Услуги по построению комплексных систем защиты информации(СЗИ)
«Конфидент-Интеграция» предлагает весь спектр услуг по построению комплексных систем защиты информации (под ключ). Содержание работ полностью соответствуют общепринятым подходам, лучшим практикам, а также рекомендациям и требованиям отечественных и международных стандартов.
Состав работ может меняться в зависимости от потребностей компании, проводимых в ней ранее мероприятий по защите информации. Вся разрабатываемая документация соответствует требованиям законов, нормативных актов, руководящих документов, ГОСТ, СНиП, ЕСКД, ЕСПД и может меняться в зависимости от потребностей компании.
Работы выполняются в соответствии со следующими этапами.
- Предпроектное обследование\аудит.
- Формирование требований.
- Эскизное проектирование комплексной системы обеспечения информационной безопасности и стендовые испытания предварительные проектных решений.
- Технорабочее проектирование комплексной системы обеспечения информационной безопасности.
- Внедрение.
- Опытная эксплуатация.
- Оценка соответствия.
- Сопровождение.
1. Предпроектное обследование\аудит
На данном этапе выполняются:
- сбор и анализ данных о видах обрабатываемой информации на объектах, анализ оснований для ее обработки, определение перечня конфиденциальной информации;
- сбор и систематизации данных об используемом комплексе средств автоматизации и осуществляемых видах деятельности компании;
- разработка рекомендаций по категорированию обрабатываемой информации, подготовка перечня защищаемых информационных ресурсов компании;
- выявление факторов, воздействующих на обрабатываемую информацию. Разработка модели угроз и модели вероятного нарушителя информации;
- определение границ контролируемых зон объектов;
- определение конфигурации, топологии, технологических и функциональных взаимосвязей компонентов информационных систем;
- определение программных и технических средств и систем, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
- определение режимов обработки информации;
- определение организационной структуры, лиц, обрабатывающих конфиденциальную информацию;
- определение класса защищенности объектов.
Результаты работ данного этапа:
- отчет об обследовании\аналитическое обоснование необходимости создания системы защиты информации;
- перечень сведений конфиденциального характера;
- модель угроз и вероятного нарушителя безопасности информации;
- акты классификации объектов.
2. Формирование требований
На данном этапе выполняется определение и формирование перечня законодательных, организационных, функциональных и иных требований, применимых к системе защиты информации.
Результатом работ данного этапа является техническое (частное) задание на создание СЗИ в соответствии с ГОСТ 34.602-89.
3. Эскизное проектирование комплексной
системы обеспечения информационной безопасности
На данном этапе проводятся следующие работы:
- разработка вариантов решений по комплексу организационных мер и программно-технических средств обеспечения безопасности информации, составу средств защиты информации и их функциональному назначению;
- сравнительный анализ и обоснование выбора различных решений и средств при построении системы защиты;
- описание технического, программного, информационного обеспечения и технологии работы СЗИ;
- тестирование и демонстрация вариантов решения (создание демо-стенда).
Результаты работ данного этапа:
- документация эскизного проекта на систему защиты информации в соответствии с ГОСТ и РД;
- демо-стенд.
4. Технорабочее проектирование комплексной
системы обеспечения информационной безопасности
На данном этапе проводятся следующие работы:
- разработка и описание принятых решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации и их функциональному назначению;
- описание технического, программного, информационного обеспечения и технологии обработки, передачи и защиты информации СЗИ;
- разработка рабочей и эксплуатационной документации на создаваемую СЗИ.
Результатом работ данного этапа является документация технического проекта на систему защиты информации в соответствии с ГОСТ и РД.
5. Внедрение
На данном этапе проводятся следующие работы:
- комплектация и поставка необходимого оборудования и программного обеспечения;
- установка и настройка программно-технических средств защиты информации в соответствии с разработанным техническим проектом и техническим заданием;
- предварительные (автономные) испытания СЗИ в целом и отдельных подсистем.
Результатом является установленные и настроенные средства и подсистемы СЗИ готовые для передачи в опытную эксплуатацию.
6. Опытная эксплуатация
На данном этапе проводятся опытная эксплуатация СЗИ в целях обнаружения ошибок при ее установке и настройке.
По результатам опытной эксплуатации проводятся приемо-сдаточные испытания СЗИ с оформлением акта сдачи-приемки.
7. Оценка соответствия (аттестация)
Аттестация по требованиям безопасности информации (аттестационные испытания) – комплексная проверка защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности.
В ходе аттестации решаются следующие задачи.
- Анализ исходных данных по аттестуемому объекту информатизации.
- Проведение экспертного обследования объекта информатизации, включающего анализ разработанной документации по защите информации на этом объекте на соответствие требованиям нормативной и методической документации.
- Проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.
- Проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации согласно разработанной «Программе и методике аттестационных испытаний».
- Анализ результатов комплексных аттестационных испытаний объекта информатизации и составление заключения по результатам аттестации.
При необходимости для испытания отдельных средств и систем защиты информации привлекаются испытательные центры (лаборатории) по сертификации средств защиты информации для получения необходимых сертификатов на реализованные решения.
8. Сопровождение
Сопровождение – фаза жизненного цикла, следующая за внедрением и продолжающаяся до вывода объекта из эксплуатации. Основное отличие сопровождения от технической поддержки заключается в том, что при сопровождении специалисты отвечают за систему защиты информации в целом, а не за экземпляр продукта, поэтому специалисты, сопровождающие систему, отслеживают вопросы взаимосвязи и взаимозависимости систем, которые, как известно, относятся к наиболее сложным вопросам эксплуатации.
В рамках сопровождения «Конфидент-Интеграция» выполняет следующие задачи.
- Составление соглашения об уровне сервиса, документирование процесса предоставления услуги.
- Организация круглосуточной поддержки по телефону, e-mail.
- Удаленное администрирование системы.
- Организация выездов для восстановления работоспособности.
- Закрепление выделенного технического специалиста за объектом информатизации.
- Периодический аудит на соответствие требованиям законодательства.
- Аудит процессов обработки конфиденциальной информации и их изменений.
- Поддержка в актуальном состоянии комплекса организационно-распорядительной документации по защите информации в компании.