Компания ЗИКС более десяти лет реализует проекты в области информационной безопасности для крупнейших государственных структур, инфраструктурных и промышленных предприятий. Одним из ключевых направлений нашей деятельности является разработка проектной, нормативной и эксплуатационной документации, без которой невозможно ни ввод объектов в эксплуатацию, ни соответствие требованиям регуляторов, ни построение систем защиты. Зачем нужна документация Документация по информационной безопасности отвечает сразу на три вопроса: Что защищать? (категорирование и классификация систем). От чего защищать? (модели угроз, регламенты). Какими средствами защищать? (перечень мер, проектные решения). Для заказчика это: основа для построения системы защиты КИИ, ИСПДн и ГИС; гарантия соответствия 187-ФЗ, 152-ФЗ, 149-ФЗ, приказам ФСТЭК и ФСБ; рабочий инструмент для администраторов, операторов и руководителей ИБ. Какие документы мы готовим Компания ЗИКС оказывает услуги по всем основным видам документации: Документы по КИИ Документы по ПДн (ИСПДн) Документы по ГИС ОРД НМД Проектная и рабочая документация Каждому из этих направлений мы посвятили отдельные публикации на сайте, чтобы заказчик мог глубже изучить состав, сроки и примеры документов. Как мы работаем Структура работ по каждому проекту включает: Обследование объекта — сбор исходных данных, анализ действующих систем. Категорирование и классификация — определение уровня защищённости и значимости. Разработка документации — полный пакет документов (от ОРД до рабочих чертежей). Нормоконтроль и согласование — проверка качества и соответствия. Передача заказчику — комплект документации, готовый к реализации и экспертизе. Сроки — от 1 до 6 месяцев, в зависимости от масштаба. В среднем по проектам мы закрываем задачи быстрее рынка, а иногда и раньше планового дедлайна. Наш опыт За годы работы мы реализовали десятки проектов федерального уровня. Нашими заказчиками стали:Департамент информационных технологий города Москвы, Инжиниринговая компания «ГазЭнергоСтрой», ИД «Коммерсантъ», ПАО «ГМК «Норильский Никель», НПП «АИМ», ОАО «РЖД», ПАО «Ростелеком», ГК «Ростех», «Русь-Телеком», «ТеплоЭнергоПроект», ФГУП «ТТЦ» Останкино, «Севен-Про», Управление делами Президента РФ, ФТС России, «Центр Безопасности Информации». Наши преимущества Конкурентная стоимость — ниже среднерыночных ставок за счёт оптимизированной команды и локализации в Зеленограде. Скорость — отсутствие избыточной бюрократии, внутренние согласования занимают часы, а не недели. Гибкость — мы идём навстречу клиентам: включаем дополнительные документы или задачи без задержки сроков. Опыт федерального уровня — проекты для стратегически важных предприятий и органов власти. Документация по КИИ: зачем она нужна и что в неё входит Что такое КИИ и почему это важно Критическая информационная инфраструктура (КИИ) — это объекты и системы, от которых напрямую зависит работа энергетики, промышленности, транспорта, связи, финансового сектора и государственного управления. Любой сбой в таких системах способен повлечь последствия не только для конкретного предприятия, но и для целого региона или даже страны. Именно поэтому для КИИ установлены жёсткие требования законодательства в части ИБ (187-ФЗ и приказы ФСТЭК), одно из которых — наличие корректно разработанной документации по защите. Без полного комплекта документов невозможно пройти проверку регуляторов или ввести объект в эксплуатацию. Документация фиксирует весь набор мер по безопасности: от организационных правил до конкретных технических решений. Что обычно входит в комплект Полный пакет документации для объектов КИИ обычно включает: Акт категорирования объекта КИИ — определяет значимость системы и уровень требований к её защите. Модель угроз безопасности — описывает потенциальные угрозы и способы их реализации. Перечень организационных и технических мер — конкретные действия и решения для защиты. Технический проект и рабочая документация — схемы, чертежи, пояснительные записки. Эксплуатационные материалы — инструкции администратора и пользователя, методики испытаний, планы резервирования. В зависимости от сложности объекта речь идёт о десятках, а иногда и сотнях документов. Как строится работа Обычно проект делится на два основных этапа: Обследование и анализ. Специалисты выезжают на объект, изучают действующие системы, оценивают возможность интеграции новых решений и собирают исходные данные. По итогам формируется техническое задание и проектные требования. Разработка документации. На основе собранной информации создаётся весь комплект документов — от актов категорирования и моделей угроз до технических проектов и эксплуатационных инструкций. Важно, что каждый документ проходит внутренний нормоконтроль и согласования, а итоговый пакет готов к предъявлению регуляторам. Сроки и масштаб Средний срок реализации проекта по КИИ составляет 3–6 месяцев. Всё зависит от числа систем и масштабов объекта.Например, для крупного энергетического узла может потребоваться подготовить от 50 до 150 документов. Какой результат получает заказчик В итоге организация получает: комплект документации, соответствующий требованиям 187-ФЗ и приказов ФСТЭК; готовность к проверкам без необходимости срочной доработки; основу для построения работающей системы защиты, которая реально снижает риски; возможность без задержек вводить объект в эксплуатацию. Роль компании ЗИКС Компания ЗИКС занимается подготовкой документации по КИИ уже много лет и реализовывала проекты на объектах федерального уровня: от энергетики до промышленности. Наши специалисты умеют работать в условиях ограниченных сроков, сложных цепочек согласований и высоких требований регуляторов. Особенности нашего подхода: гибкость и скорость согласований (внутри компании нет избыточной бюрократии); опыт разработки документации, проходящей Главгосэкспертизу; возможность идти навстречу заказчику, если появляются дополнительные задачи. Документация по ПДн: что это и зачем нужна Почему защита персональных данных важна Персональные данные (ПДн) — это ФИО, паспортные сведения, телефоны, адреса, биометрия и другая информация о человеке. Сегодня почти каждая организация — от школы до банка — работает с ПДн, а значит обязана соблюдать требования Федерального закона № 152-ФЗ «О персональных данных». Нарушение этих требований грозит не только штрафами и проверками со стороны Роскомнадзора, но и репутационными потерями, а также рисками утечки данных клиентов или сотрудников. Чтобы выстроить систему защиты ПДн, необходимо разработать правильный комплект документации. Что входит в документацию по ПДн Полный пакет документов зависит от масштаба организации, но обычно включает: Политику в отношении обработки ПДн — базовый документ, который обязателен для публикации. Модели угроз безопасности ПДн — описание актуальных угроз и способов их реализации. Акты классификации информационных систем ПДн (ИСПДн) — определение уровня защищённости (УЗ-1, УЗ-2, УЗ-3). Акт установления класса защищённости — определяет уровень требований к защите в зависимости от значимости объекта. Перечень организационных мер — регламенты доступа, порядок хранения, уничтожения и передачи данных. Перечень технических мер — выбор средств защиты информации (СЗИ), шифрование, антивирусы, средства контроля доступа. Локальные нормативные акты — должностные инструкции, порядок реагирования на инциденты, регламенты резервного копирования. Технический проект и эксплуатационные документы — схемы, инструкции для администраторов и пользователей. Как строится работа Проект обычно проходит несколько этапов: Обследование — инвентаризация всех информационных систем, где обрабатываются ПДн. Классификация — определение уровня защищённости ИСПДн. Разработка документов — подготовка пакета организационных и технических документов. Согласование — внутренний нормоконтроль и, при
