Решения компании ГК ИРИДИС по безопасности ориентированы на противодействие мошенничеству, снижение потерь от инцидентов, повышение эффективности бизнес-процессов и оптимизацию, повышение конкурентоспособности, выполнение регуляторных требований и увеличение доходности.
Работы в области информационной безопасности:
- Проектирование и внедрение системы защиты персональных данных
- Антифрод
- Оперативное управление информационной безопасностью (Security Operation Center – SOC) Комплексные системы
- Защита виртуальных сред и мобильных устройств (Virtual&Cloud Security и Mobile Security).
- Соответствие требованиям регуляторов. Это направление работ ГК ИРИДИС включает в себя защиту персональных данных(всоответствии с федеральным законом № 152-ФЗ), защиту карточного процессинга (международный стандарт PCI DSS), обеспечение информационной безопасности организаций банковской системы РФ (СТО БР ИББС), международный стандарт на системы управления ИБ (ISMS на основе ISO 2700x).
- Управление доступом
- Противодействие утечкам конфиденциальной информации (DLP) и контроль коммуникаций
Примеры реализованных проектов:
- «Внедрение системы контроля защищенности приложений» для оператора космической связи
- «Внедрение системы облачной электронной подписи на 100 000 пользователей» для ТОП-4 телеком-холдинга
- «Техническое обслуживание PTAF2000» для ТОП-4 телеком-холдинга
- «Проектирование подсистемы информационной безопасности в рамках инициативы трансформации ИТ-функции» для ТОП-5горно-металлургического холдинга
- «Внедрение PIM» для ТОП-5 горно-металлургического холдинга
- «Развитие системы менеджмента информационной безопасности» для ТОП-5 банка
- «Техническое обслуживание системы сетевой безопасности» для ТОП-5 банка
- «Развитие системы менеджмента информационной безопасности» для ТОП-5 промышленной группы России
- Программа проектов по развитию системы сетевой безопасности для ТОП-5 промышленной группы России
- «Развитие СЗПДн» для структуры федерального министерства
Цели проведения аудита информационных систем (далее — ИС):
• Оценка текущего состояния обеспечения безопасности информации;
• Определение требований по защите информации;
• Выработка рекомендаций по внедрению дополнительных и повышению эффективности существующих организационных мер и программно-технических средств и методов защиты информации.
Аудит ИС помогает принять обоснованные решения о способах защиты, адекватных с точки зрения соотношения стоимости и негативных последствий при реализации угроз информационной безопасности (далее — ИБ).
Задачи, решаемые при проведении аудита
В число задач, решаемых при проведении аудита, входят:
• Информационное обследование ИС (как объекта защиты), анализ организационной и функциональной структуры, используемых технологий автоматизированной обработки, хранения и передачи информации в ИС;
• Оценка текущего уровня защищенности ИС, выявление значимых угроз информационной безопасности, основных путей их реализации (несанкционированных воздействий на подсистемы ИС и циркулирующую в них информацию);
• Построение модели нарушителей и угроз информационной безопасности по отношению к ресурсам ИС;
• Анализ существующей политики информационной безопасности на предмет ее полноты и актуальности и разработка рекомендаций по ее изменению на основании анализа существующего режима информационной безопасности;
• Осуществление инструментального анализа и тестовых попыток несанкционированного доступа к критически важным ресурсам ИС, определение уязвимостей в настройках защиты данных ресурсов (инструментальное тестирование защищенности ИС);
• Выработка рекомендаций по повышению уровня безопасности информационной системы, техническим решениям по обеспечению защиты информации при ее обработке, хранении и передаче по каналам связи ИС.
• Оценка текущего состояния обеспечения безопасности информации;
• Определение требований по защите информации;
• Выработка рекомендаций по внедрению дополнительных и повышению эффективности существующих организационных мер и программно-технических средств и методов защиты информации.
Аудит ИС помогает принять обоснованные решения о способах защиты, адекватных с точки зрения соотношения стоимости и негативных последствий при реализации угроз информационной безопасности (далее — ИБ).
Задачи, решаемые при проведении аудита
В число задач, решаемых при проведении аудита, входят:
• Информационное обследование ИС (как объекта защиты), анализ организационной и функциональной структуры, используемых технологий автоматизированной обработки, хранения и передачи информации в ИС;
• Оценка текущего уровня защищенности ИС, выявление значимых угроз информационной безопасности, основных путей их реализации (несанкционированных воздействий на подсистемы ИС и циркулирующую в них информацию);
• Построение модели нарушителей и угроз информационной безопасности по отношению к ресурсам ИС;
• Анализ существующей политики информационной безопасности на предмет ее полноты и актуальности и разработка рекомендаций по ее изменению на основании анализа существующего режима информационной безопасности;
• Осуществление инструментального анализа и тестовых попыток несанкционированного доступа к критически важным ресурсам ИС, определение уязвимостей в настройках защиты данных ресурсов (инструментальное тестирование защищенности ИС);
• Выработка рекомендаций по повышению уровня безопасности информационной системы, техническим решениям по обеспечению защиты информации при ее обработке, хранении и передаче по каналам связи ИС.
02
Анализ защищенности
04
Защита от утечки информации (Data Leak Prevention – DLP)
05
Оценка рисков информационной безопасности
03
Услуги по защите персональных данных в соответствии с требованиями регуляторов
01
Аудит по требованиям информационной безопасности
Анализ защищенности дает возможность получить информацию о состоянии системы после осуществления успешного нападения, основанного на Интернет-атаках. При предоставлении услуги определяется защищенность отдельных хостов и поддерживающей ИТ-инфраструктуры по отношению ко всем известным уязвимостям и методологиям нападения. Это позволяет получить количественную оценку воздействия выявленной уязвимости и вероятность ее наступления.
По результатам анализа защищенности Заказчику предоставляется оценка защищенности системы после возможного нападения относительно всех видов угроз. Данная услуга не требует привлечения сотрудников Заказчика. Консультанты ГК ИРИДИС выступают в роли «хакеров» и пытаются получить доступ к компонентам ИТ-инфраструктуры, минуя периметр безопасности Заказчика. О любых успешных атаках и найденных уязвимостях ежедневно сообщается назначенному сотруднику Заказчика, чтобы незамедлительно принять меры для устранения найденных уязвимостей. Также на основании анализа выявленных уязвимостей разрабатываются предложения для повышения существующего уровня безопасности.
Тестирование может проводиться однократно или на регулярной основе, с использованием нескольких методологий, включая метод «белого ящика» (с использованием полных сведений о системе и паролях пользователей) или «черного ящика» (сведения о системе собираются с помощью сканеров безопасности в процессе сканирования ресурсов).
Преимущества
В результате анализа защищенности будут достигнуты следующие результаты:
• Подробный анализ сетевой безопасности;
• Демонстрация типичных действий злонамеренных нарушителей при попытках компрометации периметра безопасности и средств управления безопасностью;
• Предоставление подробного анализа возможных результатов воздействия на ИТ-инфраструктуру в случае успешной реализации выявленных уязвимостей;
• Установление приоритетов выявленных рисков информационной безопасности, вызванных обнаруженными уязвимостями, с целью разработки плана первоочередных мероприятий для повышения уровня безопасности;
• Определение информационных ресурсов, доступ к которым может быть получен злоумышленником;
Тестирование защищенности периметра.
По результатам анализа защищенности Заказчику предоставляется оценка защищенности системы после возможного нападения относительно всех видов угроз. Данная услуга не требует привлечения сотрудников Заказчика. Консультанты ГК ИРИДИС выступают в роли «хакеров» и пытаются получить доступ к компонентам ИТ-инфраструктуры, минуя периметр безопасности Заказчика. О любых успешных атаках и найденных уязвимостях ежедневно сообщается назначенному сотруднику Заказчика, чтобы незамедлительно принять меры для устранения найденных уязвимостей. Также на основании анализа выявленных уязвимостей разрабатываются предложения для повышения существующего уровня безопасности.
Тестирование может проводиться однократно или на регулярной основе, с использованием нескольких методологий, включая метод «белого ящика» (с использованием полных сведений о системе и паролях пользователей) или «черного ящика» (сведения о системе собираются с помощью сканеров безопасности в процессе сканирования ресурсов).
Преимущества
В результате анализа защищенности будут достигнуты следующие результаты:
• Подробный анализ сетевой безопасности;
• Демонстрация типичных действий злонамеренных нарушителей при попытках компрометации периметра безопасности и средств управления безопасностью;
• Предоставление подробного анализа возможных результатов воздействия на ИТ-инфраструктуру в случае успешной реализации выявленных уязвимостей;
• Установление приоритетов выявленных рисков информационной безопасности, вызванных обнаруженными уязвимостями, с целью разработки плана первоочередных мероприятий для повышения уровня безопасности;
• Определение информационных ресурсов, доступ к которым может быть получен злоумышленником;
Тестирование защищенности периметра.
С принятием в 2006 году Федерального закона РФ № 152-ФЗ «О персональных данных» возникла необходимость реализации требований данного закона операторами, обрабатывающими информацию, отнесенную к категории «персональные данные».
Для реализации требований закона специалистами ГК ИРИДИС был разработан подход по защите персональных данных (ПДн), включающий в себя комплекс мер, выполняемых в несколько основных этапов.
Подход по организации защиты персональных данных позволяет:
• Оптимизировать процесс обработки и хранения персональных данных;
• Снизить трудозатраты, связанные с обработкой персональных данных и взаимодействием с субъектами персональных данных;
• Нормативно закрепить основы обработки персональных данных;
• Сократить жалоб и обращений по поводу действий операторов персональных данных;
• Успешно проходить проверки контрольно-надзорных органов;
• Интегрировать в систему защиты ПДн используемые средства защиты информации;
• Провести сертификацию используемых средств защиты информации.
ГК ИРИДИС предлагает следующие услуги по защите персональных данных:
• Обследование состояния защищенности персональных данных
• Проектирование системы защиты персональных данных
• Внедрение системы защиты персональных данных
• Аттестация ИСПДн
• Получение лицензии ФСТЭК России
• Средняя продолжительность работ по проекту составляет 10 месяцев.
Для реализации требований закона специалистами ГК ИРИДИС был разработан подход по защите персональных данных (ПДн), включающий в себя комплекс мер, выполняемых в несколько основных этапов.
Подход по организации защиты персональных данных позволяет:
• Оптимизировать процесс обработки и хранения персональных данных;
• Снизить трудозатраты, связанные с обработкой персональных данных и взаимодействием с субъектами персональных данных;
• Нормативно закрепить основы обработки персональных данных;
• Сократить жалоб и обращений по поводу действий операторов персональных данных;
• Успешно проходить проверки контрольно-надзорных органов;
• Интегрировать в систему защиты ПДн используемые средства защиты информации;
• Провести сертификацию используемых средств защиты информации.
ГК ИРИДИС предлагает следующие услуги по защите персональных данных:
• Обследование состояния защищенности персональных данных
• Проектирование системы защиты персональных данных
• Внедрение системы защиты персональных данных
• Аттестация ИСПДн
• Получение лицензии ФСТЭК России
• Средняя продолжительность работ по проекту составляет 10 месяцев.
Утечка информации является одной из самых значимых и сложных угроз, существенно влияющих на репутацию, финансовые и информационные ресурсы. Статистика показывает, что утечка конфиденциальных данных в основном происходит из-за беспечности и невнимательности сотрудников или случайным образом. Однако число утечек информации, связанных с промышленным шпионажем, продолжает расти, особенно в связи со сложным периодом в развитии экономики.
Защита конфиденциальной информации является сложной задачей из-за большого количества возможных каналов утечки информации и возможностей проникновения и прослушивания каналов связи.
Для обеспечения контроля утечек информации в рамках ИТ-инфраструктуры необходимо учитывать следующие средства и технологии:
Почтовые сервисы;
• USB, CD/DVD и другие порты ввода-вывода;
• Беспроводное соединение (Wi-Fi и Bluetooth);
• Зашифрованные или несанкционированно зашифрованные сетевые соединения;
• Интернет-сервисы (социальные сети, почтовые службы, обмен файлами, P2P, и т.д.);
• Системы мгновенного обмена сообщениями и видео (MSN, ICQ, Yahoo, Skype и т.д.);
• Локальные и сетевые принтеры;
• Другие возможные каналы утечки.
• Исполнитель предлагает комплексные решения по защите от утечки информации по вышеуказанным каналам в дополнение к обеспечению защиты помещений и объектов информатизации от утечки информации по техническим каналам.
Этапы работ
Реализация комплексного решения по защите от утечки информации включает в себя следующие основные этапы:
Предпроектное обследование – определение целей проекта, масштаба реализации и составление подробного плана.
Выявление и оценка конфиденциальных данных – выявление и классификация конфиденциальной информации, подлежащей защите.
Анализ ИТ-инфраструктуры – анализ текущего состояния сети и подсистемы обеспечения информационной безопасности с целью разработки оптимального решения, адаптированного под цели и потребности Заказчика.
Разработка архитектуры DLP-системы – проектирование детализированной архитектуры DLP-системы.
Внедрение решения – поставка, настройка и развертывание технических и программных средств, в соответствии с требованиями разработанной архитектуры DLP-системы.
Преимущества
Преимуществами внедрения DLP-системы являются:
Снижение рисков утечки данных и последующих затрат на их устранение;
Автоматизация мониторинга событий безопасности и отчетности;
Выявление инсайдеров среди сотрудников;
Контроль и управление информационными потоками в процессе обработки важной информации.
Технологическая платформа
При проектировании и внедрении комплексного решения по защите от утечки информации преимущественно используются технологические платформы и решения следующих производителей:
Symantec;
Websense;
Aladdin;
Дозор Jet;
SearchInform;
SecurIT ICP;
DeviceLock;
Анкад;
Код безопасности;
Oracle.
Средняя продолжительность работ по проекту составляет 10 месяцев.
Защита конфиденциальной информации является сложной задачей из-за большого количества возможных каналов утечки информации и возможностей проникновения и прослушивания каналов связи.
Для обеспечения контроля утечек информации в рамках ИТ-инфраструктуры необходимо учитывать следующие средства и технологии:
Почтовые сервисы;
• USB, CD/DVD и другие порты ввода-вывода;
• Беспроводное соединение (Wi-Fi и Bluetooth);
• Зашифрованные или несанкционированно зашифрованные сетевые соединения;
• Интернет-сервисы (социальные сети, почтовые службы, обмен файлами, P2P, и т.д.);
• Системы мгновенного обмена сообщениями и видео (MSN, ICQ, Yahoo, Skype и т.д.);
• Локальные и сетевые принтеры;
• Другие возможные каналы утечки.
• Исполнитель предлагает комплексные решения по защите от утечки информации по вышеуказанным каналам в дополнение к обеспечению защиты помещений и объектов информатизации от утечки информации по техническим каналам.
Этапы работ
Реализация комплексного решения по защите от утечки информации включает в себя следующие основные этапы:
Предпроектное обследование – определение целей проекта, масштаба реализации и составление подробного плана.
Выявление и оценка конфиденциальных данных – выявление и классификация конфиденциальной информации, подлежащей защите.
Анализ ИТ-инфраструктуры – анализ текущего состояния сети и подсистемы обеспечения информационной безопасности с целью разработки оптимального решения, адаптированного под цели и потребности Заказчика.
Разработка архитектуры DLP-системы – проектирование детализированной архитектуры DLP-системы.
Внедрение решения – поставка, настройка и развертывание технических и программных средств, в соответствии с требованиями разработанной архитектуры DLP-системы.
Преимущества
Преимуществами внедрения DLP-системы являются:
Снижение рисков утечки данных и последующих затрат на их устранение;
Автоматизация мониторинга событий безопасности и отчетности;
Выявление инсайдеров среди сотрудников;
Контроль и управление информационными потоками в процессе обработки важной информации.
Технологическая платформа
При проектировании и внедрении комплексного решения по защите от утечки информации преимущественно используются технологические платформы и решения следующих производителей:
Symantec;
Websense;
Aladdin;
Дозор Jet;
SearchInform;
SecurIT ICP;
DeviceLock;
Анкад;
Код безопасности;
Oracle.
Средняя продолжительность работ по проекту составляет 10 месяцев.
Цель
Обеспечить контроль и планирование затрат на ИБ, исходя из объективной оценки существующих мер ИБ.
Преимущества
• Оптимизация и обоснование затрат на ИБ.
• Установление приоритетов обработки обнаруженных рисков ИБ до приемлемого уровня.
• Классификация информационных ресурсов.
• Снижение количества инцидентов ИБ путем внедрения соответствующих мер.
• Повышение прозрачности деятельности службы ИБ для руководства.
Этапы работ
1. Инициация проекта – определение области деятельности и границ проекта, сроков выполнения и ожидаемых результатов.
2. Разработка «Процедуры оценки рисков ИБ» c учетом имеющихся требований (внутренних требований по ИБ, контрактных требований, требований стандартов по ИБ), пожеланий Заказчика, а также лучших мировых практик по ИБ.
3. Сбор данных – обследование объектов Заказчика, критичной информации, архитектуры инфраструктуры, используемых мер защиты
4. Классификация информационных ресурсов (по степени ценности в случае нарушения свойств конфиденциальности, целостности и доступности) посредством интервьюирования или анкетирования представителей Заказчика, оформление результатов в «Отчете по инвентаризации ресурсов».
5. Проведение оценки рисков ИБ, включая: Проведение анализа и оценки рисков ИБ в соответствии с разработанной процедурой, оформление результатов в «Отчете по результатам оценки рисков»; Принятие решения руководством Заказчика об уровне приемлемости риска.
6. Выработка мер по обработке рисков, превышающих допустимый уровень, составление «Плана обработки рисков ИБ».
Описание
Периодическая оценка рисков ИБ является одной из основных задач службы ИБ, позволяющая с помощью формальной процедуры оценить текущий уровень обеспечения ИБ, определить слабые места и совместно с руководством определить необходимость внедрения защитных мер.
Основными задачами в процессе оценки рисков ИБ являются: идентификация и классификация информационных ресурсов по степени их критичности, анализ и оценка рисков, связанных с реализацией угроз безопасности, которые могут нанести ощутимый ущерб, а также выработка мер защиты.
Средняя продолжительность работ по проекту составляет 4 месяца.
Обеспечить контроль и планирование затрат на ИБ, исходя из объективной оценки существующих мер ИБ.
Преимущества
• Оптимизация и обоснование затрат на ИБ.
• Установление приоритетов обработки обнаруженных рисков ИБ до приемлемого уровня.
• Классификация информационных ресурсов.
• Снижение количества инцидентов ИБ путем внедрения соответствующих мер.
• Повышение прозрачности деятельности службы ИБ для руководства.
Этапы работ
1. Инициация проекта – определение области деятельности и границ проекта, сроков выполнения и ожидаемых результатов.
2. Разработка «Процедуры оценки рисков ИБ» c учетом имеющихся требований (внутренних требований по ИБ, контрактных требований, требований стандартов по ИБ), пожеланий Заказчика, а также лучших мировых практик по ИБ.
3. Сбор данных – обследование объектов Заказчика, критичной информации, архитектуры инфраструктуры, используемых мер защиты
4. Классификация информационных ресурсов (по степени ценности в случае нарушения свойств конфиденциальности, целостности и доступности) посредством интервьюирования или анкетирования представителей Заказчика, оформление результатов в «Отчете по инвентаризации ресурсов».
5. Проведение оценки рисков ИБ, включая: Проведение анализа и оценки рисков ИБ в соответствии с разработанной процедурой, оформление результатов в «Отчете по результатам оценки рисков»; Принятие решения руководством Заказчика об уровне приемлемости риска.
6. Выработка мер по обработке рисков, превышающих допустимый уровень, составление «Плана обработки рисков ИБ».
Описание
Периодическая оценка рисков ИБ является одной из основных задач службы ИБ, позволяющая с помощью формальной процедуры оценить текущий уровень обеспечения ИБ, определить слабые места и совместно с руководством определить необходимость внедрения защитных мер.
Основными задачами в процессе оценки рисков ИБ являются: идентификация и классификация информационных ресурсов по степени их критичности, анализ и оценка рисков, связанных с реализацией угроз безопасности, которые могут нанести ощутимый ущерб, а также выработка мер защиты.
Средняя продолжительность работ по проекту составляет 4 месяца.