Консалтинг, проектирование, внедрение, аттестация, сопровождение

Проектирование

На стадии проектирования системы защиты информации (СЗИ) на основе принятых технологических решений с учетом заданных Заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

1. Разработка технического проекта СЗИ с детальной проработкой вопросов обоснования политики ИБ и настроек используемых средств защиты информации.
2. Разработка организационно-технических мероприятий по защите информации в соответствии с используемыми средствами защиты информации и предъявляемыми требованиями по ИБ.
3. Доработка используемых у Заказчика несертифицированных средств защиты информации до требуемого уровня защиты информации.
4. Разработка разрешительной системы доступа пользователей и обслуживающего персонала к обрабатываемой информации.
5. Разработка эксплуатационной документации на защищенный объект информатизации, включая инструкции по настройке и эксплуатации средств защиты информации для администраторов и пользователей и регламенты по внесению изменений и ремонту.
6. Разработка организационно-распорядительной документации (ОРД) для приведения системы ИБ организации Заказчика в соответствие с требованиями законодательства и руководящих документов, включая требования ФЗ-152 «О персональных данных».

При необходимости разрабатываются мероприятия по защите информации от утечки по техническим каналами. Эти мероприятия включаются в соответствующие разделы технического проекта.

Наши проекты отличаются двумя особенностями.

Во-первых, при разработке СЗИ мы стремимся максимально использовать все возможности имеющейся у Заказчика инфраструктуры и средств защиты информации. В ряде случаев, мы предлагаем заказчику сертифицировать имеющиеся средства сетевой защиты после их небольшой доработки и настройки.

Во-вторых, при необходимости закупки и установки новых средств защиты информации, мы предлагаем Заказчику самые современные и доступные по стоимости решения, в чем можно убедиться на нашем сайте в разделе «Технические решения».

Внедрение

На стадии внедрения решаются следующие задачи:

1. Закупка программно-аппаратного оборудования, предусмотренного в проекте на систему защиты информации.
2. Установка аппаратуры и инсталляция программного обеспечения в секторе для отладки и тестирования новых средств.
3. Выведение нового оборудования на режимы, обеспечивающие совместимость с действующими системами и устойчивую безопасную работу.
4. Перенос вводимого оборудования с оптимальными настройками в рабочий сектор информационной системы.
5. Предварительные испытания внедренного оборудования и программного обеспечения в рабочем секторе информационной системы.

Особенностью наших проектов, является то, что мы часто внедряем продукты собственной разработки, свойства которых мы хорошо знаем, что позволяет нам максимально сократить срок внедрения и уменьшить стоимость всего проекта.

Аттестация по требованиям безопасности информации

Аттестация по требованиям безопасности информации (аттестационные испытания) –  комплексная проверка  защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности.

Аттестация проводится в полном соответствии с требованиями «Положения по аттестации объектов информатизации по требованиям безопасности информации» (Гостехкомиссия, 1994).

Условия, порядок и объем проведения испытаний по требованиям безопасности информации определяются «Программой и методикой аттестационных испытаний», которые разрабатывается нами для каждого Заказчика применительно к каждому аттестуемому объекту.

В ходе аттестации решаются следующие задачи:

1. Анализ исходных данных по аттестуемому объекту информатизации.
2. Проведение экспертного обследования объекта информатизации, включающего анализ разработанной документации по защите информации на этом объекте на соответствие требованиям нормативной и методической документации.
3. Проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.
4. Проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации, согласно разработанной «Программы и методики аттестационных испытаний».
5. Анализ результатов комплексных аттестационных испытаний объекта информатизации и составление заключения по результатам аттестации.

При необходимости для испытания отдельных средств и систем защиты информации  привлекаются испытательные центры (лаборатории) по сертификации средств защиты информации для получения необходимых сертификатов на реализованные решения.

По результатам аттестационных испытаний оформляются следующие документы:

1. Протоколы испытаний, которые составляются по каждому отдельному виду испытаний.
2. Заключение по результатам проведения испытаний, в котором отражается следующая информация:

• оценка соответствия аттестуемого объекта требованиям НТД по безопасности информации;
• рекомендации по устранению недостатков, обнаруженных в процессе испытаний;
• вывод о возможности выдачи «Аттестата соответствия».

3. Аттестат соответствия требованиям по безопасности информации.

Аттестат соответствия выдается сроком на три года. В пределах этого срока аттестат соответствия для всех надзорных и контролирующих органов является исчерпывающим документом, удостоверяющим, что данный объект информатизации удовлетворяет требованиям по безопасности информации.

ООО «Конфидент» аккредитовано в качестве органа по аттестации объектов информатизации в системе сертификации ФСТЭК России (аттестат аккредитации №     СЗИ RU.1100.B015.030 от 10 апреля 2003 года) и имеет право проводить аттестацию объектов информатизации любых типов и классов защищенности — от выделенных помещений предназначенных для ведения секретных переговоров и автономных ПЭВМ до распределенных многоуровневых вычислительных сетей и телекоммуникационных систем.

Особенностью нашей работы с Заказчиком является то, что мы начинаем готовить Заказчика к Аттестации, начиная с первых этапов работы с ним.

Зная требования, которые предъявляются при аттестации, мы выявляем несоответствия этим требованиям уже на этапе предпроектного обследования. Далее, выявленные несоответствия устраняем на этапе технического проектирования. Проверяем принятые решения в ходе предварительных испытаний и опытной эксплуатации и подводим Заказчика к этапу аттестации с полной уверенностью в успешности этих испытаний.

Сопровождение

Сопровождение — фаза жизненного цикла, следующая за внедрением и продолжающаяся до вывода объекта из эксплуатации. Основное отличие сопровождения от технической поддержки заключается в том, что при сопровождении наши специалисты отвечают за систему защиты информации в целом, а не за экземпляр продукта, поэтому специалисты, сопровождающие систему, отслеживают вопросы взаимосвязи и взаимозависимости систем, которые, как известно, относятся к наиболее сложным вопросам эксплуатации.

В рамках сопровождения ЦЗИ ООО «Конфидент» выполняет следующие задачи:

1. Составление соглашения об уровне сервиса, документирование процесса предоставления услуги.
2. Организация круглосуточной поддержки по телефону.
3. Удаленное администрирование системы.
4. Организация выездов для восстановления работоспособности.
5. Закрепление выделенного технического специалиста за объектом информатизации Заказчика.

Наши специалисты заинтересованы в совершенствовании производимых продуктов, поэтому с заинтересованностью воспримут все Ваши проблемы, возникающие на стадии эксплуатации.

Воспользовавшись услугой сопровождения, Вы получаете уверенность в оперативном решении любых задач, возникающих при эксплуатации системы ИБ, возможность постоянного или периодического присутствия нашего специалиста на Вашем объекте и получения квалифицированной консультации в максимально короткий срок.