Отдел консалтинга и аудита (портфель услуг)

1.

Оберегая действительно ценное
ОТДЕЛ КОНСАЛТИНГА И АУДИТА
(ПОРТФЕЛЬ УСЛУГ)
www.angaratech.ru

2.

ПЛАН ПРЕЗЕНТАЦИИ
Портфель услуг
Актуальность услуг
Отдел консалтинга и аудита

3.

УСЛУГИ КОНСАЛТИНГА
Госсектор
Финансы
Все Заказчики
ПДн
КИИ
ГОСТ ЦБ
СТО БР
382-П
ISO27001
GDPR
SWIFT
683-П
747-П
ГосСОПКА
Аудит ИБ
716-П
719-п
757-П
Анализ
рисков ИБ
ГИС

4.

ПДН
Основные документы
• ФЗ-152 от 27.07.2006 «О персональных данных»
• ПП РФ №1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»
• Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных при их обработке в информационных
системах персональных данных»
• Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических
мер по обеспечению безопасности персональных данных …»
Состав работ
• Аудит на соответствие требованиям
• Формирование требований к СЗПДн
• Разработка ОРД
Описание
• Заказчики – все операторы ПДн
• Срок проведения работ ̴ 2+ мес.
• Проектирование СЗПДн
• Аттестация/оценка соответствия

5.

СЕРВИСНЫЕ УСЛУГИ ПО СОПРОВОЖДЕНИЮ
СЗПДН

6.

ГИС
Основные документы
• ФЗ-149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации»
• Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных системах»
Состав работ
• Обследование
• Формирование требований к системе
защиты информации
• Разработка ОРД
Описание
• Заказчики – все субъекты ГИС
• Срок проведения работ ̴ 4+ мес.
• Проектирование системы защиты
информации
• Внедрение СЗИ
• Аттестация

7.

КИИ
Основные документы
•ФЗ-187 от 26 июля 2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации»;
•Постановление Правительства РФ от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов критической
информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов
критической информационной инфраструктуры Российской Федерации и их значений»;
•Приказы ФСТЭК России.
Состав работ
• Обследование
• Категорирование объектов КИИ
• Разработка ОРД
Описание
• Заказчики – все субъекты КИИ (телеком, промышленность, банки)
• Срок проведения работ ̴ 2+ мес.
• Проектирование системы защиты
информации
• Внедрение СЗИ
• Приемка/Аттестация

8.

НОРМАТИВНЫЕ ДОКУМЕНТЫ В ЧАСТИ КИИ
Приказ ФСТЭК от 06.12.2017 № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной
инфраструктуры Российской Федерации»;
УСТАНАВЛИВАЕТ ПОРЯДОК ВЕДЕНИЯ РЕЕСТРА ЗНАЧИМЫХ ОБЪЕКТОВ КИИ ФСТЭК РОССИИ
Приказ ФСТЭК от 22.12.2017 №236 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из
категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»
Устанавливает форму сведений для отправки результатов категорирования во ФСТЭК России
Приказ ФСТЭК России от 11.12.2017 № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения
государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры
Российской Федерации»
УСТАНАВЛИВАЮТ ФОРМЫ ОТЧЕТНОСТИ В ХОДЕ КАТЕГОРИРОВАНИЯ ОБЪЕКТОВ КИИ, А ТАКЖЕ ПРОВЕРОЧНЫХ МЕРОПРИЯТИЙ
Приказ ФСТЭК от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической
информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
Устанавливает требования к созданию, организации, функционированию и совершенствованию системы безопасности
Приказ ФСТЭК от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической
информационной инфраструктуры Российской Федерации»;
Устанавливает детальные технические требования к обеспечению защиты значимых объектов КИИ для каждой категории
значимости
Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении требований к обеспечению защиты информации в автоматизированных
системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных
объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды»

9.

СФЕРЫ КИИ
Здравоохранение
Область атомной энергии
Наука
Оборонная промышленность
Транспорт
Ракетно-космическая промышленность
Связь
Горнодобывающая промышленность
Энергетика
Металлургическая промышленность
Банковская сфера и иные сферы
финансового рынка
Химическая промышленность
Топливно – энергетический комплекс

10.

ГОССОПКА
Основные документы
• ФЗ-187 от 26 июля 2017 г. «О безопасности критической информационной инфраструктуры Российской Федерации»;
• Постановления Правительства, Указы Президента, документы ФСБ России
Состав работ
•Обследование текущих организационных и технических мер обеспечения защиты информации
•Техническое проектирование центра ГосСОПКА
•Поставка и внедрение средств защиты информации, мониторинга, анализа защищенности, обнаружения компьютерных атак
•Разработка методик и регламентов эксплуатации центра ГосСОПКА (инвентаризации, выявления атак, анализа
защищенности, регистрации и анализа инцидентов)
Описание
•Заказчики –субъекты КИИ, ???
•Срок проведения работ ̴ 12+ мес.

11.

ГОССОПКА
Регламентирующие документы ФСБ России
Приказ ФСБ России №366 от 24.07.2018 «О Национальном координационном центре по компьютерным инцидентам»
Приказ ФСБ России №367 от 24.07.2018 «Об утверждении Перечня информации, представляемой в ГосСОПКА и Порядка
представления информации в ГосСОПКА»
Приказ ФСБ России №368 от 24.07.2018 «Об утверждении Порядка обмена информацией о компьютерных инцидентах и
Порядка получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их
предупреждения и обнаружения»
Рекомендации №149/2/7-200 от 24.12.2016 «Методические рекомендации по созданию ведомственных и корпоративных
центров ГосСОПКА»
Методические документы ФСБ России:
Требования к подразделениям и должностным лицам субъектов ГосСОПКА;
Регламент подразделений Федеральной службы безопасности Российской Федерации и при осуществлении
информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;
Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы РФ;
Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов,
связанных с функционированием информационных ресурсов РФ;
Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак;
Варианты организации защищенного канала.

12.

382-П (ДЕЙСТВУЕТ ДО 31.12.2021)
Основные документы
• ФЗ-161 от 27.06.2011 «О национальной платежной системе»
• Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при
осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за
соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
Состав работ
• Оценка соответствия
Описание
• Заказчики – Банки
• Срок проведения работ ̴ 1,5 - 2 мес.

13.

683-П/747-П/719-П/757-П
Основные документы
• ФЗ-161 от 27.06.2011 «О национальной платежной системе»
• Положения Банка России
Состав работ
• Оценка соответствия (ГОСТ Р 57580)
• Тестирование на проникновение
Описание
• Заказчики – кредитные и некредитные финансовые организации

14.

683-П/747-П/719-П/757-П
Положение Банка России от 17.04.2019 N 683-П «Об установлении обязательных для кредитных
организаций требований к обеспечению защиты информации при осуществлении банковской
деятельности в целях противодействия осуществлению переводов денежных средств без согласия
клиента»
Положение Банка России от 23.12.2020 N 747-П «О требованиях к защите информации в платежной
системе Банка России»
Положение Банка России от 04.06.2020 N 719-П «О требованиях к обеспечению защиты информации при
осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за
соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных
средств»
Положение Банка России от 20.04.2021 N 757-П «Об установлении обязательных для некредитных
финансовых организаций требований к обеспечению защиты информации при осуществлении
деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных
финансовых операций»

15.

ГОСТ Р 57580
Основные документы
• ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых
организаций. Базовый набор организационных и технических мер»
• ГОСТ Р 57580.2 – 2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых
организаций. Базовый набор организационных и технических мер. Методика оценки соответствия»
Состав работ
Обследование
Формирование требований по ЗИ
Разработка ОРД
Оценка соответствия
• Проектирование системы защиты
информации
• Внедрение СЗИ
Описание
• Заказчики – кредитные и некредитные финансовые организации
• Срок проведения работ ̴ 2+ мес.

16.

ГОСТ Р 57580
ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации
финансовых организаций. Базовый набор организационных и технических мер»
СТАНДАРТ ОПРЕДЕЛЯЕТ 3 УРОВНЯ ЗАЩИТЫ ИНФОРМАЦИИ И ТРЕБОВАНИЯ К СОДЕРЖАНИЮ БАЗОВОГО СОСТАВА МЕР ЗАЩИТЫ,
СООТВЕТСТВУЮЩИЕ УРОВНЯМ ЗАЩИТЫ
Область действия стандарта распространяется на следующие организации:
Кредитные финансовые организации
Некредитные финансовые организации
Оценка соответствия требованиям стандарта проводится в соответствии с ГОСТ Р 57580.2 – 2018
«Безопасность финансовых (банковских) операций. Защита информации финансовых организаций.
Базовый набор организационных и технических мер. Методика оценки соответствия»

17.

SWIFT
Основные документы
• SWIFT Customer Security Programme (SWIFT CSP)
• SWIFT Customer Security Controls Framework 1.0
Состав работ
• Аудит на соответствие требованиям
• Подготовка результатов аудита для предоставления в
SWIFT KYC Registry
Описание
• Заказчики - банки
• Срок проведения работ ̴ 1 мес.

18.

716-П
Основные документы
• Положение Банка России от 08.04.2020 N 716-П «О требованиях к системе управления
операционным риском в кредитной организации и банковской группе»
Состав работ
• Разработка регламентирующей документации
• Оценка рисков ИБ
Описание
• Заказчики - банки
• Срок проведения работ ̴ 2+ мес.

19.

GDPR
Основные документы
• General Data Protection Regulation
Состав работ
• Аудит на соответствие требованиям
• Внедрение GDPR (ОРД, процессы)
Описание
• Заказчики – преимущественно частный сектор
• Срок проведения работ ̴ 2+ мес.

20.

ISO 27001
Основные документы
• Стандарт ISO/IEC 27001:2013 «Информационные технологии. Методы обеспечения безопасности.
Система менеджмента информационной безопасности. Требования».
• Стандарт ISO/IEC 27002:2013 «Информационные технологии. Методы обеспечения безопасности.
Свод практик по управлению информационной безопасности».
Состав работ
• Аудит на соответствие требованиям
• Внедрение СУИБ
• Предсертификационный аудит
Описание
• Заказчики – преимущественно частный сектор
• Срок проведения работ ̴ 2+ мес.

21.

АУДИТЫ ИБ
Основные документы
• Законодательство РФ
• Международные и российские стандарты
Состав работ
• Поведение обследования
• Подготовка отчетной документации и
рекомендаций по итогам аудита
• Технический аудит
• Тестирование на проникновение
Описание
• Заказчики – все отрасли
• Срок проведения работ ̴ 2 мес.
• Стоимость работ в сторону Заказчика ̴ 1,5 млн. руб. (включает в себя все указанные этапы работ)