Наши услуги

Проведение регулярного внешнего аудита позволяет руководству компании отслеживать состояние информационной безопасности в организации и планировать развитие корпоративной информационной системы (КИС).

Аудит может проводиться для всей IT-инфраструктуры или отдельных процессов, сервисов и информационных систем.

Ценность аудита информационной безопасности для бизнеса можно выразить следующими преимуществами:

• Повышается устойчивость бизнеса (IT-инфраструктуры) организации по отношению к угрозам информационной безопасности, а также качество IT-сервисов в части их информационной безопасности благодаря:
  • оценке рисков информационной безопасности и разработке стратегии управления рисками;
  • оценке соответствия стратегии компании стратегии развития системы информационной безопасности (СИБ);
  • оценке эффективности работы системы информационной безопасности.
• Улучшается имидж компании в глазах инвесторов и клиентов, повышается внутрикорпоративная культура и зрелость организации благодаря:
  • оценке зрелости IT-процессов компании;
  • разработке стратегии повышения уровня зрелости IT-процессов;
  • оценке преимуществ, предоставляемых IT;
  • разработке стратегии оптимизации затрат на IТ.

Описание услуги

В ходе аудита проводится:

• анализ организационно-распорядительной документации;
• интервьюирование ключевых сотрудников;
• идентификация бизнес-процессов, активов, классификация информационных активов;
• обследование зданий и помещений, содержащих ключевые активы;
• анализ архитектуры и параметров информационных систем;
• анализ журналов выполнения процедур, журналов событий информационных систем;
• оценка знания и фактического выполнения персоналом регламентов и процедур в области информационной безопасности;
• выполнение теста на проникновение;
• идентификация уязвимостей активов;
• составление модели угроз;
• анализ применяемых защитных мер;
• оценка рисков информационной безопасности.

Результаты аудита информационной безопасности:

• заключение о степени соответствия системы управления информационной безопасности международным стандартам;
• заключение о степени соответствия требованиям российского и международного законодательств;
• перечень рисков информационной безопасности с экспертной оценкой их величин;
• рекомендации по снижению рисков информационной безопасности;
• оценка стоимости внедрения дополнительных защитных мер;
• техническое задание на внедрение дополнительных защитных мер.

Используемые решения

Аудит проводится в соответствии с общепринятыми мировыми практиками проведения аудитов информационных систем. При проведении аудита могут использоваться международные и российские стандарты и методологии в области информационных технологий и информационной безопасности: ISO 27001 (ГОСТ Р ИСО/МЭК 27001-2006), ISO 27002 (ГОСТ Р ИСО/МЭК 17799-2005), ISO 20000 (ГОСТ Р ИСО/МЭК 20000-2010), NIST 800-30, NIST 800-53, СObIT 4.1, ITILv3.

Для проведения теста на проникновения и идентификации уязвимостей информационных систем могут использоваться сетевые сканеры различных производителей.

Бизнес-требования

Необходимость защиты персональных данных субъекта – это объективная реальность. Сегодня каждая организация обрабатывает информацию о человеке (данные о сотрудниках, клиентах, партнерах, поставщиках и т. п.). Утечка, потеря или несанкционированное изменение персональных данных приводит к тому или иному ущербу, а порой и к полной остановке деятельности компании.

Кроме того, государство в стремлении соблюдать гражданские права человека требует от организаций обеспечить надежную защиту персональных данных. В январе 2007 года вступил в силу Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных», который регулирует отношения, связанные с обработкой персональных данных.

Описание услуги

Проект по защите персональных данных (ПДн) состоит из нескольких последовательных этапов:

• Сбор и анализ сведений об информационной системе.
• Проектирование системы защиты персональных данных и разработка комплекта организационно-распорядительных документов.
• Поставка и внедрение необходимых средств защиты информации.
• Оценка соответствия построенной системы защиты требованиям законодательства о персональных данных.
• Сопровождение системы защиты персональных данных.

По результатам реализации проекта по созданию системы защиты персональных данных клиент получает внедренный в процессы компании комплекс организационных и технических мер по защите информации, обеспечивающий полное соответствие требованиям законодательства РФ о персональных данных.

Отправить заявку на проведение обследования информационной системы компании на соответствие требованиям 152 ФЗ «О персональных данных».

Зарегистрироваться на ближайший вебинар по защите персональных данных.

Используемые технические решения

Если говорить о технической составляющей проектов по созданию систем защиты информационных систем персональных данных, то, как правило, в рамках проектов применяются следующие решения:

• средства защиты от несанкционированного доступа (SecretNet, Dallas Lock, IAMS, встроенные механизмы защиты операционных системи т. д.);
• средства надежной идентификации и аутентификации (eToken, ruToken, АМДЗ «Соболь», «Аккорд» и т. д.);
• средства межсетевого экранирования (StoneGate FW/IPS, Security Studio Endpoint Protection, VipNet, MSISA, UserGate, Trust Access, АПКШ «Континент», Cisco ASA и т. д.);
• средства обнаружения вторжения (StoneGate FW/IPS, Security Studio Endpoint Protection и т. д.);
• средства анализа защищенности (XSpider, Ревизор и т. д.);
• средства антивирусной защиты (Антивирус Касперского, Dr.Web, Eset NOD 32 и т. д.);
• средства криптографической защиты информации (АПКШ «Континент», VipNet, Крипто Три и т. д.);
• средства защиты от утечек по техническим каналам (Соната).

Особенностью проектов по защите персональных данных является законодательное требование внедрять только сертифицированные ФСТЭК и ФСБ России решения.

Бизнес-требования

Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в сфере платежных карт, разработанный международными платежными системами Visa и MasterCard. Основная цель соответствия его требованиям – повышение уровня защищенности информационной инфраструктуры.

Требования стандарта PCI DSS распространяется на организации, обрабатывающие информацию о держателях платежных карт. Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS. Примерами таких организаций являются торгово-сервисные предприятия (розничные магазины и службы электронной коммерции), а также поставщики услуг, деятельность которых связана с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.).

Услуги в области соответствия требованиям стандарта PCI DSS разработаны с учетом необходимости обеспечения клиенту комплексного подхода к информационной безопасности данных платежных карт:

• Построение и сопровождение защищенной сети:
  • установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт;
  • изменение выставленных по умолчанию производителями системных паролей и других параметров безопасности.
• Защита данных держателей карт:
  • обеспечение защиты данных держателей карт в ходе их хранения;
  • обеспечение шифрования данных держателей карт при их передаче через общедоступные сети.
• Поддержка программы управления уязвимостями:
  • использование и регулярное обновление антивирусного программного обеспечения;
  • разработка и поддержка безопасных систем и приложений.
• Реализация мер по строгому контролю доступа:
  • ограничение доступа к данным держателей карт в соответствии со служебной необходимостью;
  • присвоение уникального идентификатора каждому лицу, имеющему доступ к информационной инфраструктуре;
  • ограничение физического доступа к данным держателей карт.
• Регулярный мониторинг и тестирование сети:
  • контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт;
  • регулярное тестирование систем и процессов обеспечения безопасности.
• Поддержка политики информационной безопасности:
  • разработка, поддержка и исполнение политики информационной безопасности.

Используемые решения

PCI DSS является стандартом высокого уровня, описывающим построение процессов обеспечения информационной безопасности организаций, работающих с международными платежными системами. Стандарт не предъявляет конкретных технических требований, а формирует процессы информационной безопасности платежных систем.

Бизнес-требования

Стандартизация качества банковской деятельности направлена, в первую очередь, на улучшение систем управления и повышения конкурентоспособности кредитных организаций РФ. Внедрение комплекса СТО БР ИББС должно обеспечить противодействие угрозам информационной безопасности и обеспечить эффективность мероприятий по ликвидации неблагоприятных последствий. Основными задачами стандарта являются:

• Установление единых требований по обеспечению информационной безопасности организаций банковской системы РФ.
• Повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций банковской системы РФ.
• Выполнение требований данного стандарта обеспечит построение действующей системы защиты данных.

Описание услуги

Проект по построению системы обеспечения информационной безопасности состоит из нескольких этапов:

• Определение области действия системы обеспечения информационной безопасности (СОИБ). На данном этапе обследуется инфраструктура банка, определяются границы действия СОИБ. На основе полученных данных формируются политики информационной безопасности, разрабатываются необходимые организационно-распорядительные документы и технический проект. Завершается этап внедрением программно-технических средств по защите персональных данных и направлением в Центральный Банк РФ уведомления о присоединении к стандарту.
• Создание СОИБ банка. Ведется разработка модели угроз банка, анализируются риски информационной безопасности, а также дорабатываются организационно-распорядительные документы до полного комплекта.
• Внедрение СОИБ банка. Производится тестирование и первый запуск СОИБ. Обучение персонала клиента для грамотной работы с СОИБ, оказание консультаций по функционированию и взаимосвязям всех вновь разработанных процессов системы управления информационной безопасностью. Предоставляется квалифицированная помощь в документировании свидетельств выполненной деятельности по обеспечению информационно безопасности.
• Консультационная поддержка СОИБ – окончательный этап работы по созданию и внедрению СОИБ, предполагающий расширенную консультационную поддержку СОИБ.

По результатам проекта клиент получает систему обеспечения информационной безопасности. Основным преимуществом данной системы является переход на процессный подход к управлению и повышение качества услуг. Управление процессами позволяет постоянно улучшать качество деятельности банка. Кроме того, построение системы управления процессами создает основу для эффективного внутреннего контроля и управления операционными рисками.

Используемые решения

СТО БР ИББС – это стандарт высокого уровня, не предъявляющий конкретных технических требований, поэтому в рамках проектов по СТО БР в целях практического выполнения тех или иных процедур СОИБ может применяться практически весь спектр средств защиты информации.

Бизнес-требования

В наше время защита коммерческой тайны актуальна для любой организации, дорожащей своей репутацией и финансовым положением, особенно в период активного развития IT-технологий.

Описание услуги

Компания Softline проводит все необходимые работы в рамках защиты коммерческой тайны, в результате которых клиент получает как правовую, так и техническую защиту его конфиденциальной информации:

• Отчет о проведенном обследовании, включающий:
  • раздел об инвентаризации информационных ресурсов, содержащий перечень информационных ресурсов, их атрибуты и категоризацию;
  • раздел, содержащий рекомендации по повышению эффективности режима коммерческой тайны;
  • комплект документов, необходимый для внедрения режима коммерческой тайны.
• Оценку объема и уровня критичности информации, обрабатываемой в основных информационных системах и участвующей в бумажном документообороте.
• Правовую защиту информации, составляющей коммерческую тайну.
• Возможность повышения уровня осведомленности сотрудников и их заинтересованности в соблюдении конфиденциальности информации.
• Комплекс рекомендательных мер по дальнейшему повышению эффективности режима коммерческой тайны.

Используемые решения

Для реализации в компании режима защиты коммерческой тайны необходимо разработать не только ряд правовых документов и организационных мероприятий, но и позаботиться о внедрении технических мер защиты, к которым могут относиться:

• DLP-решения (предотвращение утечек конфиденциально информации).
• Средства защиты от несанкционированного доступа.
• Криптографические средства защиты, в том числе средства создания цифровой подписи.
• Межсетевое экранирование и т. д.

Бизнес-требования

Стратегия информационной безопасности позволяет руководству компании:

• оценить текущий уровень информационной безопасности;
• определить направления для дальнейшего развития;
• обеспечить согласованность действий со стратегией развития всей компании;
• определить стратегические цели информационной безопасности и задачи для их достижения;
• определить приоритетность выполнения задач;
• рационально распределить инвестиции;
• обеспечить соответствие законодательству РФ и отраслевым стандартам в части информационной безопасности.

Описание услуги

В рамках услуги проводятся следующие работы:

• Производится анализ специфики бизнеса компании, стратегии развития компании, стратегии развития в области информационных технологий.
• Производится анализ требований законодательства и отраслевых стандартов.
• Производится определение стратегических целей информационной безопасности и задач, решение которых необходимо для их достижения.
• Производится оценка приоритета и стоимости реализации задач.
• Разрабатывается план реализации перечня задач в соответствии с их приоритетом и стоимостью.

Бизнес-требования

Построение и формализация процесса расследования инцидентов информационной безопасности позволят компании:

• эффективно и оперативно реагировать на возникающие инциденты информационной безопасности;
• осуществлять сбор улик и доказательств;
• выявлять причины инцидентов и формировать план мероприятий по предотвращению их повторений;
• при необходимости подготавливать обращение в правоохранительные органы для дальнейшего расследования и привлечения участников инцидентов к ответственности.

Описание услуги

В рамках услуги производятся следующие работы:

• Анализ специфики бизнеса компании.
• Анализ областей максимального риска (при необходимости построение модели угроз и оценка рисков).
• Разработка необходимых организационно-технических мероприятий для организации сбора свидетельств.
• Разработка процедур для персонала в рамках проведения расследований инцидентов.

Бизнес-требования

Современные бизнес-процессы требуют предоставления для сотрудников большинства организаций доступа к сервисам Интернет и корпоративной электронной почте. Однако эти сервисы несут в себе потенциальные риски информационной безопасности, увеличивая вероятность заражения вирусами или предоставляя канал утечки данных для злоумышленников внутри компании. Отсутствие интернет-фильтрации приводит к снижению производительности сотрудников, использующих интернет-ресурсы в личных целях. Наиболее эффективными средствами борьбы с web-угрозами и нежелательной почтовой рассылкой являются решения в области контентной фильтрации. Внедрение подобных решений позволяет:

• контролировать работу пользователей с ресурсами сети Интернет;
• ограничить поток нежелательной почты;
• оптимизировать сетевой трафик;
• управлять полосой пропускания в зависимости от контента;
• повысить качество обслуживания;
• автоматизировать отчеты о пользовании ресурсов сети Интернет.

Описание услуги

Наши специалисты помогут вам с выбором конкретного решения и оптимальной архитектуры внедрения. После чего выбранный продукт внедряется в IT-инфраструктуру клиента, осуществляются настройки аутентификации пользователей, политик доступа, настроек отчетности и спам-фильтрации. Внедрение решений контентной фильтрации осуществляется максимально прозрачно для пользователей и не влияет на доступность сервиса. Постоянно обновляемые базы данных web-угроз позволяют системам контентной фильтрации осуществлять:

• проактивную антивирусную защиту;
• актуальную категоризацию и фильтрацию URL-адресов в Интернете;
• инспекцию SSL-трафика пользователей;
• удаление до 99% спам-писем.

Таким образом, значительно снижаются риски реализации интернет-угроз, что повышает общий уровень информационной безопасности компании.

Используемые решения

Мы сотрудничаем с ключевыми игроками российского рынка систем контентной фильтрации.

Защита данных = защита бизнеса
Как происходит утечка данных?
Риски, связанные с утечкой корпоративной информации
Механизмы защиты от утечек
Преимущества использования DLP-систем для бизнеса
Преимущества использования DLP-систем для IT-службы и службы безопасности
Проектный подход компании Softline при внедрении систем DLP
Почему именно компания Softline?
Контактная информация

Защита данных = защита бизнеса

Сегодня наиболее подвержены рискам информационные активы компаний (данные), а они чаще всего находятся не в коробках, шкафах или на складах, а в базах данных, электронной почте и в файлах. Списки клиентов, платежная информация, финансовая отчетность и бизнес-планы – жизненная основа любого предприятия. И хранится она в электронном виде в сети, на серверах, рабочих станциях, картах памяти, ноутбуках сотрудников. В то же время для защиты от утечки этих данных нельзя их просто блокировать, т. к. большую их часть необходимо постоянно и беспрепятственно использовать в повседневной деятельности.

Как происходит утечка данных?

Человеческий фактор. Людям свойственно ошибаться, и ваши сотрудники – не исключение. Часто, сохранив файл, люди забывают, как он был назван при сохранении или где он был сохранен. Нередко по электронной почте или с помощью программ моментального обмена сообщениями, случайно или умышленно «не тому адресату» отправляется конфиденциальная информация. А случаев потери карт памяти и других съемных носителей происходит тем больше, чем больше сотрудников в компании.

Результатом подобных инцидентов становится утечка информации. В современном бизнесе такие «безобидные» недоразумения могут привести к значительным финансовым потерям и даже к финансовому краху компании.

Электронная почта. Электронная почта – это инструмент, использование которого для внешних и внутренних коммуникаций в современных компаниях является необходимостью. Электронная почта может быть защищена от внешних вторжений и вирусов, от спама и несанкционированного доступа, но эти общепринятые средства защиты не гарантируют отсутствия утечек данных.

Неупорядоченное хранение информации. Угрозу для компании представляет также и неуправляемое, неупорядоченное хранение массивов корпоративной информации, что может привести к потере данных и их утечкам.

Отсутствие политик разграничения прав на передачу данных вовне. Если в организации не назначены такие политики, то высока вероятность возникновения утечек данных.

Риски, связанные с утечкой корпоративной информации

Юридические риски. Риски, связанные с несохранением тайны деловых отношений с партнерами и сотрудниками, зачастую приводят к серьезным разбирательствам в судах и, как правило, приводят к взысканиям в виде значительных финансовых штрафов.

Если утечки касаются персональных данных, то, в соответствии с Федеральным законом РФ 152 «О персональных данных», на организацию и на руководителей в частности могут быть наложены значительные штрафы, а также может быть принято решение о приостановке основного вида деятельности, или даже предъявлен запрет на основной вид деятельности.

Репутационные риски. В случае возникновения утечки, при отсутствии систем защиты от утечек информации, в первую очередь страдает имидж компании. Может быть утеряно доверие партнеров и клиентов, что в конечном итоге повлечет серьезные финансовые потери.

Финансовые риски. Переход закрытой (инсайдерской) информации на сторону конкурентов может повлиять на бизнес в целом, привести к значительным финансовым потерям и даже к финансовому краху. Штрафы и взыскания за невыполнение требований законодательства могут привести к значительным убыткам или повысить затраты на их избежание.

Механизмы защиты от утечек

Data Leak Prevention (DLP) переводится с английского языка как «предотвращение утечек информации». DLP – это комплекс мер по защите от утечек информации, являющейся собственностью организации. DLP-система – это продукт, который на основе централизованных политик осуществляет идентификацию, мониторинг и защиту данных во время их использования, передачи и/или хранения.

Меры по предотвращению утечек подразделяются на организационные и технические:

• К организационным мерам относится классификация информации, обрабатываемой в информационной системе. Всю информацию обычно подразделяют на 4 категории: публичная, для служебного использования, конфиденциальная, секретная. После такого разделения создаются политики обращения с каждой категорией информации.
• К техническим мерам защиты от утечек относится использование технологий DLP, которые основаны на анализе потоков данных, пресекающих периметр защищаемой информационной системы. В состав DLP систем входят как компоненты (модули) сетевого уровня, так и компоненты уровня хоста. Сетевые компоненты контролируют трафик, пересекающий границы информационной системы. Компоненты уровня хоста устанавливаются на персональные компьютеры сотрудников, где происходит контроль действий, производимых с классифицированными документами.

Отнесение информации к той или иной категории при работе DLP-системы может проводиться различными способами. Одним из способов является проведение анализа формальных признаков документа: например, анализ грифа документа, специально введенных меток или сравнение цифровых отпечатков. Другим способом является анализ содержимого документа. В DLP системах возможно как раздельное применение этих способов, так и их совмещение. Проведение анализа информации возможно как при передаче сообщения (пакета, потока, сессии), так и при ретроспективном просмотре произошедших передач данных. Для выбора DLP-системы, отвечающей особенностям конкретных бизнес-процессов и поставленных задач, целесообразно обратиться за помощью к специалистам.

Преимущества использования DLP-систем для бизнеса

Использование DLP-систем позволит вашему бизнесу:

• Защищать информационные активы организации от неправомерных действий, передачи третьим лицам и несанкционированного доступа.
• Минимизировать риски потери критически важной для бизнеса информации.
• Снизить риски потери стратегически важной инсайдерской информации.
• Достигнуть экономии средств: внедрение системы защиты от утечек поможет сократить другие расходы, связанные с управлением данными и безопасностью.
• Снизить затраты на соблюдение требований законодательства в области защиты персональных данных.

Используя DLP-системы, ваша организация:

• Понижает риски. Зная, где именно в информационной системе хранятся критические данные и как именно они используются, вы понижаете возможность утечки этих данных.
• Понижает затраты на управление данными и сокращает специфические затраты на безопасность.
• Понижает стоимость приведения систем обработки данных в соответствие с требованиями законодательства (К примеру, если в организации уже есть разграничение прав доступа, то внедрение проектов по защите персональных в соответствии с ФЗ №152 будет менее дорогостоящим).
• Повышает возможность приведения в действие и повседневного использования политик безопасности: многие политики безопасности, подразумевающие только организационные меры, зачастую трудно реализуемы. С введением в эксплуатацию DLP-системы обеспечивается возможность того, что политики войдут в повседневное использование и будут выполняться.

Преимущества использования DLP-систем для IT-службы и службы безопасности

Внедрение DLP-системы позволит IT-службе и службе безопасности:

• Контролировать
  • Осуществлять эффективный контроль и предотвращение нежелательных инцидентов по утечке важной корпоративной информации.
  • Получать своевременные оповещения обо всех нарушениях сотрудниками политик пользования важной корпоративной информацией.
• Защищать
  • Защищать информационные активы с минимальным вмешательством в бизнес-процессы и с соблюдением интересов бизнеса.
• Реализовывать политики и управлять данными:
  • Определить и внедрить четкую политику использования электронных данных в своей организации.
  • По заданным критериям находить те или иные данные во внутрикорпоративной сети, получать отчеты о том, где именно в корпоративной сети они хранятся, как используются и куда передаются.
  • Понимать и контролировать порядок использования данных в пределах организации.
  • Для всех закрытых данных (которым присвоена категория «конфиденциальные») задавать правила их использования сотрудниками при хранении на серверах и рабочих станциях, передаче по каналам связи (электронная почта, web, ICQ, и т. д.) и обработке на рабочих местах.
  • Централизованно управлять политикой использования данных в электронной форме.
  • Усовершенствовать практику управления корпоративными данными, улучшить процессы инвентаризации и категорирования информации.
• Получать данные о корреляции работы IT-безопасности и бизнес-процессов:
  • Получать отчетность, наглядно демонстрирующую финансовые выгоды, приносимые DLP-системами и работой службы безопасности компании.

Проектный подход компании Softline при внедрении систем DLP

При внедрении систем класса Data Leak Prevention (DLP), специалисты компании Softline разрабатывают всю необходимую организационно-распорядительную и эксплуатационную документацию. Кроме того, наши специалисты помогают интегрировать механизмы защиты в бизнес-процессы заказчика на основе лучших мировых практик и методик ISO/ИСО 27001, NIST, Octave, Cobit, SANS.

Типовой план проекта по внедрению системы класса DLP включает следующие этапы:

• Предпроектное обследование информационной системы компании.
• Инвентаризация информационных активов.
• Классификация конфиденциальной информации.
• Разработка политики и регламентов перемещения электронных документов.
• Выбор оптимального DLP-решения на основе взвешенных экспертных оценок и демонстраций продукта.
• Разработка правил реагирования DLP-решения на события.
• Представление заказчику рекомендаций проектной группы.
• Разработка и согласование технического задания.
• Создание базы контентной фильтрации.
• Создание базы цифровых отпечатков.
• Установка и настройка DLP-системы.
• Разработка пакета проектной документации к DLP-системе.
• Написание сопроводительной технической документации.
• Обучение офицеров безопасности и инженеров заказчика.
• Запуск в эксплуатацию DLP-системы.
• Сопровождение DLP-системы.

В зависимости от специфики и потребностей компании может быть изменено количество работ и их содержание.

Почему именно компания Softline?

Вместе с нами вы сможете провести обоснованный выбор необходимого решения из большинства представленных на рынке, так как мы являемся поставщиками решений всех лидеров рынка систем DLP. Наши технологические партнеры и партнерские статусы представлены в таблице:

В сотрудничестве с компанией Softline выбор оптимального решения займет у вас минимальное время. Нами проведено обширное исследование большинства DLP-систем, их потребительских характеристик и функционала. Наши специалисты готовы продемонстрировать любое решение и предоставить результаты экспертных оценок по каждому решению.

На всех этапах проекта компания Softline гарантирует максимальную ориентированность на качество предоставляемых услуг и их соответствие потребностям компании.

Система управления качеством услуг в компании Softline сертифицирована на соответствие международному стандарту ISO 9001, что подтверждает максимальную клиенториентированность.

В Softline работает большой штат сертифицированных IT-специалистов.
У Softline имеется большой опыт внедрения систем защиты информации, в том числе DLP-систем.
У Softline имеются все необходимые лицензии и сертификаты для ведения проектной деятельности по внедрению систем обеспечения информационной безопасности.
Softline имеет партнерские соглашения и высшие партнерские статусы более чем 3000 производителей и разработчиков.
Softline имеет разветвленную сеть представительств в России, СНГ и странах дальнего зарубежья (60 городов, 12 стран).
Softline имеет репутацию надежного партнера для более чем 40 000 компаний и 5 миллионов частных пользователей лицензионного ПО и компьютерного оборудования.
Softline входит в 20 крупнейших IT-компаний России.
Softline работает на рынке поставки ПО и IT-решений более 16 лет.

Контактная информация

E-mail: security@softline.ru.
Тел.: +7(495) 232-0023.
8-800-100-00-23 (звонки бесплатны по всей России).

Бизнес-требования

Успех деятельности компании все больше зависит от ее способности защищать информацию и управлять ею. Системы контроля целостности совместимы с большинством офисных приложений и позволяют предотвратить несанкционированное обращение и обработку электронной информации в онлайновом и автономном режиме. Внедрение систем контроля целостности обеспечивает:

• Целостность электронной документации, обрабатываемой пользователями.
• Централизованное управление политиками использования корпоративной информации.
• Аудит работы сотрудников с электронной документацией организации.

Описание услуги

Развертывание систем контроля целостности подразумевает наличие в компании четкой классификации информации по степени конфиденциальности. При ее отсутствии система контроля целостности не сможет эффективно функционировать. Работы по внедрению систем контроля целостности включают:

• аудит активов, обрабатывающих защищаемую информацию;
• непосредственное внедрение системы;
• настройку шаблонов и политик обработки различных категорий конфиденциальных документов;
• анализ работы, тонкую настройку системы.

Развернутая система обеспечивает целостность электронного документооборота, корпоративную культуру и зрелость автоматизированных бизнес-процессов компании.

Бизнес-требования

В информационных процессах, обеспечивающих достижение целей бизнеса, одними из основных информационных активов являются серверные и рабочие станции сотрудников организации. Защита серверов и рабочих станций от угроз информационной безопасности способствует устойчивости бизнеса, развитию внутрикорпоративной культуры, укреплению имиджа компании в глазах клиентов и партнеров.

Описание услуги

Защита серверов и рабочих станций включает в себя:

• антивирусную защиту;
• шифрование данных;
• резервное копирование;
• средства доверенной загрузки;
• средства контроля работы со съемными носителями информации;
• средства предотвращения вторжений;
• средства предотвращения утечки данных;
• разграничение сетевого и физического доступа.

Для наиболее эффективной работы внедряемых продуктов мы предлагаем услуги по разработке регламентов, инструкций и рекомендаций по эксплуатации, которые включают в себя алгоритмы действий администраторов и пользователей, порядок эскалации критических инцидентов, ключевые показатели эффективности работы системы, а также другие организационные мероприятия.

Используемые решения

Мы сотрудничаем с ведущими производителями решений в области антивирусной защиты.

Бизнес-требования

Безопасность корпоративной сети является важнейшей составляющей корпоративной информационной безопасности. Необходимость внедрения межсетевых экранов на границах общедоступных и частных сегментов сети Интернет не вызывает сомнения ввиду ежегодного роста количества и масштабов киберпреступлений. Кроме функций фильтрации сетевого трафика, современные межсетевые экраны способны обеспечить безопасные каналы в сети Интернет, связи с удаленными офисами или мобильными сотрудниками. Внедрение устройств сетевой безопасности позволяет:

• Повысить устойчивость бизнеса к угрозам информационной безопасности, реализуемым через Интернет.
• Максимально эффективно и безопасно использовать современные интернет-технологии для достижения корпоративных целей.
• Обеспечить безопасную работу удаленных сотрудников организации.

Описание услуги

Сетевая защита включает в себя:

• Системы контроля доступа в сеть (NAC).
• Межсетевое экранирование (Firewall).
• Системы обнаружения атак и вторжений (IDS/IPS).
• Построение защищенных виртуальных сетей (VPN).
• Безопасность удаленного доступа.
• Защиту от DDoS-атак.

Услуга по внедрению систем сетевой безопасности состоит из выбора наиболее оптимального устройства и его внедрения. Сложной задачей является выбор наиболее подходящего устройства, при выборе необходимо учитывать следующие факторы: функционал решения, стоимость, требования по отказоустойчивости и масштабируемости системы, наличие штатных специалистов, способных в будущем поддерживать систему.

В рамках проекта по внедрению с заказчиком согласовываются основные критерии оптимальности системы, на основе которых принимается решение о выборе конкретного производителя и модели устройства. В процессе выбора наши специалисты готовы демонстрировать различные решения на своей тестовой площадке, а также предоставлять оборудование в тестовую эксплуатацию. Настройки системы осуществляются в соответствии с используемыми в организации сервисами Интернета и требованиями информационной безопасности. По результатам внедрения проводится тест на проникновение, после чего возможна дополнительная корректировка политик доступа в корпоративную сеть или рекомендации по внедрению дополнительной системы обнаружения вторжений.

Бизнес-требования

Рост бизнеса и развитие корпоративных информационных систем ведет к увеличению объема учетных данных пользователей, которыми становится все сложнее и сложнее управлять. Универсальным решением и единой точкой управления профилями пользователей становятся системы управления идентификационными данными. Внедрение таких систем позволяет:

• повысить уровень информационной безопасности корпоративных приложений;
• оптимизировать рабочее время сотрудников и администраторов различных информационных систем;
• экономить затраты на поддержание IT-инфраструктуры;
• соответствовать требованиям регуляторов и международных стандартов.

Описание услуги

Перед внедрением систем управления идентификационными данными пользователей проводятся:

• аудит предоставляемых IT-сервисов;
• выбор оптимального продукта;
• возможная доработка коннекторов к специфическим корпоративным системам.

После внедрения системы проводится настройка парольной политики, ролей доступа в различные информационные системы, параметров аудита и отчетности. В результате система идентификации позволяет:

• централизованно управлять всеми учетными данными пользователей;
• автоматизировать управление жизненным циклом учетных записей;
• централизовать и автоматизировать процедуры аудита или отчетности.

Используемые решения

Мы сотрудничаем с ведущими производителями решений в области идентификации и аутентификации.