Автоматизация процессов по защите информации

1. Защита персональных данных

Вопросы выполнения требований по защите персональных данных не теряют своей актуальности. Мысли о том, что данные требования невозможно реализовать в принципе и стоит ли вообще что-то делать остались далеко в прошлом. Нормативно-правовая база динамично развивается, рынок услуг по приведению обработки персональных данных в соответствие законодательству пополняется все более зрелыми решениями, контрольно-надзорные мероприятия в этой области все глубже погружаются в предмет проверки.

1. Предпроектный аудит процессов обработки персональных данных и используемой информационной инфраструктуры.
2. Моделирование угроз и действий нарушителя безопасности персональных данных.
3. Обоснование необходимости и планирование дополнительных мер по реализации требований законодательства, определение совокупности требований к создаваемой/совершенствуемой подсистеме защиты персональных данных.
4. Разработку комплекса необходимых организационных мер – комплекта документации по вопросам защиты персональных данных.
5. Проектирование и внедрение комплекса оптимальных технических мер – программных/программно-аппаратных решений с учетом специфики информационной инфраструктуры.
6. Контроль и оценку выполнения требований законодательства.
7. Техническое сопровождение, контроль эффективности, совершенствование и масштабирование подсистемы защиты персональных данных.

2. Защита информации в государственных информационных системах (ГИС)

В соответствии с Федеральным законом от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации": 
государственные информационные системы (ГИС) - это федеральные информационные системы и региональные информационные системы, созданные на основании соответствующих федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов; 
муниципальные информационные системы (МИС) - информационные системы, созданные на основании решений органов местного самоуправления.

ПРИЗНАКИ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Государственная (региональная) информационная система создается:

• на основании законов, правовых актов государственных органов;
• в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами;
• с учетом требований, предусмотренных законодательством РФ о контрактной системе;
• на основе статистической и иной документированной информации.

АКТУАЛЬНОСТЬ ВОПРОСА

К защите информации, содержащейся в ГИС и МИС, предъявляются законодательные требования, определяемые Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Приказом ФСТЭК России от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Информация должна быть защищена от несанкционированного доступа, а также от специальных воздействий в целях ее добывания, уничтожения, искажения или блокирования доступа к ней.

РЕШЕНИЕ

В целях выполнения требования законодательства мы разработали решение «Защита ГИС», учитывающее методические рекомендации ФСТЭК России от 11.02.2014 «Меры защиты информации в государственных информационных системах».
«Защита ГИС» представляет собой комплекс мероприятий для обеспечения защиты информации, обрабатываемых в ГИС и МИС, и состоит из следующих этапов: 

• Аудит:определение перечня защищаемой информации и класса защищенности;
• Определение условий обработки информации:разработка модели угроз безопасности информации и классификация;

3. Формирование технического задания: выбор мер защиты информации, подготовка аналитического обоснования и проектирование подсистемы защиты информации;

В зависимости от выявленных угроз безопасности информации мы применяем следующие меры защиты:

• Идентификация и аутентификациясубъектов доступа к объектам доступа
• Управление доступом субъектов доступа к объектам доступа
• Регистрация событий безопасности
• Антивирусная защита
• Обнаружение вторжений
• Анализ защищенности информации
• Защита систем связи и передачи данных

Защита среды виртуализации

• Техническое проектирование и внедрение проектных решений:поставка, установка и настройка сертифицированных средств защиты информации, в том числе систем обнаружения вторжений, средств защиты виртуальной среды и систем управления базами данных, разработка организационно-распорядительной и эксплуатационной документации, включая технические требования и регламенты по подключению к информационной системе удаленных пользователей;
• Аттестация:оценка соответствия по требованиям безопасности информации;

6. Техническое сопровождение созданной системы защиты информации, включая администрирование защищенных сетей связи.
В случае, когда защищаемая ГИС или МИС содержит персональные данные, мероприятия по защите информации рассматриваются в комплексе.

ОТРАСЛЕВЫЕ ЗАДАЧИ И РЕШЕНИЯ

В зависимости от отрасли деятельности перед организациями возникают различные задачи в сфере обеспечения безопасности информации. Учитывая это, мы предлагаем организациям специализированные отраслевые решения, позволяющие решить их ключевые задачи. 

	Ключевые задачи	Решения
Образование	·         Взаимодействие с федеральными информационными системами: РИС ГИА (ФИС ЕГЭ), ЕИС ГА (ЕГИСМ), АС ФРДО, АИСТ ГБД ·         Концепция создания единой федеральной межведомственной системы КОНТИНГЕНТ	·         Подключение выделенных АРМ ·         Подключение сегментов информационных систем
Здравоохранение	·         Обработка в МИС персональных данных, требующих обеспечения высокого уровня защищенности ·         Взаимодействие с большим количеством ЛПУ, интеграция с ЕГИСЗ	·         Комплексная система защиты информации в МИС ·         Защищенная сеть связи с ЛПУ, Удостоверяющие центры (подготовка к получению лицензии ФСБ, к аккредитации УЦ Минкомсвязью России)
Государственный заказ	·         Выполнение единых требований для региональных (муниципальных) информационных систем в сфере закупок в соответствии с требованиями ПП № 1091 до 1 января 2016 года	·         Региональные (муниципальные) информационные системы в защищенном исполнении ·         Создание комплексной системы защиты
Информатизация	·         Размещение в ЦОД информационных систем других органов власти ·         Обеспечение защищенного, юридически значимого документооборота между органами власти региона, муниципалитета ·         Единая политика в сфере безопасности, типизация документации, создание эффективных инструментов управления процессами в сфере ИБ ·         Управление и контроль информатизации	·         Комплексная система защиты центра обработки данных (ЦОД), регламентация размещения информационной системы ·         Создание Удостоверяющего центра, регламентация обмена электронными документами и использования средств электронной подписи, Электронный архив ·         Комплексный проект по внедрению «Alfa-doc» ·         Управление информатизацией региона

РЕЗУЛЬТАТЫ ВНЕДРЕНИЯ

В результате внедрения решения «Защита ГИС» Вы получаете:

• Возможность подключения к другим государственным информационным системам;
• Практическую защиту информации (от несанкционированного доступа и других специальных воздействий);
• Готовность к проверке Федеральной службы по техническому и экспортному контролю России.

3. Услуги в сфере защиты Государственной тайны и конфиденциальной информации

АКТУАЛЬНОСТЬ ВОПРОСА

Защита государственной тайны является видом основной деятельности органа государствееной власти, предприятия учреждения или организации. Обеспечение соответствия требованиям защиты государственной тайны и конфиденциальной информации осуществляется:
- по государственной тайне – в соответствии с Законом РФ от 21 июля 1993 г. N 5485-I «О государственной тайне», Специальными требованиями и рекомендациями по защите информации, составляющей государственную тайну от утечки по техническим каналам, Руководящими документами и другими нормативно-методическими документами ФСТЭК России;
- по конфиденциальной информации – в соответствии с Федеральным законом от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), Указом Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера» и Руководящими документами и другими нормативно-методическими документами ФСТЭК России и ФСБ России.

Перечень обязательных и опциональных мероприятий при защите объектов информатизации определяется, исходя из требований соответствующих нормативных документов ФСТЭК России к классу и категории конкретного защищаемого объекта информатизации и может включать в себя следующие мероприятия:

- информационный аудит, проектирование и создание защищенных автоматизированных систем (IT-security)
- анализ данных, экспертное обследование, проведение комплексных аттестационных испытаний, анализ результатов испытаний и подготовка аттестационной документации на объект информатизации
- специальные исследования автоматизированных систем в испытательных центрах (лабораториях)
- специальная проверка автоматизированных систем в испытательных центрах (лабораториях).

МЫ ПРЕДЛАГАЕМ:

1.  Проведение консультаций по вопросам обеспечения информационной безопасности. 
2. Проектирование объектов информатизации в защищенном исполнении. 
3. Монтаж, настройка и техническое обслуживание систем активной и пассивной защиты информации (генераторы радиошума, системы виброакустической защиты, сетевые помехоподавляющие фильтры).
4. Проведение лабораторных специальных исследований технических средств на побочные электромагнитные излучения и наводки, акустоэлектрические преобразования (рекомендовано для защиты государственной тайны). 
5. Проведение специальных проверок технических средств иностранного (совместного) производства по выявлению устройств, предназначенных для негласного получения информации (рекомендовано для защиты государственной тайны, по желанию проводится для защиты конфиденциальной информации). 
6. Инструментальный контроль защищенности информации и оценка эффективности защиты информации на объектах информатизации (выделенные помещения и автоматизированные системы различных уровней). 
7. Специальное обследование помещений по выявлению устройств, предназначенных для негласного получения информации (рекомендовано для защиты государственной тайны, по желанию проводится для защиты конфиденциальной информации). 
8. Установка и настройка систем защиты информации от несанкционированного доступа. 
9. Испытания автоматизированных систем от несанкционированного доступа.
10. Аттестация объектов информатизации на соответствие требованиям безопасности информации: автоматизированных систем и выделенных/защищенных помещений.
11. Ежегодный контроль эффективности защиты информации на объектах информатизации.

4. Кибербезопасность промышленных систем

АКТУАЛЬНОСТЬ ВОПРОСА

Промышленные системы автоматизации и управления являются основными компонентами инфраструктуры современных предприятий различных секторов экономики (топливно-энергетический комплекс, химическая промышленность и другие). Как правило, информационные технологии, используемые в автоматизированных системах управления технологическим процессом, содержат критические уязвимости, что может привести к нарушению непрерывности производственного процесса и даже чрезвычайным ситуациям. Своевременное принятие мер по обеспечению информационной безопасности промышленных систем позволит избежать подобных ситуаций.

РЕШЕНИЕ

Кибербезопасность промышленных систем включает в себя:

·         Аудит безопасности промышленных систем, включая идентификацию и классификацию активов, тестирование на проникновение, анализ истории инцидентов информационной безопасности, оценку рисков, разработку стратегии развития подсистемы безопасности

·         Разработку и внедрение комплексного решения по обеспечению безопасности промышленных систем, включая формирование требований, разработку проектной и рабочей документации, ввод в эксплуатацию подсистемы безопасности

·         Сервисную поддержку, включая техническое сопровождение подсистемы безопасности, контроль эффективности применяемых мер и мониторинг инцидентов информационной безопасности.

РЕЗУЛЬТАТЫ ВНЕДРЕНИЯ

В результате внедрения Вы получаете:

• Повышение уровня практической безопасности информации промышленных систем
• Обеспечение возможностей обнаружения, предотвращения и расследования инцидентов информационной безопасности.

5. Безопасность КИИ

Обеспечение безопасности КИИ – комплексное решение по обеспечению выполнения требований законодательства в области безопасности критической информационной инфраструктуры Российской Федерации.

Значимость для руководителя:

• Соответствие требованиям законодательства Российской Федерации в области обеспечения безопасности КИИ
• Снижение репутационных рисков
• Избежание административной/уголовной ответственности

Значимость для технического специалиста:

• Реализация требований законодательства Российской Федерации в области обеспечения безопасности объектов КИИ
• Обеспечение устойчивого функционирования объектов КИИ при проведении в отношении них компьютерных атак
• Предотвращение компьютерных атак

Потенциальные сферы объектов КИИ:

 - здравоохранение

 - наука

 - транспорт

 - связь

 - энергетика

 - банковская и иные сферы финансового рынка

 - топливно-энергетический комплекс

 - атомная энергия

 - оборонная и ракетно-космическая промышленность

 - горнодобывающая, металлургическая и химическая промышленность

 КАТЕГОРИРОВАНИЕ

В рамках работ по категорированию эксперты проведут:

• аудит процессов, осуществляемых в рамках выполнения функций (полномочий) или осуществления видов деятельности, предусмотренных Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и ИТ-инфраструктуры
• разработку отчетных документов, состав и содержание которых полностью соответствует требованиям действующего законодательства Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры

 СОЗДАНИЕ/МОДЕРНИЗАЦИЯ И СОПРОВОЖДЕНИЕ ПОДСИСТЕМЫ БЕЗОПАСНОСТИ ОБЪЕКТОВ КИИ

Создание подсистем безопасности проводится как в отношении значимых объектов КИИ, так и незначимых объектов КИИ и включает в себя следующие работы:

• Установление требований к подсистеме безопасности
• Разработка модели угроз безопасности информации
• Проектирование подсистемы безопасности
• Создание рабочей документации на подсистему безопасности
• Внедрение мер защиты информации
• Сопровождение средств защиты информации
• Контроль состояния безопасности

 ОРГАНИЗАЦИЯ ВЗАИМОДЕЙСТВИЯ С ЦЕНТРОМ ГОССОПКА

В рамках организации взаимодействия с центром ГосСОПКА проводятся следующие работы:

• Внедрение системы автоматического сбора событий безопасности информации
• Внедрение систем подключения к центру ГосСОПКА с целью обмена информацией об используемых злоумышленниками средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения
• Регламентация взаимодействия с центром ГосСОПКА

6. Экспертный аудит информационной безопасности

Экспертный аудит информационных систем на соответствие требованиям нормативных документов по защите персональных данных включает следующие этапы:

• Определение области аудита;
• Сбор свидетельств аудита, анализ полученной информации;
• Определение необходимого уровня защищенности персональных данных при их обработке, формирование перечня требований, которым должна удовлетворять информационная система Заказчика из области аудита;
• Оценка степени выполнения требований;
• Анализ полученных результатов, подготовка отчета и рекомендаций по устранению выявленных недостатков и совершенствованию мер по обеспечению безопасности персональных данных (при необходимости - в случае, если на данном этапе работ не предусмотрена реализация дополнительных мер).

7. Разработка организационно-распрядительной документации

Организационно - распорядительная документация регулирует все возникающие вопросы по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и эксплуатации системы защиты персональных данных. Основной целью данного этапа работ является разработка комплекта документации, необходимого для прохождения государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области обеспечения безопасности персональных данных.

8. Аттестация системы защиты информации

В рамках аттестации проводится оценка соответствия информационных систем персональных данных (ИСПДн) требованиям по безопасности информации в ИСПДн. 
Комплект аттестационной документации включает:

• Программу и методики аттестационных испытаний объектов информатизации Заказчика на соответствие требованиям по обеспечению безопасности защищаемой информации;
• Протокол аттестационных испытаний объектов информатизации Заказчика на соответствие требованиям по обеспечению безопасности защищаемой информации;
• Заключение по результатам аттестационных испытаний объектов информатизации Заказчика на соответствие требованиям по обеспечению безопасности защищаемой информации;
• Аттестат соответствия ИС требованиям по защите информации (в случае положительного заключения).

9. Техническое сопровождение системы защиты информации

Предлагаем несколько вариантов технического сопровождения, которые могут включать следующие пункты:

• Закрепление за системой защиты информации отдельного квалифицированного специалиста;
• Консультации персонала по вопросам эксплуатации и функционирования системы защиты информации;
• Администрирование защищённой (доверенной) сети связи;
• Контроль состояния работы программного обеспечения и оборудования;
• Устранение неисправностей в работе программного обеспечения и оборудования;
• При необходимости выезд на место в случае сбоев в работе ПО и оборудования.

Решения

Платформа «АльфаДок» - программный комплекс, позволяющий автоматизировать процессы по информационной безопасности в регионе, муниципалитете или ведомстве.
Платформа автоматизации и контроля внутренних процессов организации «АльфаДок» включена в Единый реестр российских программ для электронных вычислительных машин и баз данных.*

Программный комплекс предназначен для:

• федеральных органов власти и их территориальных органов;
• региональных органов власти и органов местного самоуправления, курирующих вопросы информационной безопасности в регионе или муниципалитете соответственно;
• региональных органов власти, органов местного самоуправления, региональных и муниципальных центров, имеющих подведомственные/курируемые учреждения.

ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ
Управление мероприятиями по защите информации в сети подведомственных учреждений

• Контроль разработки и актуализации документации по защите персональных данных и информации в ГИС
• Мониторинг готовности к проверкам Роскомнадзора, ФСБ, ФСТЭК России
• Контроль эксплуатируемых информационных систем, программных комплексов и средств защиты информации
• Постановка и контроль выполнения задач по защите информации

Контроль готовности к проверкам

• Информирование о плановых проверках
• Автоматизированная оценка степени готовности к проверкам регуляторов
• Индивидуальные рекомендации для успешного прохождения проверок
• Планирование внутренних проверок
• Постоянная актуализация документации
• Автоматическая актуализация документов в случае изменения законодательства и требований регуляторов
• Удобная актуализация документов в случае изменений в штатной и информационно-коммуникационной инфраструктуре организации

ИНФОРМАЦИОННАЯ ПОДДЕРЖКА

• Консультации экспертов по информационной безопасности при подготовке и прохождении проверок регуляторов, обращении граждан, реализации технических мер по защите информации
• Регулярные вебинары по вопросам информационной безопасности

РЕЗУЛЬТАТЫ ВНЕДРЕНИЯ 

• Постоянная готовность всех учреждений к проверкам контролирующих органов:
  • Единая политика в сфере безопасности информации
  • Профессиональная, типизированная документация по защите информации в ИСПДн и ГИС
• Выполнение требований законодательства во всех подведомственных учреждениях:
  • Роскомнадзор
  • ФСБ и ФСТЭК России (в части принятия организационных мер)
• Прозрачный бюджет, экономия финансовых и трудовых ресурсов:
  • Фиксированная ежегодная плата за понятный результат
  • Экономия по сравнению с традиционными решениями по реализации организационных мер.

ЭТАПЫ ВНЕДРЕНИЯ ПЛАТФОРМЫ
1. Проведение аудит всех информационных систем Заказчика
2. Определение требуемых сроков разработки документации
3. Проведение обучающих вебинаров
4. Консультации в процессе самостоятельной разработки документации
5. Контроль процесса разработки документации

ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ 

• Экспертный аудит информационных систем в подведомственных учреждениях (во всей сети или частично)
• Защита и аттестация системы (при установке на мощностях Заказчика)
• Организация подключения по каналам связи, защищенным сертифицированными криптосредствами

ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ И ТРЕБОВАНИЯ
Для внедрения системы необходимо:

• Серверное оборудование и программное обеспечение
• Аттестация «АльфаДок» в качестве ГИС (или ИСПДн, при необходимости)
• Лицензия на СУБД
• Принятие мер по защите информации

Платформа поставляется в виде виртуальной машины с операционной системой семейства Linux и СУБД Postgree SQL, которая включается в виртуальную инфраструктуру Заказчика.

Базовые требования к аппаратным ресурсам: 
• Количество ядер процессора: 12
• Тактовая частота: >= 2.20 GHz
• Дисковое пространство: 2 Тб
• ОЗУ: >= 48 Гб
По согласованию возможны варианты поставки программного комплекса в виде физического сервера с предустановленными средствами защиты информации, установки и настройки программного комплекса на физические серверы Заказчика или на иную операционную систему, СУБД.