Проектирование системы защиты информации

Мы предлагаем:

  • Проектирование системы безопасности информации (далее — СБИ) как уже функционирующей, так и с нуля
  • Разработка пакета внутренней нормативной документации (далее — ВНД) для обеспечения соответствия требованиям отечественных государственных регуляторов

Вы получаете:

  • Большой опыт в сфере ИБ
  • Знание механизмов хищения данных и умение им противостоять

Проектирование в рамках СБИ является основополагающим этапом комплекса мероприятий по улучшению кибербезопасности, необходимый для построения системы информационной безопасности.

Проектирование системы защиты информации - услуги RTM Group
Проектирование системы защиты информации - от RTM Group
Узнать стоимость?

Эксперты по проектированию СБИ

Эксперт по проектированию СБИ Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по проектированию СБИ Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по проектированию СБИ Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Проектирование СБИ в компании

Проектирование СБИ, как процесс, является как частью best practice, так и входит в перечень некоторых требований государственных регуляторов РФ.

Данная услуга будет полезна:

  1. Субъектам КИИ, обладающим значимыми объектами КИИ в соответствии с п.11 239 приказа ФСТЭК
  2. Операторам персональных данных для выстраивания эшелонированной защиты от утечки персональных данных в соответствии с п.2 Постановление Правительства РФ №1119, ст.18.1, п.1.3; ст.19, п.2.2 152-ФЗ
  3. Иным Организациям, которым необходимо уберечь свои данные от раскрытия, например, финансовым организациям, реализующим ГОСТ 57580.1 либо Организациям, которые стремятся предотвратить утечку конфиденциальной информации

Основные этапы проектирования системы безопасности информации

Далее будут выделены основные этапы проектирования:

  1. Предпроектное обследование
    В результате этапа определения субъектности по направлениям деятельности, бизнес и технологическим процессам и производится выбор требований, под которые подпадает рассматриваемая Компания, Заказчик получает вывод о применимости комплекса требований для субъектов КИИ, операторам ПДн и т.д.
  2. Определение объектов воздействия потенциального нарушителя
    В результате этапа определения информационных ресурсов, автоматизированных систем и сетей, Заказчик получает актуальный перечень объектов, которые нужно защищать, такие как значимые объекты КИИ, состав объектов инфраструктуры, из которых состоят ИСПДН, объекты информационной инфраструктуры и сети.
  3. Моделирование угроз и выявление потенциального нарушителя (далее — МУиН)
    В результате этапа разработки МУиН в соответствии с актуальной методикой ФСТЭК Заказчик получает документ, «Модель угроз безопасности информации», в которой отражен перечень внешних, а также внутренних угроз, актуальных для инфраструктуры Заказчика, а также перечень потенциальных нарушителей с определёнными возможностями и инструментами для каждой их группы.
  4. Разработка Технического задания на создание системы защиты информации
    В результате разработки Технического задания на создание системы защиты информации Заказчик получает описание подсистем защиты информации и адаптированный под Заказчика набор мер защиты информации
  5. Разработка Технического Проекта (далее — ТП)
    В результате этапа разработки ТП на СБИ Заказчик получает следующий перечень документов:
  • Технический проект
  • Пояснительная записка к техническому проекту
  • Структурная схема
  • Ведомость покупных изделий
  • Описание настроек средств защиты информации
  • Программа и методика испытаний
  • Иная внутренняя документация по защите информации
    1. Введение в действие СБИ
      На данном этапе проводится внедрение организационных (документарных) и технических (инструментальных) мер информационной безопасности, тестирование СБИ и ввод её в промышленную эксплуатацию.

Когда и кому необходимы работы по проектированию системы защиты информации?

Важно: работы по проектированию СБИ можно инициировать как на этапе создания СБИ, так на этапе корректировки уже функционирующей системы.

Данные работы можно проводить как в отношении операторов персональных данных, так и на промышленные предприятия, которым принадлежать значимые объекты КИИ.

Проектирование СБИ: результат работ

Результатом работ по проектированию СБИ будет являться функционирующая система защиты информации, состоящая из необходимых и оптимальных мер информационной безопасности, которые будут перекрывать актуальные для заказчика актуальный пул киберрисков, защитить периметр компании, а также выполнять требования Государственного регулятора, в случае законодательства о защите КИИ и защиты ПДн.

Почему RTM Group?

  • Большой опыт в проектировании СБИ;
  • Широкая номенклатура смежных услуг позволит развивать работы по совершенствованию системы безопасности при наличии такой потребности;
  • Высокое качество услуг, консультационная поддержка по завершении проекта.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group






Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по проектированию СБИ

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

3 лицензии

ФСТЭК России и ФСБ России

2800+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Услуги для вас

Продукты и решения для вас

Нам доверяют

Полезные статьи

FAQ: Часто задаваемые вопросы

Какова последовательность действий руководителя предприятия, если предприятие относится к субъектам критической информационной инфраструктуры? Какие критерии учитываются при определении категории объекта?

    1. Если ваше предприятие является субъектом КИИ, то в первую очередь Вам необходимо провести категорирование на основании 187-ФЗ и Постановления Правительства № 127 от 08.02.2018г.
    2. Какие критерии учитываются — здесь необходимо опираться на Вашу фактическую деятельность и рассматривать каждый критерии значимости (Приложение 1 в ПП №127) — применим ли он к вашим субъектам КИИ
    3. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются незначимыми, то Вы должны обеспечить их информационную безопасность в соответствии со стандартным законодательством (187-ФЗ, 152-ФЗ и т.д.)
    4. Если в ходе категорирования выяснится, что Ваши объекты КИИ являются значимыми, то Вы должны обеспечить их информационную безопасность по следующим пунктам:
      • Создать систему безопасности для значимых объектов КИИ
      • Ввести в действие внутреннюю нормативную документацию в области КИИ (как минимум Модель угроз
        прав и нарушителя)
      • Осуществить подключение к ГосСОПКа
      • Осуществлять защиту значимых объектов на основании Приказов ФСТЭК №239, 235 и 138

В течение какого срока необходимо провести анализ уязвимостей ПО для ЗО КИИ, чтобы соответствовать требованиям 239 приказа ФСТЭК?

Чтобы соответствовать 239 приказу ФСТЭК, необходимо провести анализ уязвимостей ПО,
как только у субъекта КИИ появляется категория значимости.

Доброго дня!
Относятся ли межрайонная налоговая инспекция, а также городские больницы, ежедневно использующие на законном основании различные информационные системы, базы данных, автоматизированные рабочие места к субъектам КИИ?
Спасибо!

Добрый день.

Согласно п.8 ст.2 187-ФЗ:
субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Таким образом учреждения здравоохранения однозначно являются субъектами КИИ. Вопрос принадлежности налоговой инспекции следует уточнить у регулятора — Банка России либо ФСТЭК. На практике не было случаев работы с налоговой инспекцией в части КИИ, вероятнее всего, не является.

Что будет, если не провести анализ уязвимостей ПО значимых объектов КИИ?

Невыполнение требований влечет за собой наложение административного штрафа до 500к рублей и требование об устранении недостатка в короткие сроки.

В случае, если с не тестированным ПО произойдет инцидент, возможна уголовная ответственность по статье 274.1

При составлении перечня объекта КИИ, кто является ответственным за ИС?

Ответственность за категорирование (в том числе формирование перечня объектов) несут члены комиссии, а не владельцы систем. Допускается указывать одного из членов комиссии (предпочтительнее), либо весь состав.