Разработка концепции и стратегии информационной безопасности

Cloud Networks > Сервис и обслуживание > Разработка концепции и стратегии информационной безопасности

Концепция ИБ

Концепция информационной безопасности представляет собой систематизированное изложение целей, задач, принципов построения, организационных и технических аспектов обеспечения информационной безопасности и устанавливает:

  • Требования и практические правила управления обеспечением информационной безопасностью.
  • Базовый уровень и режим защиты информации, обязательный к исполнению в организации.
  • Может включать комплексные аудиты информационной безопасности для максимальной эффективности.

Концепция ИБ нужна для

Понятных и наглядных отчетов для руководства
Предотвращения экономических и репутационных потерь компании
Систематизации расходов и информационной безопасности в целом
Снижения возможных рисков
Соответствия мировым стандартам в области ИБ и практикам по защите данных
Соответствия требованиям законодательства РФ в области ИБ

Мы предлагаем следующие решения

Сетевая безопасность
Предотвращение DDoS-атак, однонаправленные шлюзы передачи данных, управление сетевой безопасностью, анализ сетевых угроз и контроль изменений конфигурации, обнаружение и предотвращение сетевых вторжений, обнаружение сетевых аномалий, межсетевые экраны нового поколения, виртуальные частные сети.
Мониторинг и управление ИБ

Управление событиями и инцидентами информационной безопасности, системы поведенческого анализа, решения для построения центров управления безопасностью, киберразведка, аудит и анализ защищенности, контроль привилегированных пользователей, мониторинг действия пользователей.
Защита данных
Классификация данных, маркирование электронных документов, защита от утечек конфиденциальной информации, шифрование данных при хранении, инфраструктура открытых ключей, удостоверяющие центры, мониторинг и контроль печати.
Безопасность ИТ-инфраструктуры
Защита от направленных атак (EDR/SandBox), контроль доступа к приложениям, защита от вредоносного ПО, контроль доступа к устройствам, управление учетными записями и доступом, фильтрация почтового трафика, управление и безопасность при использовании мобильных устройств, защита виртуальных инфраструктур, фильтрация Web-трафика, контроль целостности, СЗИ от несанкционированного доступа.
Защита приложений
Защита БД (мониторинг, управление доступом), однократная аутентификация, защита Web-приложений, анализ кода приложений, аудит защищенности мобильных приложений.

Как происходит разработка?

1
Описание объекта защиты
2
Определение перечня критичных ресурсов
3
Разработка модели угроз
4
Создание концепции информационной безопасности
5
Анализ выполнения обязательных мер по защите информации
6
Разработка плана приведения бизнес-процессов и инфраструктуры организации в соответствие с разработанной концепцией
7
Разработка ТЗ по внедрению интегрированных подсистем обеспечения ИБ
8
Установка и настройка средств защиты информации (опционально)
9
Разработка/корректировка организационно-распорядительной документации (опционально)

В описание объекта защиты входит:

  • Аудит видов деятельности организации и нормативных документов, регулирующих обработку информации для вашей организации.
  • Аудит выстроенных бизнес-процессов.
  • Аудит основных потоков информации (как внешних, так и внутренних) и составление схемы процессов обработки информации.
  • Аудит структуры и состава комплекса программно-технических средств организации.

 

Анализ информационных активов предоставит:

  • Перечень информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.
  • Перечень информационных систем, обрабатывающих данные ограниченного доступа, с классификацией.
  • Описание технологического процесса, технический паспорт и разрешительная система доступа к информационным ресурсам.

 

Разработка модели угроз включает:

  • Классификацию потенциальных нарушителей.
  • Описание угроз и оценку вероятности их возникновения.
  • Определение актуальности угроз.
  • Оценку исходного уровня защищенности.
  • Оценку реализуемости и опасности угроз.
  • Уточнение возможностей нарушителей и направления атак.

 

В концепции ИБ для вашей компании описываются:

  • Модель нарушителя безопасности.
  • Модель угроз безопасности и оценку рисков, связанных с их осуществлением.
  • Основные принципы формирования перечня критичных ресурсов и защиты.
  • Ответственность сотрудников за соблюдение установленных требований ИБ.
  • Требования безопасности и меры обеспечения безопасности.

 

Анализ выполнения требований по защите информации включает:

  • Анализ внедренных программных и технических средств защиты информации.
  • Анализ утвержденной организационно-распорядительной документации, регламентирующей процесс обработки информации.
  • Анализ порядка доступа в помещения, в которых ведется обработка информации ограниченного доступа.
  • Анализ работы со съемными носителями информации ограниченного доступа (машинными и бумажными).
  • Анализ работы со средствами криптографической защиты информации.
  • Анализ выполнения требований антивирусной и парольной политик.
  • Анализ внутреннего контроля за обеспечением информационной безопасности.

 

С улучшением системы менеджмента защиты информации мы:

  • Разработаем План приведения бизнес-процессов и инфраструктуры организации в соответствие с разработанной Концепцией ИБ.
  • Разработаем Техническое задание по внедрению интегрированных подсистем обеспечения информационной безопасности.
  • Установим и настроим средства защиты информации без прерывания деятельности организации.
  • Разработаем и скорректируем организационно-распорядительную документацию.
  • А также проведем инструктаж сотрудников.

 

Впоследствии возможно внедрение следующих средств защиты:

  • Защиты внешнего периметра корпоративной сети.
  • Защиты корпоративных серверов.
  • Защиты межсетевых взаимодействий между сегментами информационных систем.
  • Защиты прикладных подсистем и обеспечение доступности предоставляемых ими прикладных сервисов.
  • Комплексной антивирусной защиты.
  • Мониторинга сетевого трафика.

 

Основные разрабатываемые организационно-распорядительные документы:

  • Инструкции администратора безопасности информации, администратора и пользователя информационных систем.
  • Инструкция по обеспечению безопасности при возникновении нештатных ситуаций в информационных системах, обрабатывающих данные ограниченного доступа.
  • Инструкция по организации антивирусной и парольной защиты.
  • Инструкция по работе со средствами криптографической защиты информации.
  • Порядок доступа в помещения, в которых ведется обработка информации ограниченного доступа.
  • Правила обработки персональных данных, а также правила осуществления внутреннего контроля соответствия обработки персональных данных.

Преимущества работы с CloudNetworks

CloudNetworks - это команда специалистов предоставляющая актуальные решения, которые соответствуют всем требованиям современного бизнеса.
Полное сопровождение и поддержка. Вопросы по обслуживанию IТ-решений и обеспечению информационной безопасности мы берем на себя.
Мы предлагаем проверенные технологические решения, ориентированные на реализацию стратегии развития и обеспечения безопасности.
Свяжитесь с нами
Позвоните нам +7 (495) 255-06-30 или отправьте ваш вопрос через форму ниже

    Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных
    О компании
    ПартнёрыКлиентыКейсыВакансии
    Решения
    Информационные технологииИнформационная безопасностьСервисы и обслуживание
    Исследования
    НовостиСтатьиВебинарыМероприятия
    +7 (495) 255-06-30
    info@cloudnetworks.ru
    ООО «Облачные сети»
    ул. Нижняя, д. 14, стр. 2
    Политика конфиденциальностиАнтикоррупционная политика
    to-top