Категорирование и аттестация информационных
систем

Вам может понадобиться аудит ИБ, в случае:
1. Для применения превентивных действий, минимизирующие риски сбоев в ИТ, приводящих к потере данных ограниченного доступа или попросту к простою бизнеса.
2. При смене ИТ-специалистов в компании часто теряются не только сам специалист, но и понимание функционирования ИТ-инфраструктуры компании.
3. Планируете расширение ИТ-инфраструктуры компании и нуждаетесь в объективных данных о текущем состоянии ее.
Мы проведем Вам провести комплексный аудит информационной безопасности с учётом потребностей и особенностей конкретной компании.

Этапы работы

1. Сохраняя полную конфиденциальность, соберём полную информацию о Вашей системе.
2. Проверим организационно-распорядительные документы.
3. С помощью сканеров уязвимости проверим отдельные узлы информационной системы.
4. Поможем выявить основные риски информационной безопасности и проанализируем их с помощью сценарного подхода.
5. Подготовим шаблоны организационно-распорядительной документации не хватающей Вашей компании.
6. Дадим рекомендации по улучшению ИТ-инфраструктуры.
7. Подготовим план-график мероприятий по организации системы защиты информации.

Создаём высокоуровневую методологию оценки и менеджмента рисков информационной безопасности, адаптированную под бизнес заказчика, на основе стандарта ISO/IEC 27005:2011, лучших отраслевых практик и экспертного опыта специалистов нашей компании. Оцениваем риски информационной безопасности и разрабатываем рекомендации по применению взаимоувязанного комплекса организационных и технических мер, направленных на снижение уровня рисков информационной безопасности.

Этапы работы

1. Выявляем все потенциальные риски ИБ, угрозы и уязвимости.
2. Оцениваем вероятности рисков ИБ и их воздействия на систему.
3. Присваиваем степень серьезности риска ИБ на основе его вероятности и воздействия.
4. Предлагаем меры по смягчению и управлению рисками ИБ.

Проектируем и создаем системы управления информационной безопасностью по стандарту ГОСТ Р ИСО/МЭК 27001-2021. Осуществляем разработку политики менеджмента информационной безопасности, анализируем риски информационной безопасности, разрабатываем правила управления рисками информационной безопасности, готовим организации к сертификации по ИСО 27001.

Этапы работы

1. Собираем информацию.
2. Оцениваем риски.
3. Разрабатываем стратегию управления ИБ.
4. Реализуем процессы управления ИБ.
5. Проектируем и внедряем систему защиты информации.
6. Разрабатываем шаблоны организационно-распорядительных документов для компании в области управления ИБ.
7. Обучаем персонал компании.

Реализовываем комплекс организационных и технических мероприятий (аттестационных испытаний) для документального подтверждения соответствия систем защиты информации требованиям, которые были заявлены в ходе ее создания, и нормам действующего законодательства. Мы имеем лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России в соответствии с Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79.

Этапы работы

1. Проводим анализ документов, предоставляемых заказчиком (Технический паспорт, акт классификации (категорирования), модель угроз, частное техническое задание на создание (развитие, модернизацию) СЗИ объекта информатизации (ОИ), проектную документацию на СЗИ ОИ, эксплуатационную документацию на СЗИ ОИ, организационно-распорядительную документацию по защите информации, результаты анализа уязвимостей ОИ).
2. В случае необходимости (отсутствии документов, предоставляемых заказчиком) поможем разработать в соответствии с методическими рекомендациями и РД ФСТЭК России, опираясь на требования ГОСТ.
3. Разрабатываем программу и методику аттестационных испытаний.
4. Проводим аттестационные испытания согласно программе и методике, согласованной с заказчиком.
5. Оформляем протокол аттестационных испытаний, заключение по результатам аттестационных испытаний и в случае положительного заключения выдаем аттестат соответствия требованиям по защите информации.
Результаты аттестационных испытаний предоставляем во ФСТЭК России для внесения ОИ в реестр аттестованных ОИ.

Организационно-распорядительная документация в области защиты информации часто не воспринимается компаниями в серьез, а зря, ведь:

1. В случае осуществления негативных последствий для компании, только она Вам поможет доказать виновность третьей стороны в этом.
2. Все мероприятия по обеспечению правомерности обработки персональных данных и их безопасности должны быть строго регламентированы внутренней организационно-распорядительной документацией оператора.
3. Для регламентирования строгого порядка действий персонала в случае обычной работы с системой и в случаях нештатных ситуаций.

Мы разработаем шаблоны организационно-распорядительных документов для конкретно Ваc, учитывая все особенности системы.

При проектировании системы защиты информации необходимо соблюдать эффективность и адекватность применяемых мер защиты, для обеспечения защищенности системы без лишних затрат. Для этого надо определить от чего Вам надо защищаться. Мы, проанализировав Вашу систему определим все возможные угрозы информационной безопасности и возможности нарушителей для Вашей системы.

Этапы работы

1. Проводим обследования системы.
2. Совместно с Вами определяем недопустимые события для Вашей компании.
3. Определяем возможные уязвимости системы.
4. Определяем возможных нарушителей для Вашей системы.
5. Определяем актуальные угрозы, сценарий их реализации и последствия от ее осуществления.
6. В случаях необходимости (установленных законом), поможем согласовать с уполномоченными регулирующими органами.