+7(495)730-74-88

Информационная безопасность

Соответствие требованиям ИБ

Обеспечение соответствия требованиям Федерального закона №161-ФЗ «О национальной платежной системе»


Задачи, которые мы совместно решаем при проведении работ на соответствие требованиям Федерального закона №161-ФЗ «О национальной платежной системе»:

- анализ соответствия требованиям законодательства, анализ внутренних нормативных документов, проведение интервью с сотрудниками и анализ процессов обеспечения информационной безопасности в компании. Результатам этого этапа является подробный отчет о проведенном анализе и оценка уровня соответствия информационной системы;
- разработка рекомендаций по корректировки системы, основываясь на результатах анализа, разработка программных мер по совершенствованию системы обеспечения информационной безопасности компании и приведению ее в соответствие с текущими требованиями законодательства по защите информации в Национальных платежных системах;
- разрабатывается подробный список организационно-технических мер, которые требуется внедрить в компании
разработка или доработка необходимых документов, основываясь на рекомендациях, строго соблюдая требования регламентирующих документов и учитывая особенности бизнес процессов (требуемый пакет документов, правил и инструкций);
- проектирование и внедрение технических решений, основываясь на результатах анализа и с учетом потребностей бизнеса (подготовка возможных вариантов решения задач по построению или совершенствованию системы обеспечения информационной безопасности компании);
- обучение персонала и повышения осведомленности сотрудников требуемым регламентам, правилам и инструкциям в области обеспечения информационной безопасности.


Обеспечение соответствия требованиям Федерального закона №152-ФЗ «О персональных данных»


Задачи, которые мы совместно решаем при проведении работ на соответствие требованиям Федерального закона №161-ФЗ «О национальной платежной системе»:

- выявление информационных систем и каналов передачи персональных данных;
- документирование существующих процессов обработки персональных данных;
- ранжирование персональных данных, циркулирующих в компании, составление карт движения и допуска к обработке персональных данных;
- обоснование требований к организационно-техническим мерам обработки персональных данных;
- обоснование уровня защищенности персональных данных в информационных система используемых для обработки персональных данных;
- анализ действующих организационно- технических мер обеспечивающих безопасность обработки персональных данных;
- разработка моделей угроз безопасности, возникающих при обработке персональных данных в информационных системах;
- проектирование системы защиты персональных данных в информационных системах;
- поставка технических решений, внедрение и сопровождение средств защиты информации;
- организация и контроль выполнения требований организационных мер защиты и обработки персональных данных
обучение персонала;
- анализ соответствия требованиям по защите информации в рамках аттестации Информационных систем персональных данных;
- аттестация информационных систем персональных данных.


Обеспечение соответствия требованиям по защите информации в Государственных информационных системах


Задачи, которые мы совместно решаем при проведении работ по защите информации в Государственных информационных системах (ГИС):

- анализ и проведение классификации ГИС, исходя из требований законодательства Российской Федерации;
- разработка модели угроз и нарушителя ИБ в ГИС;
- определение организационных и технических мер защиты, которые требуются для устранения угрозы нарушения безопасности информации в ГИС;
- проектирование Комплексной системы информационной безопасности ГИС;
- разработка исполнительной документации, определяющей комплекс мер, необходимых для защиты информации;
- внедрение технических средств защиты информации;
- обучение персонала;
- анализ соответствия требованиям по защите информации в рамках аттестации ГИС;
- аттестация ГИС.


Обеспечение соответствия требованиям по защите информации в Автоматизированных системах управления технологическими процессами (АСУ ТП)


Задачи, которые мы совместно решаем при проведении работ по защите информации в АСУ ТП:

- анализ и проведение классификации АСУ ТП, исходя из требований законодательства Российской Федерации;
- формирование программы работ по обеспечению ИБ АСУ ТП с учетом общей концепции защиты АСУ ТП;
- определение и выполнение требований по обеспечению безопасности компонентов АСУ ТП за счет формирования и принятия пакета организационной документации, направленной на создание и поддержание режима ИБ АСУ ТП;
- разработка модели угроз и нарушителя ИБ в АСУ ТП;
- проектирование Комплексной системы информационной безопасности АСУ ТП;
- разработка исполнительной документации, определяющей комплекс мер, необходимых для защиты информации;
- внедрение технических средств защиты информации;
- обучение персонала;
- анализ соответствия требованиям по защите информации в рамках аттестации АСУ ТП;
- аттестация АСУ ТП.

Конкретные требования к перечисленным видам работ предъявляются на основании анализа обрабатываемой информации и оценки угроз безопасности АСУ ТП и требований законодательства Российской федерации по требованиям безопасности информации.


Обеспечение соответствия требованиям по защите информации в Ключевой системе информационной инфраструктуры


Задачи, которые мы совместно решаем при проведении работ по защите информации в Ключевой системе информационной инфраструктуры (КСИИ):

- нормативное правовое регулирование в области обеспечения безопасности информации в КСИИ;
- определение угроз безопасности информации и выявление уязвимостей в программном и аппаратном обеспечении КСИИ;
- оценка реальной защищенности КСИИ;
- разработка требований по обеспечению безопасности информации в КСИИ;
- разработка и реализация мер по обеспечению безопасности информации в КСИИ;
- проектирование Комплексной системы информационной безопасности КСИИ;
- разработка исполнительной документации, определяющей комплекс мер, необходимых для защиты информации;
- внедрение технических средств защиты информации КСИИ;
- подготовка специалистов в области обеспечения безопасности информации в КСИИ;
- осуществление контроля и надзора в области обеспечения безопасности информации в КСИИ;
- информационное, материально-техническое и научно-техническое обеспечение безопасности информации в КСИИ;
- анализ соответствия требованиям по защите информации в рамках аттестации КСИИ;
- аттестация КСИИ.


Обеспечение соответствия требованиям СТО БР ИББС


Задачи, которые мы совместно решаем при проведении работ на соответствие требованиям СТО БР ИББС:

- Оценка соответствия требованиям СТО БР ИББС (аудит):

- текущий уровень ИБ компании в соответствии с требованиями СТО БР ИББС;
- менеджмент ИБ компании;
- уровень осознания ИБ компании.

- Внедрение СОИБ по требованиям СТО БР ИББС:

- предварительная оценка соответствия требованиям Стандарта;
- инвентаризация информационных активов и оценка рисков ИБ;
- проектирование СОИБ в соответствии с требованиями Стандарта;
- внедрение СОИБ по требованиям Стандарта;
- итоговая оценка соответствия по требованиям Стандарта.

- Выполнение требований по защите персональных данных в рамках СТО БР ИББС:

- инициация проекта и предоставление Заказчиком первичных сведений об объекте обследования (заполнение опросных форм);
- анализ первичных сведений и планирование работ на объектах Заказчика;
- изучение процессов обработки ПДн на объектах Заказчика;
- анализ собранной информации и разработка отчетной документации;
- разработка проектов организационно-распорядительной документации;
- разработка Технического проекта СЗПДн;
- внедрение средств защиты информации;
- обучение специалистов;
- доработка СОИБ и внедрение дополнительных СЗИ.

- Оценка соответствия требованиям СТО БР ИББС (аудит).


Обеспечение соответствия требованиям PCI DSS


Задачи, которые мы совместно решаем при проведении работ на соответствие требованиям PCI DSS:

- Анализ несоответствий:

- определение границ области оценки и оценка возможностей её минимизации;
- анализ документации;
- интервьюирование сотрудников;
- выборочный контроль систем, входящих в границы области оценки;
- разработка экспертного заключения с рекомендациями по приведению инфраструктуры в соответствие требованиям Стандарта PCI DSS;
- подготовка бюджетной оценки сроков и стоимости работ.

- Устранение несоответствий:

- сканирований на наличие уязвимостей и тестирования на проникновение;
- проектирование процессов обеспечения ИБ данных держателей платежных карт;
- разработку организационно-распорядительной документации;
- поставку и внедрение программных и аппаратных средств защиты данных держателей платежных карт;
- отработку и корректировку функционирования внедренных процедур, накопление записей;

- Сертификационный аудит PCI DSS:

- сертификация на соответствие требованиям стандарта PCI DSS;
- построение системы пост-проектного сопровождения Заказчика для поддержания соответствия требованиям Стандарта PCI DSS.