NLSec: Новые Линии защиты информации

·       Предпроектное обследование и моделирование угроз;·       Проектирование СЗДПн;·       Поставка и внедрение СЗИ;·       Аттестация СЗПДн по требованиям безопасности информации. Услуга предоставляется с применением автоматизированной системы Docshell .Система позволяет вести автоматизированную разработку и учет нормативно-правовой документации в сфере СЗПДн, назначение и обучение персонала в области защиты ПДн, учет информационных активов. Наши специалисты осуществляют полную поддержку пользователей системы и ее компонент.Результатом работ будет созданная и аттестованная система защиты персональных данных с автоматизированным обновлением документации...

Организации, осуществляющие взаимодействие с ГИС обязаны осуществлять это взаимодействия через изолированный и аттестованный сегмент корпоративной сети вне зависимости от формы собственности и категории предприятия.  ·       Предпроектное обследование и моделирование угроз;·       Проектирование АСЗИ;·       Поставка и внедрение СЗИ;·       Аттестация АСЗИ по требованиям безопасности информации. Услуга предоставляется с применением автоматизированной системы Docshell.Система позволяет вести автоматизированную разработку и учет нормативно-правовой документации в сфере защиты ГИС, назначение и обучение персонала в области эксплуатация АСЗИ, учет информационных активов. Наши специалисты осуществляют полную поддержку пользователей системы и ее компонент...

..

Основные этапы проектирования·       Предпроектное обследование·       Определение объектов воздействия потенциального нарушителя·       Моделирование угроз и нарушителя·       Разработка частного технического задания на создание системы защиты информации·       Разработка технического проекта·       Разработка пакета внутренней нормативной документации (далее — ВНД) для обеспечения соответствия требованиям отечественных государственных регуляторовУслуга предоставляется с применением автоматизированной системы DocshellРезультатом работ про проектирование КСОИБ будет являться проект функционирующей системы обеспечения информационной безопасности предприятия в соответствии с масштабом деятельности, актуальности угроз и требованиям Государственных регуляторов...

Специальные проверки (СП): выявление в технических средствах и устройствах конструктивных элементов, создающих угрозу утечки информации (электрические, акустические, радиотехнические и оптические каналы); проверка аппаратуры и линий связи на наличие электронных закладных устройств. Специальные исследования (СИ): экспериментальное определение уровня побочных электромагнитных излучений и наводок (ПЭМИН); определение возможности утечки информации за счёт незащищённых технических каналов; оценка эффективности средств защиты от ПЭМИН. Специальная проверка (спецпроверка, СП) — это проверка оборудования и технических средств (далее - ТС) на отсутствие каких-либо скрытых устройств, предназначенных для негласного прослушивания, записи, перехвата и передачи информации. СП проводится путём вскрытия ТС и дальнейшим его исследованием при помощи специального контрольно-измерительного оборудования. По завершению процедуры ставится голографическая наклейка ФСБ РФ и выдаются соответствующие документы по результатам проведения. Специальные исследования (специсследования, СИ)— комплекс действий, направленный на обнаружение потенциальных технических каналов утечки защищаемой информации с помощью специального контрольно-измерительного оборудования, в соответствии с нормативно-методическими документами ФСБ России и ФСТЭК России. ОТСС (основные технические средства и системы). Это такие технические средства и системы, которые используются для обработки, хранения и передачи конфиденциальной/секретной информации (вычислительная техника, средства связи и др.). ВТСС (Вспомогательные технические средства и системы). ТС, предназначенные для размещения в выделенных/защищаемых помещениях. Они могут быть одновременно и ОТСС, если будут обрабатывать секретную/конфиденциальную информацию. Т.е. ВТСС может быть любое ТС. НЧ-ПЭМИН (низкочастотные побочные электромагнитные излучения и наводки = речь) - В соответствии с дополнительными Методиками по ФСТЭК или по ФСБ все ТС, которые оснащены встроенными динамиками и микрофонами, а значит могут обрабатывать речевую акустическую информацию, должны проходить дополнительные испытания, по результатам которых так же производятся дополнительные расчеты. Категория обрабатываемой информации - В России существуют 3 грифа секретности: «особой важности» (ОВ), «совершенно секретно» (СС) и «секретно» (С) . Разница между ними в том, какой ущерб может нанести разглашение информации и какие интересы пострадают в результате разглашения. Гриф «для служебного пользования» (ДСП)/ «конфиденциально» (Конф.) никакого отношения к государственной тайне не имеет, но есть Методические документы, регламентирующие мероприятия по защите и такого рода информации. Если Заказчик пишет в данной графе «открытые» (откр.) – это означает, что данные ТС не подразумевается использовать для обработки информации любой степени секретности/конфиденциальности. Категория помещения, предназначенного для установки ТС. Выделенные помещения (ВП) – это помещения, в которых предполагается проведение переговоров/обсуждение сведений (речевая акустическая информации), содержащих сведения, составляющие государственную тайну. Существует 3 категории выделенных помещений: 1 категория — разрешается обсуждать информацию с грифом до «особой важности» включительно; 2 категория — с грифом до «совершенно секретно» включительно; 3 категория — с грифом до «секретно» включительно. Защищаемые помещения (ЗП) – это помещения, в которых предполагается проведение конфиденциальных переговоров. Необходимость проведения специальных проверок регулируется Законом РФ от 21.07.1993 г. №5485-1 (ред. от 29.07.2018 «О государственной тайне»), от скрытых устройств негласного считывания информации. Необходимость проведения специальных исследований регулируется Указом президента РФ №351 от 17.03.2008 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», и обязует все организации, деятельность которых, связана с хранением, обработкой, передачей гостайны, проводить специальные проверки и специальные исследования технических средств иностранного производства. Конфигуратор..

·       Поиск потенциальных уязвимостей (критических ошибок по терминологии ГОСТ Р 71207-2024). Static Application Security Testing – SAST;·       Анализ кода в рамках п 5.10 ГОСТа Р 56939-2024 для подготовки к сертификации;·       Анализ кода для организаций, заинтересованных повысить зрелость процессов разработки вне контекста сертификации;·       Поддержка стандартов, принятых в конкретной компании, проверка оформления кода в рамках локальных стандартов оформления кода. Услуга предоставляется с применением системы SASTAV .Сканирование проводится на любом этапе разработки без приобретения программного обеспечения.  ..