Техническое задание на аттестацию программного обеспечения (ПО) с учётом специфики обрабатываемой информации и нормативных требований.

Акт обследования объекта информатизации для выявления потенциальных угроз и оценки текущего состояния защиты.

Протоколы испытаний программного обеспечения, включающие проверку на соответствие требованиям ФСТЭК, ФСБ и ГОСТ.

Аттестат соответствия требованиям безопасности, удостоверяющий успешное завершение аттестации.

Определение требований безопасности в соответствии с нормативными документами Российской Федерации, включая:

• Приказ ФСТЭК № 21 — порядок проведения аттестации объектов информатизации.

• ---

  ГОСТ Р 50922-2006 — общие требования к защищённости информации.

• ---

  Методические рекомендации ФСТЭК и ФСБ по защите программных продуктов.

Разработка технического задания на модификацию или адаптацию ПО для соответствия требованиям.

Выбор сертифицированных средств защиты информации (СЗИ) в соответствии с требованиями законодательства.

Средства криптографической защиты информации (СКЗИ).

Системы предотвращения вторжений и межсетевые экраны.

Проверка сертификатов соответствия на каждое средство защиты.

Интеграция средств защиты в существующую инфраструктуру и настройка их взаимодействия с программным обеспечением.

Проведение испытаний программного обеспечения для оценки его защищённости, включая тестирование устойчивости к атаке со стороны сети.

Проверка корректной реализации криптографических алгоритмов (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012).

Анализ на наличие уязвимостей в коде.

Подготовка протоколов тестирования и технического заключения на программное обеспечение.

Официальное подтверждение, что программное обеспечение соответствует всем установленным требованиям безопасности  (персональные данные, информация ограниченного доступа и т.д.).

Набор документов, включающий:

• Техническое задание на установку и настройку средств защиты.

• ---

  Акт обследования объекта информатизации.

• ---

  Протоколы тестирования и проверки работоспособности программного обеспечения.

• ---

  Инструкции по эксплуатации средств защиты, интегрированных с ПО.

• ---

  Акт ввода в эксплуатацию программного обеспечения

Разработка организационно-распорядительной документации

Положение об охране государственной тайны или конфиденциальной информации — регламентирует меры и порядок защиты.

Приказ о назначении комиссии по проведению аттестации помещений — утверждает состав группы специалистов для выполнения аттестации.

Акт обследования помещения — документирует состояние объекта, уровень защищённости и выявленные риски.

Паспорт защищённого помещения (ЗП) — содержит описание конструктивных и технических решений, реализованных для защиты помещения.

Техническое задание на аттестацию помещения — подробный план с перечнем мероприятий, обязательных для выполнения в процессе аттестации.

Перечень используемых технических средств и их характеристики — включает оборудование, сертифицированное в соответствии с нормативами.

Протоколы измерений акустической защищённости в соответствии с ГОСТ Р 50922-2006 "Защита информации. Основные положения".

Протоколы проверки технических средств на соответствие требованиям ФСТЭК и ФСБ (например, в рамках Приказа ФСТЭК № 21 от 18.02.2013 и Методических рекомендаций ФСБ).

Заключение по результатам испытаний на соответствие требованиям нормативных документов, таким как ГОСТ Р 57580.1-2017.

Проведение предварительного анализа объекта на соответствие требованиям:

• • Федеральный закон № 152-ФЗ "О персональных данных"

  • ---

    Федеральный закон № 98-ФЗ "О коммерческой тайне"

  • ---

    Приказ ФСТЭК № 17 от 11.02.2013 — требования к защите информации с ограниченным доступом. 

Выявление угроз (акустических, виброакустических, электромагнитных, визуальных) на основании РД 50-757-93.

Разработка или актуализация технического задания на аттестацию помещения.

Установка звукопоглощающих материалов для устранения акустических утечек.

Проведение модификации инженерных сетей в соответствии с ГОСТ Р 50922-2006.

Проверка инженерных систем и каналов связи на отсутствие уязвимых каналов утечки информации.

Средства защиты от акустических утечек, такие как звукоизоляционные панели (в соответствии с ГОСТ Р 8.563).

Устройства подавления паразитных сигналов и методов перехвата, рекомендуемые согласно РД 50-757.

Экранирующие материалы (для защиты от электромагнитных угроз) в соответствии с требованиями Методических указаний ФСТЭК.

Инсталляция систем контроля доступа (СКУД) и видеофиксации, подкреплённых регламентами ФСТЭК РФ.

Проверка акустической защищённости помещений (методики ГОСТ и указания ФСБ).

Измерение уровня электромагнитной совместимости согласно стандартам ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

Анализ виброустойчивости конструкций (по требованиям РД 25.953-90).

Тестирование взаимодействия установленных средств защиты с существующей инженерной инфраструктурой.

Положение о защите информации в ЛВС.

Приказ о назначении комиссии по проведению аттестации ЛВС.

Акт обследования ЛВС на предмет соответствия требованиям безопасности.

Паспорт локально-вычислительной сети (ЛВС).

Техническое задание на аттестацию ЛВС.

Перечень используемого программного и аппаратного обеспечения с их характеристиками.

Протоколы тестирования сети на уязвимости, включая каналы утечки информации.

Протоколы проверки программно-аппаратного обеспечения на соответствие требованиям ФСТЭК и ФСБ.

Заключение по результатам испытаний безопасности сети.

Аттестат соответствия ЛВС требованиям защиты информации, установленным нормативными документами.

Проведение предварительного анализа конфигурации сети.

Выявление угроз информационной безопасности: сетевых, электромагнитных, организационно-технических.

Оценка существующих мер защиты информации в соответствии с нормативными документами (ФСТЭК, ФСБ, ГОСТ Р 50922).

Разработка детального технического задания на аттестацию ЛВС.

Модернизация компонентов сети и внедрение дополнительных мер защиты при необходимости.

Проверка каналов связи и сетевого оборудования на отсутствие паразитных утечек информации.

Установка сертифицированных средств защиты информации

Средства криптографической защиты информации.

Системы обнаружения вторжений.

Настройка систем мониторинга и аудита информационных потоков.

Проведение аттестационных испытаний ЛВС:Тестирование сетевых каналов на защищённость от утечек информации.

Проверка устойчивости системы к внешним и внутренним угрозам.

Оценка электромагнитной совместимости оборудования (ГОСТ и РД 50-757).

Мы проводим детальный аудит процессов обработки и защиты данных в вашей организации с целью выявления возможных нарушений законодательства и уязвимостей в информационной инфраструктуре.

Анализ нормативной базы компании: разработанные политики, инструкции и внутренние регламенты обработки данных.

Классификация обрабатываемой информации: определение категории персональных данных (общая, биометрическая, специальная).

Определение уровня защищённости информационных систем персональных данных (ИСПДн) в соответствии с Приказом ФСТЭК России № 21.

Результат: Готовность организации к проверкам со стороны регуляторов, таких как ФСТЭК, ФСБ и Роскомнадзор.

Мы помогаем операторам выстроить процессы обработки данных в строгом соответствии с законодательством, начиная с оформления документов и заканчивая процессами внутри компании.

Составление локальных нормативных актов:

• Приказы о назначении ответственных за обработку и защиту данных.
• Регламенты по предотвращению утечек информации (например, запрет хранения данных на внешних носителях).

Создание перечня и форм согласий на обработку данных в зависимости от целей обработки (трудовые отношения, маркетинг, программы лояльности и др.).

Подготовка уведомлений в Роскомнадзор:

Мы берём на себя процедуру уведомления Роскомнадзора о вашей деятельности в качестве оператора персональных данных.

Мы предоставляем решения по обеспечению информационной безопасности в технической среде, включая внедрение сертифицированных средств защиты информации (СЗИ).

Поставка и интеграция сертифицированных средств защиты информации (СКЗИ):

• Шифрование данных в ИСПДн (с использованием сертифицированных алгоритмов согласно ГОСТ Р 34.12-2015).
• Внедрение программ для защиты рабочих станций, облачной инфраструктуры и серверов.

Настройка программ для предотвращения утечек данных (DLP-систем):

• Системы для мониторинга и предотвращения копирования, передачи или утечки конфиденциальной информации за пределы компании.

Работа с персональными данными требует вовлечённости всего штата компании. Мы обучаем ваши команды нормативной базе, техническим инструментам и практическим методам работы с данными.

Законодательство о персональных данных (ФЗ № 152-ФЗ):

• Права и обязанности оператора данных и сотрудников.
• Ответственность за утечку информации.

Практическая защита данных:

• Как избежать ошибок при работе с персональными данными.
• Защита рабочих станций, мобильных устройств и систем передачи данных.

Результат: Повышение уровня безопасности работы сотрудников и снижение вероятности утечек из-за человеческого фактора.

Мы предлагаем разработку и сопровождение инфраструктуры управления данными:

Системы учёта всех процедур, связанных с персональными данными (срок обработки, передача третьим лицам, уничтожение).

Помощь в реализации инфраструктуры открытых ключей (PKI) для управления защитой данных.

Автоматизация процессов управления персональными данными.

Результат: Повышенная управляемость данных, прозрачность действий компании перед регулирующими органами.

Мы оказываем юридическое и техническое сопровождение при взаимодействии с органами контроля для минимизации санкций и успешного прохождения проверок.

Консультирование по вопросам выполнения текущих требований законодательства.

Разработка стратегии подготовки компании к проверке органами, такими как Роскомнадзор, на предмет соблюдения законодательства о защите персональных данных.

Устранение замечаний и помощь при выдаче предписаний.

Результат: Снижение риска наложения штрафов и сохранность деловой репутации компании.