Интернет-издание о высоких технологиях /reviews/free/oldcom/security/elvis.shtml

«Mr. Сумкин» подготовился к прекращению поддержки WS2003
Как строился электронный бизнес Банка Москвы?
ИКТ в страховании: эффективность в новых условиях Круглый стол 10 июня
Планшет Dell Venue 11 Pro Планшет Dell Venue 11 Pro на базе процессоров Intel® вполне способен решать не только мобильные, но и стационарные рабочие задачи
Заоблачная оптимизация: как Faberlic изменил подход к аналитике Облако Microsoft Azure разгружает мощности серверов, а платформа Microsoft SQL Server отвечает за аналитические инструменты
Рейтинг CNewsInfrastructure 2015: приглашаем участвовать В рамках обзора «Рынок инженерной и ИТ-инфраструктуры 2015» CNewsAnalytics готовит рейтинг крупнейших компаний, оказывавших услуги по построению ИТ-инфраструктуры предприятий
Информационная безопасность бизнеса и госструктур: развитие в новых условиях Конференция 4 июня
Пора выбирать Fujitsu! Узнайте все о продукции и решениях компании!

19.09.2001, среда

КОМПАНИЯ ЭЛВИС+ ПРОЕКТИРУЕТ И ВВОДИТ В ЭКСПЛУАТАЦИЮ КОМПЛЕКСНЫЕ СИСТЕМЫ ИНФОРМАТИЗАЦИИ ЛЮБЫХ КОНФИГУРАЦИЙ, А ТАКЖЕ ВЫПОЛНЯЕТ РАБОТЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЭТИХ СИСТЕМ

С развитием информационных систем и появлением возможности выхода в глобальные информационные сети ужесточились и требования по обеспечению безопасности конфиденциальной информации. И если раньше предприниматели считали, что достаточно поставить "человека с ружьем" и проблемы защиты информации решены, то в последующем стало преобладать мнение, что к этому необходимо еще и зашифровать информацию. Сейчас же можно выделить тенденцию к комплексному решению проблемы. Заказчики осознают необходимость проведения оценки угроз, выбора оптимальных подходов к обеспечению безопасности, применения разнородных технических и программно-аппаратных средств защиты информации, создания комплексных систем информационной безопасности, объединяющих решения организационных, технических, инженерно-технических и программных решений и обязательной оценки их экономической целесообразности и эффективности.

Компания Элвис+ оказывает полный спектр услуг по созданию комплексной системы защиты информации (КСЗИ) объекта

Экспертиза защищенности информационных ресурсов, разработка политики и концепции информационной безопасности организации Заказчика
Техническое проектирование КСЗИ
Ввод КСЗИ в эксплуатацию
Подготовка к аттестации информационной системы Заказчика
Проведение аттестации информационной системы Заказчика
Дополнительные работы по поставке и установке средств защиты информации в автоматизированных системах (АС)
Дополнительные работы по поставке и установке средств защиты информации в выделенных помещениях (ВП)
Сопровождение КСЗИ в ходе эксплуатации и ее сервисное обслуживание информации
Обучение применению средств защиты информации на стадиях ввода в эксплуатацию и эксплуатации объекта
Консультации по вопросам защиты информации

Обследование объекта информатизации и анализ исходных данных

Анализ структуры, состава и принципов функционирования информационной системы Заказчика;
Определение взаимосвязей и принципов взаимодействия между объектами информатизации и внешними системами;
Определение степени конфиденциальности обрабатываемой информации;
Определение категории объекта информатизации и класса защищенности автоматизированной системы (АС);
Анализ используемых программно-аппаратных, технических и организационных средств и методов защиты информации;
Анализ конфигурации сетевых устройств (коммутаторы, маршрутизаторы);
Анализ конфигурации прикладных систем;
Анализ защищенности сети при помощи сканеров защищенности;
Разработка рекомендаций по повышению уровня защищенности сети (системы) с использованием возможностей имеющихся программных и технических средств;

Разработка Концепции безопасности информации объекта информатизации

Проработка правового обеспечения вопросов защиты информации;
Классификация критичных информационных ресурсов;
Выработка технической политики и принципов построения защиты;
Разработка модели угроз безопасности информации;
Разработка методов компенсации угроз;
Создание облика комплексной системы защиты информации (КСЗИ);
Определение требований к средствам защиты информации;

Подготовка общих предложений по составу работ по построению КСЗИ

Оценка материальных, трудовых и финансовых затрат на разработку и внедрение КСЗИ;
Определение ориентировочных сроков разработки и внедрения КСЗИ

Разработка технического задания на создание КСЗИ объекта информатизации

Обоснование разработки;
Уточнение перечня нормативных документов, с учетом которых будет разрабатываться КСЗИ, и приниматься в эксплуатацию объект информатизации;
Конкретизация требований к системе защиты информации на основе нормативных документов и установленного класса защищенности автоматизированной системы;
Разработка перечня предлагаемых к использованию сертифицированных средств защиты информации;
Состав, содержание и сроки проведения работ по этапам разработки и внедрения КСЗИ;
Разработка перечня предъявляемой заказчику научно-технической продукции и документации

На данном этапе проводятся следующие виды работ:

обследование объекта информатизации и анализ исходных данных
Разработка Концепции безопасности информации объекта информатизации
подготовка общих предложений по составу работ по построению КСЗИ
разработка технического задания на создание КСЗИ объекта информатизации

В техническое проектирование КСЗИ входит:

разработка пояснительной записки
Определение, обоснование и описание архитектуры подсистемы защиты информации
Разработка структурной схемы подсистемы защиты информации
Определение составных частей (элементов) подсистемы защиты информации, их назначения
Разработка логической схемы и описания функционирования подсистемы защиты информации, а также ее составных частей
Определение мер и технических средств защиты от атак на систему защиты информации, в том числе: меры контроля целостности служебной информации системы, меры обеспечения подотчетности действий операторов с различными уровнями полномочий и пр.
Выбор программных и технических средств защиты информации, входящих в состав подсистемы. Обоснование выбора
Разработка спецификации средств защиты информации (с указанием их производителя, условий поставки и ценовых характеристик)
Определение состава работ, их этапности и разработка сметы по проведению интеграции системы информационной безопасности в целом
Определение порядка ввода системы в эксплуатацию
Определение мест и порядка размещения, а также подключения к сети (системе) средств защиты
Определение состава и разработка эксплуатационной, методической и нормативно-организационной документации, необходимой при эксплуатации системы, определение сроков и составление сметы на ее выпуск

Ввод КСЗИ в эксплуатацию

Поставка, установка, монтаж, пуско-наладка КСЗИ на объекте информатизации. Настройка используемых программных и технических средств в соответствии с требованиями защиты информации
Проведение опытной эксплуатации КСЗИ (подсистемы защиты информации) объекта информатизации

Поставка, установка, монтаж, пуско-наладка КСЗИ на объекте информатизации. Настройка используемых программных и технических средств в соответствии с требованиями защиты информации

поставка средств защиты и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации (в том числе сертифицированных)
монтаж и установка технических, программных и программно-технических средств защиты информации (в том числе сертифицированных)
настройка технических, программных и программно-технических средств защиты информации (в том числе сертифицированных) в соответствии с требованиями безопасности
настройка используемых программных и технических средств в соответствии с требованиями защиты информации
разработка проектов организационно-распорядительной документов по вопросам защиты информации

Проведение опытной эксплуатации КСЗИ (подсистемы защиты информации) объекта информатизации

Опытная эксплуатация средств защиты информации (подсистемы защиты информации) в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации
Разработка программы и методики приемо-сдаточных испытаний
Приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации
Ввод в эксплуатацию

Подготовка к аттестации информационной системы Заказчика

Подготовка к аттестации объекта информатизации (АС) по требованиям Системы сертификации средств защиты информации РОСС RU.0001.01БИ00

Подготовка к аттестации объекта информатизации (ВП) по требованиям Системы сертификации средств защиты информации РОСС RU.0001.01БИ00 В подготовку к аттестации объекта информатизации (АС) по требованиям

Системы сертификации средств защиты информации РОСС RU.0001.01БИ00 входит:

Специальная проверка основных технических средств и систем (ОТСС) иностранного производства
Специальные исследования ОТСС
Объектовые специальные исследования
Разработка (подготовка) совместно с Заказчиком комплекта документов, представляемых для аттестационных испытаний

В подготовку к аттестации объекта информатизации (ВП) по требованиям Системы сертификации средств защиты информации РОСС RU.0001.01БИ00 входит:

Специальная проверка основных технических средств иностранного производства
Специальные исследования технических средств
Исследование защищенности ограждающих конструкций выделенного помещения по акустическому каналу
Исследование защищенности ограждающих конструкций выделенного помещения по виброакустическому каналу
Разработка (подготовка) совместно с Заказчиком комплекта документов, представляемых для аттестационных испытаний
Анализ имеющихся нормативно-методических документов по защите информации и контролю ее эффективности

В проведение аттестационных испытаний объекта информатизации по требованиям безопасности информации в автоматизированных системах (АС) входит:

Разработка программы (и методик) аттестационных испытаний АС
Анализ и оценка исходных данных и документации по защите информации в АС
Проверка соответствия представленных заявителем исходных данных реальным условием размещения, монтажа и эксплуатации АС
Изучение технологического процесса обработки и хранения конфиденциальной информации, анализ информационных потоков, определение состава использованных для обработки конфиденциальной информации СВТ
Проверка состояния организации работ и выполнения организационно-технических требований по защите информации
Испытание АС на соответствие требованиям по защите информации от утечки по каналам ПЭМИН
Проверка выполнения требований по защите информации за счет специальных электронных устройств перехвата информации
Испытания АС на соответствие требованиям по защите информации от НСД
Подготовка отчетной документации

В проведение аттестационных испытаний объекта информатизации по требованиям безопасности информации в выделенных помещениях (ВП) входит:

Разработка программы (и методик) аттестационных испытаний ВП
Анализ и оценка исходных данных и документации по защите информации в ВП
Проверка соответствия представленных заявителем исходных данных реальным условием размещения, монтажа и эксплуатации технических средств в ВП
Проверка состояния организации работ и выполнения организационно-технических требований по защите информации
Оценка защищенности ограждающих конструкций выделенного помещения по акустическому каналу
Оценка защищенности ограждающих конструкций выделенного помещения по виброакустическому каналу
Оценка эффективности защиты ВТСС от утечки информации за счет электроакустических преобразований
Оценка эффективности защиты ВТСС от утечки информации за счет ВЧ-навязывания
Проверка выполнения требований по защите информации за счет специальных электронных устройств перехвата информации
Подготовка отчетной документации

В дополнительные работы по поставке и установке средств защиты информации в автоматизированных системах (АС) входит:

Поставка аппаратных средств защиты информации от утечек за счет ПЭМИН
Установка аппаратных средств защиты информации от утечек за счет ПЭМИН
Поставка и установка программно-аппаратных средств защиты от НСД

В дополнительные работы по поставке и установке средств защиты информации в выделенных помещениях (ВП) входит:

поставка средств защиты информации от утечки по акустическому и виброакустическому каналам
поставка средств защиты информации от утечки за счет электроакустических преобразований
поставка средств защиты информации от утечки за счет высокочастотного навязывания
установка средств защиты информации

В сопровождение КСЗИ в ходе эксплуатации и ее сервисное обслуживание входит:

периодические выезды специалистов ЭЛВИС-Плюс на площадку заказчика (количество выездов определяется схемой поддержки) для аудита состояния системы и контроля настроек
устранение неполадок некорректной работы системы не связанных с внесенными изменениями в конфигурацию системы самим заказчиком
работы по сопровождению отдельных продуктов (ПО и оборудования) в соответствие с заключенными контрактами на техническую поддержку
выдача общих рекомендаций по работе системы (развитие, оптимизация работы)
консультации по работе систем и отдельных ее составляющих по телефону и электронной почте
информирование о появлении новых продуктов, решений, их особенностях в рамках совместных работ
работы по апгрейду ПО и оборудования (если возможность апгрейда предусмотрена контрактом на тех. поддержку) с последующим встраиванием их в систему
Перенастройка КСЗИ в случае изменения информационной инфраструктуры.
Техническая поддержка Администратора (ов) системы по телефону, e-mail, а также прямым конфигурированием продуктов по защищенному каналу по отдельному соглашению с Заказчиком.
Обучение лиц, ответственных за эксплуатацию КСЗИ.
Консультации Администратора (ов) КСЗИ.
Аудит и модернизация КСЗИ.

Выезд для устранения неполадок, возникших по причине неправильной эксплуатации системы
Выезды в случае возникновения аварийных ситуаций
Разработка требований по модернизации системы
Работы по модернизации системы
Проведение испытаний оборудования или ПО (на площадке заказчика либо на площадке исполнителя), включая разработку программы и методики
Администрирование средств и систем защиты заказчика в т.ч. удаленно, по защищенному каналу
Переконфигурирование системы

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2001 г.