Соответствовать отраслевому стандарту можно «автоматом»

BIS Journal №3(6)/2012

27 сентября, 2012

Соответствовать отраслевому стандарту можно «автоматом»

Основанная в 2004 году компания «Газинформсервис» сегодня – один из крупнейших в России системных интеграторов в области безопасности, разработчик уникальных программных продуктов. Специализация – создание систем информационной безопасности и обеспечения безопасности объектов для органов государственной власти и местного самоуправления, крупных корпораций энергетической, транспортной отраслей и сектора здравоохранения, а также, отдельной строкой, – для кредитно-финансовых организаций.

КРАТКИЙ КУРС ИСТОРИИ КОМПАНИИ

Вначале немного важных фактов истории, пусть не столь давней. С момента основания в 2004 году кадровое ядро компании «Газинформсервис» составляют специалисты по информационным технологиям и информационной безопасности. Ещё в 1990-е годы на базе профессорско-преподавательского состава Военно-космической академии им. А.Ф. Можайского сформировался уникальный творческий коллектив, в который вошёл и кандидат физико-математических наук, старший научный сотрудник Валерий Пустарнаков – генеральный директор ООО «Газинформсервис».

Первоначально деятельность компании включала 3 основных направления: информационную безопасность, инженерно-технические средства охраны и удостоверяющий центр. Одновременно стартовали работы по созданию собственных программных продуктов.Свидетельством востребованности и успешности предлагаемых решений, а также подтверждением высокого уровня компетенции ООО «Газинформсервис» в своё время стало начало сотрудничества с ОАО «Газпром».

Становление компании происходило поэтапно, по мере расширения задач, ставившихся комплексными целевыми программами обеспечения безопасности объектов ОАО «Газпром». Необходимость решать всё более сложные задачи потребовала разработать новые, более эффективные подходы к обеспечению информационной безопасности. В частности, повышать уровень компетенции специалистов компании, общее количество которых, включая персонал филиалов, превысило 500 человек.

В настоящее время ООО «Газинформсервис» оказывает полный комплекс услуг в области обеспечения общей и информационной безопасности объектов. Специалисты компании не только выполняют проектирование, внедрение, сопровождение функционирования систем безопасности, но также участвует в разработке нормативной документации и осуществляют подготовку специалистов заказчика.

Программные продукты собственной разработки ООО «Газинформсервис» неоднократно становились лауреатами престижной премии «За укрепление безопасности России». Компания также предоставляет услуги удостоверяющего центра, испытательной лаборатории, проводит работы по аттестации и сертификации специалистов, а также оказывает консалтинговые услуги по вопросам обеспечения общей и информационной безопасности объектов.

ВЫПОЛНЕННЫЕ ПРОЕКТЫ

Ежегодно компания реализует свыше сотни проектов, часть которых уникальны по применяемым решениям и масштабам. В частности, в активе – бесценный опыт по целому ряду направлений, наработанный на объектах ОАО «Газпром» и в его дочерних организациях. Вот их перечень.

Обеспечение информационной безопасности:

  • аудит информационной безопасности корпоративных информационных сетей;
  • создание комплексных систем защиты информации (всесторонняя защита инфраструктуры объектов внедрения);
  • комплексная защита персональных данных в информационных системах класса защищенности до К1 включительно;
  • создание подсистем обеспечения информационной безопасности информационно- управляющих систем – обеспечение безопасности систем на всех уровнях, включая прикладной;
  • создание защищенных узлов доступа к корпоративным информационным ресурсам;
  • создание систем управления доступом к сетевому оборудованию;
  • внедрение инфраструктуры открытых ключей – развертывание сети удостоверяющих центров;
  • реализация проектов по разработке и внедрению таких высокотехнологичных решений, как системы управления учетными записями и привилегиями пользователей, системы управления инцидентами информационной безопасности, системы защищенного удаленного доступа и др.

Конструирование инженерно-технических систем охраны:

  • внедрение комплекса средств контроля состояния защищенности на транспортных средствах;
  • внедрение комплексов обнаружения взрывчатых веществ на объектах;
  • создание и внедрение комплексов средств контроля подъездных путей на объектах;
  • оснащение объектов инженерно-техническими средствами охраны и средствами антитеррористической защиты;
  • реконструкция охранных систем и технических средств охраны комплекса зданий и сооружений;
  • создание комплекса технических средств охраны, систем оповещения о пожаре и управления автоматической пожарной сигнализацией;
  • создание объединенной системы контроля и управления доступом административных зданий.

РЕШЕНИЯ ДЛЯ КРЕДИТНО-ФИНАСОВОЙ СФЕРЫ

Как многопрофильная компания ООО «Газинформсервис» может предложить заказчикам и партнёрам широкий перечень решений, повышающие уровень защищенности охраняемых информационных активов, – комплексные системы защиты информационных и информационно-управляющих систем.

А. Комплексные системы защиты информации предприятий.

Как правило, эти системы внушительны по масштабам и разнообразию технических решений, включая индивидуальные. Они охватывают всю системно-техническую инфраструктуру и информационные ресурсы предприятия. В том числе – сети и каналы связи, активное и пассивное сетевое оборудование, рабочие места пользователей, серверное оборудование и инфраструктурные сервисы.

Б. Системы защиты информационных и информационно-управляющих систем, в том числе обрабатывающих персональные данные.

Такие проекты обычно реализуется в защищённой инфраструктуре предприятий посредством создания отдельных защищённых автоматизированных систем. В таких случаях главный акцент защиты информационных активов делается на прикладном – функциональном уровне. Задействуются встроенные возможности защиты информации и безопасной настройки прикладных средств системы, информационные активы подразделяются на категории, доступ разграничивается на основании разрабатываемых правил.

В. Системы и подсистемы информационной безопасности вычислительных комплексов – центров обработки данных.

Эти системы учитывают важную специфику централизованной обработкой защищаемых ресурсов. В первую очередь – высокие требования к надежности и безопасности удаленного доступа, в том числе из сетей общего пользования.

Далее, критически важен «запас прочности», а именно исполнение, устойчивое к возможным нештатным ситуациям. В том числе поддерживающее высокоскоростное соединение между географически отдалёнными объектами, высокую доступность бизнес- приложений и оборудование с различной архитектурой процессора - x86-64, POWER, SPARC.

Г. Проекты, связанные с защитой бизнес-приложений, развернутых на базе технологической платформы SAP NetWeaver Application Server – SAP-системы, составляют отдельную группу.

Штат квалифицированных специалистов (SAP Basis Consultant, программисты ABAP) ООО «Газ- информсервис» имеет внушительный опыт построения подобных систем защиты информации. Заказчикам предлагается спектр решений на основе продуктов собственной разработки:

  • Блокхост-SNC, Блокхост- SSL, Блокхост-SSF для криптографической защиты информации в SAP-системах;
  • Блокхост-Titanium для защиты SAP-систем – контроля целостности объектов, аудита событий информационной безопасности и т.п.

Д. Система автоматизации процессов управления информационной безопасностью (САПУИБ).

Эта система обеспечивает информационно-технологическую поддержку и контроль основных процессов управления информационной безопасностью финансово-кредитных организаций, автоматизируя деятельность подразделений по сбору и анализу информации о текущем состоянии.

САПУИБ работает на основе платформы RSA Archer – лидера мирового рынка в классе IT-GRC (Governance, Risk and Compliance) and Enterprise GRC (по свидетельству Forrester Research Inc.).

Строится САПУИБ по модульному принципу, типовыми модулями являются:

  • документационное обеспечение;
  • учёт и классификация объектов защиты;
  • работа с персоналом и третьими сторонами по вопросам ИБ;
  • управление рисками ИБ;
  • управление инцидентами ИБ;
  • контроль соответствия требованиям ИБ;
  • индикаторы и уведомления.

Их перечень и содержание адаптируются к специфике деятельности и потребностям заказчика.

САПУИБ хорошо интегрируется с различными системами информационной безопасности – мониторинга событий, инвентаризации, управления инцидентами и учётными записями, контроля защищенности, а также с корпоративной электронной почтой.

Также САПУИБ существенно повышает эффективность мероприятий по обеспечению информационной безопасности, оперативно предоставляя руководству организации полные и наглядно структурированные данные, как о выполнении сотрудниками корпоративных требований, так и о текущем уровне защиты информации.

Е. Системы управления инцидентами информационной безопасности.

Системы управления инцидентами ИБ получают данные из следующих подсистем:

  • управления учетными записями и привилегиями пользователей;
  • контроля использования информационных ресурсов;
  • защиты от утечки;
  • сетевой безопасности;
  • защищенного удаленного доступа к корпоративным ресурсам с соблюдением требований национального законодательства в области применения криптографических средств защиты информации;
  • виртуализации и доставки приложений – собственной разработки одной из лучших в стране команд, работающих с решением Citrix XenApp.

РАЗРАБОТКИ ПО ИНДИВИДУАЛЬНОМУ ЗАКАЗУ

Компания «Газинформсервис» накопила большой положительный опыт развертывания информационных систем комплексной автоматизации пропускного режима на основе программного продукта собственной разработки «Блокхост – АСЗП». Это информационная система автоматизирует организацию контрольно- пропускного режима на предприятии – заказ и оформление пропусков, контроль прохода посетителей и проезда автотранспорта через контрольно-пропускные пункты, с возможностью управления доступом.

Автоматизация работы с пропусками в банках и финансовых учреждениях позволяет сократить затраты рабочего времени на согласование и оформление пропусков. При централизованном управлении и контроле событий пропускного режима создаются условия бесперебойной работы сотрудников бюро пропусков как в филиалах и отделениях, так и головных офисах банков.

«Блокхост – АСЗП» – решение, которое помогает предотвратить попытки посторонних лиц несанкционированно проникнуть на территорию кредитно-финансовых учреждений. Ещё более эффективна интеграция с различными системами контроля и управления доступом и электронными кадровыми системами банка, а также с «Блокхост – КСКПП» – комплексом средств контроля подъездных путей.

Следует отдельно отметить, что модуль «Контроль соответствия требованиям информационной безопасности» САПУИБ, настроенный под отраслевой стандарт Банка России, может поддерживать выполнение требований п.8.13. СТО БР ИББС 1.0 2010 – к процедуре проведения самооценки и расчёту уровней соответствия по предписанной методике.

Смотрите также