Решения информационной безопасности должны гарантировать как минимум целостность и конфиденциальность корпоративных данных, доступность и достаточную производительность существующих или планируемых сервисов.
Наиболее распространенным является передача на аутсорсинг средств защиты. Чаще всего передаются сложные средства обеспечения безопасности, управление которыми требует очень высокой квалификации и глубокого понимания механизмов их работы. К ним относятся: системы обнаружения атак и контроля защищенности, анализа содержимого и фильтрации трафика и другие средства, требующие «тонкой» настройки, корректной трактовки генерируемых ими событий и, в целом, довольно большого внимания в процессе эксплуатации.
Основные причины, по которым компании используют услуги сторонних специалистов в области информационной безопасности – это квалификация специалиста и экономическая целесообразность, связанная со стремлением сократить расходы на обслуживание и управление системой безопасности. Эта задача для многих предприятий становится все более значимой, но при ее решении собственными силами возникают вопросы стоимости и эффективности. В идеале, нужно содержать несколько узкоспециализированных сотрудников, организовать и оборудовать для них рабочие места, периодически оплачивать их обучение и установить им высокие зарплаты. Использование же услуг сторонних специалистов позволит существенно повысить эффективность вложения средств. Внешняя специализированная фирма-исполнитель имеет в своем арсенале передовые технологии и инструменты и способна предоставить высокое качество услуг (которое сложно обеспечить собственными силами). Например, в государственных структурах системы безопасности часто бывают достаточно дорогими и сложными, поскольку речь идет о закрытой информации, требующей «особого» обращения. Но при этом уровень оплаты труда не позволяет содержать специалистов высокой квалификации.
В небольших компаниях для обслуживания систем защиты не всегда целесообразно вводить новую штатную единицу. Бывают ситуации, когда функций по обеспечению защиты недостаточно, чтобы поручать их отдельному сотруднику, но в то же время слишком много, чтобы нагружать ими существующих работников в качестве дополнения к их основной деятельности. Во многих организациях практикуется жесткое планирование расходов, например, на год. Государственные предприятия, как правило, не могут выделять незапланированные средства на обучение или подбор персонала и тому подобные вещи. Аутсорсинг позволяет стабилизировать ежегодные затраты на сервис: нужно столько и не больше.
Еще один довод в пользу аутсорсинга – существование во многих организациях текучки кадров (например, из-за невысокой зарплаты трудно удерживать квалифицированных специалистов). В таких условиях жизненно необходима эксплуатационная структура, не зависящая от конкретных людей. Аутсорсинг обеспечивает необходимый уровень сервиса независимо от болезни, отпуска или увольнения сотрудника. Грамотный поставщик сервисных услуг строит взаимоотношения с заказчиком таким образом, что сама защищаемая система и все действия в ней жестко регламентированы, поэтому ИТ-система перестает быть «черным ящиком», известным одному сотруднику, от которого зависит эффективность защиты ресурсов.
И, наконец, многие компании, в которых ИТ и безопасность не являются профильным направлением деятельности, решают, что собственную инфраструктуру развивать не стоит. Передача специализированной организации функций поддержки систем информационной безопасности позволяет им сконцентрироваться на более важных для бизнеса задачах.
Комплекс услуг по обеспечению требований 152-ФЗ
«О персональных данных». В основе закона - обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных (ПДн). Среди организаций, использующих персональные данные медицинские учреждения, страховые компании, кредитные организации и другие, выполняющие обработку персональных данных работников и клиентов. В предлагаемый комплекс входят 4 основных услуги, каждую из которых можно получить отдельно:
- аудит организации, согласно требований 152-ФЗ и подзаконных актов
- разработка организационно-распорядительной документации
- проектирование и реализация технических решений по защите ПДн
- обслуживание информационной системы организации в части обработки персональных данных
1. Аудит организации на исполнения требований 152-ФЗ и подзаконных актов.
Данная услуга позволяет получить понимание реального уровня безопасности внутри организации, рекомендации по приведению системы в состояние, соответствующее требованиям 152-ФЗ, а также подготовиться к возможной проверке контролирующих органов.
состав работ по аудиту:
- выезд к клиенту для проведения анкетирования и опроса;
- изучение разработанной документации в данной сфере, предоставленной по запросу;
- изучение/ознакомление технологических процессов организации и специфики деятельности;
- подготовка отчета по итогам выполненного аудита.
2. Разработка организационно-распорядительной документации (ОРД)
Данная услуга помогает подготовить пакет обязательных документов в соответствии с требованиями.
состав работ по разработке ОРД:
- сбор необходимой информации и сведений (перечень информационных систем, в которых обрабатываются персональные данные, наличие СЗИ, наличие охранных механизмов помещений, перечень допущенных к обработке ПДн, штатное расписание и прочее);
- разработка и согласование обязательного пакета документов;
- установление необходимости внедрения СЗИ;
- утверждение пакета ОРД с последующим уведомлением в Роскомнадзор;
- гарантийное консалтинговое обслуживание по разработанному пакету ОРД.
3. Проектирование и реализация технических решений
Данная услуга связана с подбором, поставкой и внедрением требуемых средств защиты и включает:
- проектирование (подбор) средств защиты в соответствии с потребностями, выявленными на предыдущих этапах;
- поставку;
- установку и настройку средств защиты;
4. Обслуживание информационной системы организации в части обработки персональных данных
Данная услуга помогает обеспечивать постоянное исполнение 152-ФЗ.
Состав работ обслуживанию:
- поддержание документации в актуальном состоянии;
- ведение журналов контроля и учета;
- проведение плановых проверок;
- формирование перечня задач для ИТ- служб согласно разработанных регламентов;
- сопровождение проверок контролирующих органов с последующим представлений интересов в суде, если это необходимо;
- обучение и инструктаж сотрудников по защите персональных данных на основе разработанной документации внутри организации.
Справка:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) - ФИО
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Мы предлагаем:
- Комплексную оценку защиты корпоративной сети
- Внешний анализ периметра
- Многоуровневая проверка защиты компонентов ИС на территории заказчика
- Сбор данных набором специализированных средств, с предварительным подписанием SLA
- Анализ защищенности корпоративных данных в локальной сети
- Настройка, сетевого оборудования, межсетевых экранов и сервисов DMZ
- Настройка комплексных систем антивирусной защиты
- Настройка Антипам систем
- Настройка систем обнаружения и предотвращения атак
- Настройка систем резервного копирования данных
- Настройка максимально отказоустойчивых решений
- Настройка систем аутентификации, разграничения прав, контроля доступа и мониторинга
- Решения для использования электронной цифровой подписи (ЭЦП) и инфраструктуры открытых ключей (PKI)
- Решения для построения защищенных виртуальных частных сетей (VPN)
- Решения для защиты беспроводных сетей
- Проектирование резервных дата центров, co-location ключевых сервисов
- Разработка и внедрение индивидуальных схем защиты конфиденциальной информации
- Разовые, аварийные, форс-мажорные ИТ-мероприятия по ликвидации последствий вредоносной активности в корпоративной сети
- Временное предоставление оборудования и технических специалистов
Результатом аудита информационной безопасности является подробный отчет для руководителей и технических специалистов о текущем состоянии, найденных слабых местах и уязвимостях с рекомендациями по реорганизации компонентов ИС. Аудит информационной безопасности корпоративной сети необходимо проводить систематически и после изменения конфигурации компонентов ИС.