Информационная безопасность

Предоставляя весь комплекс услуг в области информационной безопасности, мы определяем для себя стратегические направления, представляющие обоюдный интерес как для нашей компании (с точки зрения развития бизнеса), так и для наших заказчиков (с точки зрения максимального удовлетворения их текущих и перспективных потребностей):
  • разработка и внедрение комплексных промышленных систем обеспечения и управления информационной безопасностью;
  • разработка и внедрение процессов управления безопасностью как составной части управления комплексом информационных технологий предприятия;
  • обеспечение информационной безопасности корпоративных информационных систем;
  • поддержка систем обеспечения информационной безопасности.
 

Консалтинг в области обеспечения информационной безопасности

Квалификация и опыт работы в области информационной безопасности сотрудников «Статус» позволяют предложить нашим заказчикам профессиональный консалтинг в области обеспечения информационной безопасности, в том числе:
  • анализ, расследование инцидентов информационной безопасности;
  • выделение специалистов компании в рабочие группы проектов заказчика в области обеспечения информационной безопасности;
  • выполнение технико-экономического анализа продуктов и систем обеспечения информационной безопасности;
  • разработку методик проведения обследований и анализа защищенности;
  • разработку каталога услуг информационной безопасности для телекоммуникационных операторов;
  • разработку рекомендаций по защите отдельной информационной системы;
  • разработку процедур (регламентов) информационной безопасности;
  • разработку требований информационной безопасности в процессах управления информационными технологиями;
  • разработку специальных требований для создания комплексной системы технической защиты информации;
  • разработку технического задания на создание системы обеспечения информационной безопасности;
  • тестирование различного рода оборудования и программного обеспечения, организация тестовых зон для испытаний и отработки технологий в области создания средств и систем защиты информации, а так же защищенных средств и систем обработки и передачи информации;
  • составление аналитического обзора продуктов информационной безопасности по критериям заказчика;
  • разработку квалификационных требований к сотрудникам службы информационной безопасности;
  • проведение научно-исследовательских работ в области защиты информации;
  • разработку пакета нормативных документов по обеспечению информационной безопасности в компании.

Консалтинг помогает быстро и эффективно удовлетворить потребности наших заказчиков и их клиентов в решении вопросов обеспечения информационной безопасности при планировании развития корпоративных сетей и информационных систем, разработки стратегий развития и при решении других сложных вопросов обеспечения информационной безопасности. 

 

Защита персональных данных

Действующим законодательством Российской Федерации предусмотрена обязательная защита персональных данных, как отдельной категории конфиденциальной информации, затрагивающей интересы личности (субъектов персональных данных).

Федеральный закон от 27 июля 2007 г. № 152-ФЗ «О персональных данных» гласит, что основной целью при обработке персональных данных является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну; при этом статья 19 указанного закона определяет, что оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Вопросам защиты персональных данных в России уделяется все больше внимания. С принятием пакета нормативно- правовых актов по защите персональных данных уполномоченный федеральный орган исполнительной власти по защите прав субъектов персональных данных (Роскомнадзор), а также федеральные органы исполнительной власти, уполномоченные в области обеспечения безопасности (ФСБ России) и в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), обратили пристальное внимание на реализацию требований по обеспечению безопасности персональных данных и объявили об усилении контроля в данной сфере.

В связи с этим для государственных органов, муниципальных органов, юридических или физических лиц, организующих и (или) осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных (т.е. являющихся операторами персональных данных), сформировалась реальная и острая потребность в создании систем защиты персональных данных (СЗПДн) для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) и выполнения тем самым требований пакета соответствующих нормативно-правовых актов.

Мы готовы предоставить клиентам широкий спектр услуг в области обеспечения безопасности персональных данных — от классификации информационных систем персональных данных и выработки рекомендаций по выбору средств защиты информации до создания систем защиты персональных данных «под ключ».

Имея значительный опыт в области построения систем защиты персональных данных, наши специалисты: 

  • максимально учтут особенности и возможности имеющихся у заказчика систем обеспечения информационной безопасности;
  • подготовят рекомендации по оптимизации класса информационных систем персональных данных;
  • помогут подобрать оптимальное решение для реализации системы защиты;
  • обеспечат получение аттестата соответствия требованиям по безопасности информации;
  • минимизируют финансовые и временные затраты.

Сотрудничая с нами, вы получите надежную и эффективную системы защиты персональных данных, тесно интегрированную с комплексной системой обеспечения информационной безопасности информации.

 

Аудит информационной безопасности

Целью проведения аудита (обследования) состояния безопасности корпоративных информационных систем и ИТ- инфраструктуры является определение текущего фактического уровня обеспечения информационной безопасности и его сравнение с декларируемым уровнем. Обследование проводится в следующих случаях:

  • анализ рисков с целью обоснования инвестиций в создание системы обеспечения информационной безопасности;
  • анализ состояния информационной безопасности после внесения изменений в коммуникационную инфраструктуру, систему обеспечения информационной безопасности или информационные системы;
  • периодический анализ состояния информационной безопасности;
  • внеочередной анализ декларируемого и фактического уровня состояния информационной безопасности (при смене системных администраторов или администраторов безопасности, ключевых руководителей служб ИБ и ИТ, контроль состояния после разрешения инцидентов и других изменений в системах ИБ и ИТ);
  • определение уязвимостей критичных информационных систем или сервисов (например, путем выполнения теста на проникновение (penetration test), позволяющего определить потенциальные возможности злоумышленников по реализации несанкционированного доступа к ресурсам корпоративной сети через сеть Интернет или из внутреннего периметра сети);
  • плановое обследование/самообследование организации с целью подтверждения соответствия требованиям отраслевых стандартов (например, PCI DSS);
  • подготовка к созданию системы защиты персональных данных.

Опираясь на требования отечественных и международных стандартов и нормативных документов в области обеспечения информационной безопасности, наша компания разработала и успешно применяет собственную методику аудита информационной безопасности. Одним из ключевых подходов в предлагаемой методике является последовательное проведение структурного и функционального анализа (на основе результатов инвентаризации ресурсов объекта обследования). Результаты, полученные при выполнении обследования, позволяют получить комплексную оценку уровня информационной безопасности объекта аудита, отражающую различия между декларируемым и фактическим состоянием ИБ.