8 (800) 302-85-23

05.02.2021

Услуги по защите конфиденциальной информации

Услуги по защите конфиденциальной информации

Вебинар

06 августа | 10:00 МСК

Solar appScreener. Обучение для инженеров

Зарегистрироваться

Получить консультацию по Solar Dozor

Обеспечить информационную безопасность (далее — ИБ) по всем фронтам некоторым компаниям бывает сложно. Проблемы, как правило, возникают из-за ограниченности бюджета на ИБ (покупка специализированных решений может быть просто нецелесообразной), либо из-за нехватки квалифицированных кадров в области защиты информации и информационной безопасности (держать в штате высокооплачиваемых специалистов для некоторых — непозволительная роскошь). Выход в таком случае — заказ услуг по защите конфиденциальной информации и обеспечению ИБ у сторонних подрядчиков.

Давайте рассмотрим, какие услуги по технической защите конфиденциальной информации предлагают современные компании, какие процессы им можно доверить, а с чем придется справляться своими силами.

На аутсорсинг можно отдать практически любые процессы, связанные с обеспечением информационной безопасности. Такие услуги могут быть единовременными или оказывающимися на постоянной основе.

Единовременные услуги по защите информации

1.            Разработка нормативных документов по ИБ и защите информации.

2.            Аудит информационной безопасности и ИТ-инфраструктуры.

3.            Расследование инцидентов и киберпреступлений (форезника).

4.            Внедрение решений для защиты конфиденциальных данных.

Разработка нормативных документов по информационной безопасности и защите информации

Можно попытаться сделать документацию самостоятельно. Но на это потребуется немало времени и сил (особенно, если у штатных специалистов нет аналогичного опыта). Дело в том, что законодательство по защите информации не содержит конкретного перечня документов, которые должны разрабатываться. Но в то же время 152-ФЗ, приказ ФСТЭК №17, стандарты ISO 2700х и другие руководящие документы указывают, что какие-то документы в компании быть должны.

Вот несколько примеров:

·              В статье 19 152-ФЗ в качестве одного из пунктов, которым обеспечивается безопасность персональных данных, фигурирует «…учетом машинных носителей персональных данных…». Очевидно, что для этого нужен какой-то журнал или книга учета.

·              Пункт 9 приказа ФСТЭК №17 обязует компании, работающие с персональными данными, иметь администратора безопасности. Чтобы его назначить, требуется приказ и должностная инструкция.

·              Статья 18.1 «Закона о персональных данных», указывает, что для пользователей, работающих с персональными данными и другой конфиденциальной информацией, нужны инструкции.

И таких пунктов с косвенными упоминаниями документов в различных нормативных актах немало. Чтобы правильно и в полном объеме подготовить необходимый набор документов, нужно знать массу нюансов. Конечно же, необходимо учитывать специфику работы компании и особенности области, в которой она работает.

Поэтому для многих быстрее и дешевле будет воспользоваться такой услугой от компании, имеющей опыт в данной сфере, чем пытаться составить документы своими силами.

Аудит ИБ, IT-инфраструктуры и мер по защите конфиденциальной информации

Аудит — популярная услуга по защите конфиденциальной информации. Он проводится с целью получения количественных и качественных оценок, позволяющих судить о состоянии информационной безопасности в компании и ее соответствии определённым критерием.

Эта услуга по защите важной информации может заказываться в следующих целях:

·              Приемка ИТ-инфраструктуры или ее отдельных компонентов от заказчика, чтобы оценить соответствие ТЗ.

·              Оценка соответствия инфраструктуры и ИБ в компании требованиям нормативных актов в области защиты персональных данных и другой информации (152-ФЗ, GDPR, документы ФСТЭК и пр.).

·              Поиск и локализация возможных каналов и мест утечки информации.

·              Подготовка к прохождению сертификации, проверкам заинтересованных ведомств и другим событиям.

·              Масштабирование информационных систем компании. Аудит поможет снизить риск потенциального ущерба.

По результатам оказания этой услуги по защите конфиденциальной информации клиент получает рекомендации по устранению выявленных проблем. Зачастую у аудитора сразу можно заказать и услуги по выполнению этих рекомендаций.

Расследование инцидентов в области информационной безопасности

Это услуга по защите информации, которая позволит получить полную картину по причинах утечки данных и других инцидентах, а также принять меры к пресечению подобных ситуаций в дальнейшем. В ходе расследования проводится анализ оповещения антивирусов, межсетевых экранов, IDS, DLP и иных решений. Специалисты опрашивают сотрудников компании. Часто вместе с этой услугой проводится и аудит IT-инфраструктуры на предмет качества и полноты мероприятий по защите уязвимой информации.

Внедрение решений для защиты информации

Услуга, как правило, оказывается в комплексе. Подрядчик проводит аудит IT-инфраструктуры и ИБ, выбирает по его результатам подходящие решения, разрабатывает пакет документов и вводит все в эксплуатацию. Что и как внедрять, зависит от специфики компании, характера данных с которыми она работает, и ряда других факторов.

 

Услуги по защите информации, оказываемые на постоянной основе

На постоянный аутсорсинг можно отдавать практически любые мероприятия по обеспечению защиты конфиденциальной информации. Компании, оказывающие услуги в этой сфере, берут на себя управление и мониторинг таких составляющих систем ИБ, как:

·              Антивирусы и межсетевые экраны.

·              Системы обнаружения (IPS) и предотвращения (IDS) вторжений, предотвращения утечек (DLP-системы).

·              Виртуальные частные сети (VPN).

·              Инфраструктуры открытых ключей (PKI).

·              SIEM (системы сбора и обработки информации об инцидентах).

2 важных фактора, которые нужно учесть при заказе услуг по защите информации

Чтобы получить качественные услуги и уверенность в том, что ваши данные хорошо защищены, обратите внимание на 2 фактора, без которых о качестве говорить нельзя:

1.            Оценка оказываемых услуг должна производиться по измеримым метрикам. Никаких расплывчатых понятий и определений. Пример такой метрики — время реакции на инцидент. Лучший вариант, когда к договору прилагается SLA.

2.            На поставщика услуг ни в коем случае не должны перекладываться функции принятия рисков. Заказчик сам принимает решения по закрытию спорных вопросов и нейтрализации угроз, с учетом рекомендаций аутсорсера.

 

Таким образом, защитить важную информацию можно и без многочисленного штата специалистов по ИБ. Главное – найти надежную аутсорсинговую компанию, объем и стоимость услуг которой соответствуют вашим целям.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.