Компания «КСБ» предоставляет полный спектр профессиональных услуг в области информационной безопасности, обеспечивая надежную защиту данных и ИТ-систем.
Используя передовые технологии и лучшие практики, мы реализуем комплексный подход— от проектирования и аудита до внедрения и сопровождения защищенных решений, что позволяет нашим клиентам предотвращать киберугрозы и обеспечивать стабильную работу цифровых сервисов.
Экспертиза команды «КСБ» подтверждена лицензиями ФСТЭК и ФСБ России, что гарантирует соответствие наших решений высоким стандартам безопасности, а также требованиям законодательства Российской Федерации в области защиты информации.
ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В современном мире информационная безопасность играет ключевую роль в создании и развитии автоматизированных систем (АС). Одним из самых распространённых подходов к обеспечению безопасности является создание подсистемы защиты информации (ПЗИ) в автоматизированной системе в защищенном исполнении (АСЗИ) согласно ГОСТ 34.601-90 и ГОСТ Р 51583 — 2000.
- Эта подсистема должна обеспечивать комплексную многоуровневую защиту информационных и технических ресурсов на всех уровнях модели OSI
Современная ПЗИ АСЗИ должна быть способна:
- Защищать ресурсы АСЗИ.
- Предотвращать, обнаруживать и реагировать на угрозы информационной безопасности на разных уровнях (физический, аппаратный, программный).
- Быстро и эффективно реагировать на инциденты информационной безопасности.
Важно отметить, что последнее требование дополнительно предполагает:
- Специально обученный персонал (аналитики ИБ).
- Подсистему управления информационной безопасностью.
- Документацию с подробными сценариями реагирования на атаки, действия при обнаружении вирусов и т.д.
ПРЕДОСТАВЛЯЕМЫЕ УСЛУГИ
- 1. Консультации в области обеспечения ИБ
Компания КСБ предлагает консультационные услуги в области обеспечения информационной безопасности, включая:
- Обеспечение информационной безопасности на любой стадии жизненного цикла АСЗИ, обрабатывающей конфиденциальную, коммерческую информацию и/или персональные данные.
- Проектирование, создание и внедрение подсистемы информационной безопасности.
- Проектирование и создание защищённых мультисервисных сетей связи.
- Проектирование и создание АСЗИ.
- 2. Аудит системы защиты информации
Проведение аудита системы защиты информации (СЗИ) проводится с целью получения независимой оценки:
- состояния и эффективности СЗИ;
- соответствия и полноты выполнения требований документов в области информационной безопасности (стандарты, методики, рекомендации и т. д.), предъявляемых к СЗИ.
Проведение аудита позволяет выявить недостатки СЗИ, а его результаты являются необходимыми исходными данными при принятии решений для ее развития.
Компания КСБ предоставляет своим клиентам следующие услуги аудита информационной безопасности:
1) Анализ соответствия СЗИ требованиям безопасности национальных стандартов
- СТР-К (специальные требования и рекомендации по технической защите конфиденциальной информации);
- ФЗ № 152 (О персональных данных);
- ФЗ № 187 (О безопасности критической информационной инфраструктуры РФ);
- СТО БР ИББС (Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации).
2) Анализ соответствия ПЗИ требованиям безопасности международных стандартов
- ISO/IEC 27001 (международный стандарт системы менеджмента информационной безопасности);
- ISO/IEC 17799 (Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности).
3) Анализ соответствия СЗИ требованиям информационной безопасности ФСТЭК России и ФСБ России.
- 3. Проектирование, создание и развитие АСЗИ
Компания «КСБ» оказывает весь комплекс услуг по проектированию, созданию и развитию АСЗИ.
К автоматизированной системе в защищенном исполнении (или информационная система специального назначения) относятся информационные системы:
- обрабатывающие информацию, составляющую коммерческую тайну;
- обрабатывающие иную корпоративную информацию, удаление или разглашение которой может привести к серьезным негативным последствиям (материальные и репутационные потери, потеря бизнеса, приостановление деятельности или ликвидация организации и др.).
При создании АСЗИ в ее составе выделяется подсистема обеспечения информационной безопасности (ПОИБ), которая, в зависимости от предъявляемых к АСЗИ требований по ИБ, может включать различные средства защиты информации.
Существует ряд особенностей в проектировании, в разработке и в сопровождении ПОИБ АСЗИ:
1) Проектирование и разработка АСЗИ регламентируется не только общими для всех информационных систем стандартами (серия ГОСТ 34, ГОСТ Р 59795–2021 и др.), но и специальными стандартами (ГОСТ Р 51583, ГОСТ Р 53113 и др.), а также требованиями силовых Ведомств (ФСБ России и др.) и требованиями аттестационных структур (ФСТЭК и др.).
2) Необходимость строгого выполнять требования по обеспечению информационной безопасности при проведении работ по созданию АСЗИ (Разработка проектного решения по системному ландшафту для реализации методики DevSecOps с учетом требований ГОСТ Р 56939-2016 (Разработка безопасного ПО)).
3) Необходимость разработать дополнительную документацию в части обеспечения ИБ, в том числе:
- модели угроз;
- модели защиты (политики безопасности);
- специального технического задания на создание ПЗИ АСЗИ;
- пояснительную записку технического проекта в части создания ПОИБ;
- проектов требований, указаний, инструкций и т. Д.
- матрицу доступа.
4) Необходимость проведения специальных исследований и специальных проверок программно-аппаратных средств и помещений, в которых будут развернуты технические средства АСЗИ.
5) Необходимость аттестации АСЗИ.
- 4. Работы по проектированию и установке средств защиты информации
Компания «КСБ» оказывает комплекс услуг, проводимых в рамках обеспечения информационной безопасности на различных мероприятиях.
В рамках оказания услуг работники компании выполняют следующие работы по:
- разработке и согласованию с Заказчиком необходимого комплекта проектной и конструкторской документации;
- администрированию сетевой ИТ-инфраструктуры и настройке телекоммуникационного оборудования с учетом требований по обеспечению информационной безопасности;
- ведению учетной информации о развернутой ИТ-инфраструктуры и реагирование по запросам в части расследования инцидентов информационной безопасности;
- настройке, администрированию и технической поддержке программного обеспечения из состава средств защиты информации.