Недостаточность и плохая проработка вопросов обеспечения информационной безопасности (ИБ) компании, ее методических и концептуальных основ может пагубно влиять на ее бизнес-процессы, затрудняя их выполнение и снижая эффективность. Подробнее на http://www.croc.ru/solution/services/consulting/it-safety/

1. Консалтинг и аудит
информационной
безопасности от КРОК
Недостаточность и плохая проработка вопросов обеспечения информационной без-
опасности (ИБ) компании, ее методических и концептуальных основ может пагубно
влиять на бизнес-процессы, затрудняя их выполнение и снижая эффективность. Решить
подобную проблему позволяют консультации экспертов в области ИБ.
бизнес-приложения
02.4.7
информационная
безопасность
услуги крок
КРОК оказывает следующие услуги по консалтингу и аудиту информационной
безопасности:
• обследование текущего состояния ИБ компании, являющееся первым этапом при
выполнении работ в проектах на соответствие требованиям законодательства,
стандартов и лучших практик по ИБ (№152-ФЗ «О персональных данных», №161-ФЗ
«О национальной платежной системе», №98-ФЗ «О коммерческой тайне», ISO/IEC
27001:2013, ГОСТ Р 27001:2006, ISO/IEC 22301:2012, СТО БР ИББС, PCI DSS);
• проведение комплексных аудитов информационной безопасности, в рамках которых
осуществляется обследование текущего состояния ИБ, анализ угроз ИБ, оценка
рисков ИБ в соответствии с предъявляемыми требованиями, формирование реко-
мендаций по совершенствованию ИБ;
• анализ защищенности локальной сети и отдельных ее элементов;

2. • разработка рекомендаций по ИБ и планов по их реализации, позволя-
ющих задать долгосрочный вектор развития ИБ, основные принципы,
цели и задачи ИБ для каждого из горизонтов планирования: кратко-
срочного, среднесрочного и долгосрочного;
• подготовка к соответствию требованиям регуляторов и стандартов,
таких как 152-ФЗ «О персональных данных», 161-ФЗ «О национальной
платежной системе» PCI DSS, ISO/IEC 27001:2013, ISO/IEC 22301:2012
и СТО БР ИББС;
• развитие и поддержка СУИБ в соответствии с требованиями между-
народного стандарта ISO/IEC 27001:2013 и российского стандарта
ГОСТ Р ИСО/МЭК 27001:2006;
• аутсорсинг процессов управления рисками ИБ и инцидентами инфор-
мационной безопасности. Внедрение процессов управления рисками
информационной безопасности осуществляется в соответствии
с требованиями стандартов 31000:2009, ISO/IEC ISO/IEC 27005:2011
и рекомендациями NIST 800-30. Внедрение процессов управления
инцидентами информационной безопасности основывается на реко-
мендациях стандартов: ISO/IEC 27035:2011, NIST 800-61,
NIST 800-86, NIST 800-92.
реализованные проекты
Крупный российский банк
Оценка соответствия информационной безопасности
требованиям стандарта Банка России СТО БР ИББС-1.0-2010
Цель проекта: оценка текущего уровня ИБ, менеджмента ИБ, уровня
осознания ИБ.
Основные преимущества:
• дана итоговая оценка соответствия информационной безопасности
требованиям стандарта СТО БР ИББС-1.0-2010;
• даны необходимые рекомендации.
02.4.7
Преимущества КРОК
Широкая компетенция. КРОК работает
на ИТ-рынке c 1992 года и сегодня входит
в топ-10 крупнейших ИТ-компаний
и топ-3 консалтинговых компаний Рос-
сии (РА «Эксперт», РИА Рейтинг, «Ком-
мерсант-Деньги»). Компетенция компа-
нии ‒ все элементы информационной и
телекоммуникационной инфраструктуры
и интеграционные связи между ними.
КРОК создает динамические инфра-
структуры, которые позволяют гибко
подстраиваться под текущие и стратеги-
ческие потребности бизнеса.
Качество реализации проектов по ин-
формационной безопасности. Специали-
сты КРОК имеют большой опыт работы
в области обеспечения информационной
безопасности на промышленных пред-
приятиях, в телекоммуникационном
и банковском секторах, в государствен-
ных учреждениях. Квалификация специ-
алистов КРОК подтверждена междуна-
родными сертификатами Lead Auditor
(British Standards Institution) SANS GIAC,
CISA (ISACA) и CISSP (ISC2), лицензиями
ФСТЭК и ФСБ России, сертификатами
ведущих производителей оборудования
и программного обеспечения, вклю-
чая Microsoft Certified Systems Engineer
(MCSE): Security, CheckPoint Certified
Security Expert (CCSE), Cisco Certified
Internetwork Expert (CCIE), RSA Certified
System Engineer и других.
Сертификация по международным стан-
дартам. КРОК является первой компани-
ей в России и СНГ, в 2005 году сертифи-
цировавшей свою систему управления
информационной безопасностью (СУИБ)
в соответствии с требованиями между-
народного стандарта ISO/IEC 27001:2005,
а в 2014 году первой в России и странах
СНГ успешно совершившей приведение
СУИБ в соответствие с требования-
ми стандарта 27001:2013. Также СУИБ
компании успешно сертифицирована на
соответствие требованиям российского
стандарта ГОСТ Р ИСО/МЭК 27001 –
2006.

3. информационная
безопасность
Компания КРОК является участником
партнерской программы BSI «Ассоции-
рованная программа
консультантов BSI»,
подтверждающей вы-
сокий статус специ-
алистов компании
по внедрению систем
менеджмента по на-
правлениям «Инфор-
мационная безопас-
ность» (ISO 27001),
«Непрерывность
бизнеса» (ISO 22301), «Управление
ИТ-сервисами» (ISO 20000-1).
Тестирование в Центре компетенции.
Комплексные решения КРОК проходят
предварительную отработку в Центре
компетенции КРОК, что гарантиру-
ет совместимость всех программных
и аппаратных компонентов. С возмож-
ностями продуктов по информационной
безопасности можно познакомиться на
практике в единственных в России Цен-
трах решений Hewlett Packard Enterprise,
Symantec, EMC.
Преимущества КРОК АКБ «Спурт» (ОАО)
Проведение комплексного аудита по направлениям СТО БР ИББС,
PCI DSS, защита персональных данных
Специалистами КРОК проведено обследование текущего состояния
информационной безопасности АКБ «Спурт» (ОАО) и дана оценка
на предмет соответствия требованиям стандартов PCI DSS, СТО БР
ИББС.
Основные преимущества:
• проведение анализа достаточности уровня информационной без-
опасности;
• идентификация текущих рисков несоответствия требованиям законо-
дательства и регуляторов в области защиты информации;
• формирование экспертного заключения о соответствии и рекоменда-
ций по устранению несоответствий.
Крупный коммерческий банк
Реализация 1-го, 2-го и 3-го этапов по приведению банка
в соответствие с требованиями Федерального закона
«О персональных данных»
Цель проекта: защита ПДн клиентов и работников банка, выполнение
требований Федерального закона «О персональных данных».
На текущих этапах специалистами компании КРОК было выполнено:
• определение перечня АБС, в которых обрабатываются ПДн;
• выделение границ ИСПДн;
• разработка модели угроз;
• разработка частной модели угроз для каждой ИСПДн;
• разработка и эскизное проектирование СЗПДн.
Основные преимущества:
• исключение санкций, вызванных несоблюдением действующего
законодательства;
• учитывание целей и бизнес-потребностей банка при проектировании
СЗПДн.

4. 111033, Москва, ул. Волочаевская, д.5, к.1,
Т: (495) 974 2274 | Ф: (495) 974 2277
E-mail: infosec@croc.ru
slideshare.net/croc-library
cloud.croc.ru
croc.ru
09 | 16 | информационная безопасность
партнеры крок
BSI. КРОК ‒ участник Ассоциированной
программы консультантов BSI.
Московская городская избирательная комиссия
Аудит и консалтинг на соответствие требованиям ФЗ №152
Цель проекта: получение аттестата соответствия ИС требованиям
Федерального закона «О персональных данных».
Специалистами компании КРОК проведено обследование информаци-
онных систем (ИС) заказчика, разработана нормативно-методическая
документация, осуществлено проектирование и внедрение требуемых
решений.
Основные преимущества:
• исключение санкций, вызванных несоблюдением действующего
законодательства;
• защита конфиденциальной информации от утечки по техническим
каналам, а также утечки, связанной с человеческим фактором.