Проверка информационной безопасности

Данные работы включают оценку соответствия организации, процесса или ИТ-инфраструктуры проверяемым требованиям.

В качестве методологии работ и критериев проверки могут использоваться различные стандарты и нормативно-правовые акты. Конечной целью этой категории работ является заключение о соответствии Заказчика проверяемым требованиям и рекомендации по приведению его в соответствие, с возможностью технической поддержки и консультациями по ходу реализации полученных замечаний.

В части требований к безопасности персональных данных

Наша команда изучит работу вашей организации через призму соответствия процессов обработки персональных данных требованиям отечественного законодательства. В группу проверяющих одновременно включаются технические эксперты и методологи, что позволяет наиболее полно изучить реальное положение вещей, а не просто формально переписать документы, без их реального сопоставления с фактическим положением вещей.

Цель

Приведение организации в соответствие требованиям нормативно-правовых актов и практикам проверок Роскомнадзора, или иных регуляторов уполномоченных проверять меры защиты в отношении персональных данных (например, для государственных организаций, проверяемых ФСТЭК и ФСБ).

Особенности

• Проведение предварительной оценки соответствия, разработка плана работ, изучение внутренней нормативной документации, проверка её полноты и соответствия применимым требованиям;

• Анализ бизнес-процессов организации и построение схемы потоков данных в информационных системах и в ходе неавтоматизированной обработки;

• Интервью сотрудников и контрагентов организации, анализ реализованных мер по обеспечению защиты персональных данных, в том числе на стороне поставщиков услуг;

• Разработка плана и рекомендаций по приведению процессов обработки персональных данных в соответствие законодательству.

Помощь в доработке существующей внутренней документации или разработка нового пакета документов для соответствия требованиям.

В части требований Банка России к финансовым организациям (кредитным и некредитным)

Вместе мы определим полный перечень нормативов Банка России, применимых к организации, согласуем требуемый уровень защищенности, состав контуров безопасности, перечни автоматизированных систем и защищаемой информации, входящих в область оценки. Четко сформулировав роль организации в банковской и платежной системах и уточнив границы работ, мы проведем комплексную оценку информационной безопасности по выбранным направлениям, с выпуском соответствующей отчетной документации.

Цель

Оценка соответствияи консультации Заказчика по способам реализации требований нормативно-правовых актов Банка России (382-П, 683-П, 719-П, 747-П, 757-П и других),формирование отчетных документов, требуемых Банком России.

Проведение работ в рамках ГОСТ 57580.2–2018 и семейства стандартов ГОСТ 15408 (оценка соответствия ОУД 4).

Особенности

• Точный состав работ и этапы согласуются с заказчиком, в зависимости от его потребностей (от быстрого GAP-анализа и расчета предварительной оценки без формирования официального отчета, по требованиям Банка России; до всесторонней оценки соответствия с дополнительными работами по ОУД 4 и проверкой поставщиков услуг и контрагентов – сторонних разработчиков платежного ПО, банковских платежных агентов, центров обработки данных и т.д.);

• Возможность закрыть все требования Банка России в рамках одного проекта силами одной компании, в том числе провести технический аудит, с тестированием на проникновение и анализом защищенности автоматизированных систем, согласно ГОСТ Р 57580.1-2017.