УСЛУГИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Решения компании ГК ИРИДИС по безопасности ориентированы на противодействие мошенничеству, снижение потерь от инцидентов, повышение эффективности бизнес-процессов и оптимизацию, повышение конкурентоспособности, выполнение регуляторных требований и увеличение доходности.
Работы в области информационной безопасности:
-
Проектирование и внедрение системы защиты персональных данных
-
Антифрод
-
Оперативное управление информационной безопасностью (Security Operation Center – SOC) Комплексные системы
-
Защита виртуальных сред и мобильных устройств (Virtual&Cloud Security и Mobile Security).
-
Соответствие требованиям регуляторов. Это направление работ ГК ИРИДИС включает в себя защиту персональных данных(в соответствии с федеральным законом № 152-ФЗ), защиту карточного процессинга (международный стандарт PCI DSS), обеспечение информационной безопасности организаций банковской системы РФ (СТО БР ИББС), международный стандарт на системы управления ИБ (ISMS на основе ISO 2700x).
-
Управление доступом
-
Противодействие утечкам конфиденциальной информации (DLP) и контроль коммуникаций
Примеры реализованных проектов:
-
«Внедрение системы контроля защищенности приложений» для оператора космической связи
-
«Внедрение системы облачной электронной подписи на 100 000 пользователей» для ТОП-4 телеком-холдинга
-
«Техническое обслуживание PTAF2000» для ТОП-4 телеком-холдинга
-
«Проектирование подсистемы информационной безопасности в рамках инициативы трансформации ИТ-функции» для ТОП-5 горно-металлургического холдинга
-
«Внедрение PIM» для ТОП-5 горно-металлургического холдинга
-
«Развитие системы менеджмента информационной безопасности» для ТОП-5 банка
-
«Техническое обслуживание системы сетевой безопасности» для ТОП-5 банка
-
«Развитие системы менеджмента информационной безопасности» для ТОП-5 промышленной группы России
-
Программа проектов по развитию системы сетевой безопасности для ТОП-5 промышленной группы России
-
«Развитие СЗПДн» для структуры федерального министерства
Аудит по требованиям информационной безопасности
-
Оценка текущего состояния обеспечения безопасности информации; -
Определение требований по защите информации; -
Выработка рекомендаций по внедрению дополнительных и повышению эффективности существующих организационных мер и программно-технических средств и методов защиты информации.
-
Информационное обследование ИС (как объекта защиты), анализ организационной и функциональной структуры, используемых технологий автоматизированной обработки, хранения и передачи информации в ИС; -
Оценка текущего уровня защищенности ИС, выявление значимых угроз информационной безопасности, основных путей их реализации (несанкционированных воздействий на подсистемы ИС и циркулирующую в них информацию); -
Построение модели нарушителей и угроз информационной безопасности по отношению к ресурсам ИС; -
Анализ существующей политики информационной безопасности на предмет ее полноты и актуальности и разработка рекомендаций по ее изменению на основании анализа существующего режима информационной безопасности; -
Осуществление инструментального анализа и тестовых попыток несанкционированного доступа к критически важным ресурсам ИС, определение уязвимостей в настройках защиты данных ресурсов (инструментальное тестирование защищенности ИС); -
Выработка рекомендаций по повышению уровня безопасности информационной системы, техническим решениям по обеспечению защиты информации при ее обработке, хранении и передаче по каналам связи ИС.
Анализ защищенности
-
Подробный анализ сетевой безопасности; -
Демонстрация типичных действий злонамеренных нарушителей при попытках компрометации периметра безопасности и средств управления безопасностью; -
Предоставление подробного анализа возможных результатов воздействия на ИТ-инфраструктуру в случае успешной реализации выявленных уязвимостей; -
Установление приоритетов выявленных рисков информационной безопасности, вызванных обнаруженными уязвимостями, с целью разработки плана первоочередных мероприятий для повышения уровня безопасности; -
Определение информационных ресурсов, доступ к которым может быть получен злоумышленником; -
Тестирование защищенности периметра.
Услуги по защите персональных данных в соответствии с требованиями регуляторов
-
Оптимизировать процесс обработки и хранения персональных данных; -
Снизить трудозатраты, связанные с обработкой персональных данных и взаимодействием с субъектами персональных данных; -
Нормативно закрепить основы обработки персональных данных; -
Сократить жалоб и обращений по поводу действий операторов персональных данных; -
Успешно проходить проверки контрольно-надзорных органов; -
Интегрировать в систему защиты ПДн используемые средства защиты информации; -
Провести сертификацию используемых средств защиты информации.
-
Обследование состояния защищенности персональных данных -
Проектирование системы защиты персональных данных -
Внедрение системы защиты персональных данных -
Аттестация ИСПДн -
Получение лицензии ФСТЭК России
Защита от утечки информации (Data Leak Prevention – DLP)
-
USB, CD/DVD и другие порты ввода-вывода; -
Беспроводное соединение (Wi-Fi и Bluetooth); -
Зашифрованные или несанкционированно зашифрованные сетевые соединения; -
Интернет-сервисы (социальные сети, почтовые службы, обмен файлами, P2P, и т.д.); -
Системы мгновенного обмена сообщениями и видео (MSN, ICQ, Yahoo, Skype и т.д.); -
Локальные и сетевые принтеры; -
Другие возможные каналы утечки.
-
Предпроектное обследование – определение целей проекта, масштаба реализации и составление подробного плана. -
Выявление и оценка конфиденциальных данных – выявление и классификация конфиденциальной информации, подлежащей защите. -
Анализ ИТ-инфраструктуры – анализ текущего состояния сети и подсистемы обеспечения информационной безопасности с целью разработки оптимального решения, адаптированного под цели и потребности Заказчика. -
Разработка архитектуры DLP-системы – проектирование детализированной архитектуры DLP-системы. -
Внедрение решения – поставка, настройка и развертывание технических и программных средств, в соответствии с требованиями разработанной архитектуры DLP-системы.
-
Снижение рисков утечки данных и последующих затрат на их устранение; -
Автоматизация мониторинга событий безопасности и отчетности; -
Выявление инсайдеров среди сотрудников; -
Контроль и управление информационными потоками в процессе обработки важной информации.
Оценка рисков информационной безопасности
-
Оптимизация и обоснование затрат на ИБ. -
Установление приоритетов обработки обнаруженных рисков ИБ до приемлемого уровня. -
Классификация информационных ресурсов. -
Снижение количества инцидентов ИБ путем внедрения соответствующих мер. -
Повышение прозрачности деятельности службы ИБ для руководства.
-
Инициация проекта – определение области деятельности и границ проекта, сроков выполнения и ожидаемых результатов. -
Разработка «Процедуры оценки рисков ИБ» c учетом имеющихся требований (внутренних требований по ИБ, контрактных требований, требований стандартов по ИБ), пожеланий Заказчика, а также лучших мировых практик по ИБ. -
Сбор данных – обследование объектов Заказчика, критичной информации, архитектуры инфраструктуры, используемых мер защиты. -
Классификация информационных ресурсов (по степени ценности в случае нарушения свойств конфиденциальности, целостности и доступности) посредством интервьюирования или анкетирования представителей Заказчика, оформление результатов в «Отчете по инвентаризации ресурсов». -
Проведение оценки рисков ИБ, включая: Проведение анализа и оценки рисков ИБ в соответствии с разработанной процедурой, оформление результатов в «Отчете по результатам оценки рисков»; Принятие решения руководством Заказчика об уровне приемлемости риска.
-
Выработка мер по обработке рисков, превышающих допустимый уровень, составление «Плана обработки рисков ИБ».