Разработка концепции и стратегии информационной безопасности

CloudNetworks > Сервис и обслуживание > Разработка концепции и стратегии информационной безопасности

Разработка концепции информационной безопасности

Поможет снизить или избежать информационных рисков, связанных с людьми, процессами и технологиями, а также защитить конфиденциальность, целостность и доступность информации.

Стратегия информационной безопасности

Предоставляет организации план действий по защите информации и инфраструктуры с целями и задачами для обеспечения кибербезопасности и соответствия.

Концепция ИБ

Концепция информационной безопасности представляет собой систематизированное изложение целей, задач, принципов построения, организационных и технических аспектов обеспечения информационной безопасности и устанавливает:

Требования и практические правила управления обеспечением информационной безопасностью.
Базовый уровень и режим защиты информации, обязательный к исполнению в организации.
Может включать комплексные аудиты информационной безопасности для максимальной эффективности.

Концепция ИБ нужна для

Понятных и наглядных отчетов для руководства

Предотвращения экономических и репутационных потерь компании

Систематизации расходов и информационной безопасности в целом

Снижения возможных рисков

Соответствия мировым стандартам в области ИБ и практикам по защите данных

Соответствия требованиям законодательства РФ в области ИБ

Мы предлагаем следующие решения

Сетевая безопасность

Предотвращение DDoS-атак, однонаправленные шлюзы передачи данных, управление сетевой безопасностью, анализ сетевых угроз и контроль изменений конфигурации, обнаружение и предотвращение сетевых вторжений, обнаружение сетевых аномалий, межсетевые экраны нового поколения, виртуальные частные сети.

Мониторинг и управление ИБ

Управление событиями и инцидентами информационной безопасности, системы поведенческого анализа, решения для построения центров управления безопасностью, киберразведка, аудит и анализ защищенности, контроль привилегированных пользователей, мониторинг действия пользователей.

Защита данных

Классификация данных, маркирование электронных документов, защита от утечек конфиденциальной информации, шифрование данных при хранении, инфраструктура открытых ключей, удостоверяющие центры, мониторинг и контроль печати.

Безопасность ИТ-инфраструктуры

Защита от направленных атак (EDR/SandBox), контроль доступа к приложениям, защита от вредоносного ПО, контроль доступа к устройствам, управление учетными записями и доступом, фильтрация почтового трафика, управление и безопасность при использовании мобильных устройств, защита виртуальных инфраструктур, фильтрация Web-трафика, контроль целостности, СЗИ от несанкционированного доступа.

Защита приложений

Защита БД (мониторинг, управление доступом), однократная аутентификация, защита Web-приложений, анализ кода приложений, аудит защищенности мобильных приложений.

Как происходит разработка?

Описание объекта защиты

Определение перечня критичных ресурсов

Разработка модели угроз

Создание концепции информационной безопасности

Анализ выполнения обязательных мер по защите информации

Разработка плана приведения бизнес-процессов и инфраструктуры организации в соответствие с разработанной концепцией

Разработка ТЗ по внедрению интегрированных подсистем обеспечения ИБ

Установка и настройка средств защиты информации (опционально)

Разработка/корректировка организационно-распорядительной документации (опционально)

В описание объекта защиты входит:

Аудит видов деятельности организации и нормативных документов, регулирующих обработку информации для вашей организации.
Аудит выстроенных бизнес-процессов.
Аудит основных потоков информации (как внешних, так и внутренних) и составление схемы процессов обработки информации.
Аудит структуры и состава комплекса программно-технических средств организации.

Анализ информационных активов предоставит:

Перечень информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.
Перечень информационных систем, обрабатывающих данные ограниченного доступа, с классификацией.
Описание технологического процесса, технический паспорт и разрешительная система доступа к информационным ресурсам.

Разработка модели угроз включает:

Классификацию потенциальных нарушителей.
Описание угроз и оценку вероятности их возникновения.
Определение актуальности угроз.
Оценку исходного уровня защищенности.
Оценку реализуемости и опасности угроз.
Уточнение возможностей нарушителей и направления атак.

В концепции ИБ для вашей компании описываются:

Модель нарушителя безопасности.
Модель угроз безопасности и оценку рисков, связанных с их осуществлением.
Основные принципы формирования перечня критичных ресурсов и защиты.
Ответственность сотрудников за соблюдение установленных требований ИБ.
Требования безопасности и меры обеспечения безопасности.

Анализ выполнения требований по защите информации включает:

Анализ внедренных программных и технических средств защиты информации.
Анализ утвержденной организационно-распорядительной документации, регламентирующей процесс обработки информации.
Анализ порядка доступа в помещения, в которых ведется обработка информации ограниченного доступа.
Анализ работы со съемными носителями информации ограниченного доступа (машинными и бумажными).
Анализ работы со средствами криптографической защиты информации.
Анализ выполнения требований антивирусной и парольной политик.
Анализ внутреннего контроля за обеспечением информационной безопасности.

С улучшением системы менеджмента защиты информации мы:

Разработаем План приведения бизнес-процессов и инфраструктуры организации в соответствие с разработанной Концепцией ИБ.
Разработаем Техническое задание по внедрению интегрированных подсистем обеспечения информационной безопасности.
Установим и настроим средства защиты информации без прерывания деятельности организации.
Разработаем и скорректируем организационно-распорядительную документацию.
А также проведем инструктаж сотрудников.

Впоследствии возможно внедрение следующих средств защиты:

Защиты внешнего периметра корпоративной сети.
Защиты корпоративных серверов.
Защиты межсетевых взаимодействий между сегментами информационных систем.
Защиты прикладных подсистем и обеспечение доступности предоставляемых ими прикладных сервисов.
Комплексной антивирусной защиты.
Мониторинга сетевого трафика.

Основные разрабатываемые организационно-распорядительные документы:

Инструкции администратора безопасности информации, администратора и пользователя информационных систем.
Инструкция по обеспечению безопасности при возникновении нештатных ситуаций в информационных системах, обрабатывающих данные ограниченного доступа.
Инструкция по организации антивирусной и парольной защиты.
Инструкция по работе со средствами криптографической защиты информации.
Порядок доступа в помещения, в которых ведется обработка информации ограниченного доступа.
Правила обработки персональных данных, а также правила осуществления внутреннего контроля соответствия обработки персональных данных.

Свяжитесь с нами

Позвоните нам +7 (495) 255-06-30 или отправьте ваш вопрос через форму ниже

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form.

Преимущества работы с CloudNetworks

CloudNetworks - это команда специалистов предоставляющая актуальные решения, которые соответствуют всем требованиям современного бизнеса.

Полное сопровождение и поддержка. Вопросы по обслуживанию IТ-решений и обеспечению информационной безопасности мы берем на себя.

Мы предлагаем проверенные технологические решения, ориентированные на реализацию стратегии развития и обеспечения безопасности.