязанного комплекса организационных и технических мер, направленных на снижение уровня рисков информационной безопасности с предложением экономически обоснованного портфеля проектов ИБ. Дополняя план обработки рисков, рекомендации носят конкретный характер и направлены на максимально полное и эффективное перекрытие всех требований безопасности при разумном минимуме затрат, в том числе по снижению критичных рисков ИБ путем внедрения политик, процедур и технических средств.


Защита критически важных и промышленных объектов

Подход к обеспечению безопасности критических объектов с приоритетом обеспечения доступности и целостности не только информации, но и других материальных и нематериальных активов является нестандартным с точки зрения информационной безопасности. Поэтому «Кливер»рассматривает угрозы и меры безопасности не только с точки зрения информационной безопасности, но и кибербезопасности (стандарт ISO/IEC 27032 — Guideline for cybersecurity), а также непрерывности деятельности информационно-коммуникационных систем (ISO/IEC 27031 — Guidelines for information and communications technology readiness for business continuity, ISO 22301, BS 25777, BS 25999, Комплекс стандартов по безопасности КСИИ).
С точки зрения управления лучших практик информационной безопасности и кибербезопасности для защиты критически важных объектов «Кливер» предлагает использовать комплекс отечественных и международных стандартов в области управления информационной безопасностью, сетевой безопасности, промышленной безопасности и др.
Процесс разработки концепции, стратегии, планирования и построения системы управления информационной безопасности и противодействия киберугрозам неотрывно связан с процессом менеджмента рисков не только информационной безопасности, но и технологических рисков, и поэтому менеджмент рисков является ключевым разделом каждого стандарта и руководства по безопасности АСУТП и критических систем. В качестве базового стандарта предлагается использовать накопленный международный опыт в виде стандартов ISO/IEC 27005 — Information security risk management; ISO 31000:2009 — Principles and Guidelines on Implementation; ISO/IEC 31010:2009 — Risk Management — Risk Assessment Techniques; ISO Guide 73:2009 — Risk Management – Vocabulary.


Аттестация по требованиям безопасности информации

«Кливер» имеет лицензии и аккредитацию на выполнение работ по аттестации объектов информатизации по требованиям безопасности информации. В результате выполнения комплекса организационных и технических мероприятий (аттестационных испытаний) документально подтверждается соответствие системы защиты информации тем требованиям, которые были заявлены в ходе ее создания. Обязательной аттестации подлежат государственные информационные системы, а также информационные системы, обрабатывающие сведения, составляющие государственную тайну, либо данные ограниченного доступа, собственником которых являются госорганы. Ввод в действие таких информационных систем возможен только при наличии аттестата соответствия.
«Кливер» выполняет следующие работы:
обязательную аттестацию объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну;
аттестацию объектов информатизации, предназначенных для обработки информации конфиденциального характера.
В рамках работ по аттестации объектов информатизации «Кливер» оказывает следующие услуги:
оценку соответствияобъекта информатизации требованиям безопасности информации;
разработку предложений и рекомендаций по приведению объекта информатизации в соответствие требованиям безопасности информации;
подготовку объекта информатизации к аттестационным испытаниям, в том числе создание или совершенствование существующей системы защиты информации;
проведение аттестационных испытаний объектов информатизации на соответствие требованиям нормативных документов в области безопасности информации.


Создание комплексных систем защиты информации

«Кливер» проектирует и создает комплексные системы защиты информации (КСЗИ) на основе результатов анализа рисков информационной безопасности, моделирования угроз, выполнения нормативных требований регуляторов в области информационной безопасности (ФСТЭК России, ФСБ России, Банк России и т.д.), а также индивидуальных требований заказчиков.
Проектирование и создание КСЗИ осуществляется с учетом ГОСТ 34-й серии, ГОСТ Р 51583 и ГОСТ Р 51624, но при этом подход к проектированию систем защиты может отличаться в зависимости от типа защищаемой информационной системы.


Защита периметра сети

Технологии удаленного доступа, высокоскоростные мобильные сети передачи данных, облачные технологии смещают значение определения периметра от физического (который раньше можно было считать границей офиса) в сторону виртуального, где данные организации распределены между имеющейся инфраструктурой, устройствами сотрудников и сервисами сторонних компаний. Такие тенденции не отменяют необходимости защиты периметра, а существенно усложняют его организацию.
«Кливер» предлагает комплексные решения по защите периметра сети, включающие в себя шлюзы безопасности, межсетевые экраны и системы обнаружения вторжений. При этом каждый компонент может быть также представлен в качестве отдельного решения.
В независимости от набора компонентов защиты основной задачей системы остается контроль и управление проходящим через оборудование трафиком. Решения о разрешении или запрещении того или иного трафика могут приниматься на основании простых правил или же могут быть результатом работы набора подсистем, анализирующих такие факторы, как источник, назначение, время, тип данных, аномальную активность, принадлежность к спаму или ботнетам и многим другим факторам.
Для создания систем защиты периметра «Кливер» использует продукты мировых лидеров: Cisco Systems, Juniper Networks, Check Point Software Technologies, PaloAlto.


Криптографическая защита каналов связи

Сфера применения криптографически защищенных каналов связи охватывает все области применения информационных технологий и включает:
защищенную передачу данных в дата-центрах, территориально распределенных организациях, в системах электронного документооборота и др.;
защиту голосовых коммуникаций, видеоконференцсвязи и электронной почты, что особенно актуально для центров обработки вызовов, систем корпоративной IP-телефонии, территориально распределенных комплексов видеоконференцсвязи и др.;
защиту каналов управления и мониторинга.
В телекоммуникационных сетях криптографическая защита каналов связи организуется на различных уровнях ЭМВОС (OSI): канальный (например, MACSec), сетевой (например, IPSec), транспортный и сеансовый (например, SRTP, TSL/SSL), представления и приложения (например, S/MIME, PPTP). Для организации защищенных каналов связи применяется широкий спектр симметричных криптографических алгоритмов и криптосистем с открытым ключом, а также их комбинации.
Широкое применение получила адаптивная технология виртуальных защищенных сетей (VPN), которая позволяет создать единую защищенную сетевую инфраструктуру на территориально распределенных сетях разнообразных топологий. Решения основываются как на базе сетевого оборудования, так и на выделенных устройствах.
«Кливер» предоставляет услуги по организации криптографической защиты каналов связи с целью обеспечения конфиденциальности, целостности и подлинности передаваемых данных, аутентификации узлов и образованных между ними каналов. Компания имеет все необходимые лицензии на осуществление деятельности, связанной с использованием криптографических средств.


Защита электронной почты и веб-трафика

Внедрение системы контентной фильтрации почтового и веб-трафика позволяет обеспечить защиту корпоративной почты от нежелательных сообщений, блокировку вредоносного ПО и нейтрализацию вирусов в загружаемом контенте, а также способствует повышению эффективности работы персонала благодаря контролю доступа сотрудников в Интернет.
Система решает следующие задачи:
Обеспечение доступа сотрудников только к тем веб-ресурсам, которые могут потребоваться в рамках выполнения должностных обязанностей;
Реализация централизованной политики доступа к веб-ресурсам и обеспечение защиты от угроз со стороны сетей общего пользования;
Минимизация риска повреждения информационных систем вредоносным ПО;
Минимизация риска утечки конфиденциальной информации;
Формирование отчетности об инцидентах и деятельности пользователей.
Для реализации системы контентной фильтрации почтового и веб-трафика компания «Кливер» применяет продукты мировых лидеров в области обеспечения информационной безопасности, в том числе Barracuda Networks, Bluecoat Systems, Cisco Systems, Check Point Software Technologies, McAfee/Intel Security.
«Кливером» накоплен значительный опыт проектов по внедрению систем контентной фильтрации для заказчиков из разных отраслей, в том числе в компаниях с крупными территориально-распределенными сетями передачи данных.