Практический опыт защиты ГИС до 1 класса сложности
02
Наличие всех необходимых лицензий ФСБ и ФСТЭК
03
Мониторинг безопасности и сопровождение системы после ввода в эксплуатацию
04
Выполнение всех требований Приказа № 17 от 11 февраля 2013 г. ФСТЭК России
01
Этапы работы
- Контроль за работоспособностью средств защиты, их корректной настройкой и нормальным функционированием ГИС; - Выполнение инструментального периодического контроля, предусмотренного нормативной документацией ФСТЭК. - Поддержание организационно-распорядительной документации в актуальном состоянии.
06
Техническая поддержка
- Разработка программы и методики проведения аттестационных испытаний - Оценка эффективности организационных мер защиты информации на объекте - Испытания средств защиты информации - Оформление заключения по результатам проведения аттестационных испытаний и выдача аттестата соответствия информационной системы
05
Проведение аттестационных испытаний
- Выделение сегмента сети заказчика для сканирования - Сканирование сегмента сети заказчика с помощью автоматизированных средств на предмет наличия уязвимостей - Определение найденных уязвимостей, уровня их опасности и методов их устранения - Составление отчета о найденных уязвимостях. Рекомендации по сокращению степени риска реализации выявленных уязвимостей
04
Проведение сканирования сегмента сети заказчика на предмет обнаружения уязвимостей
- Установка, настройка, ввод в эксплуатацию СЗИ - Настройка и тестовые испытания на предмет корректного функционирования - Подготовка актов ввода в эксплуатацию СЗИ
03
Ввод в эксплуатацию системы защиты информации (СЗИ)
- Определение и моделирование угроз безопасности, подготовка модели угроз - Определение требований к системе защиты информации - Разработка комплекта организационно-распорядительной документации и технического проекта по защите информации
02
Организационные мероприятия
- Сбор сведений об объектах информационной инфраструктуры и других информационных систем, находящихся в эксплуатации - Оценка существующей реализации процессов управления ИБ - Разработка итогового отчета об аудите ИБ
01
Обследование и аудит
Миграция ГИС в облако
ПОЛНОЕ СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУ БЕЗ ЗАТРАТ НА ЖЕЛЕЗО
Перенос части ИТ-инфраструктуры на удаленный защищенный сервер экономит вычислительные мощности и снижает затраты на развертывание, обслуживание и защиту вашей инфраструктуры.
"Кредо-С" имеет практический опыт переноса Государственных Информационных Систем в облачные Центры Обработки Данных, и полностью берет на себя реализацию защитных мер всей облачной инфраструктуры.
Реализация единого подхода к обеспечению безопасности
Снижение юридических рисков невыполнения требований по защите информационных систем в соответствии с законодательством РФ, требованиями приказов ФСТЭК и ФСБ России
Минимизация затрат на создание и владение отказоустойчивой и защищенной IT-инфраструктурой
Сокращение стоимости защиты ГИС за счёт внедрения типовых сегментов
ГИС - динамически изменяемые системы, поэтому стоимость системы и сложность по аттестации может сильно варьироваться.
Подход выделения типовых сегментов ГИС и распространение на них аттестата соответствия позволяет сэкономить на работах по защите ГИС (разработка документации, замена тех. средств).
Для того, чтобы типовой сегмент считался соответствующим аттестованному, необходимо
1
Установить класс защищенности
2
Определить угрозы безопасности информации
3
Реализовать одинаковые проектные решения по самой системе и по системе защиты информации
4
Подтвердить соответствие нового сегмента уже выданному аттестату в ходе приемочных испытаний
Ответственность за невыполнение требований по защите ГИС
В результате несоблюдения требований по защите информации и обеспечению безопасности персональных данных при их обработке в информационных системах ответственность лежит на операторе персональных данных и влечет за собой административные штрафы в размере до 150 000 рублей ( согласно ФЗ от 24.02.2021 № 19-ФЗ и ФЗ № 152-ФЗ)
Типовыми нарушениями требований по защите информации в ГИС являются
Применение несертифицированных (или с истекшим сроком действия сертификата) средств защиты информации
Средства антивирусной защиты, установленные в информационных системах, используют устаревшие базы
Не проводится анализ уязвимостей информационных систем с целью определения актуальных угроз безопасности информации
Программная среда на автоматизированных рабочих местах не соответствует программной среде, зафиксированной в ходе аттестационных испытаний
Ответственными должностными лицами не проводится периодический анализ изменений угроз безопасности информации в информационных системах, в том числе не принимаются соответствующие меры защиты
Ответственными должностными лицами не проводится периодический анализ изменений угроз безопасности информации в информационных системах, в том числе не принимаются соответствующие меры защиты
ГК КРЕДО-С оказывает услуги по защите информационных систем только в соответствии с действующим законодательством РФ и только с помощью сертифицированных средств защиты