Download pdf - КБ-Информ - общая презентация услуг

2© КБ-Информ | [email protected] | www.kbinform.ru

Компания КБ-Информ успела заработать себе репутацию надежного и ответственного партнера у наших клиентов


4

• Аудит информационной безопасности и анализ рисков ИБ

• Оценка соответствия требованиям по защите информации

• Расследование компьютерных преступлений

• Сопровождение информационных систем• Обучение и повышение осведомленности• Консалтинг

Квалификация специалистов компании и высокий уровень качества оказания услуг подтвержден лицензиями на защиту информации и различными сертификатами

© КБ-Информ | [email protected] | www.kbinform.ru


Инновационная модель наукоемкой компании – редкий сплав науки, технологий и управления

6

2008 г. – на базе научно-исследовательского института Коммуникационных и информационных технологий (НИИ КИТ) Тюменского государственного университета создается учебно-научная лаборатория аттестации и оказания услуг в области информационной безопасности. В этом же году команда выпускников кафедры информационной безопасности успешно подтверждает свою квалификацию в контролирующих органах и, как результат, получает право оказания услуг в области защиты конфиденциальной информации и работы с криптографическими средствами защиты информации.2010 г. – используя возможность законодательства РФ в части разрешения организации наукоемких предприятий совместно с высшими учебными заведениями, создается общество с ограниченной ответственностью «КБ-Информ».


7

2011 г. – компания получает все необходимые лицензии на право защиты конфиденциальной информации.2012 г. – компания испытывает качественный скачок на новый уровень оказания услуг и сервиса. Финансовые показатели прибыльности компании увеличены на порядок, по сравнению с предыдущим периодом. Среди клиентов компании: Правительство Тюменской области, ряд крупнейших финансовых учреждений региона, областные медицинские центры, организации малого и среднего бизнеса, операторы связи и другие. КБ-Информ сегодня – динамично развивающаяся компания, использующая современные модели управления и контроля качества, получившая признание и уважение среди всех игроков регионального рынка защиты информации и оценки соответствия требованиям Регуляторов.


8

КБ-Информ — уникальная инновационная компания аналогов которой до сих пор нет в российском сегменте информационной безопасности.Наши сотрудники — кандидаты технических наук, аспиранты кафедры информационной безопасности и лучшие выпускники Тюменского государственного университета различных специальностей.Научная деятельность — большинство сотрудников компании ведут научную и преподавательскую деятельность, обучают студентов и расширяют свой кругозор. КБ-Информ — первая компания Тюменской области, которая начала оказывать услуги по оценке соответствия кредитных организаций требованиям стандартов Банка России в области информационной безопасности, расследованию компьютерных преступлений и анализу защищенности информационных систем и приложений, включая проведение тестов на проникновение.КБ-Информ — привлекается официальными органами власти в качестве экспертов в области информационной безопасности.



Услуги и решения нашей компании –возможность быть на шаг впереди!

10

Аудит информационной безопасности

• Анализ рисков информационной безопасности

• Анализ защищенности и тест на проникновение

Оценка и подтверждение соответствия

• СТО БР ИББС, национальная платежная система

• Защита персональных данных

• Защита коммерческой тайны

• Аттестация объектов информатизации (АС, ЗП, ИСПДн)

• Защита ключевых систем информационной инфраструктуры


11

Расследование компьютерных преступлений• Независимое расследование• Сбор цифровых доказательств• Компьютерно-техническая экспертизаСопровождение информационных систем• ИТ-аутсорсинг• ИБ-аутсорсингКонсалтинг и обучение• Повышение квалификации и осведомленности

персонала• Лицензионная деятельность• Консалтинг при принятии решений в области ИТ и ИБ


12


Знание узких мест и планирование работ –возможность эффективных инвестиций и максимальной отдачи

13

Анализ рисков информационной безопасности позволяет сформулировать общую долгосрочную политику организации в отношении защиты активов относительно их критичности и значимости для выполнения определенных процессов, и актуальных угроз информационной безопасности.Основные этапы:• инвентаризация информационных активов и оценка их стоимости• выбор методологии оценки рисков и её адаптация под особенности

деятельности конкретной организации• определение уязвимостей и возможных угроз• анализ принятых мер по обеспечению информационной безопасности• разработка реестра (матрицы) рисков• оценка рисков информационной безопасности (получение

качественной и количественной оценок)• разработка отчета по результатам оценки рисков• разработка плана обработки рисков


14

Анализ защищенности сети позволяет получить актуальную и независимую оценку состояния информационной безопасности сетевой инфраструктуры, и выработать рекомендации по повышению уровня безопасности сетевой инфраструктуры с учётом лучших мировых практик обеспечения информационной безопасности.Проводимые работы:• проведение инвентаризации ИТ-инфраструктуры• построение физической и логической схем сети• определение взаимосвязей логического и физического уровней сети• анализ защищенности периметра сети• анализ защищенности беспроводной инфраструктурыРезультат:• детальный отчет по результатам анализа защищенности сети• рекомендации по оптимизации сетевой инфраструктуры с точки

зрения обеспечения информационной безопасности• варианты технических решений по модернизации сети и спецификации• техническое задание на модернизацию сети


15

Тест на проникновение – это возможность для Вас взглянуть на Вашу сеть глазами хакера и попробовать ее взломать не только техническим путем, эксплуатируя найденные уязвимости, но и при помощи методов социальной инженерии.Проводимые работы:внутренний тест на проникновение:• попытки получения учетных записей и паролей пользователей и

администраторов информационных систем путём перехвата сетевого трафика• сбор информации о доступных из сегмента пользователей локальной сети

ресурсах (сетевых сервисах, операционных системах и приложениях) и определение мест возможного хранения/обработки критичных данных

• выявление уязвимостей ресурсов, способных привести к возможности осуществления несанкционированных воздействий на них

• разработка векторов атак и методов получения несанкционированного доступа к критичным данным

• попытки получения несанкционированного доступа к серверам, базам данных, компьютерам пользователей с использованием уязвимостей программного обеспечения, сетевого оборудования, некорректных настроек.


16

внешний тест на проникновение:• сбор общедоступной информации о Заказчике с помощью поисковых

систем, через регистрационные базы данных (регистраторы имен и адресов, DNS, Whois и т.п.) и других публичных источников информации

• сбор информации о доступных из сетей общего доступа ресурсах (сетевых сервисах, операционных системах и приложениях)

• определение мест возможного хранения/обработки критичных данных, доступных извне

• сбор публично доступной информации о сотрудниках Заказчика• поиск уязвимостей в веб-приложениях Заказчика• выявление уязвимостей ресурсов внешнего сетевого периметра• разработка векторов и методов проникновения.Результат:• детальный отчет об уязвимостях информационных систем• рекомендации по повышению текущего уровня защищенности

информационных систем


17


Подтверждение соответствия – лучший способ страхования рисков принятия неправильного решения и возможность использования лучших практик

18

Мероприятия по построению системы обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0, которые включают:• инвентаризация и классификация информационных активов• формирование ролевой модели управления доступом• описание технологических процессов обработки информации• разработка модели угроз и нарушителя• построение систем информационных активов• разработка программ повышения осведомленности сотрудников

в области обеспечения информационной безопасности

Результат работ – соответствие требованиям стандарта Банка России СТО БР ИББС


19

Оценка выполнения требований законодательства по защите информации в НПС (в соответствии с требованиями ЦБ РФ, оценка соответствия должна проводиться не реже 1-го раза в 2 года).Мероприятия по обеспечению выполнения требований законодательства по защите информации в НПС:• анализ защищенности информационных систем• формирование ролевой модели (распределение прав и обязанностей,

связанных с осуществлением переводов денежных средств)• инвентаризация и классификация информационных активов• описание технологических процессов обработки информации• оценка рисков информационной безопасности• построение систем защиты информации• разработка программ повышения осведомленности сотрудников

Результат работ – соответствие требованиям Федерального закона и других нормативных актов в области защиты информации НПС


20

Комплекс мероприятий в рамках услуги включает:аудит на соответствие требованиям ФЗ-152:• сбор исходных данных об информационно-

телекоммуникационной инфраструктуре, системах обработки персональных данных, мерах обеспечения безопасности

• анализ действующей организационно-распорядительной документации, регламентирующей вопросы обеспечения безопасности персональных данных

• оценка текущего уровня соответствия требованиям законодательства в области персональных данных

• разработка предложений по внесению изменений в процессы обработки персональных данных с целью снижения совокупных затрат на построение системы защиты персональных данных

• разработка отчета по результатам аудита порядка обработки и защиты персональных данных


21

разработка модели угроз и нарушителя:• разработка модели угроз безопасности• проведение классификации информационных систем

персональных данных.разработка комплекта организационно-распорядительной документацииразработка технического задания на создание системы защиты персональных данныхпроектирование системы защиты персональных данных:• разработка технорабочего проекта системы защиты

персональных данных• разработка программы и методики предварительных и

приемочных испытанийвнедрение системы защиты персональных данных:• поставка и монтаж оборудования


22

• настройка программных и программно-аппаратных средств защиты информации, проведение пуско-наладочных работ

• разработка комплекта эксплуатационной документации• опытная эксплуатация системы защиты персональных данных• проведение приемочных испытанийаттестационные испытания:• разработка пакета документов, необходимого для проведения

аттестационных испытаний• аттестационные испытания информационных систем персональных

данных• выдача аттестатов соответствияконсультационная поддержка и сопровождение:• периодические проверки порядка обработки и защиты персональных

данных• консультационная поддержка при проведении проверок Регуляторами

(Роскомнадзор, ФСТЭК России, ФСБ России)


23


• консультационная поддержка при получении лицензий ФСБ России, ФСТЭК России

• корректировка организационно-распорядительной документации

• консультации по обработке запросов субъектов персональных данных и Регуляторов

• разработка программ повышения осведомленности по вопросам обработки персональных данных.

Результат работ – полное соответствие Заказчика требованиям законодательства в области персональных данных.

24

Услуга по реализации режима коммерческой тайны, в рамках которой проводятся следующие работы:• инвентаризация информационных ресурсов• выработка критериев отнесения информации к коммерческой

тайне• составление перечня сведений, составляющих коммерческую

тайну• разработка организационно-распорядительной документации,

регламентирующей вопросы защиты коммерческой тайны• внедрение технических и программных средств защиты

коммерческой тайны• обучение сотрудников по вопросам защиты коммерческой

тайны.Результат работ – внедренный на предприятии режим коммерческой тайны.


25

В мае 2007 года ФСТЭК России были утверждены требования по обеспечению безопасности информации в КСИИ. В соответствии с Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, ФСТЭК России является уполномоченным органом по контролю за деятельностью по обеспечению безопасности информации в КСИИ.К критически важным объектам относятся:• системы органов власти• система органов управления правоохранительных структур• системы финансово-кредитной и банковской деятельности• системы предупреждающей и ликвидирующей чрезвычайной

ситуации• системы управления водоснабжения• системы управления электроснабжения и др.


26

Комплекс работ по защите информации в КСИИ включает:

аудит:

• определение принадлежности КСИИ к одному из установленных уровней важности

• определение перечня ключевой информации в КСИИ

• оценка последствий нарушений ее безопасности

• анализ и выявление актуальных угроз безопасности информации

• оценка принятых мер обеспечения безопасности информации

• проектирование системы защиты информации:

• разработка концепции обеспечения безопасности информации в КСИИ

• формирование требований к обеспечению безопасности информации в КСИИ

• разработка технического задания на создание системы защиты


27

• выбор организационных и технических мер защиты и разработка технорабочего проекта на систему защиты

• внедрение системы защиты информации:• поставка, монтаж/установка и настройка средств защиты

информации• разработка комплекта организационно-распорядительной

документации• проведение аттестационных испытаний:• разработка программы и методики проведения аттестационных

испытаний• проведение аттестационных испытаний• регистрация и выдача аттестата соответствия КСИИ требованиям

по безопасности информации.Результат – полное соответствие КСИИ требованиям по их защите от различных угроз ИБ


28

В каждой компании имеется перечень информации, которая всегда будет интересна злоумышленнику. Этой информацией может быть:• реквизиты доступа к системам дистанционного банковского

обслуживания• базы данных клиентов компании• сведения о финансовой деятельности компании• планы развития на определенный период времени• и многое другое...В качестве злоумышленника может быть уволенный сотрудник и конкурирующая фирма. А результатом успешной атаки — ущерб компании. Даже при условии однозначного определения виновника достаточно сложно возместить убытки.Мы предлагаем следующие услуги:• независимые расследования инцидентов• сбор цифровых доказательств• компьютерно-техническая экспертиза


29

В каждой компании имеется перечень информации, которая всегда будет интересна злоумышленнику. Этой информацией может быть:• реквизиты доступа к системам дистанционного банковского

обслуживания• базы данных клиентов компании• сведения о финансовой деятельности компании• планы развития на определенный период времени• и многое другое...В качестве злоумышленника может быть уволенный сотрудник и конкурирующая фирма. А результатом успешной атаки — ущерб компании. Даже при условии однозначного определения виновника достаточно сложно возместить убытки.Мы предлагаем следующие услуги:• независимые расследования инцидентов• сбор цифровых доказательств• компьютерно-техническая экспертиза


30

Комплексное решение — это набор наиболее востребованных услуг из области:

• правовой защиты интересов компании

• программно-технической защиты информации

• расследования компьютерных преступлений

• сопровождения информационных сетей и систем

• анализа защищенности и построения систем защиты

• повышения осведомленности

Набор услуг является сбалансированным решением для руководства компании и позволяет минимизировать целый ряд рисков для бизнеса.


31

В рамках контракта проводятся следующие мероприятия:• Предварительный аудит информационной безопасности

– Анализ правовых оснований обработки информации (Законодательство, договора с 3-ми лицами, ведомственные документы и т.п.)

– Проведение технической инвентаризации и разработка технических паспортов на системы

– Анализ защищенности ЛВС и ее архитектуры, проведение полного сканирования сети и систем на уязвимости

– Оформление отчетов, технической документации и устранение уязвимостей (при возможности/необходимости)

• Разработка организационно-распорядительной документации (ОРД) по вопросам защиты коммерческой тайны и персональных данных (Положения, Приказы, Инструкции и т.п.) и внесение корректировок в существующие документы

• Периодический контроль защищенности компьютерной информационной системы

• Контроль инсайдерской деятельности и утечек информации• Периодическое повышение осведомленности персонала


32

Необходимость получения лицензий ФСТЭК России и ФСБ России для осуществления законной деятельности организации предусматривается Федеральным законом "О лицензировании отдельных видов деятельности" Наши специалисты окажут комплекс услуг необходимых для получения лицензий ФСБ и ФСТЭК России:• консультирование о порядке и необходимых условиях для

получения лицензий• подготовка пакета документов• аттестация объектов информатизации• подбор и поставка контрольно-измерительного

оборудования• повышение квалификации сотрудников Заказчика по

согласованным с регуляторами программам


33

Состав работ:• разработка общего плана мероприятий по повышению

осведомленности персонала в области информационной безопасности• проведение очного обучения сотрудников• проведение дистанционного обучения сотрудников• контроль знаний и навыков сотрудников• разработка комплекта материалов для проведения вводного

инструктажа новых сотрудников компании• разработка комплекта материалов для поддержания в компании

атмосферы безопасной работы.Результаты работ:• корпоративная программа обучения и повышения осведомленности

сотрудников по вопросам информационной безопасности• план мероприятий по повышению осведомленности персонала в

области информационной безопасности.


34

Мы предлагаем комплексное консалтинговое сопровождение клиентана всех этапах создания и внедрения систем защиты информации. Мы оказываем консультационную поддержку заказчика в ходе:• предпроектного аудита существующей системы• подготовки необходимой организационно-распорядительной

документации• разработки и реализации проекта• аттестации созданной системы по требованиям и стандартам

информационной безопасностиВ рамках данных услуг мы эффективно решаем следующие задачи:• управление рисками – выявление, оценка и контроль потенциальных

угроз информационной безопасности• оптимизация бизнес-процессов – постановка и управление

информационными потоками, контроль соответствия уровня безопасности требованиям регуляторов

• внедрение конкретных решений на предприятии – планирование, развертывание и техническая поддержка


