Интернет-издание о высоких технологиях

«Mr. Сумкин» подготовился к прекращению поддержки WS2003
Как строился электронный бизнес Банка Москвы?
ИКТ в страховании: эффективность в новых условиях Круглый стол 10 июня
Планшет Dell Venue 11 Pro Планшет Dell Venue 11 Pro на базе процессоров Intel® вполне способен решать не только мобильные, но и стационарные рабочие задачи
Заоблачная оптимизация: как Faberlic изменил подход к аналитике Облако Microsoft Azure разгружает мощности серверов, а платформа Microsoft SQL Server отвечает за аналитические инструменты
Рейтинг CNewsInfrastructure 2015: приглашаем участвовать В рамках обзора «Рынок инженерной и ИТ-инфраструктуры 2015» CNewsAnalytics готовит рейтинг крупнейших компаний, оказывавших услуги по построению ИТ-инфраструктуры предприятий
Информационная безопасность бизнеса и госструктур: развитие в новых условиях Конференция 4 июня
Пора выбирать Fujitsu! Узнайте все о продукции и решениях компании!

Обзор подготовлен

Компания ЭЛВИС-ПЛЮС предоставляет широкий спектр услуг в области обеспечения безопасности информации

1. Комплексное обследование защищенности корпоративной информационной системы (КИС) позволяет оценить реальное положение компании в области обеспечения безопасности информации и степень защищенности информационных ресурсов.

Включает:

Классификацию информационных ресурсов.
Анализ нормативных документов о порядке функционирования КИС и защите информации.
Анализ структуры КИС (информационных потоков) и существующей системы защиты.
Оценку эффективности существующей системы защиты путем применения специализированных инструментариев и экспертных оценок специалистов ЭЛВИС-ПЛЮС по собственным методикам.
Определение степени участия персонала в обработке информации, требуемые категории объекта и классы защищенности.

2. Разработка политики безопасности — формирование корпоративных правил и процедур для обеспечения безопасности информации, соответствующих конкретным условиям функционирования КИС заказчика.

Включает:

Определение требований, реализация которых обеспечивала бы необходимый уровень ИБ при минимальных затратах на их реализацию.
Разработку Концепций ИБ и других организационно-распорядительных документов по вопросам организации ИБ.
Разработку профилей защиты для объектов заказчика.

3. Техническое проектирование системы — разработка на основе выработанной политики и требований по ИБ и архитектуры КИС, а также разработка проектной документации системы ИБ.

4. Разработка нормативной и эксплуатационной документации — определение порядка обработки информации в процессе эксплуатации защищенной КИС.

Включает:

Разработку руководства по обеспечению безопасности информации в защищенной КИС
Разработку положения об администраторе безопасности информации
Разработку инструкции о порядке допуска персонала и посетителей в помещения, в которых производится обработка критичной информации, технологические инструкции пользователям.
Разработку руководящих документов по порядку обслуживания системы, включая работу с конфиденциальной информацией, и др.

5. Разработка, апробация и внедрение технических решений. Данная услуга востребована в тех случаях, когда предлагаемые в техническом проекте технические решения требуют предварительной апробации (тестирования) на стенде или в условиях работающей КИС для выбора оптимального состава решения и конкретных средств защиты информации, а также обоснования правильности выбора тех или иных средств.

Включает:

Разработку технических решений (включая разработку необходимых программных интерфейсов).
Разработка программ и методик тестирования, исходя из конкретных условий работы КИС Заказчика.
Комплексное тестирование разработанных решений.
Последующее их внедрение «под ключ» в информационную систему Заказчика.

6. Настройка и сопровождение программно-технических компонентов системы. Сопровождение осуществляется в форме технической поддержки по телефону, e-mail, непосредственно на площадке Заказчика.

7. Аттестация (аудит) систем информационной безопасности — комплексное обследование организационной и информационной структуры компании, в т.ч. проверка (аттестационные испытания) объекта информатизации на соответствие требованиям по безопасности (РОСС RU.0001.01БИ00, ГОСТ Р ИСО/МЭК 15408 и др.)

Аттестация включает:

Комплексную проверку (аттестационные испытания) защищаемой КИС в реальных условиях эксплуатации на соответствие требуемого уровню безопасности информации и выдачу документа: «Аттестат соответствия требованиям по безопасности информации» — официального документа, дающего право обработки конфиденциальной (секретной) информации на период времени, установленный в нем.

По желанию Заказчика (когда речь идет только о конфиденциальности информации) вместо Аттестации может быть проведен Аудит системы безопасности информации.

Аудит включает:

Обследование организационной, информационной структуры компании и положения дел в области защиты информации (получение и анализ имеющейся документации, интервьюирование сотрудников)
Диагностика системы защиты информационной и коммуникационной системы компании,

8. Консультирование по правовым вопросам защиты информации — разъяснение положений законодательных и нормативных методических документов РФ в области защиты информации, определение степени соответствия российских и международных документов в области защиты информации.

9. Консультирование по нормативным вопросам защиты информации.

Включает:

Проведение консультаций по оценке информационных рисков, угроз безопасности информации корпоративным информационным ресурсам Заказчика, выработке мер парирования угрозам безопасности.
Проведение консультаций по анализу и оценке существующего уровня защищенности информационных ресурсов Заказчика и достаточности предъявляемых им требований к средствам и методам защиты.
Проведение консультаций по анализу и оценке соответствия международным стандартам по безопасности информации предъявляемых Заказчиком требований к средствам защиты информации.
Проведение консультаций по разработке/доработке/переработке концепции обеспечения информационной безопасности Заказчика, других внутренних организационно-распорядительных документов Заказчика, необходимых для создания системы ИБ и обеспечения требуемого уровня безопасности информационных ресурсов;
Проведение консультаций по созданию методологического аппарата, необходимого для организации установленного режима обеспечения безопасности информации Заказчика.

10. Консультирование по техническим вопросам защиты информации.

11. Анализ угроз безопасности информации служит для качественной и количественной оценки реальных угроз безопасности информации бизнеса для построения системы парирования конкретных угроз безопасности информации.

Включает:

Определение приоритетности целей ИБ.
Анализ информационных потоков КИС, точек их пересечения, точки обработки и хранения и т.д.
Определение Перечня актуальных источников угроз.
Определить Перечня актуальных уязвимостей.
Оценка взаимосвязи угроз, источников угроз и уязвимостей.
Определение Перечня возможных атак на объект.
Описание возможных последствий реализации угроз.
Принятие решения об изменении структуры информационных потоков в целях повышения уровня защищенности системы.

12. Анализ информационных рисков с учетом бизнес- и функциональной моделей системы защиты информации служит для количественной оценки возможного материального ущерба (в т.ч. в денежном выражении) от реализации выявленных угроз безопасности информации а также при страховании информационных рисков (в этом случае компания ЭЛВИС-ПЛЮС может выступать в качестве сюрвея). Эта информация крайне необходима для определения оптимального бюджета системы безопасности

13. Расчет финансово-экономических показателей системы безопасности — разработка технико-экономического обоснования внедрения и эксплуатации системы информационной безопасности, позволяющего выявить экономию, достигаемую от внедрения или замены системы безопасности, а также определить общую эффективность бизнеса или бизнес-единицы.

14. Экспертиза проектов и решений — оценка соответствия проектов и решений установленным требованиям и стандартам (best practice) в области ИБ.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2004 г.