Общество с ограниченной ответственностью "Межрегиональный консалтинговый центр «АСТА-информ»"

Защита персональных данных Почти все организаций являются операторами персональных данных и обязаны выполнять требования 152-ФЗ «О персональных данных», постановлений Правительства № 687, № 1119, № 211 и руководящих документов надзорных органов Роскомнадзора, ФСТЭК России и ФСБ России. Необходимо обрабатывать и защищать персональные данные по требованиям законодательства и для обеспечения их безопасности. Законодательством установлена ответственность за нарушения (штрафы) в сфере персональных данных. Наши услуги • Обследование организации в части обработки и защиты персональных данных. • Разработка и внедрение пакета организационно-распорядительной документации по защите персональных данных. • Внесение организации в реестр Роскомнадзора (операторов персональных данных), обновление сведений. • Сопровождение организации в вопросах обработки и защиты персональных данных. • Проектирование системы защиты информационных систем. • Закупка и внедрение средств защиты информации. • Аттестация или оценка соответствия требованиям законодательства по защите информации. • Подготовка организации к прохождению проверки Роскомнадзором. • Консультирование и повышение осведомленности работников организации. Стоимость и сроки Срок и стоимость оказания услуг зависит от сферы вашей деятельности и масштаба информационной системы. Общий срок реализации всего проекта , как правило, составляет от 1 недели до 2-х месяцев.

Для обеспечения безопасности информации необходимо защищать информационные системы: от взлома, атак, потери и утечки информации.

Также по закону возложена обязанность защиты информационных и автоматизированных систем, обрабатывающих защищаемую информацию:

• Критические информационные инфраструктуры
• Информационные системы персональных данных
• Государственные информационные системы
• Муниципальные информационные системы
• Автоматизированные системы
• Системы конфиденциального делопроизводства

Аттестация

Проведение аттестационных испытаний и выдача аттестата соответствия требованиям по безопасности информации.

Аттестация по требованиям безопасности информации проводится лицензиатами (компаниями, имеющими лицензию) регуляторов в технической сфере (ФСТЭК России, ФСБ России) и, по сути, представляет собой заключение лицензиата о возможности эксплуатации информационных систем с соблюдением требований, соответствующих заявленному классу защищенности информационной системы, описанным мерам в руководящих документах. Выданный "Аттестат соответствия" может учитываться регуляторами при проведении проверок и подразумевает разделение ответственности за безопасность системы между оператором и лицензиатом.

Оценка соответствия требованиям

Оценка эффективности реализованных мер по обеспечению безопасности информации (персональных данных). Оформление заключения о возможности эксплуатации информационных систем с соблюдением требований безопасности информации, соответствующих заявленному уровню защищенности, выполняемых требований руководящих документов. Заключение делается на основе проверочных мероприятий, в ходе которых выясняются особенности обработки и защиты информации. Указанная оценка проводится не реже одного раза в 3 года.

Оценка эффективности реализованных мер защиты информации

Согласно требованиям ФСТЭК России оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится не реже одного раза в 3 года.

Для государственных информационных систем (ГИС) согласно требованиям ФСТЭК России обязательна аттестация по требованиям защиты информации. Аттестацию можно осуществлять и для информационных систем персональных данных.

Оценка эффективности реализованных мер защиты включает:

• Оценка соответствия требованиям законодательства о персональных данных
• Оценка соответствия требованиям законодательства по информационной безопасности
• Оценка степени осведомленности работников в области защиты информации и законодательства
• Оценка реализованных мер организационной и технической защиты
• Заключение о эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных

Результатом является оформление заключения о возможности эксплуатации информационных систем с соблюдением требований безопасности информации, соответствующих заявленному уровню защищенности, выполняемых требований руководящих документов.

Аутсорсинг по защите персональных данных

Аутсорсинг обеспечения защиты персональных данных позволяет Заказчикам сосредоточиться на основных видах деятельности, передав непрофильные работы специализированной организации.

В рамках услуги «Аутсорсинг по защите персональных данных» Вы получаете:

• Квалифицированный и независимый ИБ-аудит и определение степени соответствия комплекса мер защиты персональных данных Вашей организации или учреждения требованиям нормативных документов ФСТЭК России, ФСБ России и Роскомнадзора;
• Постоянный контроль за состоянием систем защиты информационных систем персональных данных;
• Отсутствие необходимости в расширении штата организации;
• Сокращение накладных расходов на содержание работников (стоимость рабочих мест, поиск, отбор, адаптация и обучение сотрудников, их включение в процесс, выплата больничных и премий и др.);
• Уменьшение налогооблагаемой базы;
• Вы получаете целый штат дипломированных специалистов, а не одного сотрудника;
• Взаимоотношения проходят в русле Заказчик – Исполнитель, где существует договор и чёткие обязательства по выполнению работ, что дает вам дополнительные гарантии;
• Опытный специалист, работая с разными организациями и учреждениями, уделяет внимание малейшим деталям;
• Гарантия профессиональной ответственности, предоставляемая нашей компанией.

Сопровождение

1. Сопровождение в вопросах защиты информации
2. Сопровождение при проверке регуляторов

Сопровождение в вопросах защиты информации

• Поддержка в вопросах обработки и защиты персональных данных
• Поддержка в вопросах организации системы защиты информации
• Техническая поддержка средств защиты информации
• Повышение осведомленности работников организаций
• Разработка локальной документации по защите информации

Сопровождение при проверке регуляторов

• Проведение комплексного обследования информационной системы ПДн
• Анализ локальных документов организации/учреждения и договоров с физическими и юридическими лицами в части обработки персональных данных и их передачи третьим лицам
• Консультирование по корректировке локальных документов организации/учреждения по обеспечению безопасности информации
• Инструктаж сотрудников по вопросам обработки и защиты ПДн и правилам работы со средствами защиты ПДн
• Гарантию профессиональной ответственности (в случае выявления замечаний со стороны надзорных органов, безвозмездное устранение их в соответствии с условиями нашего Договора)
• Экономию денежных средств (по причине отсутствия нарушений и штрафов, предусмотренных КоАП и УК РФ)

Консультирование по обработке и защите

Оказание консультационных услуг по правовым вопросам обработки персональных данных и вопросам информационной безопасности.

Разовые консультации могут быть оказаны Вашей организации как в Вашем офисе, так и в офисе нашей компании, могут быть дистанционные форматы через видеоконференцсвязь.

Стоимость устной консультаций - 3000 р/час, письменный ответ на вопрос - 5000 р/час.

Межсетевой экран защищает от угроз из компьютерных сетей (Интернета), в т.ч. от сетевых атак, также контролирует и фильтрует проходящие сетевые данные.

Предлагаем межсетевые экраны сертифицированные ФСТЭК России:

Персональные программные решения

Межсетевой экран, применяемый на компьютере (рабочем месте) в информационной системе.

• Secret Net Studio

• СЗИ Dallas Lock

Шлюзы программного и аппаратного решения

Межсетевой экран, применяемый на границе (периметре) информационной системы или между границами сегментов информационной системы.

«Traffic Inspector» — комплексное решение для организации, контроля и защиты интернет-доступа.

Решение предоставляет следующий набор функций: организация доступа к Интернет для компьютеров локальной сети, контроль и учет трафика, сетевой экран, антивирусная защита, блокировка рекламы, сайтов, спама, маршрутизация по условию, прокси-сервер, контентная фильтрация, ограничение скорости работы в Интернете, биллинговая система и многое другое.

АПКШ «Континент» — централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ. Комплекс «Континент» обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

«Рубикон» выполняет функции маршрутизатора, межсетевого экрана и системы обнаружения вторжений. Предназначен для использования в системах ГИС, ИСПДН и для защиты информации, содержащей сведения, составляющие государственную тайну. «Рубикон» является сертифицированным ФСТЭК России межсетевым экраном типа «А» второго класса защиты (МЭ.А2) и системой обнаружения вторжения (СОВ.С2).

ALTELL NEO — российские аппаратные межсетевые экраны нового поколения, сертифицированные ФСТЭК на самые высокие классы защиты. Главная особенность этих устройств — сочетание возможностей фильтрации трафика с функциями построения защищенных каналов связи (VPN), обнаружения и предотвращения вторжений (IDS/IPS) и контент-фильтрации (антивирусы, веб- и спам-фильтры, контроль приложений), что обеспечивает полное соответствие современной концепции унифицированной защиты сети (Unified Threat Management, UTM, шлюз безопасности).

UserGate UTM — шлюзовое решение объединяет межсетевой экран нового поколения (Next Generation Firewall), систему обнаружения вторжений, защиту от вредоносных программ и вирусов, систему контент-фильтрации, серверный антиспам, VPN-сервер и другие функции в едином решении, удобном для установки и администрирования. В продукте также реализованы всевозможные функции, более востребованные крупными организациями: контроль доступа, основанный на идентификации пользователя, балансировка нагрузки, управление полосой пропускания, предотвращение угроз, анализ SSL, распознавание приложений и другие.

Средства защиты информации от несанкционированного доступа (СЗИ от НСД) позволяют установить правила доступа к информационным ресурсам на персональных компьютерах и серверах, осуществлять идентификацию и аутентификацию пользователей и устройств, учет носителей информации.

Предлагаем средства сертифицированные ФСТЭК России:

Программное обеспечение

Dallas Lock — система защиты информации от несанкционированного доступа на автономных и сетевых рабочих местах и в сложных сетевых инфраструктурах – защита конфиденциальной информации и гостайны до уровня «совершенно секретно» включительно.

Secret Net Studio — комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования.

Комплексная система защиты информации «Панцирь+» для ОС Microsoft Windows» предназначена для защиты от несанкционированного доступа к информации. КСЗИ может применяться в государственных информационных системах до 1 класса защищенности включительно, для которых к актуальным отнесены угрозы 2-го и 3-го типа.

Программно-аппаратные решения (с модулем доверенной загрузки)

Доверенная загрузка компьютера исключает несанкционированный запуск компьютера (например с внешних загрузочных флэшек и дисков), доступ к содержимым файлам и папкам защищенного компьютера. Доверенная загрузка обеспечивается картой расширения (платой), устанавливаемую в свободный слот материнской платы компьютера.

Программно-аппаратный комплекс «Соболь» - аппаратно-программный модуль доверенной загрузки (АПМДЗ) для защиты компьютеров от несанкционированного доступа. Может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

СЗИ НСД «Аккорд-АМДЗ» представляет собой аппаратный модуль доверенной загрузки (АМДЗ) для серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.

Средство доверенной загрузки (СДЗ) Dallas Lock - решение уровня платы расширения, предназначенное для защиты конфиденциальной информации на персональных компьютерах, ноутбуках, моноблоках и серверах архитектуры intel х86-32, x86-64. Реализована поддержка файловых систем: FAT12, FAT16, FAT32, NTFS, Ext2, Ext3, Ext4, VMFS3, VMFS5; поддерживаются разъемы: PCI Express; Mini PCI Express; M.2.

Средства криптографической защиты информации и электронной цифровой подписи используются для защиты информации при возможном доступе к данным, при их пересылке по сети Интернет, размещении в открытом доступе и т.д.

Средства позволяют обеспечить конфиденциальность (невозможность прочтения информации посторонним), целостность данных (невозможность незаметного изменения информации), аутентификацию (проверки подлинности авторства).

Предлагаем криптографические средства сертифицированные ФСБ России:

Продукты КриптоПро — различные средства криптографической защиты информации и электронной цифровой подписи. В продуктах используются отечественные стандарты шифрования ГОСТ 28147-89, ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012, ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012.

Продукты ViPNet — ряд решений по защите информации: шифрование, защищенные каналы связи и обмена сообщениями, электронная подпись и т.д.

АПКШ «Континент» — централизованный комплекс для защиты сетевой инфраструктуры и создания защищенных каналов связи.

МагПро КриптоПакет – программный комплекс на базе библиотеки OpenSSL, позволяющий использовать российские стандарты на криптографические алгоритмы в программах, рассчитанных на использование криптобиблиотеки OpenSSL.

«КриптоАРМ» - универсальная программа для шифрования и электронной подписи файлов. Используется для защиты корпоративной и личной информации, передаваемой по Интернету, электронной почте и на съемных носителях (диске, флэш-карте).

Средства шифрования и электронной подписи позволяют решать ряд основных задач по защите информации: защита файлов на компьютере, защита пересылаемых данных по сети, подтверждение подлинности подписи, формирование подписи и подписания электронного документа:

Дополнительное программное обеспечение для защиты

• Средства обнаружения вторжений (компьютерных атак)

• Системы защиты виртуальных инфраструктур

• Системы предотвращения утечек

• Аппаратно-программые модули доверенной загрузки (АПМДЗ)

• Защита мобильных устройств

• Защита Web-приложений и облачных сервисов

Устаройства в области защиты информации

Средствa защиты информации от утечки за счет ПЭМИН (каналов утечки побочных электромагнитных излучений и наводки):

• Устройства для защиты линий электропитания и заземления от утечки информации "Соната-РС1" и "Соната-РС2".

• Средство активной защиты информации от утечки за счет наводок информативного сигнала на цепи электропитания и заземления "Соната-РС3".

• Устройства комбинированной защиты объектов информатизации от утечки информации за счет ПЭМИН "Соната-РК1" и "Соната-РК2".

• Средство активной защиты информации от утечек за счет побочных электромагнитных излучений и наводок "Соната-Р3" и "Соната-Р3.1"

Средства акустической и вибрационной защиты акустической информации (защита речевой информации):

• Аппаратура защиты речевой информации "Соната-АВ" модель "3М" (Центральный блок ГШ).

• Система защиты речевой информации "Соната-АВ" модель "3Б" и "Соната-АВ-4Б" (Центральный блок питания и управления).

• Акустоизлучатели "СА-4Б" и "СА-4Б1".

• Вибровозбудители "СВ-4Б" и "СВ-4Б1".

Обучение и повышение осведомленности работников в области информационной безопасности является крайне важной частью защиты информации.

Согласно последним исследованиям причин утечек конфиденциальной информации в 60% случаев виновными в утечке информации оказались работники организаций. Утечки данных организаций происходят в результате умышленных или неосторожных действий работников, в т.ч. руководства, бывших работников, технических специалистов. При этом большая часть утечек конфиденциальной информации связана со случайными утечками.

Большинство инцидентов можно избежать повышая квалификацию работников, в т.ч. начиная с повышения осведомленности.