Ирина М. Аналитик информационной безопасности, Middle+

Краткое описание проекта: • Комплекс услуг по защите информации РИС СО: приведение процессов в соответствие НПА, автоматизация управления ИБ, испытания СЗИ (предварительные, опытная, приемочные), аттестационные испытания по Приказу ФСТЭК № 77, оценка эффективности мер, передача неисключительных прав на ПО. Выполненные работы: • Сбор сведений: ответственные лица, адресация и домены, параметры конфигураций, L2/L3 топология, правила МЭ, состав ПО/СЗИ/СКЗИ, архитектура РИС СО, потоки и сервисы управления/мониторинга. • Анализ/корректировка документации: проверка полноты/актуальности ОРД Заказчика, доработка и передача адаптированного комплекта в соответствии с ФСТЭК/ФСБ/НПА РФ. • Автоматизация ИБ: внедрение ПО класса «Средства автоматизации процессов ИБ» (удаленный доступ); настройка модулей учета проверок, планов внутреннего контроля ПДн, оценки угроз по Методике ФСТЭК 2021, генерации ОРД и отчетности. • Испытания СЗИ: - Предварительные: проверка функций, готовности к опытной эксплуатации; протокол и акт приемки в опытную. - Опытная эксплуатация: журнал опытной, анализ уязвимостей СЗИ (сертифицированными средствами), устранение критических уязвимостей, акт допуска к приемочным. - Приемочные: программа/методика, протокол и акт ввода в постоянную эксплуатацию. • Аттестационные испытания РИС СО (Приказ ФСТЭК № 77): программы и методики, согласование, контроль правил МЭ, сверка исходных данных, оценка эффективности мер, инструментально экспертные проверки, протокол, заключение, аттестат соответствия (при положительном результате). • Взаимодействие с регуляторами: подготовка материалов для согласования частного ТЗ и модели угроз в ФСТЭК/ФСБ (в части требований Пост. № 676 и Приказа ФСБ № 524).

Аттестат соответствия получен с первого раза; замечания аттестационной комиссии устранены в ходе испытаний. Сокращен цикл испытаний на 20% за счет тщательной подготовки ПМ и чек‑листов. В ходе опытной эксплуатации выявлены и устранены 3 критические уязвимости без простоев РИС СО. Внедрен модуль учета проверок и планов контроля ПДн, что снизило сроки подготовки к проверкам РКН на 40%.

Краткое описание проекта: • Проведение комплексного аудита ИБ на соответствие требованиям ФСТЭК/ФСБ и НПА РФ; формирование организационных мер защиты, моделирование угроз и проектирование СЗИ для ИСПДн/ГИС. Выполненные работы: • Обследование ОИ: сбор сведений об архитектуре, ИТ-активах, сетевой топологии и сегментации, маршрутизации/коммутации, правилах МЭ, ПО/СЗИ/СКЗИ, доступах, внешних интеграциях, ЦОД. • Отчет по обследованию: описание организации и ИС, состав ИСПДн/ГИС, применяемые меры защиты, анализ соответствия и выявленных несоответствий. • ОРД: разработан комплект из 25+ документов (политика ПДн, приказы об ответственности, перечни ПДн и допусков, порядок хранения/передачи ПДн, акты вреда и уровня защищенности, комиссии, меры по СКЗИ, безопасность помещений, внутренний контроль, реагирование на инциденты и др.). • Модель угроз и нарушителя: по Методике ФСТЭК 2021 с использованием BDU ФСТЭК; описаны ОИ, уязвимости, возможности нарушителей, способы реализации и последствия. • ТЗ на СЗИ: определены цель/задачи, класс защищенности, меры и средства защиты, этапы работ, требования к поставке и ПО — по ГОСТ 34.602, ГОСТ Р 51583, ГОСТ Р 51624. • Проектирование СЗИ: подготовлен эскизный проект (структура КТС, оргструктура, пояснительная записка) и эксплуатационная документация (инструкции, ПИМы, приказы о комиссиях, протоколы, акты о вводе в опытную/постоянную эксплуатацию) по ГОСТ Р 59793 и ГОСТ 34.201.

Сокращен срок подготовки комплекта ОРД на 30% за счет шаблонов и автоматизации. Уменьшено число несоответствий по ПДн на 60% по итогам внутреннего контроля. Сформирована модель угроз с трассировкой уязвимостей к BDU ФСТЭК, что ускорило согласование решений СЗИ. Подготовлен пакет эксплуатационных документов, позволивший запустить опытную эксплуатацию без доработок.

Краткое описание:Комплекс услуг по защите информации для ИСПДн и ГИС КСП КК: приведение процессов ПДн/ГИС к требованиям НПА, разработка полного комплекта ОРД и предаттестационной документации, проектирование СЗИ, внедрение и настройка СКЗИ/антивирусной защиты, анализ уязвимостей сертифицированными средствами, подготовка и проведение аттестационных испытаний. Выполненные работы: Обследование и исходные данные: - Сбор сведений об ОИ по ПДн/ГИС/СКЗИ: оргструктура, роли и ответственные, инвентаризация АРМ, физических и виртуальных серверов, сегментация и топология L2/L3, правила маршрутизации/коммутации, МЭ, доменные имена и адресное пространство, параметры конфигурации ИС и СЗИ, внешние взаимодействия, ЦОД. - Актуализация перечня ИСПДн/ГИС (УЗ3/К3) и составов обрабатываемой информации. Организационно-распорядительная документация (полный комплект): - Приведение процессов обработки и защиты ПДн/ГИС к требованиям 149‑ФЗ, 152‑ФЗ, Пост. № 1119, № 687; Приказов ФСТЭК № 17, № 21; ФСБ № 378; Пост. № 676 — анализ имеющегося ОРД, корректировка и выпуск адаптированного комплекта. - Разработка и/или актуализация: Политика в отношении ПДн; Положение об ИБ ИС; приказы о назначении ответственных (обработка ПДн, безопасность ПДн, планирование и контроль ИБ, администрирование подсистем безопасности); перечни ПДн; порядок хранения/передачи ПДн; регламенты по помещениям ИСПДн/ГИС; порядок ведения журналов; регламент реагирования на инциденты; регламент внутреннего контроля ПДн; план мероприятий по внутреннему контролю; перечни допусков и полномочий; формуляры и формы документов для соблюдения НПА. - Предаттестационная документация для ИСПДн/ГИС: Технический паспорт ИС; Акт определения уровня защищенности ПДн; Акт классификации ГИС; Разрешительная система доступа; Положение по обеспечению ИБ ИС; Инструкция персонала.Материалы для согласований и переписки с регуляторами: сопроводительные письма в ФСТЭК/ФСБ с перечнями моделей угроз (при необходимости согласования по Пост. № 676 и Приказу ФСБ № 524). - Модель угроз и нарушителя, оценка угроз:Разработка модели угроз и нарушителя по Методике ФСТЭК 05.02.2021 с учетом BDU ФСТЭК: объекты воздействия, интерфейсы, источники УБИ, способы реализации, сценарии и негативные последствия, матрицы соотнесения целей нарушителей с последствиями.Уточнение модели по итогам анализа уязвимостей. - Техническое задание и проектирование СЗИ:ТЗ на создание СЗИ (ГОСТ 34.602, ГОСТ Р 51583, ГОСТ Р 56093): цели, задачи, класс защищенности, требования к мерам и средствам защиты, этапы работ, требования к поставляемым ТС/ПО/СЗИ. - Проектирование СЗИ для ИСПДн/ГИС: эскизный проект (ведомость, пояснительная записка, оргструктура, структурная схема КТС) и эксплуатационная документация (ведомость, инструкция по эксплуатации, ПИМ предварительных и приемочных, листы утверждения, проекты приказов о комиссиях, протоколы, акты о вводе в опытную/постоянную эксплуатацию) по ГОСТ Р 59793‑2021, ГОСТ 34.201‑2020, ГОСТ Р 51583‑2014.Внедрение технических мер защиты:СКЗИ: план и работы по обновлению ViPNet Client for Windows 4.x до ViPNet Client 4U for Linux 4.x (КС2) на Astra Linux (SE/CE), настройка политик доступа, первичное тестирование; оформление передачи сертификатов техподдержки. - Настройка программного обеспечения автоматизации процессов ИБ: ввод сведений об организации/ресурсах/ИС/СЗИ/СКЗИ/ЦОД, определение комиссий (классификация ГИС, уничтожение ПДн, оценка вреда, внутренний контроль), модули оценки угроз (Методика 2021), планы внутреннего контроля ПДн и учет проверок (РКН/ФСТЭК/ФСБ), генерация ОРД и отчетности. - Анализ уязвимостей:Планирование области и границ анализа (сети, диапазоны, домены), инвентаризация активов, проверка версий и конфигураций.Проведение анализа сертифицированным средством «Сканер‑ВС»: СЗИ, ОС, прикладное ПО; проверка корректности установки/настроек, межкомпонентных взаимодействий. - Формирование отчета, рекомендации и сопровождение устранения выявленных уязвимостей; обновление модели угроз при выявлении существенных рисков. - Аттестация объектов информатизации (Приказ ФСТЭК № 77): - Разработка ПИМ аттестационных испытаний, согласование с Заказчиком. - Проведение аттестационных испытаний ИСПДн/ГИС: экспертно‑документальные и инструментально‑экспертные проверки, контроль правил МЭ, сверка исходных данных, оценка эффективности мер защиты. - Оформление протоколов и заключений; подготовка аттестатов соответствия при положительных результатах.Разработка порядка действий при изменениях состава ТС/ПО и условий функционирования, влияющих на действие аттестата.

Разработан и согласован полный комплект ОРД и предаттестационной документации для ИСПДн/ГИС с учетом специфики КСП КК. Аттестационные испытания по Приказу ФСТЭК № 77 пройдены с первого предъявления по ключевым контурам; замечания устранены до этапа выпуска заключения. Массовый переход на СКЗИ ViPNet 4U for Linux выполнен без инцидентов и простоев; обеспечена непрерывность защищенных каналов.Внедрена система автоматизации ИБ: сокращен цикл подготовки к проверкам надзорных органов и внутренним аудитам, ускорена актуализация ОРД и модели угроз.