МЕТРИКИ ЭФФЕКТИВНОСТИ СУИБ. К ЧЕМУ СТРЕМИТСЯ, КАК ОЦЕНИВАТЬ - ЕГОРОВА АННА ГЕОРГИЕВНА, НАЧАЛЬНИК ДС В ОПКИИТ 31 МАЯ 2019 ГОДА

Страница создана Давлат Пантелеев
 
ПРОДОЛЖИТЬ ЧТЕНИЕ
МЕТРИКИ ЭФФЕКТИВНОСТИ СУИБ. К ЧЕМУ СТРЕМИТСЯ, КАК ОЦЕНИВАТЬ - ЕГОРОВА АННА ГЕОРГИЕВНА, НАЧАЛЬНИК ДС В ОПКИИТ 31 МАЯ 2019 ГОДА
Ассоциация по сертификации «Русский Регистр»

                         Метрики эффективности СУИБ.
                        К чему стремится, как оценивать.
                  Егорова Анна Георгиевна, Начальник ДС в ОПКиИТ

                                  31 мая 2019 года
МЕТРИКИ ЭФФЕКТИВНОСТИ СУИБ. К ЧЕМУ СТРЕМИТСЯ, КАК ОЦЕНИВАТЬ - ЕГОРОВА АННА ГЕОРГИЕВНА, НАЧАЛЬНИК ДС В ОПКИИТ 31 МАЯ 2019 ГОДА
Информационная
                   безопасность

«Кто владеет информацией -           «У каждой информации своя цена,
тот владеет миром»                          но и у каждой цены – своя
                Н. Ротшильд                              информация»
                                                           В. Коняхин

                  «Бережёного Бог бережёт»
                                     Русская пословица
МЕТРИКИ ЭФФЕКТИВНОСТИ СУИБ. К ЧЕМУ СТРЕМИТСЯ, КАК ОЦЕНИВАТЬ - ЕГОРОВА АННА ГЕОРГИЕВНА, НАЧАЛЬНИК ДС В ОПКИИТ 31 МАЯ 2019 ГОДА
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER

                                        ИБ предприятия -
                                          это комплекс
                                       организационных и
                                        технических мер,
                                     направленных на защиту
                                     корпоративных данных.
МЕТРИКИ ЭФФЕКТИВНОСТИ СУИБ. К ЧЕМУ СТРЕМИТСЯ, КАК ОЦЕНИВАТЬ - ЕГОРОВА АННА ГЕОРГИЕВНА, НАЧАЛЬНИК ДС В ОПКИИТ 31 МАЯ 2019 ГОДА
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER    Важно: Безопасность – не только и
                                      не столько техническая проблема!

                                     К сожалению, непредсказуемость поведения
                                         человека может уничтожить самые
                                        безопасные информационные системы.
МЕТРИКИ ЭФФЕКТИВНОСТИ СУИБ. К ЧЕМУ СТРЕМИТСЯ, КАК ОЦЕНИВАТЬ - ЕГОРОВА АННА ГЕОРГИЕВНА, НАЧАЛЬНИК ДС В ОПКИИТ 31 МАЯ 2019 ГОДА
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER     Угрозам подвергаются данные
                                      о составе, статусе и деятельности
                                                  компании.

                                        Источниками таких угроз являются её
                                     конкуренты, коррупционеры и преступники.

                                              Особую ценность для них представляет
                                        ознакомление с охраняемой информацией, а также
                                        ее модификация в целях причинения финансового
                                                            ущерба.
МЕТРИКИ ЭФФЕКТИВНОСТИ СУИБ. К ЧЕМУ СТРЕМИТСЯ, КАК ОЦЕНИВАТЬ - ЕГОРОВА АННА ГЕОРГИЕВНА, НАЧАЛЬНИК ДС В ОПКИИТ 31 МАЯ 2019 ГОДА
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     Главная роль Системы управления
                                      информационной безопасностью
                                      (Information Security Management
                                              System, СУИБ) -

                                               обеспечение
                                     конфиденциальности, целостности
                                        и доступности информации
                                          за счет применения
                                     процесса менеджмента рисков.
МЕТРИКИ ЭФФЕКТИВНОСТИ СУИБ. К ЧЕМУ СТРЕМИТСЯ, КАК ОЦЕНИВАТЬ - ЕГОРОВА АННА ГЕОРГИЕВНА, НАЧАЛЬНИК ДС В ОПКИИТ 31 МАЯ 2019 ГОДА
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                                                                                                 Означает, что
                                                                                                                 информация не
                                        Свойство быть                                        Конфиден-           может быть
                                         доступным и                                         циальность          доступна или
                                      применимым по                                                              раскрыта
                                          требованию                                                             неуполномоченным
                                     уполномоченного                                                             лицам, субъектам
                                             субъекта                                Доступность                 или процессам
                                                                                                   Целостность
                                                                                                                  Означает
                                                                                                                  защиту
                                                                                                                  точности и
                                                                                                                  полноты
                                                                                                                  активов

                                            Слово не воробей – вылетит не поймаешь
                                                              Хороша ложка к обеду
                                                                Из крошек кучка, из капель море.
МЕТРИКИ ЭФФЕКТИВНОСТИ СУИБ. К ЧЕМУ СТРЕМИТСЯ, КАК ОЦЕНИВАТЬ - ЕГОРОВА АННА ГЕОРГИЕВНА, НАЧАЛЬНИК ДС В ОПКИИТ 31 МАЯ 2019 ГОДА
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                        Основными свойствами ИБ
                                               являются:

                                     • конфиденциальность информации, т.е.
                                       необходимость введения ограничений
                                         доступа к данной информации для
                                             определенного круга лиц;

                                     • невозможность несанкционированного
                                     доступа к информации, т.е. ознакомления
                                        с конфиденциальной информацией
                                                 посторонних лиц;
МЕТРИКИ ЭФФЕКТИВНОСТИ СУИБ. К ЧЕМУ СТРЕМИТСЯ, КАК ОЦЕНИВАТЬ - ЕГОРОВА АННА ГЕОРГИЕВНА, НАЧАЛЬНИК ДС В ОПКИИТ 31 МАЯ 2019 ГОДА
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER

                                     • целостность информации и связанных с
                                     ней процессов (создание, ввод, обработка
                                         и вывод), которая заключается в ее
                                        существовании в неискаженном виде
                                          (неизмененном по отношению к
                                          некоторому фиксированному ее
                                                     состоянию);
МЕТРИКИ ЭФФЕКТИВНОСТИ СУИБ. К ЧЕМУ СТРЕМИТСЯ, КАК ОЦЕНИВАТЬ - ЕГОРОВА АННА ГЕОРГИЕВНА, НАЧАЛЬНИК ДС В ОПКИИТ 31 МАЯ 2019 ГОДА
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER

                                     • доступность информации, т.е. способность
                                           обеспечивать своевременный и
                                           беспрепятственный доступ лиц к
                                            интересующей их информации;

                                      • минимизация рисков информационной
                                          безопасности путем выполнения
                                          компенсационных мероприятий;

                                     • учет всех процессов, связанных с рисками.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                                                             Систему составляют
                                      организационные структуры, политика,
                                     действия по планированию, обязанности,
                                         процедуры, процессы и ресурсы.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER

РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                       «Безопасность - это
                                     процесс, а не результат»
                       Брюс Шнайер
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER

                                     «Если вы можете измерить то, о чем
                                      говорите, и выразить это в числах,
                                          то вы что-то знаете об этом
                                          предмете; если же вы не в
                                     состоянии ни измерить, ни выразить
                                         это в числах, то ваши знания
                                              предмета скудны и
                                            неудовлетворительны.»
                                                 Уильям Томсон (лорд Кельвин) физик
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                                                              Измерение процесса

                                         Использование метрик, их
                                            регулярная оценка и
                                         сопоставление с целевыми
                                             значениями (KPI).

                                     Процесс оценки результативности и эффективности мер
                                       по обеспечению и управлению информационной
                                                 безопасностью часть СМИБ.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER    Нужно правильно выбрать
                                              метрики

                                        Перед выбором метрик
                                      необходимо сформировать
                                     цели, достижение которых мы
                                         собираемся измерять
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                                ЦЕЛИ

                                     1. Уменьшить и оптимизировать
                                        стоимость поддержки системы
                                               безопасности.

                            ХОЧУ тратить деньги только на те
                        направления безопасности, которые закроют
                           самые опасные риски для предприятия.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                       2. Информационные активы
                                      должны стать понятными для
                                     высшего руководства компании
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER

                                      4. Риски должны просчитываться и
                                      решения должны приниматься на
                                       основе бизнес-целей компании, в
                                     первую очередь финансовых целей.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER

                                       5. Управление информационными
                                      активами предприятия в критичных
                                             ситуациях должно стать
                                     эффективным благодаря разработке,
                                      внедрению и тестированию планов
                                           по восстановлению бизнеса.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                       6. Должен проводиться процесс
                                     выполнения политики безопасности
                                       (находить и исправлять слабые места в
                                      системе информационной безопасности в
                                               регулярном режиме).

                                        7. Должна быть обеспечена
                                      прозрачность и чистота бизнеса
                                              перед законом.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                      8. Должна появится надежная
                                       защита от рейдерских атак.

                                      9. Подсистема информационной
                                           безопасности должна
                                     интегрироваться в общую систему
                                               менеджмента.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     10. Предприятие должно получить
                                       международное признание и
                                         повысить авторитет, как на
                                         внутреннем рынке, так и на
                                           внешних рынках и т.д.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     Можно начать изобретать
                                         «велосипед»
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                        А можно использовать
                                     «лучшие мировые практики».
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                                      Стандарты:

                                          Серии ISO/IEC 20000,
                                          Серии ISO/IEC 27000,

                                     В России законодательно закреплено применение международных
                                     стандартов - «Международные стандарты должны использоваться
                                     полностью или частично в качестве основы для разработки
                                     проектов технических регламентов...»
                                     (в ред. ФЗ от 18.07.2009 N 189-ФЗ)
                                        Следовательно, для создания эффективной системы
                                        менеджмента могут быть применены международные стандарты
                                        дополняющие действующие национальные требования.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                             ISO/IEC 27001

                                     ЯЗЫК СТАНДАРТА ПРОСТ И СЛОЖЕН
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER     Стандарт состоит из трех частей

                                     Первая часть

                                     «Общие положения» содержит
                                     информацию о предназначении
                                     стандарта, его связи с другими
                                     стандарта по ИБ, а также термины и
                                     определения.;
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     Вторая часть

                                     «Требования к СМИБ» является
                                     основной.
                                     Она выдвигает обязательные для
                                     выполнения требования к СМИБ и
                                     позволяет на их основе построить
                                     эффективную систему.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   Общие требования размещаются
                                       всего на девяти страницах и
                                        разделены на следующие
                                                 разделы:

                                     4. Контекст организации
                                     5. Лидерство
                                     6. Планирование
                                     7. Поддержка
                                     8. Эксплуатация
                                     9. Оценка результативности
                                     10. Улучшение
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     Третья часть стандарта

                                     «Приложение А. Цели управления и
                                          элементы управления».
REGISTER
                                                                                          Чтобы понять как работает стандарт рассмотрим
                                                                                          достаточно простую схему, представляющую его
                                                                                                             основу
                                                                1-я ступень. Управленческая
                                                                 Орг.структура и                                               Управление ресурсами                                                                               УПРАВЛЕНИЕ                                                             Управление                                                    Внутренние                                 Анализ                                     Улучшен
                                                                 ответственность                                                                                                                                                   РИСКАМИ                                                              документацией                                                    аудиты                                  системы                                        ие
                                                                      за ИБ                                                                                                                                                                                                                                                                                                                                       высшим                                     системы
                         / RUSSIAN

                                                                                                                                                                                                                                                                                                                                                                                                               руководством

                                                                2-я ступень. Определение направлений защиты
                                27001

                                                                                              А.6 Организация информационной

                                                                                                                                                                                                                                                                      А.12 Безопасность при обработке

                                                                                                                                                                                                                                                                                                                                     А.14 Приобретение, разработка и
                                                                                                                                                                                                                                     А.11 Физическая безопасность и

                                                                                                                                                                                                                                                                                                                                                                                                 А.16 Управление инцидентами в
                                                                А.5 Политика информационной

                                                                                                                                                                                                                                                                                                                                                                                                                                                                 А.18 Соответствие требованиям
                                                                                                                                                                                                                                                                                                                                                                                                                                   А.17 Аспекты информационной
                                                                                                                                                                                                                                                                                                                                                                                                                                   безопасности при управлении
                 РЕГИСТРISO/IEC

                                                                                                                                 А.7 Вопросы безопасности,

                                                                                                                                                                                                                                    защита окружающей среды
                                                                                                                                                             А.8 Управление активами

                                                                                                                                                                                                                                                                                                                                                                                                                                   непрерывностью бизнеса
                                                                                                                                                                                                                                                                                                                                                                        А.15 Взаимоотношения с
                                                                                                                                связанные с персоналом

                                                                                                                                                                                                                                                                                                                                                                                                 сфере информационной
                                                                                                                                                                                                                                                                                                           А.13 Безопасность связи
                                                                                                                                                                                       А.9 Контроль доступа

                                                                                                                                                                                                              А.10 Криптография

                                                                                                                                                                                                                                                                                                                                     поддержка систем

                                                                                                                                                                                                                                                                                                                                                                        поставщиками
                                                                безопасности

                                                                                              безопасности

                                                                                                                                                                                                                                                                                                                                                                                                 безопасности
                                                                                                                                                                                                                                                                      информации
  ISO/IEC 17799,
РУССКИЙ

                                                                3-я ступень. Реализация мер защиты
                                                 рекомендации

                                                                Организационные                                                                                                                                                   Учебные                                                                                                                 Программные                                                            Аппаратные
                                                    ISF и др.

                                                                • Назначение ответственных за ИБ в                                                                                                                                • Внутренний курс                                                                                                       • Регулярное                                                           • Установка
                                                                подразделениях                                                                                                                                                    «Требования предприятия                                                                                                 обновление                                                             видеокамер
                                                                • Разработка политики                                                                                                                                             по ИБ»                                                                                                                  антивирусного ПО                                                       • Ремонт
                                                                резервного копирования                                                                                                                                            • Курс Microsoft                                                                                                        • Установка системы                                                    существующей
                                                                                                                                                                                                                                                                                                                                                          электронного                                                           локальной сети
                                                                                                                                                                                                                                                                                                                                                          документооборота
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                                      Схема работает в три этапа
                                        На первом этапе строятся управленческие процессы.
                                     Среди них самым важным является процесс управления рисками.

                                       Управленческие процессы в регулярном режиме закрутят механизм
                                      отслеживания и оценки существующих и вновь появляющихся рисков.
                                      В результате реализации первого этапа можно видеть все
                                               риски и выделить наиболее серьезные.
                                       Другими словами, четко определяем, чего должны опасаться.
                                                             когда выявлено, что
                                         угрожает                  перебираем все направления
                                     безопасности, которые могут привести к возникновению на практике тех
                                                            самых опасных рисков.
                                     Эти направления перечислены в стандарте в Приложении А.
                                 Наряду с элементами управления для компьютеров и компьютерных
                               сетей в стандарте уделяется большое внимание вопросам разработки
                              политики безопасности, работе с персоналом (прием на работу, обучение,
                               увольнение с работы), обеспечению непрерывности производственного
                                                процесса, юридическим требованиям.
Второй этап работы схемы заключается в четком
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER       определении направлений информационной
                                                        безопасности

                                                А.5 Политика информационной безопасности

                                            А.6 Организация информационной безопасности
                                           А.7 Вопросы безопасности, связанные с персоналом
                                                       А.8 Управление активами
                                        А.9         А.10      А.11 Физическая      А.12         А.13
                                     Контроль   Криптография безопасность и Безопасность Безопасность
                                      доступа                      защита     при обработке    связи
                                                                окружающей     информации
                                                                   среды
                                     А.14 Приобретение, разработка и        А.15 Взаимоотношения с
                                            поддержка систем                     поставщиками
                                        А.16 Управление инцидентами в сфере информационной
                                                             безопасности
                                      А.17 Аспекты информационной безопасности при управлении
                                                       непрерывностью бизнеса
                                                    А.18 Соответствие требованиям
                                     Всего их 114, но для простоты и удобства они сгруппированы в 13 групп.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   В результате реализации второго этапа - знаем по каким
                                     направлениям возможно или необходимо обеспечивать
                                                информационную безопасность.

                                     Либо это будут направления, связанные с персоналом,
                                     или физической защитой, или компьютерной техникой.

                                     Российские традиции таковы, что данные направления
                                     не определяются объективно, с учетом важности того
                                     или иного направления.

                                         Служба ИТ как правило просит средства только на
                                          компьютерную технику, в то время, как гораздо
                                       эффективнее и менее затратно вкладывать средства в
                                        повышение компьютерной грамотности персонала.
                                      На данном этапе завершается главная роль стандарта ISO
                                                             27001.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     Третий этап – технический.

                                        Для его реализации не существует
                                        единой методики или стандарта.
                                     В этот момент каждое предприятие исходя из своих
                                     финансовых возможностей принимает решение
                                     либо о покупке техники, ПО, обучении персонала,
                                     усилении пропускного режима или выбирает другие
                                     меры.

                                      На этом этапе выбираются конкретные
                                      поставщики конкретных мероприятий.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER          Исходя из собственного опыта и опыта коллег

                                        Часто задаваемые вопросы и
                                          непонимание отдельных
                                            пунктов стандарта:

                                     1. Наличие налаженных контактов с
                                     различными инстанциями, работающими в
                                     России в области информационной
                                     безопасности.
                                     Таковыми могут быть силовые структуры – МВД и
                                     ФСБ, консалтинговые фирмы, работающие в
                                     области безопасности, сертификационные
                                     общества, форумы по информационной
                                     безопасности.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   2. Наличие независимого пересмотра
                                     (надзора) системы менеджмента
                                     информационной безопасности.
                                     Для этого можно привлечь сертификационный
                                     орган, консалтинговую компанию либо
                                     представителей предприятия-партнера.

                                     3. Наличие актуального и полного реестра
                                     информационных активов предприятия.
                                     Это остаточно большой объем работ и многие
                                     предприятия «запускают» актуализацию
                                     реестра.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     4. Требования по информационной
                                     безопасности должны применяться и
                                     выполняться при приеме абсолютно всего
                                     персонала на работу.
                                     Это могут быть требования о несудимости, о
                                     наличии компьютерных навыков, личностные
                                     качества.

                                     5. Во время работы весь персонал
                                     периодически должен проходить обучение
                                     или инструктаж по информационной
                                     безопасности.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   6. При увольнении сотрудника должны
                                     быть четко проверены по реестру и
                                     возвращены все информационные активы,
                                     которые были доступны ему во время
                                     работы.
                                     7. Физическая безопасность предприятия не
                                     должна ограничиваться сохранностью
                                     материальных активов. В рамках
                                     физической безопасности должны быть
                                     решены проблемы с утечкой или
                                     повреждением нематериальных
                                     информационных активов.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     8. При разработке программного
                                     обеспечения для собственных нужд
                                     необходимо разделять среду разработки,
                                     тестирования и эксплуатации программного
                                     обеспечения.

                                     Другими словами, запрещается разрабатывать
                                     программный продукт и работать с ним на
                                     одном компьютере.
                                     Возможно понадобится приобрести новые
                                     компьютеры для реализации данного
                                     требования.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER

                                     9. Должны быть разработаны и должны
                                     выполняться требования по
                                     информационной безопасности для услуг
                                     третьих сторон.
                                     Таких как Интернет-провайдеров,
                                     консультантов, привлекаемых технических
                                     специалистов других предприятий.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     10. Любое устройство, содержащее
                                     информацию, перед отправкой в ремонт, на
                                     склад, в утилизацию должно быть
                                     обработано с точки зрения удаления всей
                                     имеющейся на нем информации.

                                     11. Системная документация ко всему
                                     оборудованию, имеющему отношение к
                                     информации должна быть в наличии,
                                     должна быть доступна в нужный момент
                                     времени и не должна быть доступна
                                     третьим лицам.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER

                                     12. Необходимо учитывать требования по
                                     информационной безопасности не только к
                                     компьютерным информационным
                                     системам, но к простым факсам,
                                     телетайпам и телефонам.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     13. Все действия системных
                                     администраторов должны фиксироваться.
                                     Это особенно сложный пункт. Но его
                                     необходимость продиктована тем, что системные
                                     администраторы по роду своей деятельности
                                     постоянно корректируют (конфигурируют)
                                     настройки информационных систем. Уход с работы
                                     подобного сотрудника приведет к серьезным
                                     финансовым последствиям для предприятия.

                                     Наличие записей о проделанных работах поможет новому
                                     системному администратору оперативно получить
                                     управление информационной системой и решать задачи
                                     по ремонту и наладке системы.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     14. На всем предприятии должна
                                     применяться политика чистого рабочего
                                     стола (мебель) и экрана компьютера.
                                     Т.к. именно таким образом происходит большое
                                     количество утечек информации.

                                     15. На предприятии должны быть
                                     разработаны планы по восстановлению
                                     бизнеса.
                                     Камнем преткновения зачастую является их
                                     обязательное тестирование.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     16. Предприятие должно соблюдать
                                     законодательные требования
                                     например часть 4 Гражданского Кодекса РФ,
                                     т.е. следуя стандарту предприятие не может
                                     использовать нелицензионное программное
                                     обеспечение

                                     17. На предприятии полностью должны
                                     быть устранены случаи нецелевого
                                     использования средств обработки
                                     информации.
                                     Т.е. запрещены игры, частные прогулки по Интернету, поиск
                                     рефератов и др.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   Типичные ошибки в части построения
                                                       СУИБ
                                     - не четко определены владельцы
                                       процессов и активов компании, а также
                                       роли и ответственность в области ИБ;

                                     - недостаточное понимание высшим
                                     руководством вопросов СУИБ в следствии
                                     того, что назначенные лица или структурные
                                     подразделения, ответственные за
                                     обеспечение функционирования СУИБ по
                                     различным причинам не проводят реальное
                                     обучение руководителей высшего и
                                     среднего звена компании;
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     - недостаточный уровень (вес, значимость)
                                       должностных лиц в иерархии компании,
                                       непосредственно отвечающих за СУИБ, в
                                       том числе за организацию обучения
                                       персонала по ИБ и проведение внутренних
                                       аудитов;

                                     - назначение ответственными за СУИБ в
                                       структурных подразделениях по
                                       принципу: кто недозагружен работой,
                                       кого не жалко или в назидание (наказание);
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER

                                     - формальный подход ответственных
                                     (координаторов) СУИБ в структурных
                                     подразделениях (филиалах) компании,
                                     когда главным критерием обеспечения
                                     функционирования СУИБ является только ее
                                     документальное (бумажное) оформление,
                                     т.е. работа по СУИБ – для внутренних и
                                     внешних проверяющих;
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     - в условиях периодически меняющейся
                                     структуры компании реальная работа по
                                     актуализации информационных активов и
                                     их фактических владельцев, оценке и
                                     анализу рисков не ведется, переписываются
                                     предыдущие версии Реестров и Отчетов;
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     - непонимание и невовлеченность 100%
                                       персонала в СУИБ, ошибочное
                                       представление персонала о том, что они
                                       занимаются своим делом (секретарь,
                                       бухгалтерия, кадры, договорники,
                                       экономисты, охрана и т.п), а специалисты
                                       по ИБ пусть занимаются своими.

                                        Ментальное непонимание персоналом
                                          того, что ИБ – сквозной процесс и
                                      присутствует практически во всех сферах
                                             деятельности компании.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   Управление ИБ – это циклический процесс,
                                      включающий осознание степени необходимости
                                       защиты информации и постановку задач;
                                      сбор и анализ данных о состоянии ИБ в
                                       организации;
                                      оценку информационных рисков;
                                      планирование мер по обработке рисков;
                                      реализацию и внедрение соответствующих
                                       механизмов контроля, распределение ролей и
                                       ответственности, обучение и мотивацию
                                       персонала, оперативную работу по осуществлению
                                       защитных мероприятий;
                                      мониторинг функционирования механизмов
                                       контроля, оценку их эффективности и
                                       соответствующие корректирующие воздействия.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                         Как понять руководству компании –
                                     выполняет ли внедренная СУИБ поставленные
                                          задачи, является ли эффективной?

                                     - руководству компании необходимо найти время и
                                     предоставить возможность обучить себя вопросам
                                     СУИБ, чтобы качественно контролировать ее
                                     функционирование;

                                     - обеспечить исполнение требований стандарта по
                                     регулярному анализу функционирования СУИБ в
                                     компании (филиалах и структурных
                                     подразделениях);
                                                              .
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     - сравнить количественно-качественную
                                       динамику выявленных ранее
                                       несоответствий и инцидентов ИБ,
                                     - оценить правильность определения
                                       коренных причин их возникновения, а
                                       тем более повторения;
                                     - внимательно читать Отчеты по
                                       внутренним аудитам и сравнивать их с
                                       предыдущими на глубину до 3-4 лет;
                                     .
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     - сравнить результаты плановых проверок
                                       регуляторов в области ИБ, наличие
                                       (отсутствие) предписаний контрольно-
                                       надзорных органов;

                                     - организовать регулярный опрос
                                     (анкетирование) работников, клиентов,
                                     партнеров по опасному бизнесу.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                        Какие показатели и метрики определяют
                                       зрелость компании в вопросах управления
                                                         ИБ?
                                     - соотношение принятых и обрабатываемых
                                     рисков ИБ;
                                     - рост/снижение событий (инцидентов ИБ);
                                     - постоянное улучшение СУИБ компании
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     Руководитель обязан контролировать ситуацию в
                                     своей организации, подразделении, проекте и во
                                            взаимоотношениях с заказчиками.

                                     Это означает быть осведомленным о том, что
                                     происходит, своевременно узнавать обо всех
                                     нештатных ситуациях и представлять себе,
                                     какие действия надо будет предпринять, в том
                                     или ином случае.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                        В организации существует несколько уровней
                                     управления, начиная с менеджеров высшего звена
                                         и заканчивая конкретным исполнителями,
                                      и на каждом уровне ситуация должна оставаться
                                                      под контролем.

                                        Другими словами, должна быть выстроена
                                      вертикаль управления и процессы управления.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   На выбор подхода к оценке рисков в организации,
                                     помимо характера ее бизнеса и уровня
                                     информатизации     бизнес    процессов,   также
                                     оказывает влияние ее уровень зрелости.

                                     Управление рисками ИБ – это бизнес задача,
                                     инициируемая руководством организации в силу
                                     своей информированности и степени осознания
                                     проблем ИБ, смысл которой заключается в защите
                                     бизнеса от реально существующих угроз ИБ.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   По степени осознания прослеживаются несколько
                                     уровней зрелости организаций, которые в
                                     определенной степени соотносятся с уровнями
                                     зрелости, определяемыми в COBIT и других
                                     стандартах.

                                     На   начальном    уровне    осознание   как   таковое
                                     отсутствует,    в     организации    предпринимаются
                                     фрагментарные меры по обеспечению ИБ, инициируемые
                                     и   реализуемые      ИТ-специалистами     под    свою
                                     ответственность.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   На втором уровне в организации определена
                                     ответственность за ИБ, делаются попытки
                                     применения интегрированных решений с
                                     централизованным управлением и внедрения
                                     отдельных процессов управления ИБ.
                                     Третий уровень характеризуется применением
                                     процессного подхода к управлению ИБ, описанного
                                     в стандартах.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     Система управления ИБ становится настолько
                                     значимой для организации, что рассматриваться
                                     как необходимый составной элемент системы
                                     управления организацией.

                                     Однако полноценной системы управления ИБ еще
                                     не существует, т.к. отсутствует базовый элемент
                                     этой системы – процессы управления рисками.

                                     Для организаций с наивысшей степенью осознания проблем
                                     ИБ характерно применение формализованного подхода к
                                     управлению рисками ИБ, отличающегося наличием
                                     документированных процессов планирования, реализации,
                                     мониторинга и совершенствования.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER                  Мероприятия
                                     для контроля эффективности внедренной ИБ
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   Мероприятия:
                                     - изучать стандарты, анализировать на применимость к
                                     предприятию;
                                     - проводить постоянную оценку и анализа рисков ИБ, в
                                     соответствии с выбранной методикой (на основе лучших
                                     практик);
                                     - проводить внутренние и внешние аудиты через
                                     запланированные промежутки времени;
                                     - проводить регулярно (не реже одного раза в год) или при
                                     изменении организационно-штатной структуры компании
                                     анализ функционирования СУИБ, исходными данными для
                                     которого являются в том числе результаты аудитов;
                                     - обеспечить постоянный контроль за деятельностью
                                     назначенных должностных лиц, отвечающих за
                                     функционирование СУИБ в структурных подразделениях и
                                     компании в целом.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     Эффективность процесса управления рисками ИБ
                                      определяется точностью и полнотой анализа и
                                     оценки факторов риска, а также эффективностью
                                        используемых в организации механизмов
                                     принятия управленческих решений и контроля их
                                                      исполнения.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER           Сертификация СУИБ
                                      Под сертификацией СУИБ организации по
                                        требованиям (ГОСТ Р) ИСО/МЭК 27001
                                       понимается комплекс организационно-
                                       технических мероприятий, проводимых
                                      независимыми экспертами, в результате
                                         которых, посредством специального
                                            «Сертификата соответствия»,
                                     подтверждается наличие и надлежащее
                                            функционирование всех
                                          рекомендуемых Стандартом
                                      механизмов контроля, применимых в
                                             данной организации.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER      Процедура сертификации оказывает
                                     серьезное мотивирующее и мобилизующее
                                        воздействие на персонал компании:
                                        повышается уровень осведомленности
                                       сотрудников, эффективнее выявляются и
                                      устраняются недостатки и несоответствия в
                                        системе управления ИБ, что в перспективе
                                            означает для организации снижение
                                        среднестатистического ущерба от инцидентов
                                        безопасности, а также сокращение накладных
                                     расходов на эксплуатацию информационных систем.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER         В результате сертификации
                                            организация получает ряд
                                                  преимуществ:
                                     - происходит официальная регистрация СУИБ организации
                                     в реестре авторитетных органов, что укрепляет имидж
                                     компании, повышает интерес со стороны потенциальных
                                     клиентов, инвесторов, кредиторов и т.п.

                                     - в результате успешной сертификации расширяется сфера
                                     деятельности компании за счет получения возможности
                                     участия в тендерах и развития бизнеса, в том числе на
                                     международном уровне.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER    Сертификация предусматривает
                                         комплексный аудит СУИБ

                                            в реальных условиях
                                     функционирования с целью проверки
                                     наличия рекомендуемых Стандартом
                                        механизмов контроля, оценки
                                         полноты и правильности их
                                     реализации, а также их адекватности
                                           существующим рискам.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                       Задача аудитора провести анализ
                                     адекватности и реализации основных
                                                  задач ИБ
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER    Пример из практики аудита:
                               Проверка политик безопасности в области
                               предотвращения несанкционированного доступа к
                               базе данных организации через локальную
                               вычислительную сеть (ЛВС) организации.
                                     Проводится анализ:
                                     – механизмов безопасности на организационном уровне,
                                     политики безопасности организации по обеспечению
                                     режима ИБ;
                                     – критических элементов сетевой инфраструктуры
                                     организации (межсетевых экранов, серверов,
                                     осуществляющих управление межсетевым
                                     взаимодействием, почтовых и DNS-серверов и т.д.);
                                     – доступности внешних сетевых адресов ЛВС
                                     организации из сети Интернет;
                                     – доступности к ресурсам ЛВС организации изнутри.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER    Пример из практики аудита:
                                                                                      Чек-лист оценки
                                                                        организационно-распорядительных документов,
                                                                            регламентирующих организацию работ
                                                               по защите конфиденциальной информации и персональных данных
                                     Приложение к отчету о проверки №

                                     Заполнил: Аудитор

                                          №                                                                                                  Комментарии
                                                                 Наименование документа                 Основание   КИ   ПДн   Примечание
                                          п/п
                                                                    Приказы
                                                Приказ о назначении работника (структурного
                                                подразделения), ответственного за обеспечение
                                           1                                                            ФСТЭК       +    +
                                                безопасности конфиденциальной информации, в том
                                                числе ПДн
                                                Приказ о назначении работника (структурного                                      В случае
                                           2    подразделения), ответственного за выполнение работ по     ФСБ            +     использован
                                                технической и криптографической защите ПДн                                       ия СКЗИ
                                                Приказ о составе комиссии по классификации
                                           3                                                           ФСТЭК        +
                                                автоматизированных систем
                                                Приказ о составе комиссии по классификации
                                           4                                                                             +
                                                информационных систем персональных данных
                                                Приказ о выделении помещения (помещений) в котором
                                                производится обработка конфиденциальной информации, Роскомнад
                                           5    в том числе ПДн (в соответствии с тем в каких отделах,  зор,        +    +
                                                подразделениях организации обрабатываются ПДн). ФСТЭК
                                                Приложение: список допущенных сотрудников
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER       Пример из практики аудита:

                                         Положение о подразделении, осуществляющем функции
                                     3                                                              ФСТЭК       +   При наличии
                                         по организации защиты персональных данных
                                         Положение     (инструкция)    о    резервировании    и
                                     4   восстановлении работоспособности ТС и ПО, баз данных       ФСТЭК   +   +
                                         и средств СЗПДн
                                         Руководства
                                         Руководство пользователя по эксплуатации технических и
                                     1   программных средств защиты конфиденциальной                ФСТЭК   +   +
                                         информации
                                         Руководство     администратора     по     эксплуатации
                                     2   технических    и    программных      средств   защиты      ФСТЭК   +   +
                                         конфиденциальной информации
                                         Руководство пользователя по обеспечению безопасности
                                     3                                                              ФСТЭК       +
                                         ИСПДн
                                         Руководство     администратора      по    обеспечению
                                     4                                                              ФСТЭК       +
                                         безопасности ИСПДн
                                         Журналы
                                         Журнал учета бумажных и съемных носителей
                                     1                                                              ФСТЭК   +   +
                                         конфиденциальной информации, в том числе ПДн
                                                                                                                      Возможно
                                         Журнал регистрации и учета обращений субъектов                               ведение в
                                     2                                                              ФСТЭК       +
                                         персональных данных                                                         электронной
                                                                                                                        форме
                                         Журнал ознакомления ответственных за обеспечение
                                         безопасности ПДн, за выполнение работ по защите ПДн под
                                     3   расписку с Типовыми требованиями и другими документами,     ФСБ        +
                                         регламентирующими       организацию    и     обеспечение
                                         безопасности ПДн при их обработке в ИСПДн
                                                                                                                       В случае
                                         Журнал учета криптосредств, эксплуатационной          и
                                     4                                                               ФСБ        +   использования
                                         технической документации к ним                                                 СКЗИ
                                                                                                                       В случае
                                     5   Журнал учета ключевых носителей                             ФСБ        +   использования
                                                                                                                        СКЗИ
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   Пример из практики аудита:

                                           Модели
                                       1   Модель угроз безопасности информации                ФСТЭК +
                                       2   Модель нарушителя                                   ФСТЭК +
                                       3   Частная модель угроз безопасности ПДн               ФСТЭК     +
                                           Планы
                                       1   План мероприятий по технической защите информации   ФСТЭК +   +
                                       2   План мероприятий по защите персональных данных      ФСТЭК     +
                                           План внутренних проверок состояния защиты
                                       3                                                       ФСТЭК +
                                           конфиденциальной информации
                                           План внутренних проверок состояния защиты
                                       4                                                       ФСТЭК     +
                                           персональных данных
                                           Планы устранения недостатков, выявленных в ходе
                                       5                                                       ФСТЭК +   +
                                           проверок вопросов защиты информации
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   Пример из практики аудита:

                                     Стандарты на микроклимат в серверной:

                                     Российские СН 512-78 (п.3) предъявляют следующие требования к микроклимату:

                                         Температура воздуха в помещениях - 20°±2 °С (не более 25 °С). При подаче охлажденного воздуха непосредственно в
                                          устройства (стойки с аппаратурой) температура его на входе не должна быть ниже 14 °С.
                                         Относительная влажность воздуха - 20-70 % (не более 75 % в холодный период, в теплый для 25 °С - не более 65 %, для 24 °С
                                          и ниже - не более 70 %).
                                         Оптимальная скорость потока воздуха - 0,2 м/с (не более 0,3 м/с для холодного, 0,5 м/с для теплого периодов).
                                         Запыленность воздуха помещений не должна превышать: в серверной - 0,75 мг/м³, с размерами частиц не более 3 мкм (атм.
                                          пыль, сажа, дым, споры, асбест); в помещениях обработки данных - 2 мг/м³.

                                     Американский стандарт TIA 942 (п.5.3.5.):

                                           Температура воздуха по сухому термометру: от +20 °С до + 25°С (не более 25 °С)
                                           Точка нормальной настройки: +22 °С
                                           Контрольный диапазон изменений: ±1 °С
                                           Относительная влажность воздуха: от 40% до 50%
                                           Точка росы: не более +21 °С
                                           Скорость изменения температуры: не более +5 °С в час
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER    Пример из практики аудита:

                                 21.00-22.00 Проверка соответствия    Понимание потребностей и ожиданий             Подразделения по ИТ         4.2.1
                                                                       заинтересованных сторон                       эксплуатации и              4.2.2
                                                                      Оценка рисков                                 инфраструктуре              4.3
                                                                      Разработка, внедрение и обслуживание          (2 смена)                   А.6.1
                                                                       информационных систем                         Дежурный по смене           А.9.2
                                                                      Приемлемое использование носителей            Эстрих Ольга Владимировна   А.10
                                                                       информации                                                                А.12
                                                                      Управление доступом к системе и приложениям   Руководитель группы:        А.15
                                                                      Техническое обслуживание оборудования         Егорова А.Г.
                                                                      Безопасность прикладных сервисов в
                                                                       общедоступных сетях
                                                                      Необслуживаемое пользовательское
                                                                       оборудование
                                                                      Документированные процедуры эксплуатации
                                                                      Защита записей
                                                                      Конфиденциальность и защита персональных
                                                                       данных
                                                                      Безопасность зданий, производственных
                                                                       помещений и оборудования
                                                                      Соответствие требованиям
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   Пример из практики аудита:

0 Проверка соответствия                             Физический периметр безопасности             Главный энергетик   А.11   A.11.1.2
                                                    Физические средства управления входом                            А.13   A.11.1.3
                                                    Работа в зонах безопасности                                      А.14   A.11.1.5
                                                    Вспомогательное оборудование/службы          Аудитор:                   A.11.2.2
                                                     обеспечения                                                             A.11.2.3
                                                   Кабельная безопасность                                                   A.11.2.4
                                               Техническое обслуживание оборудования (в том числе                            A.11.2.6
                                               генератор)                                                                    А.16
                                                                                                                            А.17
                                                                                                                             А.18.1.3
                                                   Безопасность оборудования и активов вне
                                                     территории организации
                                                   Управление инцидентами ИБ
                                                   Управление непрерывностью бизнеса
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER   Пример из практики аудита:

                                     Во всех подразделениях проверяется соответствие следующим разделам стандарта ИСО
                                     27001 и реализация контролей:
                                     5.2. f) Доведение Политика в области ИБ до сведения персонала
                                     5.3. a) Определение ответственности и полномочий по обеспечению соответствия СМИБ
                                     требованиям стандарта
                                     6.2 d) Доведение целей в области ИБ должны доводиться до сведения персонала
                                     A.9.4.1 Ограничение доступа к информации
                                     A.11.1.3 Безопасность зданий, производственных помещений и оборудования
                                     A.11.2.9 Политика «чистого стола» и «чистого экрана»
                                     A.12.2.1 Средства управления, направленные против вредоносных программ
                                     A.12.3.1 Резервное копирование информации
                                     A.12.4.4 Синхронизация часов
                                     A.12.6.2 Ограничения по установке программного обеспечения
                                     A.13.1.3 Разделение в сетях
                                     A.13.2.3 Электронный обмен сообщениями
                                     A.16.1.7 Сбор свидетельств о событиях в сфере ИБ
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER     Аудиторы оценивают модель системы
                                          информационной безопасности
                                                 предприятия -

                                     как совокупность внешних и внутренних
                                     факторов, их влияние на состояние ИБ
                                     предприятия и обеспечение сохранности
                                     ресурсов, согласно воздействия между
                                     следующими факторами:
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     • угрозами ИБ, которые
                                     характеризуются вероятностью
                                     возникновения и реализации;
                                     • уязвимостью системы ИБ, влияющей
                                     на вероятность реализации угрозы;
                                     • рисками, отражающими
                                     предполагаемый ущерб в результате
                                     реализации угрозы ИБ.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER    В ходе проверки используются
                                          традиционные методы:

                                      наблюдение, сбор объективных
                                     свидетельств, опрос, обобщение,
                                              анализ и др.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                        При аудите используются различные
                                        источники информации, в том числе:

                                      результаты опроса персонала (опрос персонала
                                       проводится с учетом требований ГОСТ Р ИСО 19011);
                                      результаты наблюдения за процессами и
                                       деятельностью;
                                      документы (политика, цели, планы, реестры, положения,
                                       карты процессов, процедуры, инструкции, лицензии,
                                       разрешения и др.);
                                      записи, в том числе содержащие свидетельства
                                       результативного функционирования СМК;
                                      сведения, полученные из других источников, например:
                                       отзывы потребителей, рейтинги поставщиков;
                                      компьютеризированные базы данных и WEB-сайты.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                      Информация и материальные ресурсы,
                                           которые анализируются:
                                      речевая информация;
                                      информация, хранимая и обрабатываемая посредством
                                       средств связи в виде различных носителей;
                                      документы на бумажных носителях;
                                      технические средства связи и информатизации;
                                      помещения, предназначенные для обсуждения,
                                       обработки и хранения информации;
                                      информационные системы в целом, включая системы
                                       связи;
                                      документация на технические и программные средства
                                       связи и информатизации;
                                      программные средства.
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                             Процедура сертификации СУИБ
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                     ЭТАПЫ СЕРТИФИКАЦИИ СИСТЕМ
                                          МЕНЕДЖМЕНТА ИБ
РУССКИЙ РЕГИСТР / RUSSIAN REGISTER
                                      РУССКИЙ РЕГИСТР ПРЕДСТАВЛЯЕТ ИНТЕРЕСЫ
                                     РОССИЙСКОГО БИЗНЕСА В МЕЖДУНАРОДНЫХ И
                                            ОТРАСЛЕВЫХ ОРГАНИЗАЦИЯХ
ПРЕИМУЩЕСТВА СОТРУДНИЧЕСТВА С РУССКИМ РЕГИСТРОМ

Полное международное и национальное   Весь комплекс услуг в области оценки
            признание                            соответствия

Близость офисов Русского Регистра в    Международный уровень экспертов
            РФ и мире

 Нахождение центрального офиса в      Узнаваемость и престижность бренда
    России (г. Санкт-Петербург)               Русского Регистра

                                        Доступ к эксклюзивным передовым
 Минимизация политических рисков
                                                     услугам
СПАСИБО ЗА ВНИМАНИЕ!
     ВОПРОСЫ?

                Тел.:+7 812 670 90 01, доп. 794

                egorova@rusregister.ru www.rusregister.ru
Вы также можете почитать