Комплексное решение по информационной безопасности. Предотвращения несанкционированного доступа, использования, раскрытия, изменения, записи или уничтожения информации

Какие задачи решает инфобезопасность:

  • Конфиденциальность информации. Обеспечение контроля за копированием информации, поиск и устранение каналов утечки информации.
  • Доступность информации и информационной системы 24/7 из любой точки с распределенными правами доступа.
  • Целостность информации. Создание единой системы управления доступа ко всем информационным ресурсам.
  • Отказоустойчивость информационной системы при перегрузках или отказах оборудования.
  • Обеспечение подлинности информации и мониторинг угроз от вирусных атак и несанкционир
Основные решения

Законодательная база и защите информации в РФ

  • 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Определяет ключевые термины, включая определение конфиденциальной информации.
  • 152-ФЗ «О персональных данных»
Регулирует работу с личными данными конкретных людей.
  • 98-ФЗ «О коммерческой тайне»
Даёт определение коммерческой тайне и регулирует работу с ней.
  • 63-ФЗ «Об электронной подписи»
Даёт определение электронной подписи и определяет её юридическую силу.
  • 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Регламентирует порядок защиты информации для предприятий, которые работают в сферах, критически важных для жизни государства: здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность.

Функции регуляторов выполняют:

  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор;
  • Федеральная служба по техническому и экспортному контролю – ФСТЭК;
  • Федеральная служба безопасности – ФСБ.

Специалисты Ситек готовы провести аудит системы информационной защиты ИТ инфраструктуры и предложить комплексное решение, направленное на защиту информации, исходя из требований законодательства и потребностей бизнеса.

Универсальных решений нет, но мы готовы разработать и
внедрить полный комплекс мероприятий под Вас.

Универсального подхода к исполнению требований всеми организациями, которые подпадают под контроль регуляторов, нет. Как и нет одинаковый решений для обеспечения инфобезопасности.

Разработать и внедрить полный комплекс мероприятий по информационной защите невозможно без освоения нормативной базы, навыков настройки технических средств и знаний принципов ПО, обеспечивающего информационную безопасность. Это значит, защищать персональные данным силами одного сотрудника, по меньшей мере недальновидно. Единственная ошибка на любом уровне рискует обернуться штрафами от регуляторов и потерей лояльности клиентов.

Небольшим организациям – обработчикам ПДн содержать ИБ-штат экономически невыгодно. Менее затратным, более разумным и быстрым будет вариант привлечь специалистов Ситек, которые профессионально занимаются защитой информации. Специалисты уже обладают всеми знаниями нормативной и технической базы, имеют опыт создания комплексных систем безопасности, в том числе информационной.

Обеспечение безопасности персональных данных и личной информации

  • Формирование описательных и регламентных документов, требуемых законодательством.
  • Реализация технических мер безопасности для систем, работающих на собственной инфраструктуре либо поверх облачной инфраструктуры.
  • Настройка средств аутентификации внутри физических/виртуальных (на уровне ОС, СУБД, 1С).
  • Контроль доступа пользователей к физическим/виртуальным серверам (на уровне ОС, СУБД, 1С).
  • Регистрация событий безопасности (на уровне ОС, СУБД, 1С).
  • Реализация антивирусной защиты физических/виртуальных серверов. На базе продуктов
  • Анализ уязвимостей и установка обновлений безопасности на ОС, СУБД и 1С.
  • Обеспечение защиты данных от раскрытия и модификации при передаче их через Интернет.
  • Управление изменениями внутри физических/виртуальных серверов.

Базовая защита информации в контуре предприятия

  • Межсетевой экран (файрвол, брэндмауэр)
  • Виртуальные частные сети (VPN)
  • Системы обнаружения и предотвращения вторжений (IDS, IPS)
  • Антивирусная защита
  • Белые списки
  • Фильтрация спама
  • Поддержка ПО в актуальном состоянии
  • Физическая безопасность

Многоуровневая система антивирусной защиты

  • Повышение уровня защищенности на границе контролируемого периметра
  • Выявление и блокировку вредоносного ПО в общих файловых хранилищах, почтовых сообщениях
  • Создание плана аварийного восстановления предприятия
  • Создание действующей политики безопасности
Реальные кейсы нашего подразделения
Исходная задача - клиент 1
Подключить региональную сеть к общефедеральной с единой периметральной системой зашиты информации, чтобы внутри общефедеральной сети ко всем информационным ресурсам возможно было получить санкционированный доступ. Обеспечить защиту ИТ-инфраструктуры от внешних атак и угроз на высоком уровне.

План по решению задачи:
  • Подготовить проект создания периметральной системы защиты информации (ПСЗИ) для всей сети с обоснованием размещения на необходимых площадках сети конкретных моделей межсетевых экранов
  • Подготовить план технической реализации проекта ПСЗИ с учетом необходимых подготовительных мероприятий
  • Поэтапное внедрение ПСЗИ согласно разработанного плана для успешного включения периметральной защиты сети
  • Внедрить и сопровождать периметральную защит на базе Checkpoint

Процессы на проекте
  • Анализ сети на разделение по логическим площадкам, которые необходимо защитить межсетевым экраном. Внутри каждой площадки должны быть обеспечены безопасность передачи данных с точки зрения физического доступа и защищенности линий связи. Определены центральная площадка и 28 периферийных площадок для установки оборудования Checkpoint
  • По каждой площадке подготавливается список требований и ограничений, которые должны быть применены, чтобы считать площадку защищенной к моменту запуска периметральной защиты
  • Аудит всех информационных систем (ИС), используемых в холдинге, на наличие схем развертывания и описания взаимодействия ИС внутри площадки, между площадками и с внешними сетями
  • Определен порядок подключения удаленных пользователей к ИС в контуре ПСЗИ
  • Выбор конкретных моделей оборудования для каждой площадки
  • Монтаж и пусконаладка оборудования
  • Разработка и согласования правил взаимодействия для межсетевых экранов. Получены данные по каждой ИС для включения в правила взаимодействия
  • Последовательное внедрение ПСЗИ в холдинге согласно плану
  • Проведена опытно-промышленная эксплуатация ПСЗИ с внедренными правилами взаимодействия
  • ПСЗИ передано в промышленную эксплуатацию

Сроки выполнения - 40 месяцев

Результат:
  • Региональная корпоративная сеть подключена к общефедеральной ПСЗИ с единой системой управления доступа ко всем информационным ресурсам
  • Повышенный уровень ИБ для корпоративной сети передачи данных