SPIRIT CORP

 
Совместный проектПри поддержке
Профиль  CNews.ruiRU

Элвис-Плюс

Услуги компании «Элвис Плюс»

Компания ЭЛВИС-ПЛЮС предлагает широкий спектр профессиональных консалтинговых, экспертных и аналитических услуг для обеспечения максимального уровня защиты корпоративной информационной системы:

  • Комплексное обследование защищенности информационной системы
  • Разработка политики безопасности
  • Техническое проектирование системы защиты информации
  • Разработка нормативной и эксплуатационной документации
  • Разработка, апробация и внедрение технических решений по защите информации
  • Настройка и сопровождение программно-технических компонентов системы защиты информации
  • Аттестация (аудит) систем информационной безопасности
  • Консультирование по правовым вопросам защиты информации
  • Консультирование по нормативным вопросам защиты информации
  • Консультирование по техническим вопросам защиты информации
  • Анализ угроз безопасности информации
  • Анализ информационных рисков с учетом бизнес- и функциональной моделей системы защиты информации
  • Расчет финансово-экономических показателей системы информационной безопасности
  • Экспертиза проектов и решений

  1. Комплексное обследование защищенности информационной системы позволяет оценить реальное положение компании в области обеспечения безопасности информации и степень защищенности информационных ресурсов.

    Включает:

    • Классификацию информационных ресурсов.
    • Анализ нормативных документов о порядке функционирования корпоративной информационной системы и защите информации.
    • Анализ структуры информационной системы (информационных потоков) и существующей системы защиты.
    • Оценку эффективности существующей системы защиты путем применения специализированных инструментариев и экспертных оценок специалистов ЭЛВИС-ПЛЮС по собственным методикам.
    • Определение степени участия персонала в обработке информации, требуемые категории объекта и классы защищенности.

    Результат: Отчет о текущем состоянии защищенности корпоративной информационной системы, содержащий развернутые рекомендации по повышению уровня защищенности КИС как за счет расширения организационно-технических и административных мер, так и за счет применения специальных СЗИ и использованию возможностей имеющихся программных и технических средств.

  2. Разработка политики безопасности — формирование корпоративных правил и процедур для обеспечения безопасности информации, соответствующих конкретным условиям функционирования КИС заказчика.

    Включает:

    • Определение требований, реализация которых обеспечивала бы необходимый уровень ИБ при минимальных затратах на их реализацию.
    • Разработку Концепций ИБ и других организационно-распорядительных документов по вопросам организации ИБ.
    • Разработку профилей защиты для объектов заказчика.

    Результат: «Концепция безопасности информации» или Профиль защиты или Задание на безопасность, соответствующие ГОСТ ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Заказчик получает четкую «систему координат», на базе которой будет строить всю свою политику в области защиты информации в ближайшей перспективе.

  3. Техническое проектирование системы — разработка на основе выработанной политики и  требований по ИБ и архитектуры КИС, а также разработка проектной документации системы ИБ.

    Включает:

    • Разработку основных технических решений по защите данных и модели системы на основе политики безопасности и оценки финансово-экономических параметров системы.
    • Проектирование системы безопасности в соответствии с требованиями ГОСТ Р 51583-2000, ГОСТ 34.ХХХ и другими нормативными документами.

    Результат: Технический проект системы ИБ, включающий описание выбранных технических решений, средств защиты информации, обоснование их выбора, а также спецификации необходимого оборудования и ПО.

  4. Разработка нормативной и эксплуатационной документации — определение порядка обработки информации в процессе эксплуатации защищенной КИС.

    Включает:

    • Разработку руководства по обеспечению безопасности информации в защищенной КИС
    • Разработку положения об администраторе безопасности информации
    • Разработку инструкции о порядке допуска персонала и посетителей в помещения, в которых производится обработка критичной информации, технологические инструкции пользователям.
    • Разработку руководящих документов по порядку обслуживания системы, включая работу с конфиденциальной информацией, и др.

    Результат: Типовой комплект документации. (Уточняется по согласованию с заказчиком.)

  5. Разработка, апробация и внедрение технических решений. Данная услуга востребована в тех случаях, когда предлагаемые в техническом проекте технические решения требуют предварительной апробации (тестирования) на стенде или в условиях работающей КИС для выбора оптимального состава решения и конкретных средств защиты информации, а также обоснования правильности выбора тех или иных средств.

    Включает:

    • Разработку технических решений (включая разработку необходимых программных интерфейсов).
    • Разработка программ и методик тестирования, исходя из конкретных условий работы КИС Заказчика.
    • Комплексное тестирование разработанных решений.
    • Последующее их внедрение «под ключ» в информационную систему Заказчика.

    Результат: Оформление главы в техническом проекте или Отчета о результатах апробации (тестирования). В случае внедрения технического решения работы завершаются Актом сдачи-приемки работ и главой в рабочую документацию о текущих настройках средств защиты информации с рекомендациями по их изменению. Выполнение данной услуги позволит Заказчику выбрать оптимальный для решения своей задачи состав технического решения с гарантиями его работоспособности в условиях реальной информационной системы.

  6. Настройка и сопровождение программно-технических компонентов системы. Сопровождение осуществляется в форме технической поддержки по телефону, e-mail, непосредственно на площадке Заказчика.

    Включает:

    • Установку, первоначальную настройку и/или корректировку существующих настроек уже приобретенных Заказчиком программно-технических средств защиты информации.
    • Конфигурирование СЗИ непосредственно на площадке Заказчика либо по защищенному каналу (по отдельному соглашению).
    • Уточнение функций и характеристик поставленных СЗИ.
    • Разъяснение технической документации на поставленные СЗИ.
    • Анализ и коррекцию ошибок по телефону или e-mail, непосредственно на площадке Заказчика.
    • Экстренный выезд при возникновении аварийных ситуаций, неполадок, некорректной работы системы защиты информации и отдельных ее составляющих.
    • Предоставление новых релизов СЗИ или программных ревизий (patch) продуктов в рамках существующей продуктовой линии.
    • Разработку рекомендаций по совершенствованию системы защиты информации при появлении новых продуктов и решений.
    • Модернизацию ПО и оборудования с учетом выданных рекомендаций.
    • Переконфигурирование ПО и оборудования системы защиты информации.
    • Администрирование системы защиты информации.
    • Периодический аудит состояния и контроля настроек ПО и оборудования системы защиты информации.

    Результат: Функционирующая система защиты информации, отчеты о состоянии системы информационной безопасности, рекомендации по ее совершенствованию, модернизация ПО и оборудования, устранение неполадок и некорректной работы СОБИ

    Услуга предоставляется на временной основе в расчете на один год. В случае, если стороны удовлетворены сотрудничеством, договор может автоматически продлеваться еще на один год.

  7. Аттестация (аудит) систем информационной безопасности — комплексное обследование организационной и информационной структуры компании, в т.ч. проверка (аттестационные испытания) объекта информатизации на соответствие требованиям по безопасности (РОСС RU.0001.01БИ00, ГОСТ Р ИСО/МЭК 15408 и др.)

    Во многих случаях в соответствии с законодательством Российской Федерации аттестация носит обязательный характер. Так, обязательной аттестации подлежат системы, предназначенные для обработки:

    • информации составляющей государственную тайну и ведения секретных переговоров;
    • государственных информационных ресурсов;
    • персональных данных;
    • сведений, составляющих служебную тайну.

    Аттестация включает:

    • Комплексную проверку (аттестационные испытания) защищаемой корпоративной информационной системы в реальных условиях эксплуатации на соответствие требуемого уровню безопасности информации.

    Результат: «Аттестат соответствия требованиям по безопасности информации» — официальный документ, дающий право обработки конфиденциальной (секретной) информации на период времени, установленный в нем.

    По желанию Заказчика (когда речь идет только о конфиденциальности информации) вместо Аттестации может быть проведен Аудит системы безопасности информации.

    Аудит включает:

    • Обследование организационной, информационной структуры компании и положения дел в области защиты информации (получение и анализ имеющейся документации, интервьюирование сотрудников)
    • Диагностика системы защиты информационной и коммуникационной системы компании,

    Результат: В случае Аудита Аттестат Государственного Образца не выдается, но оформляется Отчет по результатам проведения обследования организационной и информационной структуры компании.

  8. Консультирование по правовым вопросам защиты информации — разъяснение положений законодательных и нормативных методических документов РФ в области защиты информации, определение степени соответствия российских и международных документов в области защиты информации.

    Включает:

    • Консультирование по правоприменимости положений законодательства РФ при организации обеспечения ИБ.
    • Консультирование по определению степени конфиденциальности информационных ресурсов.
    • Консультирование по соответствию российских требований обеспечения ИБ международным стандартам.
    • Консультирование по применимости положений международных стандартов для оценки состояния обеспечения ИБ.
    • Консультирование по использованию средств ИБ зарубежного производства на территории РФ.
    • Консультирование по возможности и целесообразности привлечения сторонних организаций к выполнению работ по обеспечению ИБ на объектах Заказчика.
    • Консультирование по правоприменимости положений законодательства зарубежных стран для обеспечения требуемого уровня защищенности информационных ресурсов.

    Результат: Отчет по отдельным вопросам в области защиты информации.

  9. Консультирование по нормативным вопросам защиты информации.

    Включает:

    • Проведение консультаций по оценке информационных рисков, угроз безопасности информации корпоративным информационным ресурсам Заказчика, выработке мер парирования угрозам безопасности.
    • Проведение консультаций по анализу и оценке существующего уровня защищенности информационных ресурсов Заказчика и достаточности предъявляемых им требований к средствам и методам защиты.
    • Проведение консультаций по анализу и оценке соответствия международным стандартам по безопасности информации предъявляемых Заказчиком требований к средствам защиты информации.
    • Проведение консультаций по разработке/доработке/переработке концепции обеспечения информационной безопасности Заказчика, других внутренних организационно-распорядительных документов Заказчика, необходимых для создания системы ИБ и обеспечения требуемого уровня безопасности информационных ресурсов;
    • Проведение консультаций по созданию методологического аппарата, необходимого для организации установленного режима обеспечения безопасности информации Заказчика.

    Результат: Отчет по отдельным вопросам в области защиты информации и рекомендациям по оптимизации существующей организационно-распорядительной и нормативной базы в области информационной безопасности.

  10. Консультирование по техническим вопросам защиты информации.

    Включает:

    • Проведение консультаций по проектированию защищенных информационных систем, подготовке технических заданий на проектирование объектов и созданию средств защиты информации.
    • Разъяснение особенностей тех или иных продуктов для защиты информации, вопросов их интеграции с компонентами КИС и др.
    • Консультирование по применению новых продуктов и решений в уже действующей системе защиты информации Заказчика.

    Результат: Отчет по отдельным вопросам в области защиты информации.

  11. Анализ угроз безопасности информации служит для качественной и количественной оценки реальных угроз безопасности информации бизнеса для построения системы парирования конкретных угроз безопасности информации.

    Инструменты: Собственный расчетно-аналитический метод, основанный на вычислении весовых коэффициентов опасности источников угроз и уязвимостей, сравнении этих коэффициентов с заранее заданным критерием и последовательном сокращении полного перечня возможных источников угроз и уязвимостей до минимально актуального для конкретного объекта.

    Включает:

    • Определение приоритетности целей ИБ.
    • Анализ информационных потоков КИС, точек их пересечения, точки обработки и хранения и т.д.
    • Определение Перечня актуальных источников угроз.
    • Определить Перечня актуальных уязвимостей.
    • Оценка взаимосвязи угроз, источников угроз и уязвимостей.
    • Определение Перечня возможных атак на объект.
    • Описание возможных последствий реализации угроз.
    • Принятие решения об изменении структуры информационных потоков в целях повышения уровня защищенности системы.

    Результат: Отчет с описанием реальных угроз безопасности, источников этих угроз, способов реализации и уязвимостей для реализации этих угроз. Результаты проведения оценки и анализа используются при выборе адекватных оптимальных методов парирования угрозам, а также специалистами при определении задач для разработчиков (проектировщиков, поставщиков) систем обеспечения безопасности информации.

  12. Анализ информационных рисков с учетом бизнес- и функциональной моделей системы защиты информации служит для количественной оценки возможного материального ущерба (в т.ч. в денежном выражении) от реализации выявленных угроз безопасности информации а также при страховании информационных рисков (в этом случае компания ЭЛВИС-ПЛЮС может выступать в качестве сюрвея). Эта информация крайне необходима для определения оптимального бюджета системы безопасности

    Результат: Отчет с  расчетом всех возможных информационных рисков компании и прогнозом их реализации. Данная информация используется для составления бюджета дальнейших работ по защите информации и построения системы парирования угроз, адекватной самим угрозам.

  13. Расчет финансово-экономических показателей системы безопасности — разработка технико-экономического обоснования внедрения и эксплуатации системы информационной безопасности, позволяющего выявить экономию, достигаемую от внедрения или замены системы безопасности, а также определить общую эффективность бизнеса или бизнес-единицы.

    Включает:

    • Расчет отдельных статей издержек проекта.
    • Расчет совокупной стоимости владения (ТСО).

    Результат: Отчет с расчетом ТСО проекта. Полученные данные позволяют произвести расчет оптимальной стоимости и спецификации (бюджета) системы безопасности, а также коррекцию технического проекта с тем, чтобы избежать превышения затрачиваемых материальных ресурсов по парированию конкретных угроз безопасности информации над возможным материальным ущербом от реализации этих угроз.

  14. Экспертиза проектов и решений — оценка соответствия проектов и решений установленным требованиям и стандартам (best practice) в области ИБ.

    Включает:

    • Экспертиза проектов третьих лиц по созданию и защищенных информационных автоматизированных систем Заказчика на соответствие установленным требованиям ИБ, а также по достаточности и оптимальности предлагаемых решений.
    • Экспертиза внутренних организационно-распорядительных документов Заказчика на соответствие законодательным и нормативным требованиям по обеспечению ИБ, действующим на территории РФ.
    • Экспертиза предложений третьих лиц по применению различных средств защиты информации.
    • Экспертиза предложений третьих лиц по использованию встроенных средств защиты информации в операционные системы, системы управления базами данных, программные средства.

    Результат: Отчет и рекомендации (в т.ч. по устранению недостатков) по результатам экспертизы.

    Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS