Глава 2. Анализ формирования бренда организации оао "элвис-плюс"

2.1. Организационно-правовая характеристика организации

Компания ОАО “ЭЛВИС-ПЛЮС” начала свою работу с ноября 1991 года.

Место нахождения организации: 124498, Москва, Зеленоград, проезд 4806, д.5, стр.23.

Сегодня ОАО “ЭЛВИС-ПЛЮС” – профессиональный системный интегратор в области построения информационных систем с обеспечением ИБ, предлагающий интегрированные комплексные решения в сфере защиты информации. Наши решения обеспечивают совместимость различных систем и технологий, позволяют выработать единую общую концепцию развития, определить порядок и этапы внедрения, интегрировать систему информационной безопасности со сложившейся информационной инфраструктурой организации. Все это существенно повышает экономическую эффективность проектов по защите информации.

На сегодняшний день компания ЭЛВИС-ПЛЮС предлагает самый широкий спектр профессиональных услуг в области ИБ, которые позволяют построить действительно работающую защищенную ИС.

Одним из наших неоспоримых преимуществ является то, что мы готовы подключиться к разработке и реализации защищенной ИС практически на любом этапе ее создания, а также оказать услуги по проведению Аттестации созданной ИС, что является обязательным для государственных структур.

Ключевыми услугами ОАО “ЭЛВИС-ПЛЮС” являются:

• Экспертиза проектов и решений;

• Расчет финансово-экономических показателей СОБИ;

• Подготовка к Сертификации СОБИ (СУИБ) на соответствие международным стандартам;

• Консалтинг (Консультирование по правовым, нормативным и техническим вопросам в области ИБ и пр.);

• Комплексное обследование защищенности ИС (аудит ИБ, в т.ч. аналитический и инструментальный);

• Разработка организационно-распорядительной и нормативной документации в области ИБ;

• Техподдержка и сопровождение СОБИ;

• Анализ информационных рисков;

• Подготовка объектов информатизации к аттестации на соответствие требованиям по ИБ;

• Сертификационные испытания оборудования и ПО на соответствие требованиям по ИБ;

• Организация защиты персональных данных;

• Обеспечение непрерывности бизнеса;

• Аудит ИБ кредитных организаций на соответствие требованиям стандарта Банка России.

Компания ЭЛВИС-ПЛЮС предлагает комплекс консалтинговых, экспертных и аналитических услуг для обеспечения максимальной защищенности информационной системы и ее соответствия реальным задачам бизнеса.

Структура взаимных связей между услугами, с возможными "точками входа", приведена на рисунке 4.

Весь спектр оказываемых услуг можно разделить на 5 основных направлений:

1. Аудит

Комплексное обследование защищенности ИС (аудит информационной безопасности) позволяет оценить реальное состояние дел в области безопасности информации и защищенности информационных ресурсов. Комплексное обследование защищенности ИС включает:

• Классификацию информационных ресурсов;

• Анализ имеющихся нормативных и организационно-распорядительных документов о порядке функционирования корпоративной ИС и защите информации;

• Анализ структуры, состава, принципов функционирования ИС и существующей системы защиты информации;

• Анализ угроз безопасности информации;

Рис. 4. Структура взаимных связей между услугами ООО «ЭЛВИС-ПЛЮС»

• Оценку эффективности существующей системы защиты ИС с применением специализированных инструментариев и экспертных оценок специалистов ЭЛВИС- ПЛЮС по собственным методикам;

• Определение степени участия персонала в обработке информации, требуемых категорий объекта и классов защищенности.

Рис.5. Последовательность действия при аудите

Для построения системы защиты, адекватной имеющимся угрозам, требуется ясное понимание того, что и кто реально угрожает информационным ресурсам. Комплексное обследование защищенности ИС (аудит информационной безопасности) предполагает, в ряду прочего, анализ угроз безопасности информации и подготовку модели угроз и их возможных реализаций.

Результаты аудита позволяют:

• Оценить необходимость и достаточность принятых мер обеспечения безопасности информации;

• Сформировать политику безопасности;

• Выбрать степень защищенности информационной системы;

• Выработать требования к средствам и методам защиты;

• Добиться максимальной отдачи от инвестиций в создание и обслуживание СОБИ,

• Принять обоснованные управленческие решения по обеспечению необходимого уровня защищенности информационных активов организации.

Итоговыми документами аудита являются Отчет о текущем состоянии защищенности корпоративной информационной системы, содержащий развернутые рекомендации по повышению уровня защищенности ИС как за счет организационно-технических и административных мер, так и за счет применения специальных СЗИ и использования возможностей имеющихся программных и технических средств.

2. Консалтинг

Консультирование по правовым вопросам состоит в разъяснении положений законодательных и нормативно методических документов РФ в области защиты информации, определении степени соответствия российских и международных документов в области защиты информации.

Включает:

• Правоприменимости положений законодательства РФ при организации обеспечения ИБ;

• Определению степени конфиденциальности информационных ресурсов;

• Соответствию российских требований обеспечения ИБ международным стандартам;

• Применимости положений международных стандартов для оценки состояния обеспечения информационной безопасности;

• Использованию средств информационной безопасности зарубежного производства на территории РФ;

• Возможности и целесообразности привлечения сторонних организаций к выполнению работ по обеспечению ИБ на объектах заказчика;

• Правоприменимости положений законодательства зарубежных стран для обеспечения требуемого уровня защищенности информационных ресурсов.

3. Разработка, тестирование и внедрение решений

Компания ЭЛВИС-ПЛЮС готова разработать, апробировать и внедрить индивидуальное решение, наиболее подходящее заказчику для реализации именно его задач в сфере безопасности информации и адаптированное к его информационной системе. Воспользовавшись услугой, заказчик получит оптимальный состав программно-технического решения с гарантией его работоспособности в условиях реальной информационной системы.

Включает:

• Разработку технических решений (включая разработку необходимых программных интерфейсов);

• Разработку программ и методик тестирования, исходя из условий работы ИС заказчика;

• Комплексное тестирование разработанных решений;

• Последующее внедрение решений "под ключ" в информационную систему заказчика.

4. Аттестация и сертификация проектов и решений

Для объектов информатизации, обрабатывающих информацию ограниченного доступа, перед запуском их в эксплуатацию необходимо получить официальное подтверждение эффективности комплекса используемых мер и средств защиты информации. В таких случаях заключительной стадией запуска в эксплуатацию является комплексное обследование организационной и информационной структуры объекта и его аттестационные испытания на соответствие требованиям по безопасности (РОСС RU.0001.01БИ00, ГОСТ Р ИСО/МЭК 15408 и др.).

В соответствии с законодательством Российской Федерации, аттестации в обязательном порядке подлежат объекты информатизации, предназначенные для:

• Обработки информации, составляющей государственную тайну;

• Ведения секретных переговоров;

• Обработки государственных информационных ресурсов;

• Обработки персональных данных;

• Обработки сведений, составляющих служебную тайну.

Проводить аттестацию объекта может лишь уполномоченный орган аттестации - организация, аккредитованная в Системе аттестации "Системы сертификации по требованиям безопасности информации РОСС RU.0001.01БИ00". Компания ЭЛВИС-ПЛЮС имеет аттестат органа по аттестации № СЗИ RU.227/BO36/080 от 01.12.1999 года и готова предложить свои услуги, как по проведению аттестации, так и по подготовке объекта к проведению аттестации.

5. Разработка организационно-распорядительной, нормативной и иной документации

Совокупность взаимосвязанных документов, определяющих порядок обеспечения безопасности информации в организации, а также поддержания этого порядка, представляет собой комплекс организационно-распорядительной и нормативной документации в области безопасности информации.

Разработка такого комплекса документации - обязательный и во многом основополагающий этап при проектировании практически любой СОБИ. От правильного формирования корпоративных правил и процедур обеспечения безопасности в определяющей степени зависит уровень всех дальнейших проектных решений и, в конечном итоге, - уровень безопасности. Компания ЭЛВИС-ПЛЮС обладает достаточным опытом и высококвалифицированными специалистами для выполнения этой сложной задачи.

В структуре комплекса документации выделяется три иерархических уровня, каждый из которых содержит совокупность нескольких документов, которые либо устанавливают некоторые принципы обеспечения безопасности, либо определяют, как эти принципы реализовать:

• Документы I уровня (Стратегические), включают стратегию и концепцию информационной безопасности;

• Документы II уровня (Оперативные), включают регламент обеспечения безопасности информации, общие технические требования (ОТТ) по обеспечению безопасности информации и профиль защиты;

• Документы III уровня (Тактические), включают исполнительную документацию, в частности должностные положения и инструкции, а также эксплуатационные документы средств защиты информации.

В рамках своей профессиональной деятельности в сфере ИБ компания ЭЛВИС-ПЛЮС не только выполняет работы по защите информации, но и целенаправленно и успешно занимается разработкой научно-исследовательских и опытно-конструкторских работ. К настоящему времени Компанией было выполнено свыше 20 НИР и НИОКР в интересах как государственных, так и частных корпоративных структур и компаний.

В настоящее время компания ЭЛВИС-ПЛЮС продолжает наращивать свои усилия в области построения защищенных корпоративных систем и сетей, расширяя как круг своих заказчиков, так и, что самое главное, количество услуг. Компания тщательно исследует рынок и активно участвует в развитии отрасли, уделяя большое внимание научной и методической базе, разрабатывает новые продукты и услуги в сфере обеспечения безопасности информации, тесно взаимодействует с основными государственными регуляторами в области ИБ: ФСТЭК России, ФСБ России, Минсвязи России, СБ РФ.

Организационная структура – это главный инструмент управления, регламентирующий состав, величину, размещение, профиль деятельности, подчинённость структурных подразделений, объединяемых аппаратом управления, для выполнения всех целевых функций, поставленных перед предприятием. Организационно-управленческая структура ОАО “ЭЛВИС-ПЛЮС” строится с учетом с учетом специализации организации:

• возможности гибкого реагирования на изменения рынка;

• обеспечения оптимального уровня децентрализации управленческих решений;

• исключение дублирования службами выполнения одних и тех же функций;

• персонификация ответственности за организацию и выполнение возложенных функций.

Рассмотрим обязанности работников предприятия: