КОНСАЛТИНГ И АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ КРОК

Недостаточность и плохая проработка вопросов обеспечения информационной без-опасности (ИБ) компании, ее методических и концептуальных основ может пагубно влиять на бизнес-процессы, затрудняя их выполнение и снижая эффективность. Решить подобную проблему позволяют консультации экспертов в области ИБ.

БИЗНЕС-ПРИЛОЖЕНИЯ14.8 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

УСЛУГИ КРОК

КРОК оказывает следующие услуги по консалтингу и аудиту информационной безопасности:

• обследование текущего состояния ИБ компании, являющееся первым этапом при выполнении работ в проектах на соответствие требованиям законодательства, стандартов и лучших практик по ИБ (№152-ФЗ «О персональных данных», №161-ФЗ «О национальной платежной системе», №98-ФЗ «О коммерческой тайне», ISO/IEC 27001:2013, ГОСТ Р 27001:2006, ISO/IEC 22301:2012, СТО БР ИББС, PCI DSS);

• проведение комплексных аудитов информационной безопасности, в рамках которых осуществляется обследование текущего состояния ИБ, анализ угроз ИБ, оценка рисков ИБ в соответствии с предъявляемыми требованиями, формирование реко-мендаций по совершенствованию ИБ;

• анализ защищенности локальной сети и отдельных ее элементов;

• разработка рекомендаций по ИБ и планов по их реализации, позволя-ющих задать долгосрочный вектор развития ИБ, основные принципы, цели и задачи ИБ для каждого из горизонтов планирования: кратко-срочного, среднесрочного и долгосрочного;

• подготовка к соответствию требованиям регуляторов и стандартов, таких как 152-ФЗ «О персональных данных», 161-ФЗ «О национальной платежной системе» PCI DSS, ISO/IEC 27001:2013, ISO/IEC 22301:2012 и СТО БР ИББС;

• развитие и поддержка СУИБ в соответствии с требованиями между-народного стандарта ISO/IEC 27001:2013 и российского стандарта ГОСТ Р ИСО/МЭК 27001:2006;

• аутсорсинг процессов управления рисками ИБ и инцидентами инфор-мационной безопасности. Внедрение процессов управления рисками информационной безопасности осуществляется в соответствии с требованиями стандартов 31000:2009, ISO/IEC ISO/IEC 27005:2011 и рекомендациями NIST 800-30. Внедрение процессов управления инцидентами информационной безопасности основывается на реко-мендациях стандартов: ISO/IEC 27035:2011, NIST 800-61, NIST 800-86, NIST 800-92.

РЕАЛИЗОВАННЫЕ ПРОЕКТЫ

Крупный российский банк

Оценка соответствия информационной безопасности требованиям стандарта Банка России СТО БР ИББС-1.0-2010

Цель проекта: оценка текущего уровня ИБ, менеджмента ИБ, уровня осознания ИБ.

Основные преимущества:

• дана итоговая оценка соответствия информационной безопасности требованиям стандарта СТО БР ИББС-1.0-2010;

• даны необходимые рекомендации.

14.8

ПРЕИМУЩЕСТВА КРОКШирокая компетенция. КРОК работает на ИТ-рынке с 1992 года. КРОК признан лидером на рынке системной интегра-ции (отчеты IDC, 2002—2013 гг.). Компе-тенция компании ‒ все элементы инфор-мационной и телекоммуникационной инфраструктуры и интеграционные связи между ними. КРОК создает динамиче-ские инфраструктуры, которые позволя-ют гибко подстраиваться под текущие и стратегические потребности бизнеса.

Качество реализации проектов по ин-формационной безопасности. Специали-сты КРОК имеют большой опыт работы в области обеспечения информационной безопасности на промышленных пред-приятиях, в телекоммуникационном и банковском секторах, в государствен-ных учреждениях. Квалификация специ-алистов КРОК подтверждена междуна-родными сертификатами Lead Auditor (British Standards Institution) SANS GIAC, CISA (ISACA) и CISSP (ISC2), лицензиями ФСТЭК и ФСБ России, сертификатами ведущих производителей оборудования и программного обеспечения, вклю-чая Microsoft Certified Systems Engineer (MCSE): Security, CheckPoint Certified Security Expert (CCSE), Cisco Certified Internetwork Expert (CCIE), RSA Certified System Engineer и других.

Сертификация по международным стан-дартам. КРОК является первой компани-ей в России и СНГ, в 2005 году сертифи-цировавшей свою систему управления информационной безопасностью (СУИБ) в соответствии с требованиями между-народного стандарта ISO/IEC 27001:2005, а в 2014 году первой в России и странах СНГ успешно совершившей приведение СУИБ в соответствие с требования-ми стандарта 27001:2013. Также СУИБ компании успешно сертифицирована на соответствие требованиям российского стандарта ГОСТ Р ИСО/МЭК 27001 – 2006.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Компания КРОК является участником партнерской программы BSI «Ассоции-

рованная программа консультантов BSI», подтверждающей вы-сокий статус специ-алистов компании по внедрению систем менеджмента по на-правлениям «Инфор-мационная безопас-ность» (ISO 27001), «Непрерывность

бизнеса» (ISO 22301), «Управление ИТ-сервисами» (ISO 20000-1).

Компания КРОК обладает статусом квалифицированного аудитора (QSA ‒ Qualified Security Assessor) по требова-ниям международного стандарта защиты информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard).

Тестирование в Центре компетенции. Предлагая комплексные решения, КРОК достигает гарантированной совместимо-сти программных и аппаратных ком-понентов благодаря предварительной отработке и апробации решений в своем Центре компетенции, а также тесному взаимодействию с партнерами и постав-щиками. С возможностями продуктов по информационной безопасности также можно ознакомиться в первом в России Центре решений КРОК на базе техноло-гий EMC.

ПРЕИМУЩЕСТВА КРОК АКБ «Спурт» (ОАО)

Проведение комплексного аудита по направлениям СТО БР ИББС, PCI DSS, защита персональных данных

Специалистами КРОК проведено обследование текущего состояния информационной безопасности АКБ «Спурт» (ОАО) и дана оценка на предмет соответствия требованиям стандартов PCI DSS, СТО БР ИББС.

Основные преимущества:

• проведение анализа достаточности уровня информационной без-опасности;

• идентификация текущих рисков несоответствия требованиям законо-дательства и регуляторов в области защиты информации;

• формирование экспертного заключения о соответствии и рекоменда-ций по устранению несоответствий.

Крупный коммерческий банк

Реализация 1-го, 2-го и 3-го этапов по приведению банка в соответствие с требованиями Федерального закона «О персональных данных»

Цель проекта: защита ПДн клиентов и работников банка, выполнение требований Федерального закона «О персональных данных».

На текущих этапах специалистами компании КРОК было выполнено:

• определение перечня АБС, в которых обрабатываются ПДн;• выделение границ ИСПДн;• разработка модели угроз;• разработка частной модели угроз для каждой ИСПДн;• разработка и эскизное проектирование СЗПДн.

Основные преимущества:

• исключение санкций, вызванных несоблюдением действующего законодательства;

• учитывание целей и бизнес-потребностей банка при проектировании СЗПДн.

111033, Москва, ул. Волочаевская, д.5, к.1, Т: (495) 974 2274 | Ф: (495) 974 2277E-mail: info@croc.rulibrary.croc.rucloud.croc.rucroc.ru

05 | 15 | КОНСАЛТИНГ И АУДИТ

ПАРТНЕРЫ КРОК

BSI. КРОК ‒ участник Ассоциированной программы консультантов BSI.PCI SSC. КРОК ‒ PCI DSS QSA (Qualified security assessor).

Московская городская избирательная комиссия

Аудит и консалтинг на соответствие требованиям ФЗ №152

Цель проекта: получение аттестата соответствия ИС требованиям Федерального закона «О персональных данных».

Специалистами компании КРОК проведено обследование информаци-онных систем (ИС) заказчика, разработана нормативно-методическая документация, осуществлено проектирование и внедрение требуемых решений.

Основные преимущества:

• исключение санкций, вызванных несоблюдением действующего законодательства;

• защита конфиденциальной информации от утечки по техническим каналам, а также утечки, связанной с человеческим фактором.