АО «МТУ Сатурн» предлагает полный перечень услуг по подготовке к аттестации и аттестации объектов информатизации (помещений, ОВТ, ИСПДн, ЛВС, АС)

АО «МТУ Сатурн» предлагает полный перечень услуг по подготовке к аттестации и аттестации объектов информатизации (помещений, ОВТ, ИСПДн, ЛВС, АС). Данный комплекс услуг включает в себя:

1. Аттестация объектов информатизации:

- Выделенных (защищаемых) помещений, автоматизированных рабочих мест (АРМ), автоматизированных и информационных систем, в соответсвтии с действующих нормативно-методических документов ФСТЭК России.

2. Проектирование системы защиты информации в выделенных(защищаемых) помещениях от её утечки по техническим каналам.

3. Разработка проектной документации на создание автоматизированных систем в защищенном исполнении (АСЗИ).

4. Установка и настройка средств защиты информации от несанкционированного доступа;

5. Специальные исследования (СИ):

- Побочные электромагнитные излучения и наводки (ПЭМИН) ПЭВМ.

- Акустоэлектрические преобразования,высокочастотное навязывание, высокочастотное облучение и прокачка (АЭП, ВЧН, ВЧО, ВЧП), за счет паразитной генерации.

6. Оценка защищенности выделенных помещений от утечки информации по акустическому и вибрационному каналам.

7. Защита информации, не составляющей государственную тайну, в государственных информационных системах, в соответствии с Приказом ФСТЭК России № 17.

8. Защита информации, не составляющей государственную тайну, в информационных системах, обрабатывающихперсональные данные, в соответствии с Приказом ФСТЭКРоссии № 21.

Проведение аудита информационной безопасности позволяет решать следующие задачи:

• повышение уровня защищенности информационных ресурсов компании;
• приведение процессов управления информационной безопасности в соответствие с требованиями стандартов и законодательства;
• контроль уровня защищенности внедряемой системы;

Тестирование на проникновение – тест, в ходе которого перед экспертом ставится задача получить доступ к определенным данным, и он практически не ограничен в выборе хакерских средств для достижения поставленной цели. Результатом аудита является отчет, описывающий удачный сценарий проникновения с описанием использованных уязвимостей. В рамках тестирования могут использоваться методы социальной инженерии, с помощью которых оценивается способность сотрудников компании противостоять обманным и манипулятивным техникам, нацеленным на получение конфиденциальной информации.

Комплексное тестирование защищенности систем – аудит защищенности информационных систем, включающий в себя инвентаризацию ресурсов, ручной и автоматизированный поиск уязвимостей на всех уровнях (сетевой, уровень ОС, СУБД, прикладной), попытки эксплуатации уязвимостей, проверка возможности реализации различных векторов атак и др. Цель подобного тестирования - выявление максимального количества эксплуатируемых уязвимостей для последующего их устранения.

Аудит системы управления информационной безопасностью – аудит процессов управления информационной безопасностью на соответствие требованиям международного стандарта ISO 27001:2005 или российского ГОСТ Р 27001:2006.

Также мы проводим аудиты на соответствия требованиям российского законодательства (федеральный законы N 152-ФЗ "О персональных данных", N 161-ФЗ "О национальной платежной системе" и др.)

Аудит безопасности кода – анализ исходных текстов программного обеспечения с целью выявления уязвимостей, связанных с ошибками кодирования, преднамеренным внесением программных закладок, наличием недокументированных возможностей и др.

Компания проводит работы по осуществлению полного комплекса мер обеспечения информационной безопасности, включая:

• обследование состояния информационной безопасности на предприятии (в учреждении);
• разработку организационно-распорядительных и нормативно-методических документов;
• формирование корпоративной концепции информационной безопасности;
• установку и настройку рекомендованных средств защиты;
• технический сервис и сопровождение СЗИ.

В процессе обследования:

• анализируются бизнес-процессы заказчика и инфраструктура его информационной системы (ИС),
• выявляются угрозы безопасности и уязвимости ИС,
• определяются пути противодействия угрозам и устранения уязвимостей,
• формулируются требования к корпоративной системе защите информации (СЗИ),
• составляется задание на организацию (реорганизацию) СЗИ.

При формировании корпоративной Концепции информационной безопасности устанавливаются правовые, организационные и технологические основы применения СЗИ и разрабатываются основные нормативные и методические документы (Положения о системе защиты информации, порядке учета, обращения и хранения информации ограниченного распространения, организации электронного документооборота, инструкции сотрудников отдела защиты информации, администраторов ЛВС и баз данных, пользователей ИС, план обеспечения безотказной работы и восстановления работоспособности ИС и т.п.).

На основе этих документов определяется перечень основных функций корпоративной СЗИ.

Наши специалисты специализируются на внедрении (в первую очередь сертифицированных) средств защиты информации, в том числе:

• анализ защищенности ИС;
• идентификация и аутентификация легальных пользователей ИС;
• защита корпоративной сети от несанкционированного доступа;
• криптографическая защита информации;
• защита рабочих станций и серверов от несанкционированного доступа;
• разграничение пользователей по правам доступа к информационным ресурсам;
• защита информационных потоков между рабочими станциями, серверами;
• обнаружение атак;
• защита общесистемного ПО, файловых и почтовых серверов;
• защита прикладного ПО;
• антивирусная защита;
• резервное копирование;

В соответствии со спецификой вида деятельности или субъективными пожеланиями заказчика основные усилия при обеспечении безопасности могут быть сосредоточены на реализации одной или нескольких из перечисленных функций.

Компания поддерживает партнерские отношения с ведущими российскими и зарубежными поставщиками средств защиты информации. Наши эксперты проводят отбор необходимых средств, отвечающих целям и задачам заказчика, и затем интегрируют их в корпоративную ИС с учетом особенностей ее архитектуры. Специалисты компании проводят также работы по установке средств защиты информации, обучению персонала, оказывают профессиональные услуги технической поддержки установленных СЗИ (гарантийное и послегарантийное обслуживание, обновление ПО, выявление новых угроз и уязвимостей с разработкой и реализацией ответных мер и т.д.).