Наш телефон 7 (863) 229 34 36
Наш E-Mail info@itcrnd.ru
Время работы (Пн-Пт) 08:00-17:00

Услуги

Настройка интеграции инфраструктуры с системами информационной безопасности

Любую архитектуру и состав ее компонентов нужно строить с учетом актуальных угроз, ценности защищаемых активов (как количественных, так и качественных) и вероятности реализации угрозы. Например, нет смысла внедрять ИБ-решения, стоимостью в десятки миллионов рублей, для защиты активов, стоимость которых оценивается в десятки раз меньше. Однако такие решения целесообразно внедрить, если организации грозят крупные штрафы регулятора или она понесет репутационные потери, грозящие банкротством.

Оптимальная архитектура СИБ должна соответствовать нескольким базовым принципам:

  1. Воплощать в себе концепцию многоэшелонированной защиты (Defense in depth). Ограничившись установкой межсетевого экрана, вы не решите всех проблем ИБ.
  2. Иметь возможности для расширения и роста, горизонтального и вертикального масштабирования. Построенная система должна отвечать растущим потребностям бизнеса на закладываемый промежуток времени.
  3. Быть простой в эксплуатации и диагностике. Вам не придется спешить ночью в ЦОД при потере доступа к централизованной системе управления, чтобы немедленно восстановить работоспособность приложений, нарушенную из-за неверно настроенного правила.
  4. Иметь возможности для интеграции со всеми необходимыми инфраструктурными системами компании. Если вы используете службу каталогов AD (Active Directory) при аутентификации администраторов во всех системах, то средство защиты должно также интегрироваться с AD.
  5. Реально повышать уровень защищенности. Можно установить все возможные средства защиты, но при неправильно выстроенной архитектуре или неверной настройке этих средств, информационная безопасность все равно останется на прежнем уровне

Обычно каждый компонент СИБ направлен на выполнение конкретной функции, но существуют и многофункциональные компоненты: межсетевые экраны нового поколения (Next-Generation Firewall, NGFW), устройства, обеспечивающие комплексную защиту от сетевых угроз (Unified threat management, UTM), WAF с функциями балансировки и Anti-DDoS и т. п. Поэтому зачастую выгоднее покупка многофункциональных компонентов.

Получить предложение

Поставка серверов и рабочих мест

Широкий ассортимент техники, представленный на рынке, может сослужить плохую службу потребителю. Десятки и сотни моделей со схожими характеристиками ставят в тупик: неизвестно по какому параметру выбирать нужное оборудование.

Простой (и часто неправильный) ответ — по цене. К сожалению, такая стратегия часто связана с очень большими рисками, которые несет клиент.

Второй по популярности ответ — по бренду, поклонником которого является руководитель компании или его помощник по техническим вопросам. Это тоже не вполне верный подход. Ведущие производители серверного оборудования — мультинациональные корпорации, чьи производственные мощности расположены в разных странах. Более того, разные линейки продуктов могут разрабатываться разными конструкторскими отделами. Поэтому бренд далеко не всегда может гарантировать качество.

Правильный ответ — обратиться в нашу компанию. Наши сотрудники выберут то оборудование, которое отвечает интересам вашей компании. Мы обеспечим доставку, монтаж и подключение оборудования.

Получить предложение

Системы контроля управления доступом, видеонаблюдение

Мы используем камеры высокой четкости с возможностями вести сьемку в ночное время. Вы не можете быть в двух местах одновременно, но вы можете видеть различные локации на вашем мобильном устройстве. Все объекты вашей компании будут видны из мониторингового центра, в котором можно оперативно получать информацию о событиях на объектах компании. Контроль кассовых операций, контроль за перемещением сотрудников, контроль за движением товара на складах компаний, удаленный контроль за приемкой товара на складах и многие другие возможности. Вы можете организовать доступ постоянным клиентам к вам в компанию, а также выявлять мошеников используя накопленную базу данных/

Различные типы и размеры предприятий имеют разные потребности в доступе. Решения по контролю доступа могут помочь защитить ваших сотрудников, оборудование и материальные ценности, ограничивая доступ. Наши решения позволяют:

  • Предоставлять доступ на территорию объектов с использованием карт доступа
  • Организовать доступ по биометрическим данным в помещения компании
  • Проводить алкотесирование для доступа сотрудника на территорию предприятия
  • Обеспечивать бесконтактную авторизацию сотрудников
  • Двухфактораная авторизация
  • Интегрировать наши решения с бизнес-системами вашей компании
  • Оснастить входные группы турникетами от ведущих мировых производителей
  • Контролировать въезд автомобилей на территорию
  • Не допустить на территорию посетителей с металлическими предметами или оружием

Получить предложение

Пожарная безопасность

Система пожарной сигнализации позволит:

  • Обнаружить тревожные события.
  • Передача данных на приёмно-контрольный прибор (ПКП), формирующий соответствующие оповещения для владельца и (или) централизованный диспетчерский пульт.
  • Активация определённых функций подчинённых систем: включение сирены или автоматической системы пожаротушения.

Для проектирования автоматической пожарной сигнализации строящихся объектов, зданий и сооружений после реконструкции и капитального ремонта необходим специальный допуск саморегулирующейся строительной организации. Исключение составляют жилые частные дома и сооружения блокового типа не превышающие по высоте три этажа.

Разработка проекта включает в себя ряд этапов.

  • Предпроектный
  • Подготовка техзадания
  • Проектирование
  • Установка пожарной сигнализации

Получить предложение

Создание локальной вычислительной сети

Прежде чем, начинать работу мы согласуем с вами проект ЛВС. Продуманный проект сети снижает эксплуатационные риски, повышает защищенность, доступность и надежность систем в сети предприятия. Кроме того, мы используем в своей работе оборудование от мировых производителей, предоставляющие современные высокотехнологичные решения и услуги самого высокого уровня.

Этапы проектирования ЛВС

  1. Составление ТЗ на проектирование ЛВС. Содержит общие требования к вычислительной сети, количество автоматизированных рабочих мест, максимальную длину кабеля от порта на конечном устройстве до коммутационной панели. В техзадании указывают технологию, по которой рабочие компьютеры подключаются к ЛВС, требования к их размещению, характеристики сервера и способ его подключения, топологию сети, перечисляют средства защиты от несанкционированного доступа к ресурсам ЛВС. Прилагают планы помещений, перечень ИБП с указанием их мощности, описывают принципы прокладки кабельных трасс.
  2. Согласование технического задания между подрядчиком (исполнителем) и заказчиком проекта. После согласования исполнители приступают к составлению проектной документации и реализации проекта. Вносить кардинальные изменения в уже готовый проект (или имеющуюся ЛВС) приводит к дополнительным затратам или ограничениям.
  3. Разработка проекта ЛВС. При создании вычислительной локальной сети составляют детальные планы помещений. На них указывают расположение розеток и количество портов в них, обозначают коммутационный центр, отмечают линии прокладки кабелей (в коробках и под фальшполом). К проекту прилагают расчет количества материалов и схему взаимодействия с другими видами связи в организации — например, мини-АТС.

Любая структурированная кабельная система (СКС) как конечный элемент инженерной инфраструктуры реализуется в несколько этапов:

  • проектирование;
  • собственно, монтаж кабельной инфраструктуры;
  • монтаж точек доступа;
  • монтаж точек коммутации;
  • пусконаладочные работы.

Получить предложение

ЦОД Проектирование серверных помещений

Для выполнения такой непростой задачи, как проектирование и строительство ЦОД, специалисты компании имеют необходимые знания и значительный опыт проектирования, организации и выполнения строительных, монтажных и пуско-наладочных работ, а также технической эксплуатации такой сложной системы:

  • Обследование и экспертиза объекта позволяющие определить характер и масштабы необходимых работ для того, чтобы создать наиболее технологичный и соответствующий всем требованиям центр обработки данных (ЦОД). Анализ предоставляемых площадок с учетом ситуационного плана местности. Анализ источников энергоснабжения и инфраструктуры сетей передачи данных. Оформление документов под землеотвод.
  • Разработка комплексных организационно-технических решений
  • Формирование бюджета, разработка технического задания
  • Проектирование помещений и инженерных систем здания
  • Составление смет построения и проектировки data center
  • Подбор и поставка оборудования
  • Согласование проектной документации по проекту data center в надзорных органах
  • Монтаж оборудования (пусконаладочные работы), систем бесперебойного электроснабжения ЦОД, вентиляции, системы прецизионного кондиционирования, систем безопасности (видеонаблюдения, газового пожаротушения, систем контроля доступа, охранной сигнализации), систем телекоммуникаций (ЛВС и СКС), систем мониторинга и диспетчеризации

В рамках реализации данных проектов, предлагаем следующие решения:

Строительство специализированных зданий для центров обработки данных

Мы способны возводить специализированные здания для дата-центров и выполнять весь спектр работ по проектированию и согласованию проектных решений с контролирующими организациями. Создание объекта «под ключ» поможет сократить расходы на создание дата-центра, приведет к существенной экономии времени.

Создание инженерной инфраструктуры ЦОД

Хорошо организованная инженерная инфраструктура ЦОД — гарантия безопасности и бесперебойной работы информационных систем. Предлагаем комплексное решение: проектирование и построение систем электропитания, охлаждения, пожаротушения, централизованных систем мониторинга и управления инженерными системами ЦОД, структурированной кабельной системы, охранной сигнализации и видеонаблюдения, контроля и управления доступом. Специалисты компании имеют опыт создания систем физической защиты ЦОД на базе защищенных от внешних воздействий помещений.

Прямые поставки инженерного оборудования от ведущих мировых производителей.

Мы имеем возможность прямых поставок оборудования известных производителей, таких  как Uniflair, Clivet, Stulz (прецизионные кондиционеры, чиллеры и фальшпол); Daikin (системы кондиционирования воздуха), Inmesol, (дизельные электростанции), оборудование компании Эмерсон, (системы прецизионного охлаждения и источники бесперебойного питания);  APC-MGE, Eaton (источники бесперебойного питания), FG Wilson, SDMO, Commins (дизельные электростанции); Rittal, Estap (телекоммуникационные стойки); Exide, CSB, Yuasa, Leoch (аккумуляторные батареи), Schneider Electric, ABB (электромонтажное оборудование) и ряда других производителей.

Поставка и развертывание серверных систем, кластерных комплексов, систем хранения данных, систем резервного копирования и восстановления информации, систем организации распределенных вычислений

Мы имеем обширный опыт по созданию резервных ЦОД, современных систем резервного копирования, высокопроизводительных кластерных платформ. Кластерные платформы обеспечивают высокий уровень готовности ИТ-сервисов, в том числе и непрерывную готовность, гарантирующую работу критически важных для бизнеса приложений 24 часа в сутки, 365 дней в году.

Автоматизация ИТ-инфраструктуры ЦОД

Для централизованного управления ИТ и телекоммуникационной инфра-
структурой предлагаем решение на базе ПО различных производителей. Решение включает набор систем управления телекоммуникационной сетью, серверами и приложениями, компонентами системы хранения данных и позволяет администраторам проводить одновременное изменение конфигурации на сотнях и тысячах серверов.

Внедрение систем мониторинга и управления ЦОД

Включаем в прикладную инфраструктуру ЦОД систему мониторинга, отслеживающую и измеряющую его параметры: производительность, наличие/отсутствие сбоев и другие.

Создание систем информационной безопасности ЦОД

При построении центра обработки данных реализуем комплекс мер, обеспечивающих доступность корпоративной информации для авторизованных пользователей и защиту данных от несанкционированного доступа, преднамеренного или случайного искажения. Основные решения по обеспечению информационной безопасности ЦОД: программно-аппаратные комплексы защиты информации и контроля защищенности, защиты внешнего периметра локальной сети ЦОД, систем управления полномочиями и учетными записями, внедрение систем антивирусной защиты.

Получить предложение

ПДн

Проверка на соответствие норм защиты персональных данных (152-ФЗ)

Современный бизнес построен на работе с данными, в том числе и персональными данными физических лиц. Однако не все одобряют сбор и обработку их информации, поэтому Российская федерация защищает права своих граждан с помощью федерального закона «О персональных данных» (152-ФЗ), Постановлений правительства РФ и Приказов ФСБ и ФСТЭК.

  • Федеральный закон от 27.07.2006 г. N 152-ФЗ;
  • Федеральный закон от 27.07.2006 г. N 149-ФЗ;
  • Федеральный закон от 21.07.2014 г. N 242-ФЗ;
  • Постановление Правительства РФ от 01.11.2012 г. N 1119;
  • Постановление Правительства РФ от 21.03.2012 г. N 211 (для государственных и муниципальных органов);
  • Постановление Правительства РФ от 15.09.2008 г. N 687;
  • Приказ ФСТЭК России от 18.02.2013 г. N 21;
  • Приказ ФСТЭК России от 11.02.2013 г. N 17 (в случае обработки ПДн в ГИС);
  • Методика оценки угроз безопасности информации от 05.02.2021;
  • Приказ ФСБ России от 10.07.2014 г. N 378;
  • Приказ ФСБ России от 09.02.2005 г. N 66;
  • Типовые требования ФСБ России от 21.02.2008 г. N 149/6/6-622;
  • Приказ Роскомнадзора от 05.09.2013 г. N 996.

Закон вводит определение «оператора персональных данных», под которое подходит практически любая компания Оператор должен выполнять все требования 152-ФЗ:

  • Направить уведомление в Роскомнадзор о начале обработки персональных данных;
  • Обеспечить конфиденциальность персональных данных;
  • Принимать меры для обеспечения безопасности персональных данных;
  • Соблюдать требования по локализации персональных данных россиян;
  • Своевременно прекратить обработку персональных данных по требованию владельца.

Меры по обеспечению безопасности предусматривают 4 уровня защищенности ИСПДн в зависимости от разных категорий персональных данных и их количества (объема):

  • Специальных;
  • Биометрических;
  • Общедоступных;
  • Иных.

Для каждого уровня защищенности вводятся требования по обеспечению защиты.

Общая последовательность действий при выполнении требований законодательства по обработке персональных данных, которые мы поможем вам пройти легко и без проблем:

  • Направление сведений об Опреаторе и порядке обработки персональных данных в Роскомнадзор (Заполнение уведомления на портале Роскомнадзора);
  • Обследование(экспертная оценка процессов обработки персональных данных и техническое обследование информационных систем персональных данных);
  • Построение модели угроз безопасности персональных данных;
  • Разработка технического задания на создание и внедрение системы защиты персональных данных;
  • Проектирование системы защиты персональных данных;
  • Разработка необходимой внутренней документации Заказчика по вопросам обработки персональных данных (приказы, положения, политики, регламенты, согласия и пр.);
  • Реализация и внедрение необходимых мер и средств защиты персональных данных;
  • Оценка эффективности принятых мер защиты персональных данных;
  • Аттестация по требованиям безопасности информации (при необходимости, обязательно для государственных информационных систем, внесенных в реестр государственных информационных систем).

Ответственность оператора ИСПДн:

Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, причинившее крупный ущерб.

До 75 000 рублей административный штраф

Нарушение требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации

До 300 000 рублей штраф

Незаконное собирание или распространение сведений о частной жизни лица без его согласия

До 4 лет принудительных работ или лишения свободы

Незаконное собирание или распространение сведений о частной жизни лица без его согласия

Получить предложение

КИИ

Проверка на соответствие норм защищенности критической информационной инфраструктуры (187-ФЗ)

Чтобы выполнить требования 187-ФЗ, необходимо:

  1. Сформировать перечень объектов КИИ и провести их категорирование
  2. Предоставить сведения об объектах КИИ в центральный аппарат ФСТЭК России
  3. Реализовать организационные и технические меры по обеспечению безопасности объектов КИИ
  4. Обеспечить подключение субъекта КИИ в ГосСОПКА

Мы поможем Вам при реализации требований данного закона и проведем следующие работы:

  • Обследуем объекты предприятия-заказчика и поможем выявить среди них потенциально значимые объекты критической информационной инфраструктуры, представляющие ценность для производственного процесса
  • Составим модель потенциального нарушителя безопасности КИИ и предскажем его возможности
  • Определим возможные каналы утечки конфиденциальной информации
  • Сформируем дорожную карту работ по достижению соответствия требованиям 187-ФЗ
  • Подберём и поставим необходимые средства защиты для объектов КИИ в соответствии с текущими требованиями руководящих документов
  • Окажем поддержу и помощь в развитии системы защиты КИИ на каждом из этапов внедрения

Ответственность субъекта КИИ

До 10 лет лишения свободы

Невыполнение требований по безопасности КИИ, в случае наступления инцидента с тяжкими последствиями или их угрозой

До 6 лет лишения свободы

Невыполнение требований по безопасности КИИ, нарушение правил эксплуатации

До 20 000 рублей административный штраф

Невыполнение предписания регулятора об устранении нарушения законодательства

Получить предложение

Банки

Проверка на соответствие норм безопасности кредитных организаций

Документами Банка России предусмотрено 2 варианта оценки уязвимостей:

  • Сертификация программного продукта в системе сертификации ФСТЭК России;
  • Проведение анализа уязвимостей по требованиям к оценочному уровню доверия 4 (ОУД 4), пункт 7.6 ГОСТ Р ИСО/МЭК 15408-3-2013.

С сертификацией есть ряд нюансов:

  • С 01.01.2020 вступили новые правилами сертификации, поэтому все старые сертификаты будут аннулированы;
  • Сертифицировать можно только средство защиты;
  • Сертификация в среднем занимает около года, и сертифицируется определенная сборка ПО.

Альтернативой является проведение анализа уязвимостей, и на самом деле именно этот вариант и является основным. В рамках анализа мы проведем следующую работу:

  • изучить по открытым источникам, есть ли в компонентах ПО известные уязвимости;
  • изучить документацию на программный продукт и его исходный код и попытаться на их основе выявить еще неизвестные уязвимости;
  • для выявленных известных и неизвестных уязвимостей убедиться, что ими невозможно воспользоваться.

Если вы всё-таки готовы рассмотреть варианты сертификации программного обеспечения, то мы так же можем помочь подготовить необходимые документы.

Для банков есть так же услуга «Тестирование на проникновение», которая обязательна с 2021 года.

Получить предложение

ГИС

Проверка на соответствие норм защищенности государственных информационных систем (17 приказ ФСТЭК)

Мероприятия, проводимые для обеспечения защиты информации, содержащейся в ГИС:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка (проектирование) системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации (далее — аттестация информационной системы) и ввод ее в действие;
  • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

При защите ГИС мы выполняем следующие работы:

1. Обследование информационной системы;

2. Классификация ГИС по требованиям защиты информации;

3. Разработка модели угроз безопасности информации, обрабатываемой в ГИС;

4. Разработка технического задания на создание системы защиты;

5. Выбор и обоснование организационных и технических мер, необходимых для защиты ГИС;

6. Проектирование системы защиты в составе следующих решений в зависимости от выбранных технических и организационных мер, в том числе:

  • Идентификация и аутентификация субъектов доступа и объектов доступа;
  • Управление доступом субъектов доступа к объектам доступа;
  • Ограничение программной среды;
  • Защита машинных носителей информации;
  • Регистрация событий безопасности;
  • Антивирусная защита;
  • Обнаружение вторжений;
  • Контроль (анализ) защищенности информации;
  • Обеспечение целостности информационной системы и информации;
  • Обеспечение доступности информации;
  • Защита среды виртуализации;
  • Защита технических средств;
  • Защита информационной системы, ее средств, систем связи и передачи данных.

7. Разработка организационно-распорядительной документации Оператора ГИС в рамках осуществления процессов эксплуатации и сопровождения ГИС;

8. Поставка, внедрение и сервисное обслуживание технических средств защиты;

9. Инструктаж, обучение персонала и повышение уровня грамотности в сфере информационной безопасности;

10. Разработка программ и методик предварительных и приемочных испытаний, опытной эксплуатации и аттестационных испытаний;

11. Проведение предварительных и приемочных испытаний, опытной эксплуатации и аттестационных испытаний;

12. Ввод информационной системы в эксплуатацию.

Ответственность оператора ГИС:

До 2 лет лишения свободы или штраф

Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, причинившее крупный ущерб.

До 15 000 рублей административный штраф

Нарушение требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации

До 25 000 рублей административный штраф, конфискация СЗИ

Использование несертифицированных информационных систем, баз и банков данных , а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации.

Получить предложение

Аудит информационной безопасности

Аудит информационной безопасности определяет текущее состояние защиты ИТ-активов компании. По Вашему запросу наши эксперты выполнят комплекс проверок для определения незакрытых уязвимостей в информационной системе и поиска слабых мест, которые могут быть использованы злоумышленниками для получения доступа во внутреннюю сеть организации из интернета.

В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач.

  1. Разработка программы проведения аудита.
  2. Сбор исходных данных для аудита.
  3. Формирование выводов аудита и разработка рекомендаций по повышению уровня защиты АС предприятия.

Результатом проверки будут предложения по устранению выявленных уязвимостей. Ещё одна причина проведения аудита — проверка системы перед оценкой соответствия информационных систем требованиям регуляторов в области информационной безопасности. Такой анализ необходимо провести на момент формирования требований к системе защиты информационной системы.

Также анализ должен выполняться периодически для контроля защищенности информационных систем в процессе эксплуатации.

Мы предлагаем сбалансированный и экономный подход к проведению аудита – позволяющий не только выполнить требования законодательства, но и повысить уровень информационной безопасности предприятия. Набор проверок мы выбираем индивидуально по запросу.

Получить предложение

Настройка интеграции с государственными системами

Любую архитектуру и состав ее компонентов нужно строить с учетом актуальных угроз, ценности защищаемых активов (как количественных, так и качественных) и вероятности реализации угрозы. Например, нет смысла внедрять ИБ-решения, стоимостью в десятки миллионов рублей, для защиты активов, стоимость которых оценивается в десятки раз меньше. Однако такие решения целесообразно внедрить, если организации грозят крупные штрафы регулятора или она понесет репутационные потери, грозящие банкротством.

Оптимальная архитектура СИБ должна соответствовать нескольким базовым принципам:

  1. Воплощать в себе концепцию многоэшелонированной защиты (Defense in depth). Ограничившись установкой межсетевого экрана, вы не решите всех проблем ИБ.
  2. Иметь возможности для расширения и роста, горизонтального и вертикального масштабирования. Построенная система должна отвечать растущим потребностям бизнеса на закладываемый промежуток времени.
  3. Быть простой в эксплуатации и диагностике. Вам не придется спешить ночью в ЦОД при потере доступа к централизованной системе управления, чтобы немедленно восстановить работоспособность приложений, нарушенную из-за неверно настроенного правила.
  4. Иметь возможности для интеграции со всеми необходимыми инфраструктурными системами компании. Если вы используете службу каталогов AD (Active Directory) при аутентификации администраторов во всех системах, то средство защиты должно также интегрироваться с AD.
  5. Реально повышать уровень защищенности. Можно установить все возможные средства защиты, но при неправильно выстроенной архитектуре или неверной настройке этих средств, информационная безопасность все равно останется на прежнем уровне

Обычно каждый компонент СИБ направлен на выполнение конкретной функции, но существуют и многофункциональные компоненты: межсетевые экраны нового поколения (Next-Generation Firewall, NGFW), устройства, обеспечивающие комплексную защиту от сетевых угроз (Unified threat management, UTM), WAF с функциями балансировки и Anti-DDoS и т. п. Поэтому зачастую выгоднее покупка многофункциональных компонентов.

Получить предложение

GDPR Приведение систем к соответствию требованиям Евросоюза по защите персональных данных

GDPR применяется в следующих случаях:

  • если организация расположена в России, но продает товары онлайн или оказывает услуги разного рода пользователям, в том числе из ЕС, обработка персданных должна проводиться по регламенту GDPR;
  • услуги или товары адаптированы на языки жителей ЕС;
  • услуги или товары оплачивают в местных валютах стран ЕС;
  • услуги или товары предоставляют на национальных доменах верхнего уровня, применяемого в странах ЕС.

Основные направления, которыми потребуется заняться

  • Назначить вашего Представителя в ЕС;
  • Определить законные основания для обработки данных;
  • Использовать процессы реализации прав физических лиц и защиты их данных;
  • Вести учет процессов обработки ПД и подготовки документации;
  • Оценить риски и реализовать организационные и технические меры по снижению рисков для физических лиц;
  • Назначить инспектора по защите данных.

В рамках оказания услуг мы проведем анализ обрабатываемых в компании данных, подготовим необходимые рекомендации и комплекты документов, создать систему защиты информации, чтобы системы компании соответствовали GDPR.

Ответственность оператора ИСПДн:

Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, причинившее крупный ущерб.

Штраф до 20 млн. евро или до 4% от годового оборота

Несоблюдение распоряжения надзорного учреждения

Штраф до 20 млн. евро или до 2% от годового оборота

Несоблюдение принципов обработки, нарушение прав субъектов данных

Штраф до 20 млн. евро или до 2% от годового оборота

Недостаточные технические и организационные меры по обеспечению информационной безопасности

Так же могут быть применены и побочные последствия:

  • — ограничение доступа к сайтам на территории ЕС;
  • — меры в отношении гендиректора (запрет на въезд и т. п.);
  • — арест на зарубежные счета и прочее.

Получить предложение

Поставка установка и сопровождение средств защиты

Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути, представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств.

В требованиях по безопасности информации при проектировании информационных систем указываются признаки, характеризующие применяемые средства защиты информации. Они определены различными актами регуляторов в области обеспечения информационной безопасности, в частности — ФСТЭК и ФСБ России.

Проникая в систему, злоумышленник преодолевает выстроенную систему защиты информации, осуществляет несанкционированный доступ. НСД. ФСТЭК России под системой защиты информации от НСД понимает совокупность мер организационного характера и программно-технических СЗИ от НСД. Функциональность СЗИ от НСД должна предотвращать или существенно затруднять несанкционированное проникновение в обход правил разграничения доступа, реализованных штатными средствами. Эти средства входят в состав средств вычислительной техники и автоматизированных систем в виде совокупности программного и технического обеспечения.

При этом, регулятор полагает, что средства вычислительной техники являются элементами, из которых строятся автоматизированные системы. Поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации. Совокупность требований в части защиты СВТ и АС образуют т. н. класс защищенности.

В качестве СЗИ регулятором рассматриваются т.н. межсетевые экраны — средства, реализующее контроль за информацией, направленной в АС или исходящей из нее. Межсетевые экраны выполняют фильтрацию информации по заданным критериям.

К СЗИ также относят т.н. средства обнаружения вторжений. Они представляют собой средства, автоматизирующие процесс контроля событий в системе (сети) с проведением анализа этих событий с целью поисках признаков инцидента ИБ.

Антивирусные СЗИ должны выявлять и соответствующим образом реагировать на средства несанкционированного уничтожения, блокирования, модификации, копирования информации или нейтрализации СЗИ.

В рамках реализации мер по управлению доступом предусмотрено обеспечение так называемой доверенной загрузки. Для этого применяются также соответствующие СЗИ.

Меры по защите машинных носителей информации в части обеспечения контроля за их использованием реализуются с помощью средств контроля съемных носителей.

Получить предложение

Тестирование на проникновение

Тестирование на проникновение (пентест, penetration test) – это моделирование действий злоумышленника (внешнего или внутреннего), направленное на обнаружение уязвимостей информационной безопасности, и как следствие, определения мероприятий, необходимых для повышения уровня защищенности.

Пентест необходим для проверки уровня информационной безопасности инфраструктуры организации, а так же требуется банкам и некредитным финансовым организациям (согласно положениям Банка России 382-П, 683-П, 719-П, 757-П). Также пентест требуется для обеспечения безопасности значимых объектов КИИ.

В тестирование на проникновение входят следующие направления:

  • Анализ защищенности внутренней сети;
  • Анализ защищенности внешнего периметра сети;
  • Анализ защищенности WLAN;
  • Анализ защищенности Desktop-приложений;
  • Анализ защищенности мобильных приложений;
  • Анализ защищенности веб-приложений;
  • Тестирование сотрудников на устойчивость к социальной инженерии.

Порядок работы

  1. Оставьте заявку, и наш специалист свяжется с вами для обсуждения целей проекта.
  2. Совместно с командой экспертов обсудим требования к проекту: какие объекты проверяем, каковы ваши основные опасения, какие регуляторные требования необходимо соблюсти.
  3. Сформируем КП со сроками и стоимостью проекта по готовому или подготовленному совместно с нами ТЗ.
  4. После начала проекта ведём оперативное общение в чате и предоставляем промежуточные отчёты о проведённой работе.
  5. Готовим финальный отчёт по проведённым работам с рекомендациями по дальнейшим действиям. В случае необходимости, фиксируем договорённости о повторной проверке системы после устранения найденных уязвимостей.

Мы предлагаем сбалансированный и экономный подход к проведению пентестов – позволяющий не только выполнить требования законодательства, но и повысить уровень информационной безопасности предприятия. Вы можете заказать комплексное тестирование или модульное.

Получить предложение

Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

Принять