Мы проводим независимую экспертную оценку текущего состояния процессов, уровня обеспечения информационной безопасности организации и степени ее соответствия критериям аудита.
Успешность проведения аудита информационной безопасности зависит от правильно установленных критериев аудита.
В рамках комплексного аудита мы проводим работы исходя из специфики вашей организации, целей, задач, которых вы планируете достичь. Работы могут осуществляться как в виде комплексного аудита информационной безопасности, так и по отдельности.
Независимо от выбранного вами типа аудита, мы окажем профессиональную помощь в определении точного состава работ, необходимых по специфике деятельности именно для вашей организации.

Ниже вы можете ознакомиться с примерным перечнем работ в рамках аудитов информационной безопасности, которые мы проводим и по которым к нам обращаются организации чаще всего.

В рамках аудита Единой биометрической системы (ЕБС) мы осуществляем следующие мероприятия:

• Проведение оценки соответствия по методике ГОСТ Р 57580.2-2018
• Оценка соответствия требованиям 453 Приказа Минцифры
• По результатам проведенной оценки:

- формируется отчет с результатами аудита, выводами о соответствии требованиям Положения и ГОСТ к системе обеспечения информационной безопасности;
- формируются рекомендации по приведению в соответствие требованиям Положения и ГОСТ;
- также возможна разработка организационно-распорядительной документации по результатам аудита

В рамках аудита системы управления рисками мы оказываем следующие услуги:

• Проверка правильности принятия и реализации мер по управлению рисками
• Определение причин возникновения рисков и предложение мер по их снижению, устранению
• Приведение системы управления операционными рисками в соответствие с требованиями ЦБ РФ
• Предоставление рекомендаций по улучшению системы управления рисками

В рамках аудита сетевой безопасности для получения наиболее полной и объективной оценки обеспечения работоспособности и безопасности информационной инфраструктуры мы осуществляем следующие услуги:

• Сбор информации о процессах и обрабатываемых у Заказчика данных
• Сбор информации о серверной инфраструктуре, текущему сегментированию сети
• Получение выгрузки и анализ правил межсетевого экрана (МЭ), подготовка рекомендаций в части изменения правил межсетевого экрана (МЭ)
• Подготовка схемы архитектуры L2/L3 AS IS и TO BE
• Подготовка рекомендаций по выделению сегментов сети
• Подготовка рекомендаций в части модернизации сетевой архитектуры

В рамках аудита информационных систем и отдельных решений для выявления уязвимостей в системе защиты информации и предотвращения возможных угроз безопасности мы осуществляем следующие услуги:

• Анализ безопасности архитектуры и инфраструктуры информационных систем (ИС)/решений
• Проверка процесса управления доступом в информационные системы (ИС)
• Проверка сегментации, использования безопасных протоколов, правил межсетевого экрана (МЭ)
• Проверка настроек логирования
• Проверка наличия и настройки всех необходимых средств защиты информации (СЗИ)
• Проверка безопасности API
• Проверка внедренных процедур по безопасной разработке/тестированию/ внедрению
• Проверка обеспечения безопасности сред виртуализации
• Проверка требований к хранению и обработке конфиденциальной информации, в том числе на соответствие требованиям регуляторов.
• Другие проверки настроек ИС.

Аудит процесса управления доступом является важным мероприятием, выявляющим недочёты в системе управления доступом. Регулярное проведение аудита помогает поддерживать приемлемый уровень защиты информации.
В рамках аудита процесса управления доступом мы осуществляем следующие услуги:

• Анализ процедур управления учетными записями (пользователи, администраторы, технологические УЗ)
• Анализ централизованной парольной политики и управление доступом
• Разработка ролевой модели доступа автоматизированных систем (АС) и правил, запрещающих совмещение определённых ролей (SOD)
• Подготовка рекомендаций по совершенствованию процесса управления доступом

Основная цель проведения аудита ИБ объектов КИИ – определение текущего уровня обеспечения ИБ объектов КИИ и дальнейшие действия для повышения уровня ИБ.

В рамках аудита ИБ объектов КИИ мы осуществляем полный комплекс работ по обеспечению информационной безопасности КИИ на всех этапах:

• Формирование комиссии по категорированию объектов КИИ
• Формирование перечня объектов КИИ
• Направление перечня объектов КИИ во ФСТЭК
• Проведение работ по категорированию объектов КИИ
• Проведение экспертно-документального аудита защищенности объекта КИИ

- инвентаризация процессов в рамках осуществления деятельности, выявление критичных процессов и определение объектов критической информационной инфраструктуры;
- сбор и анализ сведений об объектах КИИ и взаимодействии со смежными системами, в том числе с ведомственными и обеспечивающими системами (СМИС, вентиляция, пожаротушение и прочие);
- сбор и анализ сведений о применяемых организационных и технических мерах обеспечения ИБ.

• Определение актуальных угроз безопасности информации с разработкой моделей угроз безопасности информации

- оценка возможностей внешних и внутренних нарушителей;
- анализ возможных уязвимостей и реализованных мер защиты;
- анализ возможных способов реализации угроз безопасности информации;
- анализ возможных последствий от нарушения свойств безопасности информации, оценка возможного ущерба.

• Проведение на основе полученных данных категорирование объектов КИИ

- установление соответствия объектов критической информационной инфраструктуры значениям показателей критериев значимости и присвоение им одной из категорий значимости;
- подготовка акта категорирования;
- подготовка формы направления сведений об объектах КИИ;
- направление формы направления сведений об объектах КИИ во ФСТЭК;
- согласование формы направления сведений об объектах КИИ со ФСТЭК.

• Проведение оценки соответствия мер по обеспечению ИБ объектов КИИ требованиям нормативно-методических и правовых документов

- анализ используемых средств защиты;
- формирование адаптированного базового набора мер, на основании актуальных угроз;
- обоснование необходимости создания или модернизации существующей системы защиты.

• Проектирование и внедрение системы защиты

- разработка технического задания;
- разработка документации технического проекта;
- стендовые испытания и пилотирование;
- внедрение средств защиты, их настройка и интеграция.

• Разработка и внедрение единых требований к обеспечению безопасности

- разработка документов по безопасности: комплекта регламентов и инструкций по поддержанию требуемого уровня обеспечения безопасности информации, а также проектов внутренних документов: приказов, инструкций, положений, с учетом действующих на предприятии документов;
- внедрение организационных мер по обеспечению безопасности.

Защищенность данных влияет на репутацию организации и уровень доверия к ней со стороны субъектов персональных данных, позволяет оптимизировать бизнес-процессы и успешно проходить проверки со стороны контрольных и надзорных органов. Разработка и внедрение систем защиты персональных данных предполагает выполнение совокупности технических, программных и организационных работ.

Реализованный проект по системе защиты персональных данных позволит:
- свести к минимуму репутационные риски, связанные с утечкой конфиденциальных сведений;
- обезопасить базы данных от негативного воздействия вредоносного программного обеспечения, а также избежать утечки при увольнении работников
- увеличить персональную ответственность работников за поддержание необходимого уровня безопасности в организации;
- достичь максимальную степень внутреннего информационного взаимодействия и обмена данными с телекоммуникационными сетями и другими информационными системами;
- сформировать положительный образ у партнеров, клиентов, что в последствии может положительно повлиять на увеличение прибыльности бизнеса.
Для эффективного достижения вышеуказанных целей необходим системный подход с выбором оптимальных способов, средств защиты, а также их согласование и налаживание взаимосвязанной бесперебойной работы.

При разработке СЗПДн мы проводим следующие мероприятия:

• Исследование ИСПДн;
• Определение концепции защиты персональных данных;
• Разработка внутренних организационно-распорядительных документов, на основании которых будет осуществляться интеграция и контроль защитных мероприятий;
• Установление уровня защищенности персональных данных после установления потенциальных угроз, состава персональных данных, числа субъектов персональных данных;
• Подготовка перечня конкретных рисков для защиты и формирования модели актуальных угроз и потенциального нарушителя;
• Разработка ТЗ (технического задания)
• Проектирование СЗПДн согласно установленным нормативам

При внедрении СЗПДн мы проводим следующие мероприятия:

• поставка средств защиты, предусмотренных проектной документацией;
• установка и проведение пуско-наладочных работ с достижением сглаженности функционирования всех элементов системы;
• организация аттестационных испытаний (при необходимости).

Мы предлагаем комплексные услуги по анализу и оценке информационных систем персональных данных, оказанию профессиональной поддержки в анализе рисков, аудиту безопасности и адаптации ваших систем к актуальным требованиям законодательства.

Анализ систем персональных данных позволяет обеспечить безопасность и конфиденциальность информации в вашей организации посредством выявления и устранения уязвимостей, которые могут привести к утечке или потере данных.
Услуги по приведению защиты персональных данных в соответствие с требованиями законодательства включают в себя:

• Определение бизнес-процессов, задействованных в процессе обработки персональных данных.
• Определение перечня автоматизированных систем, используемых для обработки персональных данных в рамках каждого идентифицированного бизнес-процесса.
• Определение состава персональных данных, обрабатываемых в существующих информационных системах, целей обработки, порядка обработки персональных данных, а также мест и форм хранения персональных данных у Заказчика, представленных как на электронном, так и на бумажном носителе.
• Обследование реализованных у Заказчика технических и организационных мер защиты персональных данных, применяемых при неавтоматизированной обработке персональных данных.
• Правовая оценка системы организации обработки персональных данных.
• Анализ внутренних нормативных документов Заказчика в областях обработки персональных данных и информационной безопасности.
• Разработка организационно-распорядительной документации в соответствии с Федеральным законом «О персональных данных» N 152-ФЗ и другим нормативным актам.
• Разработка и внедрение системы защиты ПДн (СЗПДн).

Требования стандарта распространяются на российские компании, которые имеют филиалы и представительства в странах Европейского союза и оказывают услуги на постоянной основе или осуществляют обработку персональных данных граждан европейского союза и в иных случаях.
В таком случае, даже если компания полностью соответствует требованиям 152-ФЗ и подзаконных актов, необходимо удостовериться в необходимости обеспечения соответствия требованиям GDPR.

Несоблюдение требований GDPR может повлечь для компании крупные многомиллионные штрафы.
Мы предлагаем обследование процессов, связанных с обработкой персональных данных граждан Европейского союза, анализ соответствия требованиям GDPR.