Главная О компании Услуги Партнеры Обратная связь

Полезная информация

Обучение

Контакты

 

УСЛУГИ

1. Консалтинг и реализация проектов по построению СУИБ
2. Комплексные программно-аппаратные решения по защите информации: проектирование, поставка, установка, настройка, сдача "под ключ"
3. Внутренний аудит СУИБ на соответствие требованиям ISO 27001:2005 (BS 7799-2:2005)
4. Содействие в подготовке к сертификации на соответствие требованиям ISO 27001:2005
5. Обучение

В современных условиях жесткой конкуренции информация находится под постоянной угрозой, исходящей из многих источников. Эта угроза может быть внутренней, внешней, случайной или преднамеренной. С ростом использования новых технологий хранения, передачи и получения информации мы становимся все более открытыми перед лицом этой растущей, количественно и качественно, опасности.

Мы поможем Вам построить надежную систему информационной безопасности, которая будет соответствовать международным стандартам.

Мы консультируем. Наши консультанты работают вместе с Вами для того, чтобы определить правильный набор методов и информационных инструментов именно для Вашего бизнеса и Вашей ситуации.

Мы внедряем. Мы берем на себя полную ответственность перед клиентом за проект любого масштаба.

Мы сопровождаем. Мы помогаем Вам минимизировать затраты на поддержку информационной инфраструктуры, предлагая различные уровни сервиса - от технической поддержки до аутсорсинга услуг.

1. Консалтинг и реализация проектов по построению СУИБ

Комплексная система управления информационной безопасностью (СУИБ), разрабатываемая на основе международных стандартов ISO 17799 и ISO 27001 и позволяет Вам достигнуть необходимого уровня защищенности информационных систем и значительно снизить риск реализации угроз информационной безопасности. СУИБ связывает различные компоненты средств информационной безопасности и позволяет надежно и прозрачно управлять системой обеспечения информационной безопасности Вашей компании.
Порядок проведения работ
Все работы по разработке системы управления информационной безопасностью можно разбить на следующие основные этапы:

  • Аудит информационной безопасности, включая поиск и реализацию уязвимостей информационных систем, и анализ на соответствие требованиям стандартов ISO 17799 и ISO 27001
  • Углубленный анализ информационных рисков, включающий анализ и разработку перечня существующих видов ценной информации; оценку уровня возможного ущерба по всем видам ценной информации по угрозам конфиденциальности, целостности и доступности; получение оценок уровней критичности бизнес-ресурсов, на которых находится ценная информация
  • Разработка и проектирование комплексной СУИБ, создание сопроводительной нормативной и технической документации; разработка и адаптация механизмов внедрения требований СУИБ в реальную систему
  • Разработка системы обучения сотрудников, которая, в зависимости от Ваших пожеланий, может включать разработку программы очных и дистанционных курсов с тестированием, а также дистанционного обучающего портала по безопасности для пользователей и специалистов отделов ИТ и ИБ (совместно с российской компанией Digital Security)
  • Консультации и сопровождение процесса внедрения СУИБ с учетом бизнес-требований и особенностей Заказчика


Используемые стандарты


В настоящее время общепринятым стандартом, регламентирующим основные аспекты системы управления информационной безопасностью, является стандарт ISO 17799 "Управление информационной безопасностью. Практические правила", разработанный Международной организацией стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Сертификация СУИБ проводится на основе стандарта ISO 27001 (BS7799:2).


Результаты работы


В результате проведённых работ в Вашей компании будет внедрена готовая к сертификации СУИБ, созданная в соответствии с требованиями стандартов ISO 17799 и ISO 27001, а также полный пакет сопроводительной документации, инструкции и рекомендации по внедрению СУИБ. Таким образом, Вы получаете необходимую и надежную СУИБ, созданную на основе лучших международных стандартов.

2. Комплексные программно-аппаратные решения по защите информации: проектирование, поставка, установка, настройка, сдача "под ключ"

Деятельность современной организации невозможна без использования информационных технологий. Сегодня, информационные технологии позволяют автоматизировать все бизнес-процессы организации и достичь необходимых целей бизнеса. В таких условиях, одним из наиболее ценных ресурсов организации является информация. Обеспечение защиты информационных ресурсов организации и информационных бизнес-процессов в конечном счете и определяет успех организации и лидирующие позиции на рынке.
Одним из важных направлений деятельности Нашей компании является предоставление услуг по обеспечению информационной безопасности корпоративных систем организаций.

Информационная безопасность - это комплекс организационных, программных, технических и физических мер, обеспечивающих достижение следующих свойств информационных ресурсов:

  • Целостности - обеспечение актуальности и непротиворечивости информации, ее защищенности от разрушения и несанкционированного изменения;
  • Конфиденциальности - обеспечение защищенности информации от несанкционированного доступа и ознакомления;
  • Доступности - обеспечение возможности за приемлемое время получить доступ к хранимой и обрабатываемой в системе информации;
  • Аутентичности - обеспечение подлинности субъектов и объектов доступа к информации.

Информационная безопасность может быть обеспечена, только если на этапе создания систем защиты применяются комплексные подходы, включающие в себя использование специализированных методик и инструментария. Системы защиты должны в первую очередь учитывать особенности используемых информационных технологий и требований бизнеса - только в этом случае, можно гарантировать, что средства и методы защиты информации будут минимизировать актуальные риски и противодействовать угрозам информационной безопасности.

Наша Компания является партнером ведущих мировых и отечественных производителей средств защиты информации и располагает необходимым инструментарием для предоставления следующих решений по информационной безопасности:

  • Защита периметра корпоративных сетей
  • Контентный анализ информационных потоков
  • Защита сетей телекоммуникационных операторов
  • Защита бизнес-приложений

3. Внутренний аудит СУИБ на соответствие требованиям ISO 27001:2005 (BS 7799-2:2005)

Комплексный аудит информационной безопасности, проводимый внешними специалистами, позволяет Вам получить наиболее полную и объективную оценку защищенности Ваших информационных систем (ИС).

Задачи аудита


Основные задачи, которые решаются в ходе аудита:

  • Проведение информационного аудита существующих ИС Заказчика (как объекта защиты), анализ ее структуры, функций и особенностей, используемых технологий автоматизированной обработки и передачи информации, анализ выполняемых бизнес-процессов, анализ нормативной и технической документации;
  • Выявление значимых угроз, основных путей их реализации; выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного плана в информационной системе;
  • Составление неформальной модели нарушителя и практическая проверка возможности реализации нарушителем выявленных внутренних угроз на объекте Заказчика на основе обнаруженных уязвимостей путем проведения внутреннего теста на проникновение;
  • Проведение тестов на проникновение по внешнему периметру IP-адресов; тестирование возможности проникновения в корпоративную сеть путем почтовой атаки рабочих станций пользователей специализированной реверсивной троянской программой;
  • Анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов Заказчика;
  • Оценка системы управления информационной безопасностью на соответствие требованиям международного стандарта ISO 27001/ISO 17799 и разработка рекомендаций;
  • Анализ и оценка рисков, связанных с невыполнением требований стандарта ISO 27001/ISO 17799;
  • Разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности Заказчика.


Применяемые методики


В процессе выполнения работ по аудиту информационной безопасности специалисты нашей компании применяют следующие методики:

  • Модифицированная специалистами Digital Security методика проведения комплексного аудита информационной безопасности NSA Infosec (методика включает обязательные тесты на проникновение как из сети Интернет, так и внутри корпоративной сети);
  • КОНДОР - методика аудита соответствия требованиям ISO 27001/ISO 17799 и анализа рисков невыполнения требований стандарта;
  • ГРИФ (модель угроз-уязвимостей) - методика анализа информационных рисков компании Digital Security. Методику ГРИФ дополняют разработанные специалистами Digital Security каталоги угроз-уязвимостей и классификация угроз безопасности DSECCT (Digital Security Classification of Threats).


Методика проведения технологических проверок защищенности


В процессе проведения работы на объекте Заказчика на одной из фаз активного аудита специалисты Нашей Компании применяют модель нарушителя, согласно которой им выдаются следующие минимальные привилегии: физический доступ внутрь охраняемого периметра и возможность подключения к ИС Компании на физическом уровне. Логическими правами доступа к информационным ресурсам ИС аудитор не обладает. Согласно используемой методике аудита в процессе работы на объекте Заказчика аудиторами осуществляется полный внутренний тест на проникновение на все объекты КИС, в ходе которого выполняется поиск и реализация обнаруженных уязвимостей по каждому серверу, рабочей станции и сетевому оборудованию, что позволяет получить реальную картину защищенности ИС. Все проводимые технические проверки заранее оговариваются с службами информационной безопасности и информационных технологий. До проведения аудита разрабатывается и совместно с Заказчиком утверждается график проведения проверок. Все проверки изначально разработаны с учетом необходимости обеспечения безопасности и постоянной работоспособности ИС Заказчика в процессе проведения работ по аудиту. При проверках особо критичных ресурсов заранее оговаривается график проведения проверок (вплоть до выполнения определенных проверок в нерабочее время) и постоянный мониторинг критичных ресурсов службой ИТ в процессе проведения проверок для исключения возможности кратковременного отказа в обслуживании.


По желанию Заказчика в процессе теста на проникновение из Интернет проводится тестирование возможности проникновения в ИС путем почтовой рассылки по рабочим станциям пользователей специализированной реверсивной троянской программой. Рассылка осуществляется по заранее согласованному с Заказчиком фиксированному списку e-mail адресов сотрудников и в заранее оговоренное время. Функциональные возможности программы строго ограничены алгоритмом, безопасным для ИС Заказчика. Детальное описание алгоритма действия программы заранее согласовывается с Заказчиком.

Методика проведения проверок соответствия системы управления информационной безопасностью требованиям международного стандарта ISO 27001/ISO 17799


Для оценки соответствия системы управления информационной безопасностью требованиям ISO 27001/ISO 17799 на первом этапе проводится анализ нормативных документов по информационной безопасности. На втором этапе с помощью методики Кондор проводится опрос ответственных лиц, вовлеченных в процесс управления информационной безопасностью (специалисты подразделений ИБ и ИТ), а также - пользователей КИС, выбранных случайным образом. Полученные в процессе опроса ответы анализируются и сравниваются с данными, полученными в процессе технологических проверок защищенности КИС. Итоговый вывод о выполнении требований стандарта ISO 27001/ISO 17799 делается в случае подтверждения выполнения требований на практике в КИС.


Результаты аудита


По результатам аудита Вы получаете детальный отчет, содержащий описание всех выявленных в ходе аудита технологических и организационных уязвимостей Ваших информационных систем, комплексную оценку СУИБ в соответствии с ISO 27001/ISO 17799 и разработанные на основе полученных результатов комплексные рекомендации по повышению текущего уровня защищенности. По Вашему желанию осуществляется разработка политики безопасности в соответствии с полученными результатами аудита информационной системы.

4. Содействие в подготовке к сертификации на соответствие требованиям ISO 27001:2005

Международный стандарт менеджмента безопасности ISO/IEC 17799 разработан на базе британского BS 7799, который предназначен для управления информационной безопасностью организации вне зависимости от ее сферы деятельности.


Стандарты ISO 27001 и ISO 17799


Служба безопасности, IT-подразделения, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных.
Положения стандарта описывают такие аспекты, как:

  • Политика безопасности
  • Организационные методы обеспечения информационной безопасности
  • Управление ресурсами
  • Пользователи информационной системы
  • Физическая безопасность
  • Управление коммуникациями и процессами
  • Контроль доступа
  • Приобретение, разработка и сопровождение информационных систем
  • Управление инцидентами информационной безопасности
  • Управление непрерывностью ведения бизнеса
  • Соответствие требованиям


Стандарт ISO 27001 (BS 7799:2) представляет собой перечень требований, обязательных для сертификации, не вошедших в ISO 17799; дополнительно в приложении ISO 27001 приведен перечень основных требований ISO 17799, проверяемых при сертификации. Соответственно, ISO 27001 является стандартом, по которому проводится официальная сертификация системы управления информационной безопасностью (СУИБ).


Стандарт в России и странах СНГ


В последние несколько лет ISO 17799 начал уверенно продвигаться по странам СНГ. В Республике Беларусь с 1 ноября 2004 г. стал национальным государственным стандартом. В Молдове, благодаря позиции Национального Банка, все банки с 2003 года проходят регулярную проверку на соответствие ISO 17799.
В России стандарт ISO 17799 пока не имеет статус государственного стандарта, однако принятие ГОСТ 17799 ожидается в 2006 году.
Подробнее об истории развития стандарта ISO 17799 в России и странах СНГ можно узнать из следующей статьи: ISO 17799: Эволюция стандарта в период 2002-2005

Преимущества сертификации


Прежде всего, это "неформальные" преимущества: после проведения аудита информационная система компании становится "прозрачнее" для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в СУИБ как для повышения реального уровня защищенности, так и для непосредственного соответствия стандарту.
Сертификация на соответствие стандарту ISO 27001 позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками, при этом также увеличивается капитализация компании

Как пройти сертификацию


Для получения сертификата соответствия ISO 27001 компания должна пройти аудит информационной безопасности, провести подготовку информационной системы на соответствие стандарту, разработать и внедрить систему управления информационной безопасностью и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов.
Предварительный этап, который заключается в проведении аудита и, на его основании, подготовки необходимых изменений системы управления информационной безопасностью, может выполнить специализированная компания, имеющая опыт в проведение подобных работ. Затем, после разработки и внедрения системы управления ИБ, необходимо провести итоговую проверку формального соответствия ISO 27001, для чего требуется участие специалистов одной из компаний, владеющей эксклюзивным правом выдачи данного сертификата и имеют аккредитацию при UKAS (United Kingdom Accreditation Service) - уполномоченном государственном органе Великобритании.
Все интересующие Вас вопросы, связанные с сертификацией информационной системы Вашей компании на соответствие стандарту ISO 27001, Вы можете задать, написав письмо.

 


© 2006-2008, АМАНТ, +7 727 227 90 87, Алматы, ул. Кыз Жибек, 119, офис №2 Обратная связь