Наши услуги

Коммерческая тайна

Коммерческая тайна - режим конфиденциальности информации, позволяющей ее обладателю при существующих обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. (п. 1 в ред. Федерального закона от 18.12.2006 № 231-ФЗ).

Предприятие может обеспечить юридическую защиту своих сведений, составляющих коммерческую ценность только в случае установления на предприятии режима коммерческой тайны и проведения всех необходимых мероприятий по обеспечению защиты информации. Если такой режим не введен, то это означает, что компания не предприняла необходимых действий для защиты собственных секретов и не может претендовать на юридическую защиту собственных интересов со стороны государства.

Режим коммерческой тайны - правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности.

Мероприятия по созданию системы защиты коммерческой тайны:

• аудит информационной безопасности;
• инвентаризация сведений, составляющих коммерческую тайну;
• разработка модели угроз безопасности коммерческой тайны;
• разработка организационно-распорядительной документации;
• внедрение средств защиты информации для предотвращения утечек информации;
• обучение персонала компании по внутренним процедурам работы с информацией, являющейся коммерческой тайной и правилам работы со средствами защиты информации;
• техническое обслуживание и сопровождение внедренной системы защиты информации.

При аудите информационной безопасности, можно выделить три основных канала утечки информации:

• электромагнитный - канал формируемый путем преобразования цифровой информации, циркулирующей на компьютерах предприятия в электро-магнитные поля;
• виброакустический, акустоэлектрический - каналы формируемые путем прямого восприятия речи или ее преобразования в вибрации или электрические сигналы;
• несанкционированный доступ к информации - канал непосредственного доступа к информации.

Для организации защиты канала от несанкционированного доступа, в зависимости о решаемых задач, используется целый комплекс средств защиты информации, обеспечивающих такие подсистемы как:

• подсистема доверенной загрузки;
• подсистема контроля и защиты локального доступа;
• подсистема межсетевого экранирования;
• подсистема криптографической защиты информации (используются при передаче информации за пределы контролируемого контура системы);
• подсистема антивирусной защиты;
• подсистема анализа (контроля) защищенности;
• подсистема обнаружения вторжений
• подсистема учета и контроля программного и аппаратного обеспечения

А также одной наиболее эффективной мерой защиты конфиденциальной информации, является метод применения технологий IDM (Identity Management) и DLP (Data Leak Prevention) – это технологии, позволяющие осуществлять анализ циркулирующей в информационных системах предприятия информации и выделить в ней сведения, отнесенные к комерческой тайне. При этом информация, которая не попадает в категорию «конфиденциальная» может свободно передаваться по любым электронным каналам.

Персональные данные

В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.

Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.

Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».

ООО «Интерес» обладает всеми необходимыми лицензиями. Обладая большим опытом оценки эффективности различных систем, мы сможем разработать необходимую методику оценки и провести работы с учетом особенностей построения систем и процессов обработки информации Заказчика.

Государственные информационные системы

В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

ООО «Интерес» обладает всеми необходимыми лицензиями. Обладая большим опытом оценки эффективности различных систем, мы сможем разработать необходимую методику оценки и провести работы с учетом особенностей построения систем и процессов обработки информации Заказчика.

Национальная платежная система

ООО "Интерес" реализует полный комплекс услуг по защите информации в платежных системах организаций, являющихся участниками национальной платежной системы РФ, включая оценку соответствия платежной системы требованиям действующего законодательства и нормативной базы, анализ защищенности платежной системы, оценку и обработку рисков информационной безопасности платежной системы, разработку комплекса организационно-распорядительных документов по обеспечению информационной безопасности платежной системы, разработку и внедрение технических решений по защите информации в платежной системе и аттестацию платежной системы по требованиям безопасности информации.

Критическая информационная инфраструктура

ООО "Интерес" реализует полный комплекс мероприятий по разработке Системы обеспечения безопасности информации Критической информационной инфраструктуры (КИИ) в соответствии с требованиями законодательства и нормативными документами РФ в области защиты информации.

Аттестационные испытания

Аттестация объектов информатизации (аттестационные испытания) – комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.

Под объектом информатизации понимается совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

В соответствии с действующим законодательством, обязательной аттестации подлежат:

• объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, ведения секретных переговоров
• системы и средства информатизации, предназначенные для обработки сведений, отнесенных к служебной тайне (на соответствие классу конфиденциальности СТР-К)
• государственные информационные системы (ГИС)
• ключевые системы информационной инфраструктуры (КСИИ)

В остальных случаях аттестация является добровольной и может осуществляться по инициативе Заказчика или владельца объекта информатизации.

Компания ООО «Интерес» обладает всеми необходимыми лицензиями и аккредитована в качестве органа по аттестации объектов информатизации по требованиям безопасности информации в системе сертификации средств защиты информации ФСТЭК России, и предлагает услуги по аттестации объектов информатизации по требованиям безопасности информации:

• автоматизированных систем, локальных и распределенных вычислительных систем, в том числе информационных систем персональных данных и государственных информационных систем
• отдельных автоматизированных рабочих мест
• защищаемых помещений

В результате работ по аттестации (при положительном заключении) выдается «Аттестат соответствия объекта информатизации требованиям по безопасности информации» сроком на 3 года.

Оценка эффективности

Проведение периодического контроля состояния защиты информации на объектах информатизации

Данная услуга необходима для Заказчиков, эксплуатирующих аттестованные по требованиям безопасности информации (в том числе по требованиям безопасности персональных данных) объекты информатизации.

Согласно специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К) в организации должен проводиться периодический (не реже одного раза в год), а также в случаях изменения условий и технологии обработки защищаемой информации, контроль состояния (эффективности) защиты информации в организации.

ООО «Интерес» выполняет работы по периодическому контролю, в ходе которых выявляются и документируются возможные изменения. При критичных изменениях, требующих изменения системы защиты, мы сможем осуществить необходимые мероприятия по приведению к соответствию.

В результате работ по периодическому контролю Заказчик актуализирует состояние защиты объекта информатизации, подтверждает действие выданного ранее Аттестата соответствия.

Консальтинг и сопровождение

Система управления информационной безопасностью организации, представляет собой, прежде всего, совокупность взаимодействующий процессов, большинство из которых может осуществляться с привлечением сторонней организации, специалисты которой обладают необходимым опытом и квалифицией, либо быть полностью переданными на аутсорсинг этой специализированной организации.

ООО "Интерес"осуществляет частичное или полное сопровождение следующих ключевых процессов управления информационной безопасностью:

• управление процессами информационной безопасности;
• внутренний аудит информационной безопасности.

Передавая эти процессы в сопровождение, организация получает следующие основные преимущества:

• экономия времени и средств на внедрение этих процессов управления в организации(процессы управления стартуют сразу же после заключения соответствующего соглашения об уровне сервиса в полном объеме, для их реализации используется уже готовая методология и инструментарий);
• достижение более высокого уровня качества и эффективности процессов управления (наши специалисты находятся на передовом крае информационной безопасности, обладают огромным опытом в предметной области и непрерывно совершенствуют свою квалификацию);
• существенное сокращение операционных расходов на обеспечение информационной безопасности (стоимость сопровождения как правило не превышает расходов на заработную плату одного штатного специалиста соответствующей квалификации, которого организация может нанять для реализации соответствующих процессов управления безопасностью, не учитывая затрат на обучение и поддержание необходимой квалификации этого специалиста, организацию рабочего места, социальную программу, налоги и т. п.);
• значительная экономия на соответствующих технических и программных средствах (мы уже располагаем всеми необходимыми инструментальными средствами для проведения инвентаризации ресусурсов, оценки рисков, оценки соответствия требованим стандартов, разработки политик и регламентов, планирования процессов внутреннего аудита, подготовки отчетности и т.п., кроме того, вы избавляетесь от мучительного выбора из десятков и даже сотен незнакомых вам продуктов);
• потенциально более высокая степень независимости и объективности внешних специалистов(мы не связаны соображениями карьерного роста в вашей компании, внутренними политическими и экономическими соображениями, тесными личными взаимоотношениям и прочими условиями, способными существенным образом повлиять на объективность аудиторских выводов или результаты оценки рисков).

Принимая процессы управления информационной безопасностью и внутреннего аудита мы берем на себя ответственность за то, что Ваша организация:

• полностью соответствовала требованиям действующего законодательства и нормативной базы в области защиты информации, существующим международным и национальным стандартам, а также передовому опыту обеспечения информационной безопасности;
• адекватно оценивала существующие информационные риски и своевременно реагировала на постоянно изменяющиеся тенденции, появление новых угроз, уязвимостей и технологий обеспечения безопасности;
• успешно проходила обязательные внешние проверки, инициированные акционерами или регулирующим органам;
• была в состоянии обеспечить необходимый уровень защищенности своей ИТ инфраструктуры и информационных ресурсов, который бы соответствовал существующим рискам, требованиям бизнеса, законодательства и контрактных обязательств;
• своевреммено обнаруживала и устраняла технические уязвимости защиты, а также любые несоответствия в составе и содержании документации в области информационной безопасности, квалификации и распределении функций персонала, организации внутренних процессов обеспечения безопасности.

Внешнее сопровождение процессов управления информационной безопасностью и внутреннего аудита осуществлятся в соответствии с согласуемым с Заказчиком уровнем сервиса (SLA), которое четко определяет основные метрики и показатели эффективности этих процессов. В результате Заказчик получает управляемые, документированные и измеряемые процессы управления безопасностью, на фундаменте которых строиться все система управления безопасностью организации.

Лицензирование и аккредитация

ООО «Интерес» осуществляет подготовку Заказчика к выполнению лицензионных требований и условий, необходимых для получения и переоформления следующих лицензий и сертификатов:

• лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации в соответствии с требованиями Постановлением Правительства РФ от 03.02.2012 г. № 79;
• лицензия ФСБ России на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) в соответствии с Постановлением Правительства РФ от 16.04.2012г. № 313.
• сертификат аккредитации по требованиям Минкомсвязи России на деятельность удостоверяющих центров

Оказание консультационных услуг по подготовке предприятий (организаций) к выполнению лицензионных требований и условий (получению лицензий) включает:

• проведение обследования и анализа соответствий Заказчика требованиям к соискателю лицензии/лицензиату, установленные соответствующими нормативными актами;
• оказание консультационных услуг по вопросам защиты информации и подготовке комплекта документов для подачи заявления на получение лицензии;
• проведение комплекса работ по выполнению лицензионных требований в части наличия защищенных автоматизированных систем и помещений по требованиям безопасности информации (включая создание необходимой системы защиты и аттестацию);
• создание необходимого комплекта внутренней организационно-регламентирующей документации по вопросам обеспечения защиты;
• приобретение литературы ограниченного распространения и производственного оборудования, необходимых для обеспечения лицензируемых видов деятельности;
• организация обучения сотрудников, для получения подтверждения компетенций, необходимых для получения лицензии.

В результате работ по подготовке к выполнению лицензионных требований и условий Заказчик получает:

• действующую систему защиты информации, соответствующую требованиям лицензии, подтвержденную аттестатом соответствия;
• комплект внутренней организационно-регламентирующей документации по вопросам обеспечения защиты;
• комплект документов для подачи заявки на получение лицензии;
• специалистов, имеющих подтверждение компетенций, требуемых для получения лицензии;
• понимание порядка действий по получению лицензий и особенностей выполнения требований.

Заказчик готов направить пакет документов в ФСТЭК, и/или ФСБ и/или Минкомсвязь на переоформление или получение необходимых лицензий и/или сертификатов.