Консалтинговые и инженерные услуги по ИБ
Оказываем полный спектр услуг по организации информационной безопасности в компании: консалтинг, проектирование и создание систем ИБ, поставка лицензий отечественного программного обеспечения.
Консалтинговые услуги
по информационной безопасности
Для тех, кто обрабатывает персональные данные
- Аудит согласно 152-ФЗ «О персональных данных».
- Приведение к соответствию 152-ФЗ «О персональных данных».
- Комплаенс согласно Приказ № 21 — требования к защите информации в ИСПДн.
- Уведомление Роскомнадзора (ПДн-операторы).
Для объектов критической инфраструктуры РФ и их подрядчиков
- Аудит согласно 187-ФЗ «О безопасности КИИ РФ»
- Приведение к соответствию 187-ФЗ «О безопасности КИИ РФ»
- Комплаенс согласно Приказ № 239, 235 — по КИИ, моделированию угроз, требованиям к средствам защиты
- Постановка на учет КИИ, взаимодействие с ФСТЭК
Для всех организаций
- Аудит согласно ISO/IEC 27001:2022
- Аудит согласно ISO/IEC 27002:2022
- Аудит согласно ISO/IEC 27005
- Аудит согласно ISO/IEC 27035
- Аудит согласно ISO/IEC 27701
- Внутренний аудит ИБ
- Внешний аудит / консалтинг
- Соблюдение требований контрагентов (SLA по ИБ, NDА, DPIA и др.)
- Аттестация объектов защиты информации
Для финтеха
- Комплаенс согласно Стандарту СТО БР ИББС
- Комплаенс согласно Положение 683-П, 719-П
- Аудит согласно PСI DSS
- Аудит согласно PA DSS
- Комплаенс согласно ГОСТ Р 57580.1-2017
Для государственных заказчиков
и крупных производственных компаний
- Комплаенс согласно Приказ № 31 — к защите информации в АСУ ТП
Для тех, у кого есть коммерческая тайна
- Приведение к соответствию 98-ФЗ «О коммерческой тайне»
- Аудит согласно 98-ФЗ «О коммерческой тайне»
Для государственных заказчиков
- Комплаенс согласно Приказ № 17 — требования к защите информации в ГИС
Для организаций, работающих
на территории Евросоюза и в России
- Аудит согласно GDPR
Для организаций, работающих на американском и российском рынке одновременно
- Аудит согласно NIST SP 800-53, 800-37, 800-30, 800-61
Для организаций, имеющих свои собственные разработанные средства защиты
- Оценка соответствия требованиям ФСТЭК/ФСБ/БР
- Оценка соответствия средств защиты информации (сертификация СЗИ: межсетевые экраны, СКЗИ, СДЗ, СЗИ НСД и др.)
- Сертификация средств защиты информации
Для организаций, имеющих свою среду разработки
- Построение процессов безопасной разработки (SDLC), SAST/DAST, контроль зависимостей
Для организаций, пользующихся услугами облачных провайдеров
- Организация договорных требований по ИБ к аутсорсингу и облакам
Инженерные услуги
по информационной безопасности
по информационной безопасности
Для всех организаций
- Внедрение и настройка МЭ
- Внедрение и настройка IDS/IPS
- Внедрение и настройка VPN
- Внедрение и настройка WAF
- Внедрение и настройка EDR/XDR
- Внедрение и настройка DLP
- Внедрение и настройка шифрование каналов (TLS, VPN, ГОСТ-СЗКИ)
- Внедрение и настройка SIEM
- Внедрение и настройка МЭ
Аудит и разработка документации по 152-ФЗ
Аудит по 152‑ФЗ
Комплексная проверка того, как в организации организованы сбор, хранение, использование, передача и защита персональных данных, и соответствует ли это требованиям законодательства РФ (152‑ФЗ и связанных нормативных актов). По итогам аудита вы получаете перечень несоответствий, рисков и понятный план приведения процессов и документов в порядок.
- Выявить нарушения и риски (включая риск штрафов и претензий субъектов ПДн)
- Проверить полноту и корректность локальных документов и согласий
- Оценить фактические процессы обработки ПДн (HR, клиенты, маркетинг, сайт/CRM, подрядчики)
- Определить необходимые меры защиты (организационные
и технические) - Подготовить компанию к проверкам Роскомнадзора и инцидентам
Что проверяем в рамках аудита по 152‑ФЗ
Процессы обработки персональных данных
- какие данные собираются и на каких основаниях (согласие, договор, закон и т.д.)
- цели обработки, сроки хранения, порядок уничтожения
- передача третьим лицам, поручение обработки, трансграничная передача
- работа с обращениями субъектов ПДн (запросы, отзыв согласия, удаление)
Документы и регламенты
- политика обработки ПДн (в т.ч. на сайте)
- согласия на обработку (раздельность целей, маркетинг, рассылки)
- реестры/перечни обрабатываемых ПДн, категории субъектов, цели
- положения/приказы о назначении ответственных, доступах, обучении
- договоры с подрядчиками (DPA/поручение обработки, ответственность, меры защиты)
- регламенты по инцидентам, доступам, хранению, уничтожению.
ИТ‑контур и безопасность (в части ПДн)
- где хранятся ПДн (1С, CRM, облака, почта, бумага)
- разграничение доступа, учет действий, резервное копирование
- шифрование/защищенные каналы при передаче
- наличие/актуальность модели угроз и мер защиты (при необходимости)
- соблюдение требований к локализации (если применимо).
Сайт и маркетинг
- формы на сайте, корректность чекбоксов/согласий
- cookies/аналитика и информирование пользователей
- рассылки, коллтрекинг, лид‑формы, интеграции с рекламными кабинетами
Форматы проведения аудита по 152‑ФЗ
- 01.Экспресс‑аудит (быстрое выявление ключевых рисков): анализ документов + интервью + краткий отчет
- 02.Полный аудит: глубокий разбор процессов, документов и ИТ‑систем с детальным планом внедрения
- 03.Аудит перед проверкой РКН: фокус
на типовых требованиях и готовности
к запросам/предписаниям
Результаты
- Отчет об аудите с выявленными несоответствиями и уровнем риска.
- Дорожная карта исправлений (приоритеты, сроки, ответственные).
- Перечень необходимых документов и рекомендации по доработке/внедрению.
- Рекомендации по мерам защиты и настройке процессов.
Сроки аудита
от 5 до 20 рабочих дней
В зависимости от масштаба компании, количества систем и процессов.
Разработка документации по 152‑ФЗ
Подготовка и внедрение комплекта локальных нормативных актов и обязательных документов, которые регулируют обработку и защиту персональных данных в организации. Документы оформляются с учетом ваших реальных процессов (сотрудники, клиенты, контрагенты, сайт, маркетинг, подрядчики) и помогают снизить риски штрафов и претензий, а также подготовиться к проверкам Роскомнадзора.
Задачи, решаемые в рамках разработки документации
- Описать и формализовать процессы обработки персональных данных в компании
- Подготовить обязательные документы и привести существующие в соответствие 152‑ФЗ
- Настроить юридические основания обработки (согласия, договоры, уведомления)
- Закрепить роли, ответственность, доступы, порядок хранения/уничтожения, реагирование на инциденты
- Подготовить «папку оператора ПДн» для проверок
Что входит в разработку документации по 152‑ФЗ
1. Сбор информации и анализ процессов
- Интервью с ответственными (HR, продажи/маркетинг, ИТ, юристы/администраторы)
- Инвентаризация источников и систем (1С/CRM, почта, облака, сайт, бумажные архивы)
- Определение целей обработки, категорий ПДн, субъектов, сроков хранения, оснований
2. Подготовка комплекта документов (типовой состав). Точный перечень зависит от вашей деятельности, но обычно включает:
Обязательные/ключевые документы оператора
Перечни/реестры:
Регламенты:
Порядок работы с обращениями субъектов ПДн:
- Политика обработки персональных данных (в т.ч. для размещения на сайте)
- Положение (регламент) об обработке и защите ПДн
- Приказ о назначении ответственных за организацию обработки ПДн и за обеспечение безопасности
Перечни/реестры:
- категории субъектов и ПДн, цели обработки
- места хранения/системы
- допущенные к обработке сотрудники и уровни доступа
Регламенты:
- порядок предоставления доступа
- хранение
- архивирование
- уничтожение/обезличивание
Порядок работы с обращениями субъектов ПДн:
- запросы
- отзыв согласия
- уточнение/удаление
Документы для работы с персоналом
- соглашение о неразглашении, о конфиденциальности (при необходимости)
- согласия работников (если применимо по целям) и уведомления
- регламент взаимодействия HR/кадровой службы с ПДн.
Документы для сайта/маркетинга
- тексты согласий для форм на сайте (отдельно на маркетинг/рассылки при необходимости)
- уведомления для пользователей, тексты под чекбоксы
- правила обработки данных в заявках/обратной связи, интеграциях (CRM, коллтрекинг
- и т.п.)
Документы по подрядчикам
Условия/приложение к договору о поручении обработки ПДн (DPA):
Условия/приложение к договору о поручении обработки ПДн (DPA):
- цели
- состав данных
- меры защиты
- ответственность
- порядок возврата/уничтожения
Результаты оказания услуги
по разработке документации по 152‑ФЗ
- Готовый комплект документов в редактируемом формате (обычно Word) + рекомендации по утверждению.
- Инструкции по внедрению: кто подписывает, где хранить, как вести журналы/реестры.
- Чек‑лист готовности к проверке и список действий, которые нужно сделать в процессах/ИТ.
Сроки аудита
от 5 до 15 рабочих дней
Зависит от количества процессов, филиалов, систем и наличия сайта/маркетинга.