В описание объекта защиты входит:
- Аудит видов деятельности организации и нормативных документов, регулирующих обработку информации для вашей организации.
- Аудит выстроенных бизнес-процессов.
- Аудит основных потоков информации (как внешних, так и внутренних) и составление схемы процессов обработки информации.
- Аудит структуры и состава комплекса программно-технических средств организации.
Анализ информационных активов предоставит:
- Перечень информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.
- Перечень информационных систем, обрабатывающих данные ограниченного доступа, с классификацией.
- Описание технологического процесса, технический паспорт и разрешительная система доступа к информационным ресурсам.
Разработка модели угроз включает:
- Классификацию потенциальных нарушителей.
- Описание угроз и оценку вероятности их возникновения.
- Определение актуальности угроз.
- Оценку исходного уровня защищенности.
- Оценку реализуемости и опасности угроз.
- Уточнение возможностей нарушителей и направления атак.
В концепции ИБ для вашей компании описываются:
- Модель нарушителя безопасности.
- Модель угроз безопасности и оценку рисков, связанных с их осуществлением.
- Основные принципы формирования перечня критичных ресурсов и защиты.
- Ответственность сотрудников за соблюдение установленных требований ИБ.
- Требования безопасности и меры обеспечения безопасности.
Анализ выполнения требований по защите информации включает:
- Анализ внедренных программных и технических средств защиты информации.
- Анализ утвержденной организационно-распорядительной документации, регламентирующей процесс обработки информации.
- Анализ порядка доступа в помещения, в которых ведется обработка информации ограниченного доступа.
- Анализ работы со съемными носителями информации ограниченного доступа (машинными и бумажными).
- Анализ работы со средствами криптографической защиты информации.
- Анализ выполнения требований антивирусной и парольной политик.
- Анализ внутреннего контроля за обеспечением информационной безопасности.
С улучшением системы менеджмента защиты информации мы:
- Разработаем План приведения бизнес-процессов и инфраструктуры организации в соответствие с разработанной Концепцией ИБ.
- Разработаем Техническое задание по внедрению интегрированных подсистем обеспечения информационной безопасности.
- Установим и настроим средства защиты информации без прерывания деятельности организации.
- Разработаем и скорректируем организационно-распорядительную документацию.
- А также проведем инструктаж сотрудников.
Впоследствии возможно внедрение следующих средств защиты:
- Защиты внешнего периметра корпоративной сети.
- Защиты корпоративных серверов.
- Защиты межсетевых взаимодействий между сегментами информационных систем.
- Защиты прикладных подсистем и обеспечение доступности предоставляемых ими прикладных сервисов.
- Комплексной антивирусной защиты.
- Мониторинга сетевого трафика.
Основные разрабатываемые организационно-распорядительные документы:
- Инструкции администратора безопасности информации, администратора и пользователя информационных систем.
- Инструкция по обеспечению безопасности при возникновении нештатных ситуаций в информационных системах, обрабатывающих данные ограниченного доступа.
- Инструкция по организации антивирусной и парольной защиты.
- Инструкция по работе со средствами криптографической защиты информации.
- Порядок доступа в помещения, в которых ведется обработка информации ограниченного доступа.
- Правила обработки персональных данных, а также правила осуществления внутреннего контроля соответствия обработки персональных данных.