8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Информационная безопасность » Проектирование системы защиты информации

Проектирование системы защиты информации

Мы предлагаем:

  • Проектирование системы безопасности информации (далее — СБИ) как уже функционирующей, так и с нуля
  • Разработка пакета внутренней нормативной документации (далее — ВНД) для обеспечения соответствия требованиям отечественных государственных регуляторов

Вы получаете:

  • Большой опыт в сфере ИБ
  • Знание механизмов хищения данных и умение им противостоять

Проектирование в рамках СБИ является основополагающим этапом комплекса мероприятий по улучшению кибербезопасности, необходимый для построения системы информационной безопасности.

Проектирование системы защиты информации - услуги RTM Group
Проектирование системы защиты информации - от RTM Group
Узнать стоимость?
Перейти

Эксперты по проектированию СБИ

Эксперт по проектированию СБИ Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по проектированию СБИ Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по проектированию СБИ Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Проектирование СБИ в компании

Проектирование СБИ, как процесс, является как частью best practice, так и входит в перечень некоторых требований государственных регуляторов РФ.

Данная услуга будет полезна:

  1. Субъектам КИИ, обладающим значимыми объектами КИИ в соответствии с п.11 239 приказа ФСТЭК
  2. Операторам персональных данных для выстраивания эшелонированной защиты от утечки персональных данных в соответствии с п.2 Постановление Правительства РФ №1119, ст.18.1, п.1.3; ст.19, п.2.2 152-ФЗ
  3. Иным Организациям, которым необходимо уберечь свои данные от раскрытия, например, финансовым организациям, реализующим ГОСТ 57580.1 либо Организациям, которые стремятся предотвратить утечку конфиденциальной информации

Основные этапы проектирования системы безопасности информации

Далее будут выделены основные этапы проектирования:

  1. Предпроектное обследование
    В результате этапа определения субъектности по направлениям деятельности, бизнес и технологическим процессам и производится выбор требований, под которые подпадает рассматриваемая Компания, Заказчик получает вывод о применимости комплекса требований для субъектов КИИ, операторам ПДн и т.д.
  2. Определение объектов воздействия потенциального нарушителя
    В результате этапа определения информационных ресурсов, автоматизированных систем и сетей, Заказчик получает актуальный перечень объектов, которые нужно защищать, такие как значимые объекты КИИ, состав объектов инфраструктуры, из которых состоят ИСПДН, объекты информационной инфраструктуры и сети.
  3. Моделирование угроз и выявление потенциального нарушителя (далее — МУиН)
    В результате этапа разработки МУиН в соответствии с актуальной методикой ФСТЭК Заказчик получает документ, «Модель угроз безопасности информации», в которой отражен перечень внешних, а также внутренних угроз, актуальных для инфраструктуры Заказчика, а также перечень потенциальных нарушителей с определёнными возможностями и инструментами для каждой их группы.
  4. Разработка Технического задания на создание системы защиты информации
    В результате разработки Технического задания на создание системы защиты информации Заказчик получает описание подсистем защиты информации и адаптированный под Заказчика набор мер защиты информации
  5. Разработка Технического Проекта (далее — ТП)
    В результате этапа разработки ТП на СБИ Заказчик получает следующий перечень документов:
  • Технический проект
  • Пояснительная записка к техническому проекту
  • Структурная схема
  • Ведомость покупных изделий
  • Описание настроек средств защиты информации
  • Программа и методика испытаний
  • Иная внутренняя документация по защите информации
    1. Введение в действие СБИ
      На данном этапе проводится внедрение организационных (документарных) и технических (инструментальных) мер информационной безопасности, тестирование СБИ и ввод её в промышленную эксплуатацию.

Когда и кому необходимы работы по проектированию системы защиты информации?

Важно: работы по проектированию СБИ можно инициировать как на этапе создания СБИ, так на этапе корректировки уже функционирующей системы.

Данные работы можно проводить как в отношении операторов персональных данных, так и на промышленные предприятия, которым принадлежать значимые объекты КИИ.

Проектирование СБИ: результат работ

Результатом работ по проектированию СБИ будет являться функционирующая система защиты информации, состоящая из необходимых и оптимальных мер информационной безопасности, которые будут перекрывать актуальные для заказчика актуальный пул киберрисков, защитить периметр компании, а также выполнять требования Государственного регулятора, в случае законодательства о защите КИИ и защиты ПДн.

Почему RTM Group?

  • Большой опыт в проектировании СБИ;
  • Широкая номенклатура смежных услуг позволит развивать работы по совершенствованию системы безопасности при наличии такой потребности;
  • Высокое качество услуг, консультационная поддержка по завершении проекта.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group




Оглавление:

Проектирование СБИ в компании Основные этапы проектирования системы безопасности информации Когда и кому необходимы работы по проектированию системы защиты информации? Проектирование СБИ: результат работ Почему мы Стоимость проектирования СБИ


Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по проектированию СБИ

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

3 лицензии

ФСТЭК России и ФСБ России

2800+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Наши отзывы по проектированию СБИ

Благодарность от ООО "ВТБ Арена"
16.12.2024
Уважаемый Федор Александрович! ООО ВТБ Арена выражает искреннюю благодарность компании RTM Group за качественное и профессиональное выполнение работ по аудиту системы защиты персональных данных (СЗПДн) и разработке модели угроз. Эти работы являются основой для обеспечения безопасности наших данных и мы высоко ценим Ваш вклад в этот процесс. Особую признательность хотим выразить исполнителям проекта - Марине Юрьевой,  Артему Православскому и Андрею Гончарову. Благодаря их профессионализму, вниманию к деталям и ответственному подходу проект был реализован на самом высоком уровне. Ваши специалисты продемонстрировали отличные компетенции и глубину знаний в области информационной безопасности, что является важной составляющей нашего успешного сотрудничества. Мы уверены, что RTM Group и дальше будет покорять новые высоты и достигать выдающихся результатов в области безопасности данных. Желаем Вашей компании процветания, динамичного развития и успешной реализации всех новых проектов! Генеральный директор А.Д. Гаврилов

Услуги для вас

Услуга 152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

— Что означает соответствие 152-ФЗ?
— Чем грозит несоответствие по 152-ФЗ?
— Аудит для банков и МФЦ
— Что представляет собой аудит?
— Стоимость аудита 152-ФЗ
Услуга Внедрение организационных мер защиты информации (интеграция по всем направлениям)

Внедрение организационных мер защиты информации (интеграция по всем направлениям)

Организационные меры обеспечения информационной безопасности – мероприятия по защите информации организационного характера, которые основаны на соблюдении протоколов и процедуры.
Услуга Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ

Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ

— Подробное описание всех этапов категорирования (с примерами)
— Образцы документов по КИИ
— Какие работы необходимо выполнить после внесения в реестр КИИ?
— Для чего необходима экспертиза проведенных работ по КИИ?
Услуга Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ)

Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ)

— Для чего необходимы работы по обеспечению безопасности
— Результат работ
— Основные этапы выполнения работ
— Описание этапов работ
— Начало работ и взаимодействие

Продукты и решения для вас

Anti-DDoS и WAF

Anti-DDoS и WAF

Anti-DDoS — это набор инструментов и технологий, предназначенных для защиты серверов, сетей и веб-приложений от DDoS-атак. Их задача — отличить легитимный трафик от вредоносного, блокируя последний и обеспечивая стабильную работу ресурса. WAF — это программное или аппаратное решение, которое анализирует входящий и исходящий трафик веб-приложения. Его задача — выявлять и блокировать подозрительные запросы, предотвращая попытки атак, таких как SQL-инъекции, XSS (межсайтовый скриптинг), атаки на сеансы и другие.
Менеджер паролей

Менеджер паролей

Программное обеспечение класса PMS (Password Management System) или корпоративный менеджер паролей. Программы предназначены для централизованного хранения и организации доступа к паролям для систем и сервисов, используемых компанией или организацией.
МФУ и печатная техника

МФУ и печатная техника

МФУ (многофункциональные устройства) и печатная техника — это оборудование для работы с документами. МФУ объединяют функции принтера, сканера, копира и иногда факса, обеспечивая универсальное решение для офисных и домашних задач. Печатная техника включает принтеры, плоттеры и специализированные устройства для различных видов печати, от текстов до графики.
Офисный пакет

Офисный пакет

Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
ПК (АРМ)

ПК (АРМ)

ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.
Сервер

Сервер

Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.
Системы защиты информации

Системы защиты информации

Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
СХД

СХД

Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.
Удаленный доступ и управление конфигурациями устройств

Удаленный доступ и управление конфигурациями устройств

UEM (Unified Endpoint Management) – это системы, которые позволяют компаниям предоставлять для своих сотрудников доступ к работе с любого устройства и удаленно управлять этими устройствами.
DLP

DLP

DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
SIEM

SIEM

SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

Межсетевые экраны

Межсетевые экраны

Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
Управление уязвимостями

Управление уязвимостями

Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

Антивирусы

Антивирусы

Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
Цифровая криминалистика

Цифровая криминалистика
Операционные системы

Операционные системы

Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

Информационная безопасность

Информационная безопасность

Нам доверяют

Полезные статьи

Статья Построение системы защиты информации в финансовой организации от А до Я (Описание жизненного цикла системы защиты)

Построение системы защиты информации в финансовой организации от А до Я (Описание жизненного цикла системы защиты)

Для функционирования в штатном режиме, финансовым организациям необходимо реализовать правильную систему защиты информации (далее — система ЗИ). Контроль за исполнением необходимых требований осуществляют регуляторы в лице Банка России (далее — БР), ФСБ, ФСТЭК, Роскомнадзора и Минцифры. Они предоставляют компаниям необходимую нормативную базу, позволяющую правильно выстроить систему ЗИ в компании.
Статья Проблемы защиты информации на предприятии

Проблемы защиты информации на предприятии

Обеспечение информационной безопасности (ИБ) стало неотъемлемым процессом функционирования предприятий с различными видами деятельности. Основные составляющие информационной безопасности – это целостность информации, ее конфиденциальность и доступность.

Статья Контроль эффективности защиты информации

Контроль эффективности защиты информации

Что представляет собой контроль эффективности защиты информации? Как он осуществляется? Какими документами регламентирован? Обо всём в статье.
Статья Методы и проектирование значимых объектов КИИ

Методы и проектирование значимых объектов КИИ

Все субъекты критической информационной инфраструктуры проводят категорирование своих объектов по постановлению правительства №127. Некоторые организации в процессе определения показателей значимости для объектов могут выявить, что для одного из них превышается пороговое значение для 3 или выше категории, отчего он становится значимым.

Статья Что такое SGRC (Security Governance, Risk Management, Compliance)?

Что такое SGRC (Security Governance, Risk Management, Compliance)?

SGRC-системы помогают автоматизировать информационную безопасность, управление рисками и выполнение законодательных требований, обеспечивая комплексный подход и оптимизацию процессов.

FAQ: Часто задаваемые вопросы

Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

    1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
    2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
    3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
    4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
      • Создать систему безопасности для значимых объектов КИИ
      • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
        прав и нарушителя)
      • Осуществить подключение к ГосСОПКа
      • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

В течение какого срока необходимо провести анализ уязвимостей ПО для ЗО КИИ, чтобы соответствовать требованиям 239 приказа ФСТЭК?

Чтобы соответствовать 239 приказу ФСТЭК, необходимо провести анализ уязвимостей ПО,
как только у субъекта КИИ появляется категория значимости.

Доброго дня!
Относятся ли межрайонная налоговая инспекция, а также городские больницы, ежедневно использующие на законном основании различные информационные системы, базы данных, автоматизированные рабочие места к субъектам КИИ?
Спасибо!

Добрый день.

Согласно п.8 ст.2 187-ФЗ:
субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Таким образом учреждения здравоохранения однозначно являются субъектами КИИ. Вопрос принадлежности налоговой инспекции следует уточнить у регулятора — Банка России либо ФСТЭК. На практике не было случаев работы с налоговой инспекцией в части КИИ, вероятнее всего, не является.

Что будет, если не провести анализ уязвимостей ПО значимых объектов КИИ?

Невыполнение требований влечет за собой наложение административного штрафа до 500к рублей и требование об устранении недостатка в короткие сроки.

В случае, если с не тестированным ПО произойдет инцидент, возможна уголовная ответственность по статье 274.1

При составлении перечня объекта КИИ, кто является ответственным за ИС?

Ответственность за категорирование (в том числе формирование перечня объектов) несут члены комиссии, а не владельцы систем. Допускается указывать одного из членов комиссии (предпочтительнее), либо весь состав.