Информационная безопасность

Компания «КСБ» предоставляет полный спектр профессиональных услуг в области информационной безопасности, обеспечивая надежную защиту данных и ИТ-систем.

Используя передовые технологии и лучшие практики, мы реализуем комплексный подход— от проектирования и аудита до внедрения и сопровождения защищенных решений, что позволяет нашим клиентам предотвращать киберугрозы и обеспечивать стабильную работу цифровых сервисов.

Экспертиза команды «КСБ» подтверждена лицензиями ФСТЭК и ФСБ России, что гарантирует соответствие наших решений высоким стандартам безопасности, а также требованиям законодательства Российской Федерации в области защиты информации.

ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В современном мире информационная безопасность играет ключевую роль в создании и развитии автоматизированных систем (АС). Одним из самых распространённых подходов к обеспечению безопасности является создание подсистемы защиты информации (ПЗИ) в автоматизированной системе в защищенном исполнении (АСЗИ) согласно ГОСТ 34.601-90 и ГОСТ Р 51583 — 2000.

ПОДРОБНЕЕ О ПЗИ АСЗИ

  • Эта подсистема должна обеспечивать комплексную многоуровневую защиту информационных и технических ресурсов на всех уровнях модели OSI

    Современная ПЗИ АСЗИ должна быть способна:

    • Защищать ресурсы АСЗИ.
    • Предотвращать, обнаруживать и реагировать на угрозы информационной безопасности на разных уровнях (физический, аппаратный, программный).
    • Быстро и эффективно реагировать на инциденты информационной безопасности.

    Важно отметить, что последнее требование дополнительно предполагает:

    • Специально обученный персонал (аналитики ИБ).
    • Подсистему управления информационной безопасностью.
    • Документацию с подробными сценариями реагирования на атаки, действия при обнаружении вирусов и т.д.

ПРЕДОСТАВЛЯЕМЫЕ УСЛУГИ

  • 1. Консультации в области обеспечения ИБ

    Компания КСБ предлагает консультационные услуги в области обеспечения информационной безопасности, включая:

    • Обеспечение информационной безопасности на любой стадии жизненного цикла АСЗИ, обрабатывающей конфиденциальную, коммерческую информацию и/или персональные данные.
    • Проектирование, создание и внедрение подсистемы информационной безопасности.
    • Проектирование и создание защищённых мультисервисных сетей связи.
    • Проектирование и создание АСЗИ.
  • 2. Аудит системы защиты информации

    Проведение аудита системы защиты информации (СЗИ) проводится с целью получения независимой оценки:

    • состояния и эффективности СЗИ;
    • соответствия и полноты выполнения требований документов в области информационной безопасности (стандарты, методики, рекомендации и т. д.), предъявляемых к СЗИ.

    Проведение аудита позволяет выявить недостатки СЗИ, а его результаты являются необходимыми исходными данными при принятии решений для ее развития.

    Компания КСБ предоставляет своим клиентам следующие услуги аудита информационной безопасности:

    1) Анализ соответствия СЗИ требованиям безопасности национальных стандартов

    • СТР-К (специальные требования и рекомендации по технической защите конфиденциальной информации);
    • ФЗ № 152 (О персональных данных);
    • ФЗ № 187 (О безопасности критической информационной инфраструктуры РФ);
    • СТО БР ИББС (Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации).

    2) Анализ соответствия ПЗИ требованиям безопасности международных стандартов

    • ISO/IEC 27001 (международный стандарт системы менеджмента информационной безопасности);
    • ISO/IEC 17799 (Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности).

    3) Анализ соответствия СЗИ требованиям информационной безопасности ФСТЭК России и ФСБ России.

  • 3. Проектирование, создание и развитие АСЗИ

    Компания «КСБ» оказывает весь комплекс услуг по проектированию, созданию и развитию АСЗИ.

    К автоматизированной системе в защищенном исполнении (или информационная система специального назначения) относятся информационные системы:

    • обрабатывающие информацию, составляющую коммерческую тайну;
    • обрабатывающие иную корпоративную информацию, удаление или разглашение которой может привести к серьезным негативным последствиям (материальные и репутационные потери, потеря бизнеса, приостановление деятельности или ликвидация организации и др.).

    При создании АСЗИ в ее составе выделяется подсистема обеспечения информационной безопасности (ПОИБ), которая, в зависимости от предъявляемых к АСЗИ требований по ИБ, может включать различные средства защиты информации.

    Существует ряд особенностей в проектировании, в разработке и в сопровождении ПОИБ АСЗИ:

    1) Проектирование и разработка АСЗИ регламентируется не только общими для всех информационных систем стандартами (серия ГОСТ 34, ГОСТ Р 59795–2021 и др.), но и специальными стандартами (ГОСТ Р 51583, ГОСТ Р 53113 и др.), а также требованиями силовых Ведомств (ФСБ России и др.) и требованиями аттестационных структур (ФСТЭК и др.).

    2) Необходимость строгого выполнять требования по обеспечению информационной безопасности при проведении работ по созданию АСЗИ (Разработка проектного решения по системному ландшафту для реализации методики DevSecOps с учетом требований ГОСТ Р 56939-2016 (Разработка безопасного ПО)).

    3) Необходимость разработать дополнительную документацию в части обеспечения ИБ, в том числе:

    • модели угроз;
    • модели защиты (политики безопасности);
    • специального технического задания на создание ПЗИ АСЗИ;
    • пояснительную записку технического проекта в части создания ПОИБ;
    • проектов требований, указаний, инструкций и т. Д.
    • матрицу доступа.

    4) Необходимость проведения специальных исследований и специальных проверок программно-аппаратных средств и помещений, в которых будут развернуты технические средства АСЗИ.

    5) Необходимость аттестации АСЗИ.

  • 4. Работы по проектированию и установке средств защиты информации

    Компания «КСБ» оказывает комплекс услуг, проводимых в рамках обеспечения информационной безопасности на различных мероприятиях.

    В рамках оказания услуг работники компании выполняют следующие работы по:

    • разработке и согласованию с Заказчиком необходимого комплекта проектной и конструкторской документации;
    • администрированию сетевой ИТ-инфраструктуры и настройке телекоммуникационного оборудования с учетом требований по обеспечению информационной безопасности;
    • ведению учетной информации о развернутой ИТ-инфраструктуры и реагирование по запросам в части расследования инцидентов информационной безопасности;
    • настройке, администрированию и технической поддержке программного обеспечения из состава средств защиты информации.