Защита информации

Проектирование

На стадии проектирования системы защиты информации (СЗИ) на основе принятых технологических решений с учетом заданных Заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

  1. Разработка технического проекта СЗИ с детальной проработкой вопросов обоснования политики ИБ и настроек используемых средств защиты информации.
  2. Разработка организационно-технических мероприятий по защите информации в соответствии с используемыми средствами защиты информации и предъявляемыми требованиями по ИБ.
  3. Доработка используемых у Заказчика несертифицированных средств защиты информации до требуемого уровня защиты информации.
  4. Разработка разрешительной системы доступа пользователей и обслуживающего персонала к обрабатываемой информации.
  5. Разработка эксплуатационной документации на защищенный объект информатизации, включая инструкции по настройке и эксплуатации средств защиты информации для администраторов и пользователей и регламенты по внесению изменений и ремонту.
  6. Разработка организационно-распорядительной документации (ОРД) для приведения системы ИБ организации Заказчика в соответствие с требованиями законодательства и руководящих документов, включая требования ФЗ-152 «О персональных данных».

При необходимости разрабатываются мероприятия по защите информации от утечки по техническим каналами. Эти мероприятия включаются в соответствующие разделы технического проекта.

Наши проекты отличаются двумя особенностями.

Во-первых, при разработке СЗИ мы стремимся максимально использовать все возможности имеющейся у Заказчика инфраструктуры и средств защиты информации. В ряде случаев, мы предлагаем заказчику сертифицировать имеющиеся средства сетевой защиты после их небольшой доработки и настройки.

Во-вторых, при необходимости закупки и установки новых средств защиты информации, мы предлагаем Заказчику самые современные и доступные по стоимости решения, в чем можно убедиться на нашем сайте в разделе «Технические решения».

Внедрение

На стадии внедрения решаются следующие задачи:

  • Закупка программно-аппаратного оборудования, предусмотренного в проекте на систему защиты информации.
  • Установка аппаратуры и инсталляция программного обеспечения в секторе для отладки и тестирования новых средств.
  • Выведение нового оборудования на режимы, обеспечивающие совместимость с действующими системами и устойчивую безопасную работу.
  • Перенос вводимого оборудования с оптимальными настройками в рабочий сектор информационной системы.
  • Предварительные испытания внедренного оборудования и программного обеспечения в рабочем секторе информационной системы.

Особенностью наших проектов является то, что мы часто внедряем продукты собственной разработки, свойства которых мы хорошо знаем, что позволяет нам максимально сократить срок внедрения и уменьшить стоимость всего проекта.

Аттестация по требованиям безопасности информации

Аттестация по требованиям безопасности информации (аттестационные испытания) – комплексная проверка защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности.

Аттестация проводится в полном соответствии с требованиями «Положения по аттестации объектов информатизации по требованиям безопасности информации» (Гостехкомиссия, 1994).

Условия, порядок и объем проведения испытаний по требованиям безопасности информации определяются «Программой и методикой аттестационных испытаний», которые разрабатывается нами для каждого Заказчика применительно к каждому аттестуемому объекту.

В ходе аттестации решаются следующие задачи:

  • Анализ исходных данных по аттестуемому объекту информатизации.
  • Проведение экспертного обследования объекта информатизации, включающего анализ разработанной документации по защите информации на этом объекте на соответствие требованиям нормативной и методической документации.
  • Проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.
  • Проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации, согласно разработанной «Программы и методики аттестационных испытаний».
  • Анализ результатов комплексных аттестационных испытаний объекта информатизации и составление заключения по результатам аттестации.
    При необходимости для испытания отдельных средств и систем защиты информации привлекаются испытательные центры (лаборатории) по сертификации средств защиты информации для получения необходимых сертификатов на реализованные решения.

По результатам аттестационных испытаний оформляются следующие документы:

  • Протоколы испытаний, которые составляются по каждому отдельному виду испытаний.
  • Заключение по результатам проведения испытаний, в котором отражается следующая информация:
    • оценка соответствия аттестуемого объекта требованиям НТД по безопасности информации;
    • рекомендации по устранению недостатков, обнаруженных в процессе испытаний;
    • вывод о возможности выдачи «Аттестата соответствия».
  • 3. Аттестат соответствия требованиям по безопасности информации.

Аттестат соответствия выдается сроком на три года. В пределах этого срока аттестат соответствия для всех надзорных и контролирующих органов является исчерпывающим документом, удостоверяющим, что данный объект информатизации удовлетворяет требованиям по безопасности информации.

ООО «Конфидент» аккредитовано в качестве органа по аттестации объектов информатизации в системе сертификации ФСТЭК России (аттестат аккредитации № СЗИ RU.1100.B015.030 от 10 апреля 2003 года) и имеет право проводить аттестацию объектов информатизации любых типов и классов защищенности — от выделенных помещений предназначенных для ведения секретных переговоров и автономных ПЭВМ до распределенных многоуровневых вычислительных сетей и телекоммуникационных систем.

Особенностью нашей работы с Заказчиком является то, что мы начинаем готовить Заказчика к Аттестации, начиная с первых этапов работы с ним.

Зная требования, которые предъявляются при аттестации, мы выявляем несоответствия этим требованиям уже на этапе предпроектного обследования. Далее, выявленные несоответствия устраняем на этапе технического проектирования. Проверяем принятые решения в ходе предварительных испытаний и опытной эксплуатации и подводим Заказчика к этапу аттестации с полной уверенностью в успешности этих испытаний.

Сопровождение

Сопровождение — фаза жизненного цикла, следующая за внедрением и продолжающаяся до вывода объекта из эксплуатации. Основное отличие сопровождения от технической поддержки заключается в том, что при сопровождении наши специалисты отвечают за систему защиты информации в целом, а не за экземпляр продукта, поэтому специалисты, сопровождающие систему, отслеживают вопросы взаимосвязи и взаимозависимости систем, которые, как известно, относятся к наиболее сложным вопросам эксплуатации.

В рамках сопровождения ЦЗИ ООО «Конфидент» выполняет следующие задачи:

  • Составление соглашения об уровне сервиса, документирование процесса предоставления услуги.
  • Организация круглосуточной поддержки по телефону.
  • Удаленное администрирование системы.
  • Организация выездов для восстановления работоспособности.
  • Закрепление выделенного технического специалиста за объектом информатизации Заказчика.

Наши специалисты заинтересованы в совершенствовании производимых продуктов, поэтому с заинтересованностью воспримут все Ваши проблемы, возникающие на стадии эксплуатации.

Воспользовавшись услугой сопровождения, Вы получаете уверенность в оперативном решении любых задач, возникающих при эксплуатации системы ИБ, возможность постоянного или периодического присутствия нашего специалиста на Вашем объекте и получения квалифицированной консультации в максимально короткий срок.