Услуги

Оценка эффективности принимаемых мер по обеспечению безопасности

В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.

Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.

Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».

В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

ООО «НАЦ» обладает всеми необходимыми лицензиями. Обладая большим опытом оценки эффективности различных систем, мы сможем разработать необходимую методику оценки и провести работы с учетом особенностей построения систем и процессов обработки информации Заказчика.

Аттестация объектов информатизации

Аттестация объектов информатизации (аттестационные испытания) – комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.

Под объектом информатизации понимается совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

В соответствии с действующим законодательством, обязательной аттестации подлежат:

  • объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, ведения секретных переговоров;
  • системы и средства информатизации, предназначенные для обработки сведений, отнесенных к служебной тайне (на соответствие классу конфиденциальности СТР-К);
  • государственные информационные системы (ГИС)
  • ключевые системы информационной инфраструктуры (КСИИ).

В остальных случаях аттестация является добровольной и может осуществляться по инициативе Заказчика или владельца объекта информатизации.

Компания ООО «НАЦ» обладает всеми необходимыми лицензиями и аккредитована в качестве органа по аттестации объектов информатизации по требованиям безопасности информации в системе сертификации средств защиты информации ФСТЭК России, и предлагает услуги по аттестации объектов информатизации по требованиям безопасности информации:

  • автоматизированных систем, локальных и распределенных вычислительных систем, в том числе информационных систем персональных данных и государственных информационных систем;
  • отдельных автоматизированных рабочих мест;
  • защищаемых помещений;
  • выделенных помещений.

В результате работ по аттестации (при положительном заключении) выдается «Аттестат соответствия объекта информатизации требованиям по безопасности информации» сроком на 3 года.

Проведение периодического контроля состояния защиты информации на объектах информатизации

Данная услуга необходима для Заказчиков, эксплуатирующих аттестованные по требованиям безопасности информации (в том числе по требованиям безопасности персональных данных) объекты информатизации.

Согласно специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К) в организации должен проводиться периодический (не реже одного раза в год), а также в случаях изменения условий и технологии обработки защищаемой информации, контроль состояния (эффективности) защиты информации в организации.

ООО «НАЦ» выполняет работы по периодическому контролю, в ходе которых выявляются и документируются возможные изменения. При критичных изменениях, требующих изменения системы защиты, мы сможем осуществить необходимые мероприятия по приведению к соответствию.

В результате работ по периодическому контролю Заказчик актуализирует состояние защиты объекта информатизации, подтверждает действие выданного ранее Аттестата соответствия.

Подготовка к аттестации или оценке эффективности принимаемых мер по обеспечению безопасности

В рамках оказания услуги по подготовке к аттестации объектов информатизации или оценке эффективности принимаемых мер по обеспечению безопасности выполняются следующие работы:

  • обследование (анализ) текущего состояния системы защиты;
  • определение перечня и состава объектов информатизации, подлежащих аттестации (оценке);
  • категорирование и классификация объектов информатизации;
  • составление технических паспортов на объекты информатизации;
  • определение возможных каналов утечки информации (актуальных угроз);
  • определение перечня мероприятий по исключению возможных каналов утечки информации (актуальных угроз);
  • проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации);
  • разработка комплекта организационно-распорядительной документации на объект информатизации (приказы, распоряжения, инструкции, руководства).

В результате работ по подготовке к аттестации объектов информатизации или оценке эффективности принимаемых мер по обеспечению безопасности Заказчик получает действующую систему защиты информации, соответствующую необходимому классу защиты.

Система защиты готова к процедуре подтверждения соответствия в виде аттестации или оценке эффективности.

Консалтинг по вопросам лицензирования в области защиты информации

ООО «НАЦ» осуществляет подготовку Заказчика к выполнению лицензионных требований и условий, необходимых для получения и переоформления следующих лицензий:

  • лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации в соответствии с требованиями Постановлением Правительства РФ от 03.02.2012 г. № 79;
  • лицензия ФСТЭК России на разработку и производство средств защиты конфиденциальной информации в соответствии с Постановлением Правительства РФ от 03.03.2012 г. № 171;
  • лицензия ФСБ России на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) в соответствии с Постановлением Правительства РФ от 16.04.2012г. № 313.

Оказание консультационных услуг по подготовке предприятий (организаций) к выполнению лицензионных требований и условий (получению лицензий) включает:

  • проведение обследования и анализа соответствий Заказчика требованиям к соискателю лицензии/лицензиату, установленные соответствующими нормативными актами;
  • оказание консультационных услуг по вопросам защиты информации и подготовке комплекта документов для подачи заявления на получение лицензии;
  • проведение комплекса работ по выполнению лицензионных требований в части наличия защищенных автоматизированных систем и помещений по требованиям безопасности информации (включая создание необходимой системы защиты и аттестацию);
  • создание необходимого комплекта внутренней организационно-регламентирующей документации по вопросам обеспечения защиты;
  • приобретение литературы ограниченного распространения и производственного оборудования, необходимых для обеспечения лицензируемых видов деятельности;
  • организация обучения сотрудников, для получения подтверждения компетенций, необходимых для получения лицензии.

В результате работ по подготовке к выполнению лицензионных требований и условий Заказчик получает:

  • действующую систему защиты информации, соответствующую требованиям лицензии, подтвержденную аттестатом соответствия;
  • комплект внутренней организационно-регламентирующей документации по вопросам обеспечения защиты;
  • комплект документов для подачи заявки на получение лицензии;
  • специалистов, имеющих подтверждение компетенций, требуемых для получения лицензии;
  • понимание порядка действий по получению лицензий и особенностей выполнения требований.

Заказчик готов направить пакет документов в ФСТЭК и/или ФСБ на переоформление или получение необходимых лицензий.

Защита государственной тайны

Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной, оперативно-розыскной и иной деятельности, распространение которых может нанести ущерб безопасности государства.

Защита информации, составляющей государственную тайну, осуществляется на основе Конституции Российской Федерации, законов РФ «О государственной тайне», «Об информации, информатизации и защите информации», других законодательных актов РФ, «Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим каналам» утвержденного постановлением правительства №912-51, «Положения о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», утвержденного постановлением правительства №333, «Положения о сертификации средств защиты информации» утвержденного постановлением Правительства №608, государственных стандартов, «Положения о государственном лицензировании деятельности в области защиты информации №10, и других нормативных документов в области защиты информации от утечки по техническим каналам.

Основные услуги, предоставляемые ООО «НАЦ» по защите государственной тайне включают:

  • обследование (анализ) текущего состояния системы защиты;
  • категорирование и классификация объектов информатизации;
  • определение возможных каналов утечки информации (ПЭМИН, НСД, внедрение электронных устройств перехвата информации);
  • определение перечня мероприятий по исключению возможных каналов утечки информации;
  • проведение мероприятий по защите информации (проектирование систем в защищенном исполнении, поставка, установка и настройка сертифицированных средств защиты информации);
  • проведение мероприятий по защите информации, обсуждаемой в выделенных помещениях, от утечки по техническим каналам (акустический, виброакустический, электроакустические преобразования, внедрение закладок);
  • разработка комплекта организационно-распорядительной документации на объект информатизации (приказы, распоряжения, инструкции, руководства, паспорта);
  • аттестация;
  • сопровождение систем информационной безопасности и ежегодный контроль эффективности систем защиты информации, объектов информатизации;
  • консультирование по всему спектру вопросов защиты объектов информатизации;
  • обучение сотрудников (при необходимости).

Защита персональных данных

Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также рядом других нормативных документов установлены правила в отношении порядка обработки и обеспечения безопасности персональных данных (ПДн). Указанные правила носят обязательный характер для всех организаций на территории Российской Федерации, независимо от размера, оборота и форм собственности.

Выполнение комплекса работ, предлагаемых ООО «НАЦ», позволит произвести анализ соответствия порядка обработки ПДн требованиям законодательства РФ, подготовить пакет необходимой внутренней нормативной документации по порядку обработки ПДн, определить комплекс дополнительных средств защиты информации для защиты информационных систем персональных данных и провести работы по подтверждению соответствия требованиям законодательства в области обработки ПДн.

Основные услуги, предоставляемые ООО «НАЦ» по защите персональных данных включают:

  • обследование (анализ) текущего состояния системы защиты;
  • категорирование и классификация объектов информатизации;
  • определение возможных каналов утечки информации (актуальных угроз);
  • определение перечня мероприятий по исключению возможных каналов утечки информации (актуальных угроз);
  • проведение мероприятий по защите информации (проектирование систем защиты, поставка, установка и настройка средств защиты информации);
  • разработка комплекта организационно-распорядительной документации (приказы, распоряжения, инструкции, руководства);
  • оценка эффективности реализованных мер (подтверждение соответствия);
  • сопровождение систем информационной безопасности и ежегодный контроль эффективности систем защиты информации, объектов информатизации;
  • консультирование по всему спектру вопросов защиты объектов информатизации, выполнения лицензионных требований (получения лицензий);
  • обучение сотрудников (при необходимости).

Проведение полного комплекса предлагаемых работ обеспечит соответствие порядка обработки ПДн обязательным требованиям законодательства РФ, и снизит риски утечек и иных инцидентов с персональными данными, а также риски предъявления претензий, как от государственных регуляторов, так и от частных лиц, в части организации защиты ПДн.

Защита конфиденциальной информации

Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Защита конфиденциальной информации осуществляется на основании федеральных законов и нормативных актов, основными из которых являются: Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информатизации и защите информации», Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Перечень сведений конфиденциального характера», требования руководящих документов Гостехкомиссии и специальные требования и рекомендации по технической защите (СТР-К).

Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в соответствии с установленным руководящими документами порядке в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации. Защите подлежит информация, как речевая, так и обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в автоматизированной системе.

В рамках оказания услуги по защите конфиденциальной информации выполняются следующие работы:

  • обследование (анализ) текущего состояния системы защиты;
  • определение перечня и состава объектов информатизации, подлежащих аттестации (оценке);
  • категорирование и классификация объектов информатизации;
  • составление технических паспортов на объекты информатизации;
  • определение возможных каналов утечки информации (актуальных угроз);
  • определение перечня мероприятий по исключению возможных каналов утечки информации (актуальных угроз);
  • проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации);
  • разработка комплекта организационно-распорядительной документации на объекты информатизации (приказы, распоряжения, инструкции, руководства);
  • аттестация;
  • сопровождение систем информационной безопасности и ежегодный контроль эффективности систем защиты информации, объектов информатизации;
  • консультирование по всему спектру вопросов защиты объектов информатизации, выполнения лицензионных требований (получения лицензий);
  • обучение сотрудников (при необходимости).

Компания ООО «НАЦ» имеет все необходимые лицензии и аккредитована в качестве органа по аттестации объектов информатизации по требованиям безопасности информации в системе сертификации средств защиты информации ФСТЭК России, и обеспечит безопасность конфиденциальной информации на следующих объектах информатизации:

  • автоматизированных систем, локальных и распределенных вычислительных систем, в том числе информационных систем персональных данных;
  • отдельных автоматизированных рабочих мест;
  • защищаемых помещений.

В результате работ по защите конфиденциальной информации Заказчик получает действующую систему защиты информации, соответствующую необходимому классу защиты.

Защита информации, содержащейся в государственных информационных системах

Защита информации в государственных информационных системах осуществляется на основании федеральных законов и нормативных актов, основными из которых являются: Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информатизации и защите информации», приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

Выполнение требований по защите информации являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах.

В рамках оказания услуги по защите информации в государственных информационных системах выполняются следующие работы:

  • обследование (анализ) текущего состояния системы защиты;
  • определение перечня и состава объектов информатизации, подлежащих аттестации (оценке);
  • категорирование и классификация объектов информатизации;
  • составление технических паспортов на объекты информатизации;
  • определение возможных каналов утечки информации (актуальных угроз);
  • определение перечня мероприятий по исключению возможных каналов утечки информации (актуальных угроз);
  • проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации);
  • разработка комплекта организационно-распорядительной документации на объект информатизации (приказы, распоряжения, инструкции, руководства);
  • аттестация;
  • сопровождение систем информационной безопасности и ежегодный контроль эффективности систем защиты информации, объектов информатизации;
  • консультирование по всему спектру вопросов защиты объектов информатизации, выполнения лицензионных требований (получения лицензий);
  • обучение сотрудников (при необходимости).

В результате работ по защите конфиденциальной информации Заказчик получает действующую систему защиты информации, соответствующую необходимому классу защиты.

Защита информации критической информационной инфраструктуры

Ключевая система информационной инфраструктуры (КСИИ) – это информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация, или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.

К КСИИ относятся информационно-управляющие или информационно- телекоммуникационные системы, которые непосредственно осуществляют управление критически важными объектами и (или) информационное обеспечение управления такими объектами.

Защита информации в КСИИ осуществляется на основании федеральных законов и нормативных актов, основными из которых являются Федеральный закон «О безопасности критической информационной инфраструктуры РФ», руководящие документы ФСТЭК России, ГОСТ РО 0043-002-2012. «Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Система документов».

В рамках оказания услуги по защите информации в ключевых системах информационной инфраструктуры выполняются следующие работы:

  • обследование (анализ) текущего состояния системы защиты;
  • определение перечня и состава объектов информатизации, подлежащих аттестации (оценке);
  • категорирование и классификация объектов информатизации;
  • составление технических паспортов на объекты информатизации;
  • определение возможных каналов утечки информации (актуальных угроз);
  • определение перечня мероприятий по исключению возможных каналов утечки информации (актуальных угроз);
  • проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации);
  • разработка комплекта организационно-распорядительной документации на объект информатизации (приказы, распоряжения, инструкции, руководства);
  • аттестация;
  • сопровождение систем информационной безопасности и ежегодный контроль эффективности систем защиты информации, объектов информатизации;
  • консультирование по всему спектру вопросов защиты объектов информатизации, выполнения лицензионных требований (получения лицензий);
  • обучение сотрудников (при необходимости).

В результате работ по защите ключевых систем информационной инфраструктуры Заказчик получает действующую систему защиты информации, соответствующую необходимому классу защиты.

Проведение и утверждение оценки уязвимости ОТИ и ТС

Проведение оценки уязвимости объектов транспортной инфраструктуры и транспортных средств автомобильного транспорта, наземного городского электрического транспорта, дорожного хозяйства.

Разработка планов обеспечения транспортной безопасности

Разработка планов обеспечения транспортной безопасности для объектов транспортной инфраструктуры и транспортных средств.