Аудит информационной безопасности является важнейшим этапом построения надежной системы защиты информации в любой компании. Он позволяет оценить текущий уровень защищенности, уровень соответствия требованиям регуляторов, стандартов и лучших практик в области информационной безопасности.

Специалисты САТЕЛ проводят аудиты на соответствие требованиям информационной безопасности для значимых объектов критической информационной инфраструктуры, информационных систем персональных данных, государственных информационных систем, автоматизированных систем управления, банковских систем.

При аудите инфраструктуры выявляются уязвимости в информационных системах, автоматизированных системах управления и информационно-телекоммуникационных сетях, определяются связанные с ними угрозы, предоставляются рекомендации по повышению уровня защищенности всей инфраструктуры или её отдельных компонентов.

Выполнение аудита информационной безопасности позволит спланировать обоснованный и достаточный план мероприятий по повышению уровня защищенности и выполнению требований регуляторов.

Гибкость и индивидуальный подход, позволяет нам учесть все специфичные требования и особенности бизнеса каждой конкретной организации для выбора эффективной стратегии защиты данных компании.

Необходимость использования средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, регламентируется следующими документами:

• Информационные системы персональных данных – пункт 4 приказа ФСТЭК №21 от 18 февраля 2013 г.
• Автоматизированные системы управления технологическим процессом – пункт 11 приказа ФСТЭК №31 от 14 марта 2014 г.
• Критическая информационная инфраструктура – пункт 28 приказа ФСТЭК №239 от 25 декабря 2017 г.
• Государственная информационная инфраструктура – пункт 11 приказа ФСТЭК №17 от 11 февраля 2013 г.

Основным методом оценки соответствия выступает сертификация средств защиты информации, являющаяся обязательной только для применения в государственных информационных системах.

В соответствии с пунктом 3 статьи 7 Федерального закона №184-ФЗ от 27 декабря 2002 г. «О техническом регулировании», оценка соответствия средств защиты информации по требованиям безопасности также может проводиться в форме испытания или приемки средств защиты информации.

Специалисты САТЕЛ готовы оказать услуги по оценке соответствия внедренных средств защиты информации методами испытаний и приемки, в полном соответствии требований нормативно-правовых актов Российской Федерации в области защиты информации.

С 1 января 2018 года вступил в силу Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Закон определяет обязательные к исполнению субъектами критической информационной инфраструктуры требования по обеспечению информационной безопасности.

В связи с относительной свежестью закона и отсутствием правоприменительной практики у многих компаний возникают сложности в вопросах отнесения или не отнесения себя к субъектам критической информационной инфраструктуры, разработки перечня объектов критической информационной инфраструктуры, выполнения работ по категорированию объектов критической информационной инфраструктуры.

Специалисты САТЕЛ имеют успешный опыт реализации проектов по защите критической информационной инфраструктуры и готовы предоставить своим клиентам помощь в обосновании отнесения или не отнесения компании к субъектам критической информационной инфраструктуры, формировании комиссии по категорированию, сбору необходимых для категорирования исходных данных, подготовке перечня объектов критической информационной инфраструктуры, выполнению категорирования и подготовке сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий для отправки в ФСТЭК России.

После того как ФСТЭК России согласует направленные сведения, специалисты САТЕЛ готовы выполнить полный комплекс работ по созданию системы обеспечения информационной безопасности значимых объектов критической информационной инфраструктуры, а именно разработать: техническое задание, модели угроз, проектную и организационно-распорядительную документацию.

Автоматизированные системы управления технологическими процессами (АСУ ТП) являются критически важным элементом бизнес-процессов многих промышленных предприятий, что делает задачи по обеспечению их безопасного функционирования неотъемлемой частью процесса по обеспечению безопасности компании в целом.

В настоящее время развитие и модернизация АСУ ТП приводят к всё более тесной интеграции с другими системами управления предприятием, что ставит вопросы безопасности информации в сетях АСУ ТП на один уровень с вопросами физической безопасности предприятия. Любое изменение целостности или доступности информации, обрабатываемой в АСУ ТП, может привести к нарушению технологического процесса, что, в свою очередь, может привести к финансовым потерям организации, нанесению ущерба окружающей среде и человеческим жертвам.

Наличие в штате высококвалифицированных специалистов, знающих отраслевую специфику заказчиков и особенности реализации проектов по обеспечению информационной безопасности промышленных систем, позволяет нам выполнять проекты различного масштаба и уровня сложности.

В настоящее время выполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» является одной из актуальных задач для российских компаний вне зависимости от их форм собственности, в соответствии с его положениями любая организация, обрабатывающая персональные данные своих сотрудников, клиентов или контрагентов, является оператором персональных данных и обязана обеспечить необходимые организационные и технические меры для защиты персональных данных.

Очевидно, что с момента вступления в силу Федерального закона прошло уже довольно много времени, и за это время многие компании уже запустили процессы построения системы защиты персональных данных. Однако необходимо понимать, что система защиты персональных данных, это динамичная система и требует периодического пересмотра и актуализации, а с учетом последних правок в законодательстве, поддержание системы защиты персональных данных в актуальном состоянии может вызвать затруднения у Операторов.

Кроме того, опираясь на практику, лучший результат при проведении аудита на соответствие требованиям, достигается при обращении к независимому аудитору.

Компания САТЕЛ оказывает услуги по реализации требований Федерального закона № 152-ФЗ «О персональных данных» и его подзаконных актов, включающие в себя комплекс организационных и технических мероприятий. По результатам проведения аудита Заказчик получит независимую оценку степени выполнения требований законодательства РФ в области обработки и защиты ПДн в своей компании.

В рамках данного блока услуг компания САТЕЛ предлагает своим клиентам полный спектр работ, направленных на выполнение требований законодательства в области обработки и защиты персональных данных, а именно:

1. Комплексный аудит выполнения требований федерального закона № 152-ФЗ.
2. Моделирование угроз и определение уровней защищенности для всех выявленных ИСПДн.
3. Разработка полного комплекта организационно-распорядительной документации, регламентирующего процедуры обработки ПДн и обеспечения защиты ПДн.
4. Разработка проектных решений в целях создания системы защиты персональных данных.

Полученный результат позволит оперативно выявить существующие недоработки и устранить их. Особенно актуальным данный вид услуг является в преддверии проведения проверки Роскомнадзором.

Требования изложенные в Приказе ФСТЭК №17 от 11 февраля 2013 года «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, все операторы государственных информационных систем в обязательном порядке должны выполнять указанные требования к организации и мерам защиты информации.

Построение системы защиты информации государственной информационной системы это задача, которую оператор не всегда может решить самостоятельно.

Специалисты САТЕЛ готовы выполнить полный перечень мероприятий по выполнению требований в соответствие с приказом ФСТЭК №17 от 11 февраля 2013г., а именно: 

• формирование требований к защите информации, содержащейся в информационной системе;
• разработка системы защиты информации информационной системы;
• внедрение системы защиты информации информационной системы;
• аттестация информационной системы по требованиям защиты информации и ввод ее в действие;
• обеспечение защиты информации в ходе эксплуатации информационной системы;
• обеспечение защиты информации при выводе из эксплуатации информационной системы.

На каждом этапе наши сотрудники обеспечат профессиональную помощь в решении задач, связанных с защитой информации. Накопленный опыт и экспертиза с полной уверенностью даёт нам право гарантировать высококвалифицированный подход в построении систем защиты государственных информационных систем.

В связи с отраслевым регулированием кредитно-финансовым организациям, необходимо выполнить масштабный комплекс организационно - технических мероприятий по информационной безопасности. Ключевыми мероприятиями являются:

• Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств (аудит ИБ).
• Защита биометрических персональных данных при обработке и взаимодействия с Единой биометрической системой.
• Тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
• Сертификация в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, прикладного программного обеспечения автоматизированных систем и приложений.
• Обследование и определение категории значимости объектов критической информационной инфраструктуры либо отсутствия необходимости присвоения им одной из таких категорий и формирование требований к системе безопасности значимых объектов критической информационной инфраструктуры Российской Федерации.

Помимо сложности выполнения работ, в виду больших объемов предъявляемых требований и неоднозначности их трактовки, даже в узкоспециализированных профильных кругах, регулятор в лице Центрального Банка закрепил, в выпущенных им нормативных актов, требование, об обязательном привлечении к оценке выполнения требований к обеспечению защиты информации внешних организаций, имеющих соответствующие лицензии ФСТЭК России.

Компания САТЕЛ имеет все необходимые лицензии на проведение вышеописанных работ, а также имеет значительный опыт выполнения работ по теме ИБ как в интересах Банка РФ, так и других банков и финансовых организаций.

Накопленный опыт и компетенции позволяют нам утверждать о высоком качестве предлагаемых услуг и готовности в сотрудничестве в рамках выполнения работ, при этом Заказчик получает:

• объективную оценку исполнения законодательных, отраслевых требований по информационной безопасности;
• управляемую и контролируемую систему менеджмента ИБ;
• расстановку приоритетов в области ИБ;
• достижение «прозрачности» в обеспечении ИБ в управлении информационными системами кредитно-финансовой организации;
• повышение текущего уровня защищенности;
• достижение адекватности противодействия системы ИБ существующим рискам.

Производимые САТЕЛ средства защиты информации соответствуют требованиям действующего нормативно-правового акта ФСТЭК России к межсетевым экранам и системам обнаружения вторжений, что позволяет их использовать для защиты конфиденциальной информации.

Производство сертифицированных средств защиты информации позволяет Заказчику:

• Заказывать неограниченное число экземпляров сертифицированного оборудования без прохождения процедур подачи новых заявок на сертификацию в ФСТЭК России и прохождения полного цикла сертификационных испытаний.
• Получать поддержку сертифицированного оборудования на все время действия сертификата (обновление ПО, устранение уязвимостей, консультации по применению).
• Иметь возможность продления срока действия сертификата.

Аттестация объектов информатизации — это комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации.

В отличие от приказа ФСТЭК №17 от 11 февраля 2013, где данная процедура является обязательной для государственных информационных систем, аттестация объектов ИСПДн, АСУТП и КИИ организуется обладателем информации или оператором на добровольной основе. Но на сегодняшний день аттестация информационной системы является единственным способом подтверждения соответствия системы защиты информации требованиям безопасности информации, установленным национальными стандартами или владельцем объекта информатизации.

Комплекс работ по аттестации объекта информатизации включает следующие этапы:

• подачу и рассмотрение заявки на аттестацию объекта информатизации;
• проведение информационного обследования объекта с целью оценки соответствия требованиям нормативных документов;
• разработку программы и методик аттестационных испытаний;
• проведение аттестационных испытаний объекта информатизации.

Специалисты САТЕЛ, используя накопленный опыт и знания, гарантируют высокий уровень проведения работ по аттестации объектов информатизации.

Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) была озвучена Президентом РФ в 2013 году.

Основным назначением ГосСОПКА является контроль над обеспечением защищенности информационных ресурсов от компьютерных атак, а также контроль над восстановлением штатного функционирования данных ресурсов при возникновении компьютерных инцидентов, вызванных компьютерным атаками.

Специалисты САТЕЛ, обладая практическим опытом взаимодействия с ГосСОПКА, готовы оказать услуги по разработке соответствующей нормативной и методической документации, разработке технического решения и организации взаимодействия средств защиты с техническими средствами сегмента ГосСОПКА.