КБ-Информ - общая презентация услуг
TRANSCRIPT
2© КБ-Информ | [email protected] | www.kbinform.ru
Компания КБ-Информ успела заработать себе репутацию надежного и ответственного партнера у наших клиентов
3© КБ-Информ | [email protected] | www.kbinform.ru
4
• Аудит информационной безопасности и анализ рисков ИБ
• Оценка соответствия требованиям по защите информации
• Расследование компьютерных преступлений
• Сопровождение информационных систем• Обучение и повышение осведомленности• Консалтинг
Квалификация специалистов компании и высокий уровень качества оказания услуг подтвержден лицензиями на защиту информации и различными сертификатами
© КБ-Информ | [email protected] | www.kbinform.ru
5© КБ-Информ | [email protected] | www.kbinform.ru
Инновационная модель наукоемкой компании – редкий сплав науки, технологий и управления
6
2008 г. – на базе научно-исследовательского института Коммуникационных и информационных технологий (НИИ КИТ) Тюменского государственного университета создается учебно-научная лаборатория аттестации и оказания услуг в области информационной безопасности. В этом же году команда выпускников кафедры информационной безопасности успешно подтверждает свою квалификацию в контролирующих органах и, как результат, получает право оказания услуг в области защиты конфиденциальной информации и работы с криптографическими средствами защиты информации.2010 г. – используя возможность законодательства РФ в части разрешения организации наукоемких предприятий совместно с высшими учебными заведениями, создается общество с ограниченной ответственностью «КБ-Информ».
© КБ-Информ | [email protected] | www.kbinform.ru
7
2011 г. – компания получает все необходимые лицензии на право защиты конфиденциальной информации.2012 г. – компания испытывает качественный скачок на новый уровень оказания услуг и сервиса. Финансовые показатели прибыльности компании увеличены на порядок, по сравнению с предыдущим периодом. Среди клиентов компании: Правительство Тюменской области, ряд крупнейших финансовых учреждений региона, областные медицинские центры, организации малого и среднего бизнеса, операторы связи и другие. КБ-Информ сегодня – динамично развивающаяся компания, использующая современные модели управления и контроля качества, получившая признание и уважение среди всех игроков регионального рынка защиты информации и оценки соответствия требованиям Регуляторов.
© КБ-Информ | [email protected] | www.kbinform.ru
8
КБ-Информ — уникальная инновационная компания аналогов которой до сих пор нет в российском сегменте информационной безопасности.Наши сотрудники — кандидаты технических наук, аспиранты кафедры информационной безопасности и лучшие выпускники Тюменского государственного университета различных специальностей.Научная деятельность — большинство сотрудников компании ведут научную и преподавательскую деятельность, обучают студентов и расширяют свой кругозор. КБ-Информ — первая компания Тюменской области, которая начала оказывать услуги по оценке соответствия кредитных организаций требованиям стандартов Банка России в области информационной безопасности, расследованию компьютерных преступлений и анализу защищенности информационных систем и приложений, включая проведение тестов на проникновение.КБ-Информ — привлекается официальными органами власти в качестве экспертов в области информационной безопасности.
© КБ-Информ | [email protected] | www.kbinform.ru
9© КБ-Информ | [email protected] | www.kbinform.ru
Услуги и решения нашей компании –возможность быть на шаг впереди!
10
Аудит информационной безопасности
• Анализ рисков информационной безопасности
• Анализ защищенности и тест на проникновение
Оценка и подтверждение соответствия
• СТО БР ИББС, национальная платежная система
• Защита персональных данных
• Защита коммерческой тайны
• Аттестация объектов информатизации (АС, ЗП, ИСПДн)
• Защита ключевых систем информационной инфраструктуры
© КБ-Информ | [email protected] | www.kbinform.ru
11
Расследование компьютерных преступлений• Независимое расследование• Сбор цифровых доказательств• Компьютерно-техническая экспертизаСопровождение информационных систем• ИТ-аутсорсинг• ИБ-аутсорсингКонсалтинг и обучение• Повышение квалификации и осведомленности
персонала• Лицензионная деятельность• Консалтинг при принятии решений в области ИТ и ИБ
© КБ-Информ | [email protected] | www.kbinform.ru
12
© КБ-Информ | [email protected] | www.kbinform.ru
Знание узких мест и планирование работ –возможность эффективных инвестиций и максимальной отдачи
13
Анализ рисков информационной безопасности позволяет сформулировать общую долгосрочную политику организации в отношении защиты активов относительно их критичности и значимости для выполнения определенных процессов, и актуальных угроз информационной безопасности.Основные этапы:• инвентаризация информационных активов и оценка их стоимости• выбор методологии оценки рисков и её адаптация под особенности
деятельности конкретной организации• определение уязвимостей и возможных угроз• анализ принятых мер по обеспечению информационной безопасности• разработка реестра (матрицы) рисков• оценка рисков информационной безопасности (получение
качественной и количественной оценок)• разработка отчета по результатам оценки рисков• разработка плана обработки рисков
© КБ-Информ | [email protected] | www.kbinform.ru
14
Анализ защищенности сети позволяет получить актуальную и независимую оценку состояния информационной безопасности сетевой инфраструктуры, и выработать рекомендации по повышению уровня безопасности сетевой инфраструктуры с учётом лучших мировых практик обеспечения информационной безопасности.Проводимые работы:• проведение инвентаризации ИТ-инфраструктуры• построение физической и логической схем сети• определение взаимосвязей логического и физического уровней сети• анализ защищенности периметра сети• анализ защищенности беспроводной инфраструктурыРезультат:• детальный отчет по результатам анализа защищенности сети• рекомендации по оптимизации сетевой инфраструктуры с точки
зрения обеспечения информационной безопасности• варианты технических решений по модернизации сети и спецификации• техническое задание на модернизацию сети
© КБ-Информ | [email protected] | www.kbinform.ru
15
Тест на проникновение – это возможность для Вас взглянуть на Вашу сеть глазами хакера и попробовать ее взломать не только техническим путем, эксплуатируя найденные уязвимости, но и при помощи методов социальной инженерии.Проводимые работы:внутренний тест на проникновение:• попытки получения учетных записей и паролей пользователей и
администраторов информационных систем путём перехвата сетевого трафика• сбор информации о доступных из сегмента пользователей локальной сети
ресурсах (сетевых сервисах, операционных системах и приложениях) и определение мест возможного хранения/обработки критичных данных
• выявление уязвимостей ресурсов, способных привести к возможности осуществления несанкционированных воздействий на них
• разработка векторов атак и методов получения несанкционированного доступа к критичным данным
• попытки получения несанкционированного доступа к серверам, базам данных, компьютерам пользователей с использованием уязвимостей программного обеспечения, сетевого оборудования, некорректных настроек.
© КБ-Информ | [email protected] | www.kbinform.ru
16
внешний тест на проникновение:• сбор общедоступной информации о Заказчике с помощью поисковых
систем, через регистрационные базы данных (регистраторы имен и адресов, DNS, Whois и т.п.) и других публичных источников информации
• сбор информации о доступных из сетей общего доступа ресурсах (сетевых сервисах, операционных системах и приложениях)
• определение мест возможного хранения/обработки критичных данных, доступных извне
• сбор публично доступной информации о сотрудниках Заказчика• поиск уязвимостей в веб-приложениях Заказчика• выявление уязвимостей ресурсов внешнего сетевого периметра• разработка векторов и методов проникновения.Результат:• детальный отчет об уязвимостях информационных систем• рекомендации по повышению текущего уровня защищенности
информационных систем
© КБ-Информ | [email protected] | www.kbinform.ru
17
© КБ-Информ | [email protected] | www.kbinform.ru
Подтверждение соответствия – лучший способ страхования рисков принятия неправильного решения и возможность использования лучших практик
18
Мероприятия по построению системы обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0, которые включают:• инвентаризация и классификация информационных активов• формирование ролевой модели управления доступом• описание технологических процессов обработки информации• разработка модели угроз и нарушителя• построение систем информационных активов• разработка программ повышения осведомленности сотрудников
в области обеспечения информационной безопасности
Результат работ – соответствие требованиям стандарта Банка России СТО БР ИББС
© КБ-Информ | [email protected] | www.kbinform.ru
19
Оценка выполнения требований законодательства по защите информации в НПС (в соответствии с требованиями ЦБ РФ, оценка соответствия должна проводиться не реже 1-го раза в 2 года).Мероприятия по обеспечению выполнения требований законодательства по защите информации в НПС:• анализ защищенности информационных систем• формирование ролевой модели (распределение прав и обязанностей,
связанных с осуществлением переводов денежных средств)• инвентаризация и классификация информационных активов• описание технологических процессов обработки информации• оценка рисков информационной безопасности• построение систем защиты информации• разработка программ повышения осведомленности сотрудников
Результат работ – соответствие требованиям Федерального закона и других нормативных актов в области защиты информации НПС
© КБ-Информ | [email protected] | www.kbinform.ru
20
Комплекс мероприятий в рамках услуги включает:аудит на соответствие требованиям ФЗ-152:• сбор исходных данных об информационно-
телекоммуникационной инфраструктуре, системах обработки персональных данных, мерах обеспечения безопасности
• анализ действующей организационно-распорядительной документации, регламентирующей вопросы обеспечения безопасности персональных данных
• оценка текущего уровня соответствия требованиям законодательства в области персональных данных
• разработка предложений по внесению изменений в процессы обработки персональных данных с целью снижения совокупных затрат на построение системы защиты персональных данных
• разработка отчета по результатам аудита порядка обработки и защиты персональных данных
© КБ-Информ | [email protected] | www.kbinform.ru
21
разработка модели угроз и нарушителя:• разработка модели угроз безопасности• проведение классификации информационных систем
персональных данных.разработка комплекта организационно-распорядительной документацииразработка технического задания на создание системы защиты персональных данныхпроектирование системы защиты персональных данных:• разработка технорабочего проекта системы защиты
персональных данных• разработка программы и методики предварительных и
приемочных испытанийвнедрение системы защиты персональных данных:• поставка и монтаж оборудования
© КБ-Информ | [email protected] | www.kbinform.ru
22
• настройка программных и программно-аппаратных средств защиты информации, проведение пуско-наладочных работ
• разработка комплекта эксплуатационной документации• опытная эксплуатация системы защиты персональных данных• проведение приемочных испытанийаттестационные испытания:• разработка пакета документов, необходимого для проведения
аттестационных испытаний• аттестационные испытания информационных систем персональных
данных• выдача аттестатов соответствияконсультационная поддержка и сопровождение:• периодические проверки порядка обработки и защиты персональных
данных• консультационная поддержка при проведении проверок Регуляторами
(Роскомнадзор, ФСТЭК России, ФСБ России)
© КБ-Информ | [email protected] | www.kbinform.ru
23
© КБ-Информ | [email protected] | www.kbinform.ru
• консультационная поддержка при получении лицензий ФСБ России, ФСТЭК России
• корректировка организационно-распорядительной документации
• консультации по обработке запросов субъектов персональных данных и Регуляторов
• разработка программ повышения осведомленности по вопросам обработки персональных данных.
Результат работ – полное соответствие Заказчика требованиям законодательства в области персональных данных.
24
Услуга по реализации режима коммерческой тайны, в рамках которой проводятся следующие работы:• инвентаризация информационных ресурсов• выработка критериев отнесения информации к коммерческой
тайне• составление перечня сведений, составляющих коммерческую
тайну• разработка организационно-распорядительной документации,
регламентирующей вопросы защиты коммерческой тайны• внедрение технических и программных средств защиты
коммерческой тайны• обучение сотрудников по вопросам защиты коммерческой
тайны.Результат работ – внедренный на предприятии режим коммерческой тайны.
© КБ-Информ | [email protected] | www.kbinform.ru
25
В мае 2007 года ФСТЭК России были утверждены требования по обеспечению безопасности информации в КСИИ. В соответствии с Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, ФСТЭК России является уполномоченным органом по контролю за деятельностью по обеспечению безопасности информации в КСИИ.К критически важным объектам относятся:• системы органов власти• система органов управления правоохранительных структур• системы финансово-кредитной и банковской деятельности• системы предупреждающей и ликвидирующей чрезвычайной
ситуации• системы управления водоснабжения• системы управления электроснабжения и др.
© КБ-Информ | [email protected] | www.kbinform.ru
26
Комплекс работ по защите информации в КСИИ включает:
аудит:
• определение принадлежности КСИИ к одному из установленных уровней важности
• определение перечня ключевой информации в КСИИ
• оценка последствий нарушений ее безопасности
• анализ и выявление актуальных угроз безопасности информации
• оценка принятых мер обеспечения безопасности информации
• проектирование системы защиты информации:
• разработка концепции обеспечения безопасности информации в КСИИ
• формирование требований к обеспечению безопасности информации в КСИИ
• разработка технического задания на создание системы защиты
© КБ-Информ | [email protected] | www.kbinform.ru
27
• выбор организационных и технических мер защиты и разработка технорабочего проекта на систему защиты
• внедрение системы защиты информации:• поставка, монтаж/установка и настройка средств защиты
информации• разработка комплекта организационно-распорядительной
документации• проведение аттестационных испытаний:• разработка программы и методики проведения аттестационных
испытаний• проведение аттестационных испытаний• регистрация и выдача аттестата соответствия КСИИ требованиям
по безопасности информации.Результат – полное соответствие КСИИ требованиям по их защите от различных угроз ИБ
© КБ-Информ | [email protected] | www.kbinform.ru
28
В каждой компании имеется перечень информации, которая всегда будет интересна злоумышленнику. Этой информацией может быть:• реквизиты доступа к системам дистанционного банковского
обслуживания• базы данных клиентов компании• сведения о финансовой деятельности компании• планы развития на определенный период времени• и многое другое...В качестве злоумышленника может быть уволенный сотрудник и конкурирующая фирма. А результатом успешной атаки — ущерб компании. Даже при условии однозначного определения виновника достаточно сложно возместить убытки.Мы предлагаем следующие услуги:• независимые расследования инцидентов• сбор цифровых доказательств• компьютерно-техническая экспертиза
© КБ-Информ | [email protected] | www.kbinform.ru
29
В каждой компании имеется перечень информации, которая всегда будет интересна злоумышленнику. Этой информацией может быть:• реквизиты доступа к системам дистанционного банковского
обслуживания• базы данных клиентов компании• сведения о финансовой деятельности компании• планы развития на определенный период времени• и многое другое...В качестве злоумышленника может быть уволенный сотрудник и конкурирующая фирма. А результатом успешной атаки — ущерб компании. Даже при условии однозначного определения виновника достаточно сложно возместить убытки.Мы предлагаем следующие услуги:• независимые расследования инцидентов• сбор цифровых доказательств• компьютерно-техническая экспертиза
© КБ-Информ | [email protected] | www.kbinform.ru
30
Комплексное решение — это набор наиболее востребованных услуг из области:
• правовой защиты интересов компании
• программно-технической защиты информации
• расследования компьютерных преступлений
• сопровождения информационных сетей и систем
• анализа защищенности и построения систем защиты
• повышения осведомленности
Набор услуг является сбалансированным решением для руководства компании и позволяет минимизировать целый ряд рисков для бизнеса.
© КБ-Информ | [email protected] | www.kbinform.ru
31
В рамках контракта проводятся следующие мероприятия:• Предварительный аудит информационной безопасности
– Анализ правовых оснований обработки информации (Законодательство, договора с 3-ми лицами, ведомственные документы и т.п.)
– Проведение технической инвентаризации и разработка технических паспортов на системы
– Анализ защищенности ЛВС и ее архитектуры, проведение полного сканирования сети и систем на уязвимости
– Оформление отчетов, технической документации и устранение уязвимостей (при возможности/необходимости)
• Разработка организационно-распорядительной документации (ОРД) по вопросам защиты коммерческой тайны и персональных данных (Положения, Приказы, Инструкции и т.п.) и внесение корректировок в существующие документы
• Периодический контроль защищенности компьютерной информационной системы
• Контроль инсайдерской деятельности и утечек информации• Периодическое повышение осведомленности персонала
© КБ-Информ | [email protected] | www.kbinform.ru
32
Необходимость получения лицензий ФСТЭК России и ФСБ России для осуществления законной деятельности организации предусматривается Федеральным законом "О лицензировании отдельных видов деятельности" Наши специалисты окажут комплекс услуг необходимых для получения лицензий ФСБ и ФСТЭК России:• консультирование о порядке и необходимых условиях для
получения лицензий• подготовка пакета документов• аттестация объектов информатизации• подбор и поставка контрольно-измерительного
оборудования• повышение квалификации сотрудников Заказчика по
согласованным с регуляторами программам
© КБ-Информ | [email protected] | www.kbinform.ru
33
Состав работ:• разработка общего плана мероприятий по повышению
осведомленности персонала в области информационной безопасности• проведение очного обучения сотрудников• проведение дистанционного обучения сотрудников• контроль знаний и навыков сотрудников• разработка комплекта материалов для проведения вводного
инструктажа новых сотрудников компании• разработка комплекта материалов для поддержания в компании
атмосферы безопасной работы.Результаты работ:• корпоративная программа обучения и повышения осведомленности
сотрудников по вопросам информационной безопасности• план мероприятий по повышению осведомленности персонала в
области информационной безопасности.
© КБ-Информ | [email protected] | www.kbinform.ru
34
Мы предлагаем комплексное консалтинговое сопровождение клиентана всех этапах создания и внедрения систем защиты информации. Мы оказываем консультационную поддержку заказчика в ходе:• предпроектного аудита существующей системы• подготовки необходимой организационно-распорядительной
документации• разработки и реализации проекта• аттестации созданной системы по требованиям и стандартам
информационной безопасностиВ рамках данных услуг мы эффективно решаем следующие задачи:• управление рисками – выявление, оценка и контроль потенциальных
угроз информационной безопасности• оптимизация бизнес-процессов – постановка и управление
информационными потоками, контроль соответствия уровня безопасности требованиям регуляторов
• внедрение конкретных решений на предприятии – планирование, развертывание и техническая поддержка
© КБ-Информ | [email protected] | www.kbinform.ru
35© КБ-Информ | [email protected] | www.kbinform.ru
36© КБ-Информ | [email protected] | www.kbinform.ru