ООО «Конфидент-Интеграция» осуществляет весь цикл создания системы информационной безопасности – от аудита, анализа рисков, разработки документации до проектирования, внедрения, сопровождения систем защиты информации и аттестации объектов информатизации. Собственные методики специалистов компании и их опыт работы с законодательными требованиями позволяют предоставлять заказчикам наиболее оптимальные технологические решения – как по экономическим, так и по функциональным показателям.

Генеральный директор
ООО «Конфидент-Интеграция»
Кожемяка Егор Юрьевич

На сегодняшний день компания «Конфидент-Интеграция», входящая в состав группы компаний «Конфидент», предоставляет заказчикам наиболее востребованные комплексные решения в области информационной безопасности.

Интеграционное направление в ГК «Конфидент» сформировалось и развивается независимо от разработки и продвижения собственной продуктовой линейки СЗИ Dallas Lock.

Компания «Конфидент-Интеграция» оказывает весь спектр как выделенных услуг по защите информации, так и услуг в составе интеграционных проектов. «Конфидент-Интеграция» осуществляет комплексные проекты «под ключ» для клиентов различных отраслей. Специалистами компании реализованы десятки проектов по информационной безопасности в части аудита, анализа информационных рисков, разработки организационно-распорядительной документации, проектирования, поставки, внедрения и сопровождения комплексных систем защиты информации, аттестации объектов информатизации.

Общая информация

Основанная в 1992 году, компания «Конфидент» приобрела широкую известность благодаря комплексному подходу к построению систем защиты информации конечных заказчиков.

На сегодняшний день компания «Конфидент-Интеграция», входящая в состав группы компаний «Конфидент», предоставляет заказчикам наиболее востребованные комплексные решения в области информационной безопасности.

Интеграционное направление в ГК «Конфидент» сформировалось и развивается  независимо от разработки и продвижения собственной продуктовой линейки СЗИ Dallas Lock.

Спектр услуг компании «Конфидент-Интеграция» включает в себя как отдельные услуги по защите информации, так и услуги в составе интеграционных проектов. «Конфидент-Интеграция» осуществляет комплексные проекты «под ключ» для клиентов различных отраслей. Специалистами компании реализованы десятки проектов по информационной безопасности, в ходе которых осуществлялись работы по аудиту, анализу информационных рисков, разработке организационно-распорядительной документации, проектированию, поставке, внедрению и сопровождению комплексных систем защиты информации, аттестации объектов информатизации.

Ключевым подходом компании при оказании услуг и реализации проектов в области информационной безопасности является предоставление заказчику решения, соответствующего характеру рисков, наиболее полно удовлетворяющего специфике конкретного предприятия и его бизнес-процессам, с гибким индивидуальным ценообразованием и, в то же время, четко соответствующего требованиям законодательства и стандартов.

В рамках реализации проектов в области информационной безопасности «Конфидент-Интеграция» предлагает:

  • индивидуальный подход,
  • передовой опыт и использование апробированных решений,
  • оптимизированные затраты

с целью построения

  • эффективной,
  • сбалансированной,
  • экономически оправданной

системы информационной безопасности заказчика.

Подробнее о предлагаемых услугах.

«Конфидент-Интеграция» предлагает своим заказчикам комплекс апробированных и сертифицированных технических решений ведущих российских и зарубежных компаний. При этом в любом возможном технологическом направлении, будь то антивирусные системы, VPN или межсетевые экраны, рассматриваются продукты нескольких производителей. Тем самым заказчику не навязывается решение, а подбирается оптимально подходящее для объекта, решающее задачу клиента и интегрирующееся в общую систему защиты.

Подробнее о предлагаемых технологических решениях.

Для обеспечения своей деятельности компания имеет полный набор лицензий ФСТЭК России и ФСБ России, необходимых для эффективной работы, а также штат профессионалов, собственные методики и подходы. Всё это позволяет реализовывать проекты в сжатые сроки и наиболее экономически оправданными методами и средствами.

Решения

  • Защита от НСД автоматизированных систем и информационных систем персональных данных
  • Защита от несанкционированного доступа к автоматизированным системам и информационным системам персональных данных

    Компания «Конфидент-Интеграция» предлагает профессиональные услуги по консалтингу, выбору решения, проектированию, внедрению средств защиты от несанкционированного доступа.

    «Конфидент-Интеграция» предлагает использование следующих средств защиты:

    • собственная разработка ГК «Конфидент» – СЗИ Dallas Lock, сочетающая современный интерфейс, мощный набор функций и наличие сертификатов ФСТЭК России (возможность защиты государственной тайны и конфиденциальной информации);
    • решения сторонних вендоров – Secret Net, vGate (Код безопасности), Страж NТ (НПЦ «Модуль»), Аккорд (ОКБ САПР), Блокхост (Газинформсервис) и др.;
    • сертифицированные ФСТЭК России ОС MS Windows, ОС на базе Linux, в том числе российские;
    • решения для аутентификации, в том числе, с использованием серверов сертификатов;
    • программное обеспечение контроля и разграничения доступа к устройствам компьютера DeviceLock, Zlock, GFI EndPointSecurity, Lumension и др.;
    • решения по управлению правами доступа к данным на базе продуктов Oracle IRM, Microsoft RMS, EMC Documentum IRM и другие специализированные и встроенные технологии защиты от НСД.

    Все решения по защите от НСД предусматривают адаптацию к специфике работы конкретного предприятия, а также интеграцию средств защиты с прочими подсистемами безопасности. Опыт наших специалистов может быть полезен при выборе решения для конкретной задачи, а также при проектировании, установке и обслуживании этих систем.

  • Системы антивирусной защиты
  • Системы антивирусной защиты

    Создание системы антивирусной защиты в организации обеспечит выявление, блокирование и уничтожение вредоносного ПО (компьютерных вирусов, почтовых и сетевых червей, троянов, спама, шпионских программ, руткитов и т. д.) в уязвимых точках корпоративной информационной системы (серверах, рабочих станциях, почтовых и файловых системах, шлюзах доступа, серверах виртуальной среды, мобильных устройствах и т. д.).

    При выборе решений специалисты компании проводят комплексный анализ IT-инфраструктуры организации, политик информационной безопасности, что, в свою очередь, позволяет выбрать оптимальную систему антивирусной защиты и обеспечить ее интеграцию в существующую сетевую инфраструктуру. При выборе антивирусной системы также учитываются требования законодательства. В частности, при защите персональных данных необходимо использовать сертифицированные ФСТЭК России антивирусные средства защиты. Все решения, предлагаемые нашей компанией, соответствуют этим требования.

    «Конфидент-Интеграция» предлагает решения различных вендоров для организации систем антивирусной защиты различного масштаба и территориального распределения, таких как:

    Эти решения обеспечивают антивирусную защиту всех систем организации, интеграцию антивирусных систем с другими средствами обеспечения безопасности корпоративных сетей.


  • Средства сетевой защиты (межсетевые экраны)
  • Средства сетевой защиты (межсетевые экраны)

    Компания «Конфидент-Интеграция» осуществляет подбор и оформление проектных решений и внедрение продуктов межсетевого экранирования.

    Межсетевые экраны используют для обеспечения безопасности при подключении к открытым сетям и контроля периметра корпоративной сети организации.

    Основными функциями межсетевого экрана являются:

    • фильтрация сетевых пакетов на основе настроенной политики безопасности;
    • преобразование адресов и сокрытие топологии корпоративной сети;
    • аутентификация и авторизация пользователей;
    • публикация серверов корпоративной сети в Интернете;
    • резервирование каналов связи и обеспечение отказоустойчивости;
    • защита от проникновения в корпоративную сеть организации.

    В рамках внедрения межсетевого экранирования используются продукты, в том числе сертифицированные ФСТЭК России, следующих производителей:

    • StoneSoft;
    • Cisco Systems;
    • Palo Alto;
    • Juniper;
    • CheckPoint;
    • WatchGuard;
    • Entensys;
    • Ideco;
    • Инфотекс (VipNet);
    • S-Terra CSP;
    • Код Безопасности;
    • Элвис+ (Застава) и др.
  • Криптографическая защита информации (СКЗИ и VPN)
  • Криптографическая защита информации (СКЗИ и VPN)

    Компания «Конфидент-Интеграция» предлагает услуги по выбору решения, проектированию, внедрению средств криптографической защиты каналов связи и средств шифрования, в том числе, для работы с ЭЦП.

    Представленные в настоящее время на рынке информационной безопасности средства криптографической защиты информации можно условно разделить на группы:

    • средства криптографической защиты каналов связи или VPN (виртуальные частные сети);
    • средства шифрования данных пользователей;
    • средства криптографической защиты, необходимые для работы с ЭЦП.

    Средства криптографической защиты каналов связи или VPN необходимы, когда требуется обеспечить конфиденциальность и целостность данных, передаваемых по незащищённым каналам связи.

    VPN можно разделить на категории по принципу организации:

    • site-to-site VPN (шлюз – шлюз);
    • remote access VPN (удаленный пользователь – шлюз).

    Средства криптографической защиты каналов связи, использующие алгоритмы шифрования ГОСТ, проходят обязательную процедуру сертификации ФСБ России.

    Компания «Конфидент-Интеграция» предлагает заказчикам широкий спектр продуктов различных производителей средств криптографической защиты каналов связи, в первую очередь сертифицированные российские решения:

    • S-Terra CSP;
    • Код Безопасности;
    • Инфотекс;
    • Элвис+.

    Средства шифрования данных пользователей необходимы для обеспечения конфиденциальности и целостности информации, находящейся у пользователей на рабочих местах и иных носителях информации, в том числе, съемных.

    Данные решения могут использовать зарубежные и российские криптографические алгоритмы шифрования. Средства, использующие российские алгоритмы шифрования, имеют сертификат соответствия требованиям безопасности ФСБ России.

    Современные решения для шифрования данных могут специфицироваться в зависимости от аппаратной и программной платформ, иметь аппаратные модули криптографических преобразований, иметь соответствующие сертификаты регуляторов.

    Компания «Конфидент-Интеграция» предлагает услуги по выбору решения, проектированию, внедрению средств шифрования данных следующих производителей:

    • InfoTecs (ViPNet SafeDisk);
    • Aladdin (Secret Disk).

    Компания «Конфидент-Интеграция» предлагает услуги по выбору решения и внедрению средств шифрования, необходимых для работы с ЭЦП, следующих производителей:

    • КриптоПро.

  • Системы сканирования уязвимостей
  • Системы сканирования уязвимостей

    «Конфидент-Интеграция» предлагает широкий спектр программных и программно-технических решений российского и зарубежного производства для мониторинга информационной безопасности, превентивного поиска уязвимостей и анализа защищенности корпоративной информационной системы заказчика.

    Рынок средств защиты информации предлагает большое число программных и программно-технических решений проактивной защиты корпоративных ресурсов с помощью мониторинга информационной безопасности и превентивного поиска уязвимостей. Одним из важнейших критериев выбора конкретного решения для организации подсистемы анализа защищенности является тип обрабатываемой информации. Например, для защиты персональных данных должны применяться средства защиты, имеющие сертификат соответствия требованиям руководящих документов ФСТЭК России, а для защиты коммерческой тайны вполне может подойти несертифицированное свободное программное решение со схожим функционалом.

    В рамках своих проектов «Конфидент-Интеграция» использует:

    • XSpider (Positive Technologies);
    • MaxPatrol (Positive Technologies);
    • СКАНЕР-ВС (ЗАО «НПО «Эшелон»);
    • Nessus (Tenable Network Security);
    • GFI LANguard (GFI Software);
    • HP Weblnspect (Hewlett–Packard Development Company);
    • HP ArcSight ESM;
    • Symantec Enterprise Security Manager;
    • Assuria Auditor и др.

    Специалисты «Конфидент-Интеграции» имеют серьезный опыт проведения аудита защищенности корпоративных информационных систем и готовы оказать консультативную поддержку в выборе оптимального решения для эффективной защиты вашей информации.


  • Системы предотвращения вторжений (IPS)
  • Системы предотвращения вторжений (IPS)

    Компания «Конфидент-Интеграция»  предлагает услуги по выбору решения, проектированию, внедрению средств обнаружения вторжений.

    Системы предотвращения вторжений (IPS) осуществляют:

    • обнаружение и предотвращение попыток НСД в режиме реального времени;
    • инспекцию внутри SSL/TLS;
    • предотвращение как известных, так и неизвестных атак – «атак нулевого дня»;
    • борьбу с (D)DoS-атаками;
    • декодирование протоколов для точного определения специфических атак;
    • блокировку или завершение нежелательных сетевых соединений;
    • анализировать события, позволяющие эффективно снижать поток ложных срабатываний;
    • централизованное обновление программного обеспечения.

    Компания «Конфидент-Интеграция»  предлагает решения следующих производителей:

    • Stonesoft;
    • IBM ISS;
    • Cisco Systems;
    • Juniper networks;
    • Check Point;
    • SourceFire;
    • HP и др.
  • Системы защиты от утечек данных и инсайдеров (DLP)
  • Системы защиты от утечек данных и инсайдеров (DLP)

    Компания «Конфидент-Интеграция» предлагает различные варианты внедрения DLP-систем на объектах заказчиков.

    Системы защиты от утечек данных и инсайдеров (DLP) обеспечивают контроль распространения информации за пределы предприятия по всем доступным каналам. DLP-решения предотвращают утечки конфиденциальной информации и персональных данных через электронную почту (корпоративную и web (mail, yandex и т. п.)); передачу мгновенных сообщений (ICQ, MSN, AOL и т. п.); голосовые и текстовые сообщения Skype, посты на форумах или комментарии в блогах; внешние устройства (USB/CD), мобильные устройства, локальные соединения (Bluetooth, Wi-Fi и т. п.); FTP; файл-серверы; ноутбуки, в том числе, отключенные от корпоративной сети; документы, отправляемые на печать; а также появление конфиденциальной информации на компьютерах пользователей.

    Внедрение DLP-систем в организации позволит существенно сократить риск потери критичной информации, а также осуществить контроль за сотрудниками и выявить потенциальных инсайдеров.

    Компания «Конфидент-Интеграция» предлагает решения следующих производителей:

    • InfoWatch;
    • SearchInform;
    • Symantec;
    • RSA, McAfee;
    • Zecurion;
    • DeviceLock и др.

  • Управление мобильными устройствами (MDM)
  • Управление мобильными устройствами (MDM)

    Специалисты «Конфидент-Интеграции» на практике знакомы с проблемами и последствиями неконтролируемого использования мобильных устройств и всегда готовы помочь определить оптимальное решение, подходящее для корпоративной информационной системы заказчика, а также оказать поддержку на любом этапе эксплуатации MDM-системы.

    Активно развивающийся рынок мобильных устройств привнёс новые уязвимости в корпоративные информационные системы. И хотя основная угроза безопасности осталась неизменной – несанкционированный доступ к данным и их утечка, эффективная нейтрализация этой угрозы потребовали новых нетривиальных решений. Такое решение было представлено системой класса MDM. Концепция MDM предполагает управление жизненным циклом мобильных устройств пользователей КИС, обеспечивая безопасность корпоративных данных. Но контролируя пользовательские мобильные устройства необходимо соблюсти баланс между безопасностью корпоративных данных и конфиденциальностью сугубо личных пользовательских данных, раскрытие которых, намеренное либо случайное, нарушит гарантированные конституционные права владельца устройства. Необходимость обеспечения такого баланса привела к появлению родственных ветвей концепции MDM: управление мобильными приложениями (MAM), управление мобильной электронной почтой (MEM) и управление данными мобильных устройств (MCM). Данные решения позволяют обеспечить полный цикл мониторинга безопасности использования персональных мобильных устройств и входят в состав MDM-системы как расширение штатного функционала.

    На текущий момент рынок средств защиты информации может предложить более 50 наименований программно-технических решений для реализации концепции MDM, что порой делает выбор конкретного решения сложной аналитической задачей. Компания готова предложить программно-технические решения, занимающие лидирующие позиции на мировом рынке MDM-систем:

    • Mobileiron (Mobileiron, Inc.);
    • AirWatch (AirWatch, LLC);
    • MaaS360 (Fiberlink Communications Corp);
    • Zenprise (Citrix, Inc.);
    • Mobile Lifecycle Management (Good Technology, Inc.) и др.
  • Системы мониторинга (SIEM)
  • Системы мониторинга (SIEM)

    «Конфидент-Интеграция» предлагает услуги по построению систем мониторинга и управления событиями информационной безопасности (Security Information and Event Management – SIEM).

    SIEM-система позволяет ответить на такие вопросы:

    • кто, когда и к каким информационным ресурсам имел доступ?
    • осуществлялся ли доступ в соответствии с принятой политикой безопасности?
    • что делают администраторы, пользователи с высокими полномочиями доступа, и были ли злоупотребления с их стороны?
    • правильно ли сконфигурированы средства защиты: межсетевые экраны, IPS, антивирусы и пр.?
    • как своевременно среагировать на инцидент безопасности, провести расследование и выявить нарушителя?
    • как анализировать события безопасности, журналы от десятков или сотен систем?

    Для построения систем мониторинга и управления событиями информационной безопасности предлагаются решения:

    • HP ArcSight;
    • IBM Q1 Radar;
    • MaxPatrol SIEM;
    • RUSIEM и др.

  • Системы защиты от мошенничества (anti-fraud)
  • Системы защиты от мошенничества (anti-fraud)

    «Конфидент-Интеграция» предлагает решения по противодействию финансовому мошенничеству на основе лучших отечественных и международных разработок.

    Чтобы затруднить действия злоумышленников, сегодня применяется комплекс организационных и технических мер, обеспечивающих дополнительную защиту организаций финансовой отрасли от внешнего и внутреннего мошенничества.

    Задачу контроля финансовых транзакций решают системы класса Fraud-менеджмента (или Fraud-мониторинга), осуществляющие анализ всех транзакций финансовых ресурсов в системах ДБО в режиме онлайн. Анализу подвергаются платежные и неплатежные операции клиентов (запрос состояния счета, изменение своих данных и т. п.).

    В системах Fraud-мониторинга реализуются три класса правил, обеспечивающих идентификацию мошеннической активности:

    • выявление типовых признаков мошенничества на основании экспертных оценок параметров рассматриваемой операции;
    • анализ, основанный на профилировании операций клиента, под которым понимается формирование совокупности данных о совершенных операциях, определяющей поведенческую модель. Любая новая транзакция автоматически категорируется относительно профиля клиента, и это позволяет выявлять отклонения от поведенческой модели;
    • выявление последовательностей операций на основании данных о мошеннических схемах среди всего объема информации.
  • Защита виртуализации «облачных» вычислений и ЦОД
  • Защита виртуализации «облачных» вычислений и ЦОД

    «Конфидент-Интеграция» предлагает профессиональные услуги по консалтингу, выбору решения, проектированию, внедрению защиты «облачных», виртуальных сред и ЦОД.

    Виртуализация помогает упростить управление ИТ-ресурсами и снижает затраты. Виртуализация неразрывно связана с «облачными» технологиями и является одной из главных ступеней на пути к окончательному переходу ИТ-инфраструктур к полностью «облачной» модели.

    «Облачные» вычисления стали основной тенденцией в последнее время в связи со стремлением компаний к значительному сокращению издержек, гибкости для развития бизнеса и высвобождению рабочей силы для основной деятельности компании. Однако, несмотря на очевидные преимущества для компаний, «облачные» вычисления также несут в себе ряд угроз безопасности.

    В своих проектах компания «Конфидент-Интеграция» использует следующие программные решения, разработанные специально для использования в виртуальных, «облачных» средах и ЦОД:

    • собственная разработка – Dallas Lock;
    • Secret Net, vGate (компания «Код безопасности»);
    • IBM;
    • VMware;
    • HyTrust;
    • Catbird Networks;
    • Reflex Systems;
    • Trend Micro;
    • Stonesoft;
    • Check Point (VPN-1 Virtual Edition);
    • VMware (Data Recovery);
    • Veeam® (BackUp & Replication 5);
    • Symantec;
    • Acronis;
    • Websense;
    • McAfee и др.

    Предлагаемые решения по информационной безопасности представляют собой как продукты с полноценным многофункциональным набором средств защиты от любого типа угроз, так и узконаправленные решения для отражения конкретных атак.


  • Средства гарантированного уничтожения информации
  • Средства гарантированного уничтожения информации

    В рамках своей деятельности компания предлагает решения для обеспечения гарантированного уничтожения информации.

    Средства гарантированного уничтожения информации также предназначены для экстренного уничтожения данных на работающем носителе, в том числе, RAID-массиве в серверах в нужный момент. Примением системы уничтожения данных обеспечивается гарантированная защита конфиденциальной информации. После воздействия системы ни данные, ни сам жесткий диск не подлежат восстановлению. Разметка диска уничтожается сильным электромагнитным импульсом. На другие электронные компоненты системы уничтожение информации не влияет.

  • Удостоверяющие центры
  • Удостоверяющие центры

    «Конфидент-Интеграция» предоставляет комплекс услуг по проектированию, внедрению и сопровождению удостоверяющих центров.

    Специалистами компании осуществляется разработка пакета необходимой организационно-распорядительной документации на создаваемый удостоверяющий центр, подбор и внедрение компонентов системы обеспечения деятельности удостоверяющего центра, оформление документов для получения лицензий ФСТЭК России и ФСБ России, а также аттестация удостоверяющего центра  по требованиям безопасности информации в соответствии с необходимым классом автоматизированной системы и аккредитация удостоверяющего центра в Минкомсвязи России.

    «Конфидент-Интеграция» готова предложить решения ведущих компаний в области криптографической защиты информации, таких как:

    • Крипто-Про;
    • Microsoft (Microsoft CA);
    • VipNet (Инфотекс) и др.

Наши услуги

Компания «Конфидент-Интеграция» оказывает весь спектр как выделенных услуг по защите информации,
так и услуг в составе интеграционных проектов.

Услуги в области управления информационной безопасностью

Аудит ИБ

Комплексный аудит информационной безопасности (ИБ) компании заказчика – это независимая оценка состояния системы обеспечения информационной безопасности, устанавливающая уровень её соответствия определенным заданным критериям, рекомендациям, лучшим практикам.

Тестирование на проникновение

Тест на проникновение (penetration-test) – это возможность взглянуть на корпоративную систему защиты информации глазами злоумышленника, получив объективную картину реальной защищенности информационных активов.

Разработка организационно-распорядительной документации в области информационной безопасности

В рамках данной услуги также может быть разработан полный комплект документации в соответствии с требованиями законодательства в области защиты конфиденциальной информации.

Управление рисками информационной безопасности

Эксперты «Конфидент-Интеграции» более 10 лет занимаются проблемой анализа информационных рисков, используют уникальные методики и инструменты обработки и анализа экспертных данных (алгоритмы нечеткой логики, метод анализа приоритетов Саати и другие).

Обеспечение непрерывности бизнеса

Система обеспечения непрерывности деятельности представляет собой комплекс мер, гарантирующих устойчивую работу организации в чрезвычайных ситуациях, в том числе защиту объектов и персонала, а также стабильность протекания важнейших бизнес-процессов.

Услуги по приведению в соответствие (compliance)

Обеспечение соответствия требованиям законодательства РФ, касающегося персональных данных и государственных информационных систем (ГИС)

Вопросы защиты персональных данных (Приказ ФСТЭК России от 18 февраля 2013 г. № 21), а также услуги по приведению систем защиты информации в соответствие требованиям законодательства в этой области сегодня актуальны для многих организаций, независимо от их форм собственности и размеров.

Особое внимание регуляторов в настоящее время уделяется вопросам защиты информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (Приказ ФСТЭК России от 11 февраля 2013 г. № 17).

Проведение комплекса мер по защите персональных данных и информации в ГИС позволяет  решить следующие задачи:

  • организовать порядок обработки и защиты информации;
  • обеспечить соблюдение строгого соответствия указанных процессов нормативно-правовым требованиям.

Обеспечение соответствия требованиям Федерального закона РФ № 161-ФЗ «О национальной платежной системе»

Федеральный закон № 161-ФЗ «О национальной платежной системе» от 27 июня 2011 года устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, в том числе, осуществления перевода денежных средств, использования электронных средств платежа, деятельность субъектов национальной платежной системы, а также определяет требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе.

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство России устанавливает требования к защите указанной информации.

Работы по приведению в соответствие организаций требованиям № 161-ФЗ состоят из следующих этапов.

  1. Оценка выполнения требований законодательства по защите информации в НПС (аудит).
  2. Мероприятия по обеспечению выполнения требований законодательства по защите информации в НПС.

Обеспечение соответствия требованиям PCI DSS

Стандарт PCI DSS (Payment Card Industry Data Security Standard) предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах и предусматривает комплексный подход к обеспечению информационной безопасности. PCI DSS объединяет программы платежных систем VISA Account Information Security (AIS), Visa Cardholder Information Security Program (CISP) и программу MasterCard Site Data Protection (SDP). Решение о создании стандарта было вызвано резким увеличением числа инцидентов, связанных с утечкой данных о держателях платежных карт.

Требования стандарта PCI DSS распространяются на все организации, обрабатывающие  данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, e-commerce и т. п.).

Обеспечение соответствия требованиям СТО БР ИББС

Банковская система (БС) Российской Федерации включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков. Важнейшим условием развития, укрепления БС РФ, а также эффективного и бесперебойного функционирования платежной системы РФ является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БС РФ, их активов (в т. ч. информационных). Он во многом определяется уровнем ИБ банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем, эксплуатирующихся организациями БС РФ.

Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) – комплекс документов Банка России, описывающий единый подход к построению системы обеспечения информационной безопасности организаций банковской сферы с учётом лучших мировых практик менеджмента информационной безопасности, требований российского законодательства, а также отраслевой специфики организаций банковской сферы.

Этапы работ.

  1. Внешний аудит.
  2. Оценка рисков.
  3. Разработка необходимой документации.
  4. Внедрение необходимых защитных мер.

Обеспечение соответствия требованиям ISO 27001\ГОСТ Р ИСО\МЭК 27001-2006

Стандарт ISO 27001 «Information technology – Security techniques – Information security management systems – Requirements» и его российский аналог ГОСТ Р ИСО/МЭК 27001-2006 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» подготовлены в качестве модели для разработки, внедрения, функционирования, анализа, поддержки и улучшения системы менеджмента информационной безопасности. Внедрение СМИБ является стратегическим решением организации.

Система менеджмента информационной безопасности – часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Услуги по построению комплексных систем защиты информации(СЗИ)

«Конфидент-Интеграция» предлагает весь спектр услуг по построению комплексных систем защиты информации (под ключ). Содержание работ полностью соответствуют общепринятым подходам, лучшим практикам, а также рекомендациям и требованиям отечественных и международных стандартов.

Состав работ может меняться в зависимости от потребностей компании, проводимых в ней ранее мероприятий по защите информации. Вся разрабатываемая документация соответствует требованиям законов, нормативных актов, руководящих документов, ГОСТ, СНиП, ЕСКД, ЕСПД и может меняться в зависимости от потребностей компании.

Работы выполняются в соответствии со следующими этапами.

  1. Предпроектное обследование\аудит.
  2. Формирование требований.
  3. Эскизное проектирование комплексной системы обеспечения информационной безопасности и стендовые испытания предварительные проектных решений.
  4. Технорабочее проектирование комплексной системы обеспечения информационной безопасности.
  5. Внедрение.
  6. Опытная эксплуатация.
  7. Оценка соответствия.
  8. Сопровождение.

1.    Предпроектное обследование\аудит

На данном этапе выполняются:

  • сбор и анализ данных о видах обрабатываемой информации на объектах, анализ оснований для ее обработки, определение перечня конфиденциальной информации;
  • сбор и систематизации данных об используемом комплексе средств автоматизации и осуществляемых видах деятельности компании;
  • разработка рекомендаций по категорированию обрабатываемой информации, подготовка перечня защищаемых информационных ресурсов компании;
  • выявление факторов, воздействующих на обрабатываемую информацию. Разработка модели угроз и модели вероятного нарушителя информации;
  • определение границ контролируемых зон объектов;
  • определение конфигурации,  топологии, технологических и функциональных взаимосвязей компонентов информационных систем;
  • определение программных и технических средств и систем, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
  • определение режимов обработки информации;
  • определение организационной структуры, лиц, обрабатывающих конфиденциальную информацию;
  • определение класса защищенности объектов.

Результаты работ данного этапа:

  • отчет об обследовании\аналитическое обоснование необходимости создания системы защиты информации;
  • перечень сведений конфиденциального характера;
  • модель угроз и вероятного нарушителя безопасности информации;
  • акты классификации объектов.

2.    Формирование требований

На данном этапе выполняется определение и формирование перечня законодательных, организационных, функциональных и иных требований, применимых к системе защиты информации.

Результатом  работ данного этапа является  техническое (частное) задание на создание СЗИ в соответствии с ГОСТ 34.602-89.

3.    Эскизное проектирование комплексной
системы обеспечения информационной безопасности

На данном этапе проводятся следующие работы:

  • разработка вариантов решений по комплексу организационных мер и программно-технических средств обеспечения безопасности информации, составу средств защиты информации и их функциональному назначению;
  • сравнительный анализ и обоснование выбора различных решений и средств при построении системы защиты;
  • описание технического, программного, информационного обеспечения и технологии работы СЗИ;
  • тестирование и демонстрация вариантов решения (создание демо-стенда).

Результаты работ данного этапа:

  • документация эскизного проекта на систему защиты информации в соответствии с ГОСТ и РД;
  • демо-стенд.

4.    Технорабочее проектирование комплексной
системы обеспечения информационной безопасности

На данном этапе проводятся следующие работы:

  • разработка и описание принятых решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации и их функциональному назначению;
  • описание технического, программного, информационного обеспечения и технологии обработки, передачи и защиты информации СЗИ;
  • разработка рабочей и эксплуатационной документации на создаваемую СЗИ.

Результатом работ данного этапа является документация технического проекта на систему защиты информации в соответствии с ГОСТ и РД.

5.    Внедрение

На данном этапе проводятся следующие работы:

  • комплектация и поставка необходимого оборудования и программного обеспечения;
  • установка и настройка программно-технических средств защиты информации в соответствии с разработанным техническим проектом и техническим заданием;
  • предварительные (автономные) испытания СЗИ в целом и отдельных подсистем.

Результатом является установленные и настроенные средства и подсистемы СЗИ готовые для передачи в опытную эксплуатацию.

6.    Опытная эксплуатация

На данном этапе проводятся опытная эксплуатация СЗИ в целях обнаружения ошибок при ее установке и настройке.

По результатам опытной эксплуатации проводятся приемо-сдаточные испытания СЗИ с оформлением акта сдачи-приемки.

7.    Оценка соответствия (аттестация)

Аттестация по требованиям безопасности информации (аттестационные испытания) –  комплексная проверка защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности.

В ходе аттестации решаются следующие задачи.

  1. Анализ исходных данных по аттестуемому объекту информатизации.
  2. Проведение экспертного обследования объекта информатизации, включающего анализ разработанной документации по защите информации на этом объекте на соответствие требованиям нормативной и методической документации.
  3. Проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.
  4. Проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации согласно разработанной «Программе и методике аттестационных испытаний».
  5. Анализ результатов комплексных аттестационных испытаний объекта информатизации и составление заключения по результатам аттестации.

При необходимости для испытания отдельных средств и систем защиты информации привлекаются испытательные центры (лаборатории) по сертификации средств защиты информации для получения необходимых сертификатов на реализованные решения.

8.    Сопровождение

Сопровождение – фаза жизненного цикла, следующая за внедрением и продолжающаяся до вывода объекта из эксплуатации. Основное отличие сопровождения от технической поддержки заключается в том, что при сопровождении специалисты отвечают за систему защиты информации в целом, а не за экземпляр продукта, поэтому специалисты, сопровождающие систему, отслеживают вопросы взаимосвязи и взаимозависимости систем, которые, как известно, относятся к наиболее сложным вопросам эксплуатации.

В рамках сопровождения «Конфидент-Интеграция» выполняет следующие задачи.

  1. Составление соглашения об уровне сервиса, документирование процесса предоставления услуги.
  2. Организация круглосуточной поддержки по телефону, e-mail.
  3. Удаленное администрирование системы.
  4. Организация выездов для восстановления работоспособности.
  5. Закрепление выделенного технического специалиста за объектом информатизации.
  6. Периодический аудит на соответствие требованиям законодательства.
  7. Аудит процессов обработки конфиденциальной информации и их изменений.
  8. Поддержка в актуальном состоянии комплекса организационно-распорядительной документации по защите информации в компании.

Новости

«Конфидент» выступил в качестве организационного партнера конференции по информационной безопасности АО «ОСК»

3 апреля 2024

«Конфидент» выступил в качестве организационного партнера конференции по информационной безопасности АО «ОСК»

26 марта в «Объединенной судостроительной корпорации» состоялась конференция по информационной безопасности, а также прошли киберучения.

«Конфидент» выступил на международном форуме «Технологии безопасности» 2024

19 февраля 2024

«Конфидент» выступил на международном форуме «Технологии безопасности» 2024

13-15 февраля в рамках «ТБ Форума» «Конфидент» рассказал о защите ОКИИ, практике применения разнородных СЗИ в ГИС, а также о подводных камнях внедрения РБПО.

Санкт-Петербургский университет ГПС МЧС России и ГК «Конфидент» подписали ряд договоров о сотрудничестве

21 сентября 2023

Санкт-Петербургский университет ГПС МЧС России и ГК «Конфидент» подписали ряд договоров о сотрудничестве

СЗИ от НСД Dallas Lock будут использоваться университетом для построения и обеспечения учебного процесса и оборудования киберполигона МЧС России.

«Конфидент» принял участие в конференции ОСК по информационной безопасности

30 марта 2023

«Конфидент» принял участие в конференции ОСК по информационной безопасности

Представители ГК «Конфидент» рассказали об актуальных вопросах централизованного управления, а также об исполнении требований в области ИБ в АО «ОСК».

Наши партнеры

Dr.Web
Элвис-плюс
ЦБИ
ППШ
Крипто про
Код безопасности
Анна
Актив
Zecurion
WM ware
Veeam
Trends Micro
S-terra
SeachInform
Positive
Netwrix
Microsoft
Kaspersky
Infowatch
Infotecs

Контакты Конфидент-Интеграция

загрузка карты...

192029,
г. Санкт-Петербург,
пр. Обуховской Обороны,
д. 51, лит. К.

+7 (812) 325-1037
(многоканальный)
Факс:
+7 (812) 325-1037, доб. 11111


Для курьерских служб
Ст. м. Елизаровская, пр. Обуховской Обороны, д. 51, лит. К.
На здании вывеска «Компрессорный комплекс», «Бизнес-центр «Арка».
Вход со стороны Большого Смоленского проспекта. За шлагбаумом - вход в здание,
дверь справа (вывеска «Невский завод»).
При себе необходимо иметь документ для оформления пропуска.