Презентация с вебинара по теме "Защита информации в НПС" проведенного компанией LETA 7 ноября 2012 года. Запись вебинара вы можете посмотреть по ссылке - http://www.leta.ru/library/presentation/webinar-nps.html
Защита информации в национальной платежной системе
1. Защита информации в
национальной платежной системе
Игорь Бурцев, Константин Малюшкин
Департамент внедрения и консалтинга
ЗАО «ЛЕТА»
Ноябрь 2012 +7 (495) 921 1410 / www.leta.ru
2. ЗНАКОМСТВО
Игорь Бурцев Константин Малюшкин
Опыт работы в банковской сфере;
Опыт реализации различных проектов
по информационной безопасности: ( )
Сертифицированные ABISS специалисты
по внедрению и аудиту стандарта СТО БР ИББС-1.0;
2
3. О ЧЕМ ПОГОВОРИМ
Часть 1. Основы регулирования НПС. Требования
законодательства и документов Банка России по защите
информации в НПС
Часть 2. Организация и проведение оценки выполнения
требований к обеспечению защиты информации в НПС
Часть 3. Сравнение требований Положения Банка России
№382-П и стандарта СТО БР ИББС-1.0
Часть 4. Практические аспекты реализации требований
нормативных документов по защите информации в НПС
ВОПРОСЫ И ОТВЕТЫ
3
4. Часть 1. Основы регулирования НПС.
Требования законодательства и документов
Банка России по защите информации в НПС
4
5. ПРЕДЫСТОРИЯ НПС
Национальная система платежных карт (НСПК) –
проект создания в РФ альтернативы международным
платежным системам Visa и Mastercard с целью:
функционирования на национальном уровне независимой от влияния
международных платежных систем структуры расчетов по карточкам;
реализация социальной функции, используя карты НСПК в качестве
основы для предоставления различных госуслуг в электронном виде
(УЭК – универсальная электронная карта)
НПС ≠ НСПК
5
6. ЧТО ТАКОЕ НПС
Национальная платежная система – элемент
нормативного регулирования деятельности по
переводам денежных средств.
Операторы по переводу денежных средств
(включая операторов электронных денежных средств);
Операторы платежных систем;
Операторы услуг платежной инфраструктуры;
Субъекты НПС
Банковские платежные агенты (субагенты);
Платежные агенты;
Организации федеральной почтовой связи при оказании
ими платежных услуг в соответствии с зак-ов РФ.
6
7. ПЛАТЕЖНАЯ СИСТЕМА
Платежная система (ПС) – совокупность организаций,
взаимодействующих по правилам платежной системы в целях
осуществления перевода денежных средств, включающая
оператора платежной системы, операторов услуг платежной
инфраструктуры и участников платежной системы, из которых как
минимум три организации являются операторами по переводу
денежных средств.
Примеры платежных систем:
Платежная система Банка России
Золотая Корона
Visa
Яндекс.Деньги
Western Union
Contact
7
8. ОПЕРАТОР ПЛАТЕЖНОЙ СИСТЕМЫ
Оператор платежной системы (ОПС) – организация,
определяющая правила платежной системы, а также
выполняющая иные обязанности, предусмотренные 161-ФЗ.
Оператором платежной системы может являться:
кредитная организация,
организация, не являющаяся кредитной организацией,
Банк России;
Внешэкономбанк.
Организация, намеревающаяся стать оператором ПС, должна
направить в Банк России регистрационное заявление по форме и
в порядке, которые установлены Банком России.
8
10. ОПЕРАТОР ПЛАТЕЖНОЙ СИСТЕМЫ
На данный момент в рамках НПС официально присутствует
6 операторов платежных систем:
161-ФЗ (ст. 15) и Положение
Банк России –
Платежная система Банка России ЦБ РФ № 384-П «О платежной
системе Банка России»
АКБ «РУССЛАВБАНК» (ЗАО) –
Платежная система CONTACT
ОАО КБ «ЮНИСТРИМ» –
Система денежных переводов «ЮНИСТРИМ»
ЗАО «Национальные кредитные карточки» – 161-ФЗ (ст. 15) и Положение
Платежная система NCC (NATIONAL CREDIT CARDS) ЦБ 378-П «О порядке
(РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК») направления в Банк России
заявление о регистрации
ООО «НКО «Вестерн Юнион ДП Восток» –
Платежная Система Вестерн Юнион
ОПС»
(РЦ – ОАО Банк ВТБ и НКО «ОРС» (ОАО))
ЗАО «Процессинговая компания «Юнион Кард» –
Платежная система «Юнион Кард» (UNION CARD)
(РЦ – ОАО АКБ "ЕВРОФИНАНС МОСНАРБАНК«)
10
11. ОПЕРАТОР ПО ПЕРЕВОДУ ДЕНЕЖНЫХ СРЕДСТВ
Оператор по переводу денежных средств (ОПДС) –
организация, которая в соответствии с законодательством РФ
вправе осуществлять перевод денежных средств.
Операторами по переводу денежных средств являются:
Банк России;
кредитные организации, имеющие право на осуществление перевода
денежных средств;
Внешэкономбанк.
Все банки являются ОПДС, так как, как минимум, они
являются участниками платежной системы Банка России.
11
12. ОПЕРАТОР УСЛУГ ПЛАТЕЖНОЙ ИНФРАСТРУКТУРЫ
Оператор услуг платежной инфраструктуры (ОУПИ):
• доступ к услугам по переводу денежных
Операционный средств;
центр • обмен электронными сообщениями между
участниками ПС
Платежный • сверка расчетов между участниками ПС и
клиринговый вывод о достаточности денежных средств
центр плательщика для совершения расчетов
Расчетный центр • Произведение расчетов между участников ПС
ОУПИ может являться кредитная организация, организация, не являющаяся
кредитной организацией, Банк России или Внешэкономбанк (кроме РЦ – только
кредитная организация)
12
13. БАНКОВСКИЕ ПЛАТЕЖНЫЕ АГЕНТЫ И СУБАГЕНТЫ
Банковский платежный агент - юридическое лицо, за
исключением кредитной организации, или индивидуальный
предприниматель, которые привлекаются кредитной
организацией в целях осуществления деятельности,
предусмотренной ФЗ-161.
Банковский платежный субагент - юридическое лицо, за
исключением кредитной организации, или индивидуальный
предприниматель, которые привлекаются банковским
платежным агентом в целях осуществления деятельности,
предусмотренной ФЗ-161.
13
14. КАКОВА ВАША РОЛЬ В НПС ?
Банковские Оператор
Платежн
платежный платежной
субагент системы
ый агент
Банковский
платежный агент Оператор по
переводу денежных
средств
Расчетный
Оператор
центр электронных
денежных средств
Платежный
клиринговый Операционный
центр центр
14
17. 161-ФЗ «О НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ»
Статья 27. Обеспечение защиты информации в платежной системе
(вступила в силу с 01.07.2012)
Операторы по переводу денежных средств, банковские платежные агенты
(субагенты), операторы платежных систем, операторы услуг платежной
инфраструктуры обязаны обеспечивать:
защиту информации о средствах и методах обеспечения информационной
безопасности, персональных данных и об иной информации, подлежащей
обязательной защите в соответствии с законодательством РФ:
Требования к защите указанной информации устанавливает Правительство РФ.
Контроль и надзор за выполнением установленных требований осуществляются ФСБ
России и ФСТЭК России, в пределах их полномочий и без права ознакомления с
защищаемой информацией.
Постановление Правительства РФ от 13 июня 2012 г. № 584
защиту информации при осуществлении переводов денежных средств в
соответствии с требованиями, установленными Банком России:
Требования согласовываются ФСБ России и ФСТЭК России.
Контроль за соблюдением установленных требований осуществляется Банком России
в рамках надзора в НПС в установленном им порядке, согласованном с ФСБ России и
ФСТЭК России.
Положение Банка России от 9 июня 2012 г. № 382-П
17
18. ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ № 584
ЧТО РЕГУЛИРУЕТ ?
Устанавливает требования к защите информации в платежной системе.
Защита информации осуществляется в соответствии с требованиями к защите
информации, которые включаются операторами ПС в правила ПС в том числе в
соответствии с настоящим Положением.
Защита информации обеспечивается путем реализации операторами и агентами
правовых, организационных и технических мер…
Для проведения работ по защите информации могут привлекаться на договорной
основе организации, имеющие лицензии на деятельность по ТЗКИ и (или) на
деятельность по разработке и производству средств защиты конфиденциальной
информации.
Контроль (оценка) соблюдения требований к защите информации
осуществляется операторами и агентами самостоятельно или с привлечением на
договорной основе организации, имеющей лицензию на деятельность по ТКЗИ.
18
19. ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ № 584
ТРЕБОВАНИЯ К ПРАВИЛАМ ПЛАТЕЖНОЙ СИСТЕМЫ
Требования к составу правил платежной системы:
1. создание службы ИБ или назначение должностного лица, ответственного за
организацию защиты информации;
2. включение в должностные обязанности работников, участвующих в обработке
информации, обязанности по выполнению требований к защите информации;
3. определение угроз безопасности информации и анализ уязвимости ИС;
4. анализ и управление рисками нарушения требований к защите информации;
5. разработка и реализация систем защиты информации в ИС;
6. применение средств защиты информации;
7. выявление и реагирование на инциденты ИБ;
8. обеспечение защиты информации при использовании информационно-
телекоммуникационных сетей общего пользования;
9. определение порядка доступа к объектам инфраструктуры
ПС, обрабатывающим информацию;
10. организация и проведение контроля и оценки соответствия на собственных
объектах инфраструктуры не реже 1 раза в 2 года.
19
20. ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ № 584
ЧЕМ ЗАЩИЩАТЬ ?
Требования к составу применяемых СЗИ:
шифровальные (криптографические) средства,
СЗИ информации от несанкционированного доступа,
средства антивирусной защиты,
средства межсетевого экранирования,
системы обнаружения вторжений,
средства контроля (анализа) защищенности
20
21. ПОЛОЖЕНИЕ БАНКА РОССИИ № 382-П
ЧТО РЕГУЛИРУЕТ ?
Устанавливает конкретные требования к защите информации при
осуществлении переводов денежных средств, обязательные для выполнения:
Необходимость Контроль
Субъект НПС
выполнения выполнения
Оператор платежной системы + Банк России
Оператор по переводу денежных средств + Банк России
Оператор услуг платежной инфраструктуры + Банк России
Банковские платежные агенты (субагенты) + ОПДС
Клиенты – –
Устанавливает порядок осуществления Банком России контроля за
соблюдением требований к обеспечению защиты информации при
осуществлении переводов денежных средств в рамках осуществляемого
Банком России надзора в НПС.
21
22. ПОЛОЖЕНИЕ БАНКА РОССИИ № 382-П
ПРИМЕНИМОСТЬ К РАЗЛИЧНЫМ ТИПАМ СУБЪЕКТОВ НПС
Всего 129 частных требований, сгруппированных в 14 разделов
Сокращения:
ОПС – оператор платежной системы;
ОПДС – оператор по переводу денежных средств;
ОУПИ – оператор услуг платежной инфраструктуры;
БПА (БПСА) – банковские платежные агенты (субагенты) юрлица / ИП
22
24. УКАЗАНИЕ БАНКА РОССИИ № 2831-У
Форма 0403202 «Сведения о выполнении ОПС, ОУПИ, ОПДС требований к
обеспечению защиты информации при осуществлении переводов денежных
средств»:
предоставляется не позднее 30-ти рабочих дней со дня завершения
проведения оценки соответствия требованиям 382-П
Форма 0403203 «Сведения о выявлении инцидентов, связанных с нарушением
требований к обеспечению защиты информации при осуществлении переводов
денежных средств»:
предоставляется ОУПИ, ОПДС ежемесячно не позднее 10-го рабочего дня
месяца, следующего за отчетным;
24
25. Часть 2. Организация и проведение оценки
выполнения требований к обеспечению
защиты информации в НПС
25
26. ПРОВЕДЕНИЕ ОЦЕНКИ СООТВЕТСТВИЯ
Положение Банка России от 9 июня 2012 г. № 382-П
ОПДС, ОПС, ОУПИ обеспечивают проведение оценки выполнения
требований к обеспечению защиты информации при осуществлении
перевода денежных средств (оценка соответствия).
Оценка соответствия проводится не реже одного раза в два года, а
также по требованию Банка России.
Оценка соответствия осуществляется операторами самостоятельно
или с привлечением сторонних организаций.
Порядок проведения оценки соответствия и документирования ее
результатов определен в Приложение 1 к 382-П.
Перечень требований, выполнение которых проверяется при
проведении оценки соответствия определен в Приложении 2 к 382-П.
26
29. КАТЕГОРИИ ТРЕБОВАНИЙ
Предусмотрено 3 категории проверки требования:
требования категория проверки 1 – реализуемые применением
организационных мер защиты информации или использованием
технических средств защиты информации;
0 0,25 0,5 0,75 1
требования категория проверки 2 – устанавливают необходимость
обеспечения наличия определенного 382-П документа;
0 1
требования категория проверки 3 – устанавливают необходимость
выполнения определенной 382-П деятельности.
0 0,5 1
29
30. РЕЗУЛЬТАТЫ ОЦЕНКИ СООТВЕТСТВИЯ
Оценка работы по обеспечению ЗИ при
Значение Rпс
осуществлении ПДС
На необходимом уровне обеспечивает
Rпс >= 0.85 выполнение установленных требований
В целом обеспечивает выполнение
0,7 <= Rпс < 0,85 установленных требований
Не в полной мере обеспечивает выполнение
0,5 <= Rпс < 0,7 установленных требований
Не обеспечивает выполнение установленных
Rпс < 0,5 требований
30
31. ФОРМЫ ДОКУМЕНТИРОВАНИЯ
Предусмотрено 2 формы документирования результатов:
Форма 1. Документирование результатов оценки соответствия
Форма 2. Документирование результатов вычислений обобщающих
показателей выполнения требований к обеспечению защиты
информации при осуществлении ПДС
31
32. АВТОМАТИЗАЦИЯ ОЦЕНКИ СООТВЕТСТВИЯ
ISM Revision: NPS Auditor
Ускорение и упрощение процедуры оценки соответствия;
Возможность совместной работы группы специалистов
Наличие дополнительной аналитики по оценке требований;
Возможность централизованного хранения всей информации о
проведенной оценке соответствия
32
34. Часть 3. Сравнение требований Положения
Банка России №382-П и стандарта СТО БР
ИББС-1.0
34
35. ГРУППЫ ТРЕБОВАНИЙ – СТО БР ИББС-1.0
Распределение Доступ и
Этапы жизненного Антивирусная Использование
ролей и регистрация
цикла АБС защита сети Интернет
обязанностей событий
Безопасность
Безопасность Организация Классификация
Применение СКЗИ информационных
платежных ТП обработки ПДн ИСПДн
ТП
Разработка Решения
Организация Область действия
Оценка рисков ИБ внутренних руководства о
службы ИБ СОИБ
документов реализации СОИБ
Выявление Непрерывность
Обучение и Мониторинг и
инцидентов ИБ и бизнеса и
Внедрение СОИБ повышение контроль
реагирование на восстановление
осведомленности защитных мер
них деятельности
Анализ
Самооценка ИБ и Анализ СОИБ Тактические Стратегические
функционирования
Аудит ИБ руководством улучшения улучшения
СОИБ
35
36. ГРУППЫ ТРЕБОВАНИЙ – ПОЛОЖЕНИЕ 382-П
Распределение Доступ и
Этапы жизненного Антивирусная Использование
ролей и регистрация
цикла АБС защита сети Интернет
обязанностей событий
Безопасность
Безопасность Организация Классификация
Применение СКЗИ информационных
платежных ТП обработки ПДн ИСПДн
ТП
Разработка Решения
Организация Область действия
Оценка рисков ИБ внутренних руководства о
подразделения ИБ СОИБ
документов реализации СОИБ
Выявление Непрерывность
Обучение и Мониторинг и
Планирование и инцидентов ИБ и бизнеса и
повышение контроль
внедрение СОИБ реагирование на восстановление
осведомленности защитных мер
них деятельности
Анализ
Самооценка ИБ и Анализ СОИБ Тактические Стратегические
функционирования
аудит ИБ руководством улучшения улучшения
СОИБ
36
37. ЧТО НОВОГО ПО СРАВНЕНИЮ С СТО БР ИББС?
Информирование клиентов о новых угрозах и рисках и рекомендациях
по их нейтрализации/управлению
Акцент на работу по выявлению и реагированию на инциденты и
информированию ОПДС и ОУПИ о выявленных инцидентах
Отсутствие требования сертификации средств защиты
Новая методика оценки соответствия требованиям по ИБ (возможна и
самооценка, и оценка с привлечением внешней организации)
Введение обязательных форм отчетности по обеспечению защиты
информации при осуществлении переводов денежных средств
37
38. ИНФОРМИРОВАНИЕ ОПС
Операторы по переводу денежных средств и операторы услуг платежной
инфраструктуры обязаны информировать оператора платежной системы о
том, как они осуществляют защиту информации
Необходимо информировать:
о степени выполнения требований к обеспечению защиты информации
при осуществлении переводов денежных средств;
о реализации порядка обеспечения защиты информации при
осуществлении переводов денежных средств;
о выявленных инцидентах, связанных с нарушениями требований к
обеспечению защиты информации при осуществлении переводов
денежных средств;
о результатах проведенных оценок соответствия;
о выявленных угрозах и уязвимостях в обеспечении защиты
информации
38
39. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ
Статья 15.36 КОАП РФ «Неисполнение предписания Банка
России, направленного им при осуществлении надзора в НПС»
«Повторное в течение года неисполнение оператором платежной
системы, операционным центром, платежным клиринговым центром
предписания Банка России, направленного им при осуществлении
надзора в НПС, влечет наложение административного штрафа на
должностных лиц в размере от тридцати тысяч до пятидесяти тысяч
рублей; на юридических лиц - от ста тысяч до пятисот тысяч рублей».
39
40. Часть 4. Практические аспекты реализации
требований нормативных документов по
защите информации в НПС
40
41. ПЕРЕЧЕНЬ НЕОБХОДИМЫХ МЕР ЗАЩИТЫ
Закон предусматривает два вида защитных мер
Организационные меры: Технические меры:
Формирование службы ИБ; Системы IDM / IAM;
Документирование процедур: Защита информации от НСД;
Выявления инцидентов и Средства антивирусной защиты;
реагирования на них; Средства МСЭ;
Обучения и повышения Системы IDS/IPS;
осведомленности;
Системы веб-фильтрации;
Применения средств
Средства построения VPN сетей;
защиты;
Средства анализа защищенности;
И пр.
СКЗИ;
Распределение обязанностей;
Сбор и анализ событий;
Регулярная оценка соответствия
Архивирование и backup
41
42. ЗАЩИТНЫЕ МЕРЫ
Распределение ролей и обязанностей
Частная политика по обеспечению
ИБ при назначении и
распределении ролей
Инструкция пользователя по ИБ
IDM / IAM
Приказ о распределении ролей и
ответственности в области
обеспечения ИБ
42
43. ЗАЩИТНЫЕ МЕРЫ
Этапы жизненного цикла объектов ИИ
Частная политика по обеспечению ИБ на стадиях жизненного
цикла системы защиты информации
Технические задания, ПМИ, эксплуатационная документация Backup
Порядок обеспечения ИБ при обслуживании АРМ и серверов
Планы внедрения/модернизации, Протоколы
испытаний, Акты ввода/вывода из эксплуатации
43
44. ЗАЩИТНЫЕ МЕРЫ
Доступ к объектам ИИ
Политика ИБ / Частная политика по
управлению доступом
Порядок управления доступом к
информационным ресурсам
Порядок регистрации и анализа действий
и операций
IDM / IAM
Матрица функциональных
ролей/полномочий доступа
44
45. ЗАЩИТНЫЕ МЕРЫ
Антивирусная защита
Политика ИБ / Частная политика по
обеспечению антивирусной защиты
Порядок обеспечения антивирусной
защиты
Антивирусы
Журналы проверок на наличие
вирусов
45
46. ЗАЩИТНЫЕ МЕРЫ
Использование сети Интернет
Частная политика обеспечения ИБ при
использовании ресурсов сети Интернет
IDS / IPS
Регламент использования сети Интернет
Инструкция по ИБ для пользователя
Firewall
Список правил межсетевого
Proxy
экранирования
Список запрещенных сайтов / портов Web-filtering
Рекомендации для клиентов (в договор)
46
47. ЗАЩИТНЫЕ МЕРЫ
Применение СКЗИ
Политика ИБ / Частная политика
применения СКЗИ
Порядок применения СКЗИ СКЗИ
Порядок восстановления
работоспособности СКЗИ
Правила управления ключевой системой
УЦ
Журнал учета выдачи СКЗИ (ключевых VPN
носителей)
Приказ о назначении ответственных за
работу с СКЗИ
47
48. ЗАЩИТНЫЕ МЕРЫ
Безопасность платежных ТП
Политика ИБ / Частная политика
обеспечения ИБ платежных ТП
Порядок обеспечения ИБ при
осуществлении ПДС
СКЗИ
Порядок регистрации операций по ПДС
Порядок обеспечения ИБ при
ЭП
обслуживании АРМ и серверов
Логирование
Электронный журнал о выполнении
операций по ПДС
48
49. ЗАЩИТНЫЕ МЕРЫ
Выявление инцидентов
Политика ИБ / Частная политика по
управлению инцидентами при
выполнении операций по ПДС IDS / IPS
Порядок управления инцидентами
Порядок мониторинга и контроля SIEM
защитных мер
Инструкция по ИБ для пользователей Логирование
Приказ о создании группы реагирования Сканеры
на инциденты
защищенности
Журнал регистрации инцидентов
49
50. ЗАЩИТНЫЕ МЕРЫ
Организация подразделения ИБ
Стратегия ИБ
Политика ИБ
Положение о подразделении ИБ
Должностные инструкции сотрудников
подразделения ИБ
Приказ о формировании подразделения ИБ
Приказ о назначении куратора ИБ
50
51. ЗАЩИТНЫЕ МЕРЫ
Обучение и повышение осведомленности
Политика ИБ
Порядок обучения и повышения
осведомленности в области ИБ
Программа повышения осведомленности
Приказ о проведении обучения
Журнал регистрации
сотрудников, прошедших обучение
51
52. ЗАЩИТНЫЕ МЕРЫ
Оценка соответствия требованиям ФЗ-161
Политика ИБ
Порядок организации и проведения аудитов и самооценок
Программа проведения аудитов и самооценок
Приказ о проведении самооценки/аудита
Приказ о создании рабочей группы / аудиторской группы
Договор с внешней организацией
Отчет о проведении самооценки / аудита
52
53. КОМПЛЕКСНЫЙ ПОДХОД
Внедрение в организации стандарта СТО БР ИББС
позволит максимально упростить процесс
приведения в соответствие требованиям ФЗ-161
Требуется минимум усилий на выполнение
требований ФЗ-161, если в организации уже
проводилась работа по внедрению стандарта
+7 (495) 921 1410 / www.leta.ru 53
54. УСЛУГИ КОМПАНИИ
Основные работы:
Оценка выполнения требований к обеспечению защиты информации при
осуществлении переводов денежных средств (оценка соответствия);
Разработка рекомендаций по совершенствованию СОИБ в соответствии
с требованиями нормативных документов по защите информации в НПС;
Разработка и (или) совершенствование существующей организационно-
распорядительной документации по ИБ;
Техническое проектирование системы ИБ (разработка ТЗ на
построение / совершенствование системы ИБ, выбор и обоснование
возможных вариантов технических решений - ЭП);
Внедрение технических средств защиты информации.
54
55. УСЛУГИ КОМПАНИИ
А также:
Анализ защищенности информационных систем (выявление уязвимостей
программного обеспечения);
Повышение осведомленности по вопросам обеспечения
информационной безопасности и защите информации при
осуществлении переводов денежных средств;
Проведение инвентаризации информационных активов и оценки рисков
информационной безопасности.
55
56. ТЕХНИЧЕСКИЕ РЕШЕНИЯ ПОД НПС
В рамках нормативных документов по НПС предусмотрено применение
следующих средств защиты:
шифровальные (криптографические) средства защиты
средства защиты информации от несанкционированного доступа,
средства антивирусной защиты,
средства межсетевого экранирования,
системы обнаружения вторжений,
средства контроля (анализа) защищенности
и др. решения...
56
57. МЕТОДОЛОГИЯ LETA
Инвентаризация
процессов ПДС
2. Проектирование 1. Предварительная
СОИБ оценка соответствия
Планирование
СОИБ
3. Реализация 5. Принятие организацией
требований ИБ и Реализация Совершенствован БС РФ решений о
отработка СОИБ ие СОИБ необходимости
процессов СОИБ улучшений
Проверка
СОИБ
4. Аудит ИБ
57
59. КОНТАКТНАЯ ИНФОРМАЦИЯ
Игорь Бурцев Константин Малюшкин
IBurcev@leta.ru KMalyushkin@leta.ru
Компания LETA
109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2
Тел./факс: +7 (495) 921-1410
www.leta.ru
59