Мы предлагаем вам широкий спектр услуг

Проверка готовности Изделия и документации на Изделие к предъявлению на сертификационные испытания по заданным требованиям безопасности информации.

Проведение комплекса мероприятий по организации процесса сертификации Изделия

Проведение сертификационных испытаний по требованиям безопасности информации ФСТЭК России в качестве аккредитованной испытательной лаборатории.

Проведение комплексного обследования структурных подразделений организации в части вопросов, касающихся защиты информации

Формирование и проведение единой политики в области обеспечения информационной безопасности на предприятии

Выполнение целого спектра работ по созданию комплексной системы защиты информации на предприятии

Создание автоматизированных систем в защищенном исполнении, предназначенных для обработки как конфиденциальной информации, так и информации, содержащей сведения, составляющие государственную тайну

Разработка и внедрение программных средств защиты информации; проектирование, монтаж и поставка ИТ-инфраструктуры предприятия (СКС, ЛВС, СКУД, ВКС, телефония, видеонаблюдение)

Выполняем консультирование по вопросам получения лицензий ФСТЭК России, ФСБ России, Минобороны России, подготовку и оформление документов, необходимых для получения лицензий

Полный комплекс услуг по обеспечению безопасности информации, содержащейся в государственных информационных системах

Полный комплекс услуг по обеспечению безопасности объектов критической информационной инфраструктуры, включая категорирование

Полный комплекс услуг по защите персональных данных с учетом специфики и особенностей организации

Проведение курсов повышения квалификации по программам профессиональной подготовки в области защиты информации

Разработка и внедрение системы менеджмента ИБ на предприятии в соответствие с ISO 27001 и лучшими мировыми практиками

Аттестация объектов информатизации: автоматизированных систем и выделенных помещений

Проверка готовности Изделия и документации на Изделие к предъявлению на сертификационные испытания по заданным требованиям безопасности информации. Этапы работ делятся на:

наличия (готовности) образца Изделия;

наличия у Заказчика прав на Изделие;

соответствия конструкторской и эксплуатационной документации требованиям ЕСКД и ТЗ на Изделие;

соответствия программной документации требованиям ЕСПД и ТЗ на Изделие;

соответствия комплектности Изделия требованиям документации и ТЗ.

2. В зависимости от требований к Изделию проверка состава и содержания документации Изделия на соответствие требованиям нормативным правовым актам по защите информации.

3. Проверка соответствия производства Изделия (если используется схема сертификации процесса производства идентичных образцов продукции с открытым тиражом копий) требованиям по безопасности.

4. Проверка соответствия технической поддержки Изделия требованиям по безопасности.

5. Разработка инженерной записки по результатам проверок.

Проведение комплекса мероприятий по организации процесса сертификации Изделия. Этапы работ:

1. Подготовка пакета документов для предъявления в аккредитованную испытательную лабораторию на сертификационные испытания:

заявка на проведение сертификационных испытаний Изделия (разрабатывается при отсутствии);

технические условия или задание по безопасности;

формуляр (паспорт) на Изделие;

договор с лицом, обладающим исключительными правами на Изделие (в случае, если Заказчик не обладает исключительными правами на Изделие).

2. Привлечение аккредитованной испытательной лаборатории для проведения сертификационных испытаний.

Проведение сертификационных испытаний по требованиям безопасности информации ФСТЭК России в качестве аккредитованной ФСТЭК России испытательной лаборатории

Сертификация средств защиты информации по требованиям безопасности информации состоит из следующих этапов:

1. Подготовка заявки на сертификацию совместно с Заказчиком.

2. Предварительное рассмотрение образца средства защиты информации и документации.

3. Разработка и согласование с Заказчиком программы и методик сертификационных испытаний средства защиты информации.

4. Отбор образцов средства защиты информации для сертификационных испытаний с составлением соответствующего акта отбора образцов.

5. Проведение сертификационных испытаний:

оценка соответствия параметров и характеристик средства защиты информации требованиям по безопасности с оформлением протокола испытаний;

оценка соответствия техподдержки средства защиты информации требованиям по безопасности с оформлением протокола испытаний;

оценка соответствия производства средства защиты информации требованиям безопасности с оформлением протокола испытаний (по схеме сертификации для серийного производства средства защиты информации).

6. Оформление технического заключения.

7. Предоставление материалов сертификационных испытаний в орган по сертификации.

8. Устранение замечаний федерального органа по сертификации, органа по сертификации, сопровождение Заказчика вплоть до получения сертификата соответствия.

Комплексный аудит структурных подразделений Заказчика в части вопросов обеспечения информационной безопасности включает следующие этапы:

выездное обследование, в результате которого специалисты АО "Эшелон-СЗ" проводят сбор информации непосредственно на территории Заказчика;

удалённое обследование, в результате которого специалисты АО "Эшелон-СЗ" осуществляют сбор необходимой информации в режиме онлайн.

2. Аудит сетевой и серверной инфраструктуры с помощью ручных и автоматизированных средств тестирования (опционально).

3. Анализ полученных данных.

4. Разработка отчета, содержащего:

результаты обследования (собранная в ходе обследования информация)

результаты анализа (перечень выявленных проблем, нарушений и недостатков в системе обеспечения информационной безопасности);

вывод о состоянии защищённости

Разработка концепции информационной безопасности начинается с аудита информационной безопасности, в ходе которого выявляются проблемы, нарушения и недостатки в существующей системе обеспечения информационной безопасности, отмечаются особенности обеспечения информационной безопасности на предприятии, намечаются основные пути развития компании в части вопросов обеспечения информационной безопасности и развития ИТ-инфраструктуры в целом.

Разработка концепции информационной безопасности включает следующие основные этапы:

1. Разработка общих положений концепции (назначение и статус, особенности обеспечения информационной безопасности на предприятии, основные принципы, цели и задачи обеспечения информационной безопасности, объекты защиты).

2. Разработка базовой модели угроз безопасности информации.

3. Разработка структуры системы обеспечения информационной безопасности предприятия.

4. Разработка плана реализации концепции на предприятии.

Услуга по проектированию комплексных систем защиты информации включает следующие этапы:

1. Определение классов/категорий/уровней защищенности информационных (автоматизированных) систем в соответствии с Законодательством РФ.

2. Определение базового набора мер по защите информации для установленных классов/категорий/уровней защищенности информационных (автоматизированных) систем.

3. Адаптация базового набора мер по защите информации применительно к структурно-функциональным характеристикам информационных (автоматизированных) систем, особенностям их функционирования, применяемым информационным технологиям.

4. Разработка частных моделей угроз безопасности информации информационных (автоматизированных) систем.

5. Уточнение адаптированного базового набора мер по защите информации для блокирования (нейтрализации) актуальных угроз безопасности информации.

6. Дополнение уточненного адаптированного базового набора мер по защите информации мерами, обеспечивающими выполнение требований Законодательства РФ по защите информации.

7. Разработка технического проекта системы защиты информации.

8. Разработка документации на защищаемые информационные (автоматизированные) системы.

9. Разработка и согласование сметы закупки программных и программно-аппаратных средств защиты информации.

10. Поставка, пусконаладка программных и программно-аппаратных средств защиты информации.

11. Сдача-приемка комплексной системы защиты информации.

Услуга по созданию автоматизированных систем в защищенном исполнении (АСЗИ) осуществляется в соответствии с ГОСТ Р 51583-2014 и включает следующие этапы:

1. Консультирование Заказчика при формировании требований к системе защиты информации АСЗИ.

2. Составление акта классификации информационной системы.

3. Разработка модели угроз безопасности информации.

4. Изучение объекта и обоснование целесообразности проведения научно-исследовательской работы (составной части научно-исследовательской работы), определение основных вопросов, подлежащих исследованию в интересах создания системы защиты информации создаваемой АСЗИ.

5. Разработка тактико-технического задания на научно-исследовательскую работу (при необходимости).

6. Проведение необходимых научно-исследовательских работ.

7. Разработка вариантов концепции автоматизированной системы и выбор варианта концепции автоматизированной системы.

8. Помощь в разработке технического задания на создание системы защиты информации на основе ГОСТ 34.602, ГОСТ 51583 и ГОСТ 51624.

9. Разработка (проектирование) системы защиты информации АСЗИ на стадиях Эскизного проекта, Технического проекта и Рабочей документации.

10. Внедрение системы защиты информации АСЗИ.

11. Аттестация АСЗИ по требованиям безопасности информации и ввод в действие.

12. Сопровождение системы защиты информации в ходе эксплуатации АСЗИ.

13. Выполнения работ по защите информации о создаваемой АСЗИ.

1. Разработка и внедрение решений прикладной автоматизации бизнес-процессов. Комплексные решения для построения различных систем согласований, электронного хранения и обработки документов (электронный документооборот, электронный архив, автоматизация различных процессов по учету и обработке корпоративной информации, личные кабинеты сотрудников и т.п.).

2. Разработка мобильных приложений для операционных систем Android и iOS (прикладные приложения и системные компоненты, в том числе драйверы устройств).

3. Разработка программного обеспечения низкого уровня (драйверы специализированных устройств, компоненты ядра ОС и т.п.).

4. Разработка математического программного обеспечения (моделирование, визуализация, обработка больших объемов данных, различные средства преобразования (кодирования) данных).

5. Разработка модулей для интеграции с различным оборудованием (промышленное оборудование, специальное оборудование, медицинское оборудование), интерфейсы RS232, 485, USB, DICOM, CAN, Modbus и т.п.

6. Построение программно-аппаратных и аппаратно-программных комплексов различного назначения (включая разработку программного обеспечения, проектирование и разработку специализированных печатных плат, программирование микроконтроллеров и т.п.).

Помощь специалистов АО "Эшелон-СЗ" в получении необходимых лицензий ФСБ России, ФСТЭК России, Минобороны России в общем случае состоит из следующих этапов:

1. Первичная консультация по вопросу получения необходимой лицензии.

2. Консультация по поиску квалифицированного персонала, соответствующего лицензионным требованиям.

3. Консультация относительно сбора и подготовки документов, необходимых для оформления лицензии.

4. Прием и предварительный анализ представленных документов и сведений, необходимых для получения лицензии.

5. Экспертиза представленных документов на предмет их соответствия лицензионным требованиям.

6. Подготовка списка выявленных несоответствий лицензионным требованиям и условиям.

7. Составление рекомендаций по устранению и/или устранение выявленных несоответствий лицензионным требованиям и условиям.

8. Подготовка проекта заявления о предоставлении лицензии.

9. Формирование пакета документов для подачи в государственный орган.

10. Проведение аттестации объектов информатизации (при необходимости).

Процедура обеспечения безопасности информации, содержащейся в государственных информационных системах, состоит из следующих этапов:

1. Классификация государственной информационной системы.

2. Разработка модели угроз безопасности информации.

3. Определение требований к защите информации в зависимости от класса защищенности государственной информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации (с учетом ГОСТ Р 51583, ГОСТ Р 51624).

4. Разработка проекта системы защиты информации государственной информационной системы.

5. Разработка проектной и/или рабочей документации на систему защиты информации.

6. Подбор сертифицированных средств защиты информации.

7. Разработка (доработка) средств защиты информации и их сертификация (при отсутствии необходимых сертифицированных средств защиты информации).

8. Разработка и согласование сметы закупки средств защиты информации.

9. Поставка, установка и настройка средств защиты информации.

10. Разработка организационно-распорядительных документов по защите информации.

11. Предварительные испытания системы защиты информации.

12. Опытная эксплуатация системы защиты информации.

13. Анализ уязвимостей государственной информационной системы и принятие мер защиты информации по их устранению.

14. Приемочные испытания системы защиты информации.

15. Аттестация государственной информационной системы по требованиям защиты информации и ввод ее в действие

Процедура создания системы защиты объектов критической информационной инфраструктуры включает следующие этапы:

1. Категорирование (если не проведено Заказчиком самостоятельно):

выявление объектов критической информационной инфраструктуры;

оформление перечня объектов критической информационной инфраструктуры и помощь в его предоставлении в ФСТЭК России;

обследование объектов и определение их категорий значимости в соответствии с перечнем показателей критериев значимости, утвержденных постановлением Правительства РФ от 08.02.2018 г. № 127;

оформление актов категорирования объектов критической информационной инфраструктуры;

заполнение форм подачи сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения объектам таких категорий для направления в ФСТЭК России.

2. Создание систем безопасности значимых объектов критической информационной инфраструктуры:

определение базового набора мер для обеспечения безопасности значимых объектов, необходимого для выполнения требований Законодательства РФ, в зависимости от категорий значимости объектов;

разработка частных моделей угроз безопасности информации значимых объектов;

адаптация базового набора мер по защите значимых объектов применительно к актуальным угрозам, их структурно-функциональным характеристикам и особенностям функционирования;

дополнение адаптированного набора мер по обеспечению безопасности значимых объектов мерами, установленными иными нормативными правовыми актами в области защиты информации;

разработка необходимой организационно-распорядительной документации по обеспечению безопасности значимых объектов критической информационной инфраструктуры;

разработка технического проекта защиты значимых объектов критической информационной инфраструктуры;

подбор технических и программных средств защиты значимых объектов;

разработка и согласование сметы закупки технических и программных средств защиты;

поставка, установка и настройка средств защиты;

ввод в эксплуатацию комплексной системы защиты объектов критической информационной инфраструктуры на предприятии.

Процедура создания системы защиты персональных данных на предприятии в соответствии со всеми требованиями Законодательства РФ включает следующие этапы:

1. Определение уровней защищенности персональных данных, обрабатываемых на предприятии.

2. Определение базового набора мер по защите персональных данных для установленных уровней защищенности.

3. Адаптация базового набора мер по защите персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы.

4. Разработка частных моделей угроз безопасности информации в информационных системах персональных данных.

5. Уточнение адаптированного базового набора мер по защите персональных данных для блокирования (нейтрализации) всех актуальных угроз безопасности информации.

6. Дополнение уточненного адаптированного базового набора мер по защите информации мерами, обеспечивающими выполнение требований Законодательства РФ по защите информации.

7. Разработка необходимой внутренней организационно-распорядительной документации по вопросам защиты персональных данных.

8. Разработка технического проекта системы защиты информации.

9. Разработка и согласование сметы закупки технических и программных средств защиты информации.

10. Поставка, пусконаладка технических и программных средств защиты информации.

11. Ввод в эксплуатацию комплексной системы защиты персональных данных на предприятии.

Обучение персонала по вопросам обеспечения информационной безопасности включает следующие этапы:

1. Согласование с Заказчиком программы и продолжительности обучения.

2. Согласование с Заказчиком места и формата проведения обучения:

обучение на базе Учебного центра АО "Эшелон-СЗ";

выездное обучение на территории Заказчика;

3. Организация образовательного процесса и проведение обучения.

4. Подготовка и передача документов, подтверждающих факт прохождения специалистами Заказчика обучения в Учебном центре АО "Эшелон-СЗ".

Разработка и внедрение системы менеджмента информационной безопасности (СМИБ) на предприятии проводится на соответствие требованиям национального стандарта ГОСТ Р ИСО/МЭК 27001 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" и включает следующие этапы:

1. Уточнение требований СМИБ (с учётом специфики деятельности организации).

2. Определение области и границ действия СМИБ.

3. Предварительный аудит на соответствие уточнённым ранее требованиям СМИБ.

4. Разработка методики оценки рисков.

5. Проведение оценки рисков в соответствии с требованиями национального стандарта ГОСТ Р ИСО/МЭК 27005 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности".

6. Проведение обработки рисков.

7. Выбор и внедрение организационных и технических мер управления рисками.

8. Обучение персонала работе в СМИБ.

АО "Эшелон-СЗ" - аккредитованный ФСТЭК России орган по аттестации.

Аттестация объектов информатизации включает следующие этапы:

1. Предварительное ознакомление с аттестуемым объектом информатизации, включающее получение от Заказчика и анализ исходных данных по аттестуемому объекту информатизации и испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости).

2. Разработка программы и методики аттестационных испытаний.

3. Проведение аттестационных испытаний:

проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;

проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;

проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;

проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;

оформление протокола аттестационных испытаний.

4. Анализ результатов комплексных аттестационных испытаний объекта информатизации и разработка заключения по результатам аттестации.