Обзор подготовлен   CNewsAnalytics

Элвис-Плюс

Решения компании Элвис-Плюс

Компания ЭЛВИС-ПЛЮС предоставляет широкий спектр услуг в области обеспечения безопасности информации

1. Комплексное обследование защищенности корпоративной информационной системы (КИС) позволяет оценить реальное положение компании в области обеспечения безопасности информации и степень защищенности информационных ресурсов.

Включает:

  • Классификацию информационных ресурсов.
  • Анализ нормативных документов о порядке функционирования КИС и защите информации.
  • Анализ структуры КИС (информационных потоков) и существующей системы защиты.
  • Оценку эффективности существующей системы защиты путем применения специализированных инструментариев и экспертных оценок специалистов ЭЛВИС-ПЛЮС по собственным методикам.
  • Определение степени участия персонала в обработке информации, требуемые категории объекта и классы защищенности.

2. Разработка политики безопасности — формирование корпоративных правил и процедур для обеспечения безопасности информации, соответствующих конкретным условиям функционирования КИС заказчика.

Включает:

  • Определение требований, реализация которых обеспечивала бы необходимый уровень ИБ при минимальных затратах на их реализацию.
  • Разработку Концепций ИБ и других организационно-распорядительных документов по вопросам организации ИБ.
  • Разработку профилей защиты для объектов заказчика.

3. Техническое проектирование системы — разработка на основе выработанной политики и требований по ИБ и архитектуры КИС, а также разработка проектной документации системы ИБ.

4. Разработка нормативной и эксплуатационной документации — определение порядка обработки информации в процессе эксплуатации защищенной КИС.

Включает:

  • Разработку руководства по обеспечению безопасности информации в защищенной КИС
  • Разработку положения об администраторе безопасности информации
  • Разработку инструкции о порядке допуска персонала и посетителей в помещения, в которых производится обработка критичной информации, технологические инструкции пользователям.
  • Разработку руководящих документов по порядку обслуживания системы, включая работу с конфиденциальной информацией, и др.

5. Разработка, апробация и внедрение технических решений. Данная услуга востребована в тех случаях, когда предлагаемые в техническом проекте технические решения требуют предварительной апробации (тестирования) на стенде или в условиях работающей КИС для выбора оптимального состава решения и конкретных средств защиты информации, а также обоснования правильности выбора тех или иных средств.

Включает:

  • Разработку технических решений (включая разработку необходимых программных интерфейсов).
  • Разработка программ и методик тестирования, исходя из конкретных условий работы КИС Заказчика.
  • Комплексное тестирование разработанных решений.
  • Последующее их внедрение «под ключ» в информационную систему Заказчика.

6. Настройка и сопровождение программно-технических компонентов системы. Сопровождение осуществляется в форме технической поддержки по телефону, e-mail, непосредственно на площадке Заказчика.

7. Аттестация (аудит) систем информационной безопасности — комплексное обследование организационной и информационной структуры компании, в т.ч. проверка (аттестационные испытания) объекта информатизации на соответствие требованиям по безопасности (РОСС RU.0001.01БИ00, ГОСТ Р ИСО/МЭК 15408 и др.)

Аттестация включает:

Комплексную проверку (аттестационные испытания) защищаемой КИС в реальных условиях эксплуатации на соответствие требуемого уровню безопасности информации и выдачу документа: «Аттестат соответствия требованиям по безопасности информации» — официального документа, дающего право обработки конфиденциальной (секретной) информации на период времени, установленный в нем.

По желанию Заказчика (когда речь идет только о конфиденциальности информации) вместо Аттестации может быть проведен Аудит системы безопасности информации.

Аудит включает:

  • Обследование организационной, информационной структуры компании и положения дел в области защиты информации (получение и анализ имеющейся документации, интервьюирование сотрудников)
  • Диагностика системы защиты информационной и коммуникационной системы компании,

8. Консультирование по правовым вопросам защиты информации — разъяснение положений законодательных и нормативных методических документов РФ в области защиты информации, определение степени соответствия российских и международных документов в области защиты информации.

9. Консультирование по нормативным вопросам защиты информации.

Включает:

  • Проведение консультаций по оценке информационных рисков, угроз безопасности информации корпоративным информационным ресурсам Заказчика, выработке мер парирования угрозам безопасности.
  • Проведение консультаций по анализу и оценке существующего уровня защищенности информационных ресурсов Заказчика и достаточности предъявляемых им требований к средствам и методам защиты.
  • Проведение консультаций по анализу и оценке соответствия международным стандартам по безопасности информации предъявляемых Заказчиком требований к средствам защиты информации.
  • Проведение консультаций по разработке/доработке/переработке концепции обеспечения информационной безопасности Заказчика, других внутренних организационно-распорядительных документов Заказчика, необходимых для создания системы ИБ и обеспечения требуемого уровня безопасности информационных ресурсов;
  • Проведение консультаций по созданию методологического аппарата, необходимого для организации установленного режима обеспечения безопасности информации Заказчика.

10. Консультирование по техническим вопросам защиты информации.

11. Анализ угроз безопасности информации служит для качественной и количественной оценки реальных угроз безопасности информации бизнеса для построения системы парирования конкретных угроз безопасности информации.

Включает:

  • Определение приоритетности целей ИБ.
  • Анализ информационных потоков КИС, точек их пересечения, точки обработки и хранения и т.д.
  • Определение Перечня актуальных источников угроз.
  • Определить Перечня актуальных уязвимостей.
  • Оценка взаимосвязи угроз, источников угроз и уязвимостей.
  • Определение Перечня возможных атак на объект.
  • Описание возможных последствий реализации угроз.
  • Принятие решения об изменении структуры информационных потоков в целях повышения уровня защищенности системы.

12. Анализ информационных рисков с учетом бизнес- и функциональной моделей системы защиты информации служит для количественной оценки возможного материального ущерба (в т.ч. в денежном выражении) от реализации выявленных угроз безопасности информации а также при страховании информационных рисков (в этом случае компания ЭЛВИС-ПЛЮС может выступать в качестве сюрвея). Эта информация крайне необходима для определения оптимального бюджета системы безопасности

13. Расчет финансово-экономических показателей системы безопасности — разработка технико-экономического обоснования внедрения и эксплуатации системы информационной безопасности, позволяющего выявить экономию, достигаемую от внедрения или замены системы безопасности, а также определить общую эффективность бизнеса или бизнес-единицы.

14. Экспертиза проектов и решений — оценка соответствия проектов и решений установленным требованиям и стандартам (best practice) в области ИБ.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2004 г.

Toolbar | КПК-версия | Подписка на новости  | RSS