Специалисты нашей компании проделали серьезную работу по повышению уровня информационной безопасности предприятия. Для объективной оценки ситуации было решено привлечь сторонних специалистов.
Для проведения аудита мы выбирали людей, а не компании. Нам был важен уровень специалистов, а не известность брэнда. Несмотря на «молодой возраст», сотрудники проекта Контур.Безопасность еще на стадии переговоров продемонстрировали достаточно высокий уровень компетенций, что определило наш выбор.
В процессе аудита были некоторые технические задержки, связанные с совместимостью программного обеспечения и оборудования, однако все работы были выполнены в рамках оговоренных сроков.
В результате мы получили отчет, который не только подтвердил отсутствие серьезных проблем с информационной безопасностью на нашем предприятии, но и расширил для нас горизонт планирования, позволил наметить дальнейшие шаги по повышению уровня безопасности.
Услуги в области информационной безопасности
В связи с активным внедрением и использованием информационных технологий в бизнесе особенно актуальным становится вопрос обеспечения информационной безопасности. Становится понятно, что политика компаний в области информационной безопасности должна быть комплексной и носить превентивный характер.
Концерн R-Про предлагает полный спектр услуг по обеспечению информационной безопасности, начиная с обследования информационной системы и анализа всех возможных угроз и рисков и заканчивая поддержкой и обслуживанием внедренной системы.
В настоящее время в связи с ростом числа компьютерных преступлений и постоянным совершенствованием методов информационных атак многие компании используют систему управления информационной безопасностью, которая обеспечивает непрерывное и эффективное управление информационной безопасностью.
Основными целями системы управления информационной безопасностью являются:
формирование стратегии и политики в области обеспечения безопасности ИТ;
определение требований к безопасности ИТ;
формирование центров ответственности за обеспечение информационной безопасности;
управление рисками;
мониторинг средств обеспечения информационной безопасности;
управление изменениями;
управление непрерывностью ведения бизнеса;
аудит систем безопасности и реагирование на инциденты в информационной безопасности.
Для решения задач защиты информации на компьютерах, работающих под управлением 32-х разрядных операционных систем Microsoft Windows 2000/XP/2003, имеется возможность использовать комплекс средств, состоящий из следующих элементов:
Информационная безопасность
Защита информации от вирусов и спама, противодействие киберпреступникам и пресечение внутреннего мошенничества, отражение DDoS-атак и попыток воровства конфиденциальных данных — это лишь малая часть задач, которые входят в понятие «обеспечение информационной безопасности».
Услуги КРОК включают в себя весь спектр решений и процедур по выстраиванию эффективной защиты от любых угроз корпоративной информационной безопасности — от аудита существующих систем защиты и консалтинга по их развитию до создания комплексных решений для управления ИБ и обеспечения соответствия требованиям регулирующих органов.
Компетенции КРОК подтверждены международными стандартами
Собственная разработка КРОК сертифицирована по стандартам ISO/IEC 27001:2013 и ГОСТ Р ИСО/МЭК 27001 — 2006. Компания КРОК первой в России и СНГ сертифицировала свою СУИБ по стандарту ISO/IEC, а при его обновлении также с учетом измененных требований.
С 2016 годадействие стандарта ISO/IEC 27001:2013 СУИБ КРОК распространяется и на услуги по аутсорсингу ЦОД и Виртуального дата-центра.
Целый набор лицензий ФСТЭК и ФСБ в области защиты информации позволяет компании КРОК создавать и обслуживать шифровальные системы, обеспечивать безопасность конфиденциальной информации, в том числе и для защиты государственной тайны.
КРОК участвует в Программе ассоциированных консультантов (Associate Consultant Programme) Британского института стандартов. Это обеспечивает квалификацию специалистов КРОК и подтверждает соответствие внедряемых ими систем менеджмента целому ряду международных стандартов: ISO 27001 («Информационная безопасность»), ISO 22301 («Непрерывность бизнеса»), ISO 20000-1 («Управление ИТ-сервисами»)
Эксперты направления информационной безопасности КРОК обладают множеством международных сертификатов: Lead Auditor (BSI), SANS GIAC, CISA (ISACA), CISM (ISACA) и CISSP (ISC2). Сотрудники КРОК сертифицированы для осуществления аудита на соответствие требованиям стандарта Банка России по обеспечению информационной безопасности организаций банковской системы РФ, 161-ФЗ «О национальной платежной системе» и его подзаконных актов.
Услуги в области информационной безопасности
Угрозы безопасности информации обрабатываемой в автоматизированных системах различного уровня и назначения могут происходить из-за случайных и/или преднамеренных ошибок в системном и прикладном программном обеспечении, из-за неосведомленности сотрудников в вопросах информационной безопасности, неверно настроенной разрешительной системы доступа к ресурсам системы, отсутствия необходимых и настроенных средств защиты информации и иных причин.
«Аквариус» предлагает услуги аттестации автоматизированных систем на соответствие требованиям по безопасности информации.
При предоставлении данной услуги специалисты компании проводят следующие этапы работ:
Проведение предварительного обследования
Специалисты компании определяют класс защищенности автоматизированной системы, состав используемого аппаратного и программного обеспечения, наличие квалифицированных в части ИБ сотрудников и организационно-распорядительной документации. По результатам обследования разрабатывается аналитический отчет о проведении предварительного обследования объекта информатизации.
Разработка организационно-распорядительной документации
Специалисты компании разрабатывают недостающую организационно-распорядительную документацию: модели угроз и нарушителя безопасности информации, программу и методики аттестационных испытаний автоматизированной системы, описание технологического процесса обработки информации, технический паспорт, разрешительную систему доступа сотрудников к ресурсам автоматизированной системы, инструкции, положения, учетные журналы и прочие документы.
Подбор, поставка, установка и настройка средств защиты информации
На данном этапе осуществляется подбор и внедрение средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности автоматизированной системы. По результатам установки и настройки средств защиты информации подготавливаются и утверждаются акты внедрения.
Проведение аттестационных испытаний
На данном этапе проводятся комплексные аттестационные испытания автоматизированной системы на соответствие требованиям нормативно-правовых документов по безопасности информации. По итогам положительных результатов аттестационных испытаний выдается Аттестат соответствия автоматизированной системы требованиям по безопасности информации и Заказчик осуществляет законный ввод в эксплуатацию автоматизированной системы.
UBS | Повышение осведомлённости персонала в области информационной безопасности
Всё уже готово!
Учебные курсы, тесты и отчётность из облака
По всем основным темам ИБ
Без разработки, без внедрения, без своей СДО
От 1000 руб/чел/год
Повышение осведомлённости персонала
Трубной Металлургической Компании
Инструктажи, графика и мультимедиа, публикации
На высоком идейно-художественном уровне
Санкционированные фишинговые рассылки
Практичный и недорогой метод проверки персонала
Полная имитация реальных фишинговых рассылок
Специально разработанные шаблоны сообщений
Сообщения со ссылками и вложениями
Можно внедрить самые современные, дорогие и "интеллектуальные" программно-технические средства обеспечения информационной безопасности, но если персонал не знает и не выполняет базовые правила информационной безопасности - бизнес по-прежнему подвержен киберугрозам.
И единственно верный выход здесь - терпеливо, внимательно и регулярно работать с людьми, обучая и формируя навыки правильного поведения на практике. Часто это сложно, но главное - начать.
А мы поможем.
Этап 1 : Планирование проекта и разработка организационно-распорядительной и методологической документации на систему обучения и повышения осведомлённости в области информационной безопасности
Услуги:
Обследование системы обеспечения информационной безопасности (анализ организационно-распорядительной документации, опросники, анкетирование, интервью)
Разработка политики обучения и повышения осведомлённости персонала в области информационной безопасности
Разработка проектов организационно-распорядительных документов, регламентирующих обучение и повышение осведомлённости персонала в области информационной безопасности
Разработка программы обучения и повышения осведомлённости персонала в области информационной безопасности и плана её реализации
Разработка методики оценки уровня осведомлённости персонала в области информационной безопасности
Разработка методики оценки эффективности реализации программы повышения осведомлённости персонала в области информационной безопасности
Этап 2 : Реализация программы повышения осведомлённости персонала в области информационной безопасности
Услуги:
Разработка тематических информационно-обучающих анимационных интерактивных материалов в соответствии с политиками по информационной безопасности, корпоративным стилем и иными требованиями
Разработка тематических информационно-обучающих графических материалов (плакатов и заставок, памяток, скринсейверов, листовок, календарей, канцелярской продукции и т.п.)
Разработка инструктажей по информационной безопасности для новых и действующих сотрудников
Разработка курсов по информационной безопасности (MS PowerPoint, SCORM, видеокурсы)
Проведение обучения и тестирования персонала
Разработка информационно-аналитических дайджестов по информационной безопасности
Разработка дополнительных тематических графических и информационно-обучающих материалов (видеоролики, игры, промо-сайты и т.п.)
Выполнение пентестов методами социальной инженерии
Этап 3 : Оценка эффективности программы повышения осведомлённости, разработка рекомендаций по корректирующим мерам, а также плана их реализации
Услуги:
Оценка эффективности программы повышения осведомлённости персонала в области информационной безопасности в соответствии с методикой оценки эффективности
Разработка рекомендаций по корректирующим мерам, направленным на повышение эффективности программы повышения осведомлённости персонала в области информационной безопасности, а также плана реализации корректирующих мер
Знаем как - Важно не только что вы используете для повышения осведомлённости персонала, но и как вы это используете. Имея свой опыт и зная чужой, мы эффективно повысим осведомлённость персонала именно в ваших условиях. И это не всегда дорого.
Комплексность - Мы создаём методологически верную и организационно подкреплённую систему обучения и повышения осведомлённости в области информационной безопасности, используя весь спектр каналов и методов доставки информационно-обучающего контента.
Адаптированность - Мы делаем правильные материалы для правильной аудитории: они написаны понятным языком, развлекают, с уместным юмором и оригинальными контекстными иллюстрациями.
Теория повышения осведомлённости была проверена нами на практике. Неоднократно и успешно.
ПАО "Северсталь", 2016-2017
Комплексный проект по повышению осведомлённости персонала
- 15-модульный учебный интерактивный курс в формате SCORM
- Скринсейверы
- Компьютерные заставки
- Макеты изображений для сувенирной и канцелярской продукции
- Обучающие видеоролики
- Популяризирующие публикации
- Игры