Компания ЭЛВИС-ПЛЮС предлагает широкий спектр профессиональных консалтинговых, экспертных и аналитических услуг для обеспечения максимального уровня защиты корпоративной информационной системы:
Комплексное обследование защищенности информационной системы
Разработка политики безопасности
Техническое проектирование системы защиты информации
Разработка нормативной и эксплуатационной документации
Разработка, апробация и внедрение технических решений по защите информации
Настройка и сопровождение программно-технических компонентов системы защиты информации
Аттестация (аудит) систем информационной безопасности
Консультирование по правовым вопросам защиты информации
Консультирование по нормативным вопросам защиты информации
Консультирование по техническим вопросам защиты информации
Анализ угроз безопасности информации
Анализ информационных рисков с учетом бизнес- и функциональной моделей системы защиты информации
Расчет финансово-экономических показателей системы информационной безопасности
Экспертиза проектов и решений
Комплексное обследование защищенности информационной системы позволяет оценить реальное положение компании в области обеспечения безопасности информации и степень защищенности информационных ресурсов.
Включает:
Классификацию информационных ресурсов.
Анализ нормативных документов о порядке функционирования корпоративной информационной системы и защите информации.
Анализ структуры информационной системы (информационных потоков) и существующей системы защиты.
Оценку эффективности существующей системы защиты путем применения специализированных инструментариев и экспертных оценок специалистов ЭЛВИС-ПЛЮС по собственным методикам.
Определение степени участия персонала в обработке информации, требуемые категории объекта и классы защищенности.
Результат: Отчет о текущем состоянии защищенности корпоративной информационной системы, содержащий развернутые рекомендации по повышению уровня защищенности КИС как за счет расширения организационно-технических и административных мер, так и за счет применения специальных СЗИ и использованию возможностей имеющихся программных и технических средств.
Разработка политики безопасности формирование корпоративных правил и процедур для обеспечения безопасности информации, соответствующих конкретным условиям функционирования КИС заказчика.
Включает:
Определение требований, реализация которых обеспечивала бы необходимый уровень ИБ при минимальных затратах на их реализацию.
Разработку Концепций ИБ и других организационно-распорядительных документов по вопросам организации ИБ.
Разработку профилей защиты для объектов заказчика.
Результат: «Концепция безопасности информации» или Профиль защиты или Задание на безопасность, соответствующие ГОСТ ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Заказчик получает четкую «систему координат», на базе которой будет строить всю свою политику в области защиты информации в ближайшей перспективе.
Техническое проектирование системы разработка на основе выработанной политики и требований по ИБ и архитектуры КИС, а также разработка проектной документации системы ИБ.
Включает:
Разработку основных технических решений по защите данных и модели системы на основе политики безопасности и оценки финансово-экономических параметров системы.
Проектирование системы безопасности в соответствии с требованиями ГОСТ Р 51583-2000, ГОСТ 34.ХХХ и другими нормативными документами.
Результат: Технический проект системы ИБ, включающий описание выбранных технических решений, средств защиты информации, обоснование их выбора, а также спецификации необходимого оборудования и ПО.
Разработка нормативной и эксплуатационной документации определение порядка обработки информации в процессе эксплуатации защищенной КИС.
Включает:
Разработку руководства по обеспечению безопасности информации в защищенной КИС
Разработку положения об администраторе безопасности информации
Разработку инструкции о порядке допуска персонала и посетителей в помещения, в которых производится обработка критичной информации, технологические инструкции пользователям.
Разработку руководящих документов по порядку обслуживания системы, включая работу с конфиденциальной информацией, и др.
Результат: Типовой комплект документации. (Уточняется по согласованию с заказчиком.)
Разработка, апробация и внедрение технических решений. Данная услуга востребована в тех случаях, когда предлагаемые в техническом проекте технические решения требуют предварительной апробации (тестирования) на стенде или в условиях работающей КИС для выбора оптимального состава решения и конкретных средств защиты информации, а также обоснования правильности выбора тех или иных средств.
Включает:
Разработку технических решений (включая разработку необходимых программных интерфейсов).
Разработка программ и методик тестирования, исходя из конкретных условий работы КИС Заказчика.
Комплексное тестирование разработанных решений.
Последующее их внедрение «под ключ» в информационную систему Заказчика.
Результат: Оформление главы в техническом проекте или Отчета о результатах апробации (тестирования). В случае внедрения технического решения работы завершаются Актом сдачи-приемки работ и главой в рабочую документацию о текущих настройках средств защиты информации с рекомендациями по их изменению. Выполнение данной услуги позволит Заказчику выбрать оптимальный для решения своей задачи состав технического решения с гарантиями его работоспособности в условиях реальной информационной системы.
Настройка и сопровождение программно-технических компонентов системы. Сопровождение осуществляется в форме технической поддержки по телефону, e-mail, непосредственно на площадке Заказчика.
Включает:
Установку, первоначальную настройку и/или корректировку существующих настроек уже приобретенных Заказчиком программно-технических средств защиты информации.
Конфигурирование СЗИ непосредственно на площадке Заказчика либо по защищенному каналу (по отдельному соглашению).
Уточнение функций и характеристик поставленных СЗИ.
Разъяснение технической документации на поставленные СЗИ.
Анализ и коррекцию ошибок по телефону или e-mail, непосредственно на площадке Заказчика.
Экстренный выезд при возникновении аварийных ситуаций, неполадок, некорректной работы системы защиты информации и отдельных ее составляющих.
Предоставление новых релизов СЗИ или программных ревизий (patch) продуктов в рамках существующей продуктовой линии.
Разработку рекомендаций по совершенствованию системы защиты информации при появлении новых продуктов и решений.
Модернизацию ПО и оборудования с учетом выданных рекомендаций.
Переконфигурирование ПО и оборудования системы защиты информации.
Администрирование системы защиты информации.
Периодический аудит состояния и контроля настроек ПО и оборудования системы защиты информации.
Результат: Функционирующая система защиты информации, отчеты о состоянии системы информационной безопасности, рекомендации по ее совершенствованию, модернизация ПО и оборудования, устранение неполадок и некорректной работы СОБИ
Услуга предоставляется на временной основе в расчете на один год. В случае, если стороны удовлетворены сотрудничеством, договор может автоматически продлеваться еще на один год.
Аттестация (аудит) систем информационной безопасности комплексное обследование организационной и информационной структуры компании, в т.ч. проверка (аттестационные испытания) объекта информатизации на соответствие требованиям по безопасности (РОСС RU.0001.01БИ00, ГОСТ Р ИСО/МЭК 15408 и др.)
Во многих случаях в соответствии с законодательством Российской Федерации аттестация носит обязательный характер. Так, обязательной аттестации подлежат системы, предназначенные для обработки:
информации составляющей государственную тайну и ведения секретных переговоров;
государственных информационных ресурсов;
персональных данных;
сведений, составляющих служебную тайну.
Аттестация включает:
Комплексную проверку (аттестационные испытания) защищаемой корпоративной информационной системы в реальных условиях эксплуатации на соответствие требуемого уровню безопасности информации.
Результат: «Аттестат соответствия требованиям по безопасности информации» официальный документ, дающий право обработки конфиденциальной (секретной) информации на период времени, установленный в нем.
По желанию Заказчика (когда речь идет только о конфиденциальности информации) вместо Аттестации может быть проведен Аудит системы безопасности информации.
Аудит включает:
Обследование организационной, информационной структуры компании и положения дел в области защиты информации (получение и анализ имеющейся документации, интервьюирование сотрудников)
Диагностика системы защиты информационной и коммуникационной системы компании,
Результат: В случае Аудита Аттестат Государственного Образца не выдается, но оформляется Отчет по результатам проведения обследования организационной и информационной структуры компании.
Консультирование по правовым вопросам защиты информации разъяснение положений законодательных и нормативных методических документов РФ в области защиты информации, определение степени соответствия российских и международных документов в области защиты информации.
Включает:
Консультирование по правоприменимости положений законодательства РФ при организации обеспечения ИБ.
Консультирование по определению степени конфиденциальности информационных ресурсов.
Консультирование по соответствию российских требований обеспечения ИБ международным стандартам.
Консультирование по применимости положений международных стандартов для оценки состояния обеспечения ИБ.
Консультирование по использованию средств ИБ зарубежного производства на территории РФ.
Консультирование по возможности и целесообразности привлечения сторонних организаций к выполнению работ по обеспечению ИБ на объектах Заказчика.
Консультирование по правоприменимости положений законодательства зарубежных стран для обеспечения требуемого уровня защищенности информационных ресурсов.
Результат: Отчет по отдельным вопросам в области защиты информации.
Консультирование по нормативным вопросам защиты информации.
Включает:
Проведение консультаций по оценке информационных рисков, угроз безопасности информации корпоративным информационным ресурсам Заказчика, выработке мер парирования угрозам безопасности.
Проведение консультаций по анализу и оценке существующего уровня защищенности информационных ресурсов Заказчика и достаточности предъявляемых им требований к средствам и методам защиты.
Проведение консультаций по анализу и оценке соответствия международным стандартам по безопасности информации предъявляемых Заказчиком требований к средствам защиты информации.
Проведение консультаций по разработке/доработке/переработке концепции обеспечения информационной безопасности Заказчика, других внутренних организационно-распорядительных документов Заказчика, необходимых для создания системы ИБ и обеспечения требуемого уровня безопасности информационных ресурсов;
Проведение консультаций по созданию методологического аппарата, необходимого для организации установленного режима обеспечения безопасности информации Заказчика.
Результат: Отчет по отдельным вопросам в области защиты информации и рекомендациям по оптимизации существующей организационно-распорядительной и нормативной базы в области информационной безопасности.
Консультирование по техническим вопросам защиты информации.
Включает:
Проведение консультаций по проектированию защищенных информационных систем, подготовке технических заданий на проектирование объектов и созданию средств защиты информации.
Разъяснение особенностей тех или иных продуктов для защиты информации, вопросов их интеграции с компонентами КИС и др.
Консультирование по применению новых продуктов и решений в уже действующей системе защиты информации Заказчика.
Результат: Отчет по отдельным вопросам в области защиты информации.
Анализ угроз безопасности информации служит для качественной и количественной оценки реальных угроз безопасности информации бизнеса для построения системы парирования конкретных угроз безопасности информации.
Инструменты: Собственный расчетно-аналитический метод, основанный на вычислении весовых коэффициентов опасности источников угроз и уязвимостей, сравнении этих коэффициентов с заранее заданным критерием и последовательном сокращении полного перечня возможных источников угроз и уязвимостей до минимально актуального для конкретного объекта.
Включает:
Определение приоритетности целей ИБ.
Анализ информационных потоков КИС, точек их пересечения, точки обработки и хранения и т.д.
Определение Перечня актуальных источников угроз.
Определить Перечня актуальных уязвимостей.
Оценка взаимосвязи угроз, источников угроз и уязвимостей.
Определение Перечня возможных атак на объект.
Описание возможных последствий реализации угроз.
Принятие решения об изменении структуры информационных потоков в целях повышения уровня защищенности системы.
Результат: Отчет с описанием реальных угроз безопасности, источников этих угроз, способов реализации и уязвимостей для реализации этих угроз. Результаты проведения оценки и анализа используются при выборе адекватных оптимальных методов парирования угрозам, а также специалистами при определении задач для разработчиков (проектировщиков, поставщиков) систем обеспечения безопасности информации.
Анализ информационных рисков с учетом бизнес- и функциональной моделей системы защиты информации служит для количественной оценки возможного материального ущерба (в т.ч. в денежном выражении) от реализации выявленных угроз безопасности информации а также при страховании информационных рисков (в этом случае компания ЭЛВИС-ПЛЮС может выступать в качестве сюрвея). Эта информация крайне необходима для определения оптимального бюджета системы безопасности
Результат: Отчет с расчетом всех возможных информационных рисков компании и прогнозом их реализации. Данная информация используется для составления бюджета дальнейших работ по защите информации и построения системы парирования угроз, адекватной самим угрозам.
Расчет финансово-экономических показателей системы безопасности разработка технико-экономического обоснования внедрения и эксплуатации системы информационной безопасности, позволяющего выявить экономию, достигаемую от внедрения или замены системы безопасности, а также определить общую эффективность бизнеса или бизнес-единицы.
Включает:
Расчет отдельных статей издержек проекта.
Расчет совокупной стоимости владения (ТСО).
Результат: Отчет с расчетом ТСО проекта. Полученные данные позволяют произвести расчет оптимальной стоимости и спецификации (бюджета) системы безопасности, а также коррекцию технического проекта с тем, чтобы избежать превышения затрачиваемых материальных ресурсов по парированию конкретных угроз безопасности информации над возможным материальным ущербом от реализации этих угроз.
Экспертиза проектов и решений оценка соответствия проектов и решений установленным требованиям и стандартам (best practice) в области ИБ.
Включает:
Экспертиза проектов третьих лиц по созданию и защищенных информационных автоматизированных систем Заказчика на соответствие установленным требованиям ИБ, а также по достаточности и оптимальности предлагаемых решений.
Экспертиза внутренних организационно-распорядительных документов Заказчика на соответствие законодательным и нормативным требованиям по обеспечению ИБ, действующим на территории РФ.
Экспертиза предложений третьих лиц по применению различных средств защиты информации.
Экспертиза предложений третьих лиц по использованию встроенных средств защиты информации в операционные системы, системы управления базами данных, программные средства.
Результат: Отчет и рекомендации (в т.ч. по устранению недостатков) по результатам экспертизы.