Берем под контроль границу между сетью Интернет и локальной сетью организации - устанавливаем на границе общей и локальной сети межсетевые экраны - определяем правила доступа к рабочей инфраструктуре организации - определяем сервисы, которые должны быть доступны из сети Интернет - конфигурируем межсетевые экраны в соответствии с правилами доступа
Приводим в порядок рабочие станции пользователей - устанавливаем средства антивирусного контроля - лишаем пользователей возможности вносить изменения в операционные системы, устанавливать программное обеспечение по своему желанию - разумно ограничиваем использование съемных носителей и подключение внешних устройств
Правильно структурируем и повышаем надежность локальной сети - разделяем корпоративную сеть на сегменты: руководство (рабочие места руководителей и топ менеджеров), пользовательский (рабочие места пользователей, МФУ и прочее) и технологический (сервера и коммутационное оборудование); - обеспечиваем контроль файлов с настройками сетевого оборудования
Защищаем критически важные сервисы - размещаем средства и инструменты для выявления и блокировки несанкционированных действий в корпоративных сервисах (WAF, IDS/IPS, NTA, anti-DDoS системы)
Организуем резервное копирование информации для минимизации потерь - разрабатываем правильную схему резервного копирования - реализуем схему резервного копирования и внедряем контроли
О мерах защиты корпоративных информационных систем
5 распространённых ошибок, которые часто допускают компании
Я, субъект персональных данных, указанных при заполнении вэб-формы по адресу http://sb72.ru/, даю Обществу с ограниченной ответственностью «Русская Компания» (далее - Оператор), расположенному по адресу: 625048, г. Тюмень, ул. Салтыкова-Щедрина д.53/3, согласие на обработку (как с использованием средств автоматизации, так и без использования таких средств) сведений, содержащих мои персональные данные (далее – Персональные данные):
фамилия, имя, отчество;
адрес электронной почты.
номер телефона;
место работы.
Персональные данные предоставлены мной в строках: «Имя (как к Вам обращаться?)», «E-mail», «Номер телефона», «Название организации» при оформлении запроса на сайте Оператора. Персональные данные предоставлены мной Оператору с целью запроса у оператора дополнительной информации по его продуктам и услугам, ведения реестра предоставления информации Оператором. С Персональными данными могут быть совершены следующие действия: сбор, систематизация, накопление, хранение, передача, предоставление, уточнение (обновление, изменение), использование, обезличивание, блокирование и уничтожение.. Согласие вступает в силу с момента отправки мной запроса на сведения о сертификате с сайта Оператора и действует до достижения целей обработки Персональных данных. Данное согласие может быть в любое время отозвано. Отзыв оформляется в письменном виде в произвольной форме и должно быть направлено по адресу: 625048, г. Тюмень, ул. Салтыкова-Щедрина д.53/3, ООО «РК», с пометкой «Отзыв согласия на обработку персональных данных». Для исполнения данного положения Оператор может потребовать подтверждения личности в любой непротиворечащей закону форме. Я подтверждаю, что, давая настоящее Согласие, я действую своей волей и в своих интересах.
Аудит состояния информационной безопасности
- Определение активов, которые необходимо защищать
- Анализ достаточности принимаемых мер
- Разработка или корректировка мер по обеспечению безопасности активов
Аудит информационной безопасности (ИБ) является основным инструментом контроля состояния защищенности информации и представляет собой комплексное исследование всех информационных активов предприятия от возможных внутренних и внешних угроз безопасности с учетом объективных потребностей предприятия и требований законодательства. Аудит ИБ является ключевой частью проектов по обеспечению безопасности информации в качестве стартового этапа проекта по созданию систем защиты информации, призванной определить степень защищенности системы, соответствия критериям аудита, отраслевым стандартам, а также рекомендации по совершенствованию организационных и технических мер, направленных на обеспечения ИБ предприятия.
Получить консультацию
Внедрение и сопровождение мер обеспечения безопасности активов
- Внедрение организационных и технических мер
- Сопровождение реализованных мер защиты активов
Деятельность любой организации так или иначе связана с работой с информацией, подлежащей защите. Требования к конфиденциальности такой информации могут определяться как федеральными законами, так и позицией компании-владельца, заинтересованной в охране конфиденциальной информации. Таким образом, меры, направленные на обеспечение безопасности информационных активов, зависят от нормативно-правовых требований действующего законодательства, направленных на обеспечения информационной безопасности, и от принятой в компании политики противодействия информационным угрозам. Совокупность таких мер образует систему защиты информации. Разумеется, сложно сразу и точно определить, какие именно меры необходимо внедрить для реализации качественной системы защиты информации, а также избыточность таких мер, что, в свою очередь, может привести к излишним затратам: цена вложений в информационную безопасность должна быть соизмерима с ценой потенциальных убытков, связанных с утечкой конфиденциальной информации. Построение комплексных систем защиты информации путём внедрения исчерпывающих и достаточных, но не излишних мер, позволяющих решать задачи по снижению рисков возникновения угроз безопасности информационных активов организации, и, в ряде случаев, требований нормативно-правовых регуляторов, а также их сопровождение — задача, требующая тщательной проработки и, как следствие, определённого опыта.
Получить консультацию
Аттестация на соответствие требованиям по защите персональных данных (конфиденциальной информации)
Подготовка к аттестации объектов информатизации:
- Поставка, установка и настройка средств защиты - Разработка документации (технические паспорта, организационно-распорядительные документы по защите информации, модели угроз и т.д.)
Проведение аттестации с оформлением полного комплекта соответствующей документации
Ежегодный периодический контроль эффективности средств защиты
Техническое сопровождение системы защиты информации
Аттестация объектов информатизации – завершающий этап работ по внедрению систем защиты информации, представляющий собой комплекс организационно-технических мероприятий, направленных на определение и подтверждение действительного уровня защищенности и соответствия аттестуемого объекта информатизации (ОИ) требованиям по безопасности информации. Наличие аттестата соответствия является официальным подтверждением эффективности комплекса используемых мер и средств защиты информации, а также, в случае проверочных мероприятий со стороны уполномоченных органов, позволяет быть уверенным, что реализованная система защиты информации действительно соответствует всем необходимым требованиям. В ряде случаев, когда это предусмотрено федеральным законодательством РФ и правовыми актами уполномоченных контролирующих органов, предприятие обязано провести аттестацию ОИ. Так, к примеру, обязательной аттестации подлежат государственные и муниципальные информационные системы, а также ОИ компаний, готовящихся к получению лицензий на определенные виды деятельности. Кроме того, аттестация также может быть добровольной: такая аттестация проводится по инициативе владельца ОИ и служит для подтверждения соответствия ОИ определенным нормативным требованиям безопасности информации в случаях, когда требуется подтверждение функциональных показателей, либо независимая экспертная оценка.
Получить консультацию
Решение проблем информационный безопасности в малом и среднем бизнесе
Использование сотрудниками сети Интернет в личных целях
Повышение эффективности работы сотрудников за счет контроля использования рабочего времени
Потеря данных информационных систем в результате сбоев
Потеря сервера компании с критичными данными
Наличие у пользователей избыточных прав в информационных системах
Несанкционированный доступ к информации с использованием паролей других пользователей
Доступ к информационным системам компании уволенных сотрудников и администраторов
Получить консультацию
Повышение эффективности работы сотрудников за счет контроля использования рабочего времени
Проведение пилотного проекта по использованию системы контроля рабочего времени
Внедрение системы контроля использования рабочего времени
Сопровождение системы контроля использования рабочего времени
Получить консультацию
Аутсорсинг организации обработки персональных данных (ответственное лицо за обработку персональных данных)
Исполнение обязанностей лица, ответственного за организацию обработки персональных данных
Поддержание в актуальном состоянии документации по персональным данным
Проведение плановых мероприятий по обеспечению безопасности персональных данных
Создание и поддержание актуальности эффективной и сбалансированной системы защиты персональных данных — сложный процесс, требующий не только обеспечения целого ряда организационно-технических мероприятий, направленных на исполнение требований законодательства РФ, но и тщательного анализа исходных данных и индивидуального подхода к каждому конкретному случаю. Разумеется, далеко не каждое предприятие имеет объективную возможность выделить сотрудников для решения такого количества задач, ведь это требует не только значительных затрат человеческого ресурса, но и определенной подготовки и знаний таких кадров. В таком случае, рациональнее всего поручить процессы обработки персональных данных сторонней организации, имеющей в данной области опыт и специализирующейся на решении таких вопросов: это позволит не только рационализировать бизнес-процессы предприятия, но и быть уверенным в том, что обработка персональных данных вашей организации соответствует всем требованиям законодательства РФ.
Получить консультацию
Сопровождение при проверках организации Роскомнадзором (персональные данные)
Экспресс аудит перед проверкой, устранение основных недостатков
Представление интересов организации при выездной проверке
Устранение выявленных нарушений по результатам проверки
Проверки Роскомнадзора, как, впрочем, и других контролирующих органов, можно разделить на 2 вида: плановые, то есть те, о которых известно заранее, и внеплановые, основанием для проведения которых являются, как правило, жалобы сотрудников компании или её клиентов — субъектов персональных данных (ПДн), в случаях нарушений в процессах обработки ПДн. Согласно статистике, внеплановых проверок, как правило, значительно больше, и их количество увеличивается с каждым годом прямо пропорционально количеству жалоб. Связано это, в первую очередь, с актуализацией, популяризацией и ужесточением вопросов, касающихся защиты информации, в том числе и ПДн. Так что риск оказаться в числе проверяемых организаций есть у любой компании-оператора ПДн. Конечно, такие проверки для любой компании-оператора сопряжены с определённым стрессом, ведь, как известно, операторы и лица, виновные за нарушения требований закона «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Совсем избежать проверок, к сожалению, не получится, а, учитывая, что начались они относительно недавно, мало кто имеет четкое представление о правильной тактике поведения в период таких проверок. Для того, чтобы проверка прошла максимально гладко и с минимальными для оператора рисками и последствиями, можно обратиться в стороннюю организацию, которая имеет опыт в проведении комплексной подготовки к предстоящей проверке, поможет в сопровождении на объекте в ходе самой проверки, а также в выполнении необходимых действий после.
Получить консультацию
Подключение организации к федеральным информационным системам
ФИС ФРДО
ИС ЕПТ
Электронный ПТС
Федеральные информационные системы существуют для реализации органами власти своих полномочий, выполнения ими определенных функций и обмена информацией с организациями, деятельность которых предполагает взаимодействие в такими органами для реализации своей трудовой деятельности. Требования по подключению к таким системам включают в себя не только требования действующего законодательства, но также индивидуальный для каждой системы регламент подключения, предполагающий использование соответствующих средств защиты информации и целый перечень обязательных к исполнению процедур, определенный порядок правомочного подключения к каждой конкретной системе. Для каждой организации, которой необходимо подключиться в какой-то федеральной информационной системе, процедура подключения является скорее разовым мероприятием, что, как правило, диктует нецелесообразность самостоятельного изучения вопросов, связанных с организацией такого подключения. В таком случае можно обратиться к специалистам, которые окажут полный комплекс услуг по приведению объекта информатизации в соответствие с требованиями законодательства, а также возьмут на себя все процедуры и процессы, необходимых для подключения и полноценного взаимодействия, переподключения и восстановления доступа конечной компании к Федеральным информационным системам с учетом действующих регламентов и законодательства РФ.
Получить консультацию
Защита персональных данных, критической для функционирования компании информации и сопровождение ит-инфраструктуры
- Выполнение организационных требований по защите персональных данных в организации; достигается путем разработки и внедрения индивидуального пакета организационно-распорядительных документов по защите персональных данных в организации и его сопровождения;
- Выполнение технических требований по защите персональных данных; достигается путем реализации необходимых технических мер защиты в соответствии с требованиями ФСТЭК России встроенными средствами операционных систем и свободно распространяемого программного обеспечения;
- Защиту важных для функционирования организации ит-активов (CRM, базы данных и т.д.); достигается путем организации системы разграничения доступа, настройкой систем резервного копирования и восстановления информации;
- Повышение эффективности работы сотрудников; достигается путем проведения пилотного проекта специализированного программного обеспечения, позволяющего получать исчерпывающие отчеты по деятельности каждого сотрудника;
- Стабильно функционирующую ит-систему; достигается путем профессиональной настройки всех компонент системы в соответствии с best practice, постоянным мониторингом за корректной работой элементов системы и быстрой реакцией на сбои;
- Снижение затрат на обслуживание ит-системы; стоимость услуги по профессиональному обслуживанию it-системы в нашей компании в разы меньше, чем содержание своего it-отдела или даже одного штатного специалиста;
- Готовность к проверкам Роскомнадзора в части соблюдения требований по защите персональных данных; достигается путем внедрения и функционирования полной нормативно-методической документации по защите персональных данных в организации (с п.1.), реализации технических мер и присутствии наших специалистов при проведении проверки.
Стоимость обслуживания: 80 000 – первый месяц (работа с персональными данными, формирование пакета ОРД, настройка it-системы заказчика); 15 000 – ежемесячно (до 10 автоматизированных рабочих мест и 2 серверов включительно).