О компании
АО «Безопасность информационных технологий и компонентов» (АО «БИТК») создано 28 ноября 2002 года и является правопреемником государственного унитарного дочернего предприятия ФГУП «КНИИМ».

Филиал АО «Безопасность информационных технологий и компонентов» («БИТК») в городе Воронеже был создан 14 октября 2008 года.

Филиал АО «Безопасность информационных технологий и компонентов» в городе Воронеже более 16 лет успешно выполняет работы по обеспечению безопасности как в государственных структурах различного уровня, так и в коммерческих организациях.

Высокий профессионализм штатных сотрудников позволяет решать серьезные проблемы, связанные с защитой информации и успешно внедрять системы защиты, основанные на применении самых современных и надежных средств защиты информации.

За время своего существования филиал АО «БИТК» в г. Воронеже уверенно занял лидирующие позиции в Центральном Черноземье как организация, осуществляющая деятельность по реализации комплекса мероприятий, направленных на аттестацию объектов информатизации, а постоянное совершенствование научно-методического аппарата и материальной базы позволяют эти позиции сохранять.
-->
Основные виды деятельности
Аттестация объектов информатизации
на которых обрабатывается информация, содержащая государственную тайну,
сведения конфиденциального характера,
персональные данные
Проведение специальных работ
лабораторных и объектовых специальных исследований, оценка защищенности выделенных помещений по акустическому и виброакустическому каналам
Защита коммерческой тайны
организации с помощью мероприятий организационного и технического характера, введение режима коммерческой тайны
Защита
персональных данных
мероприятия технического, организационного и организационно-технического характера, направленных на защиту персональных данных


Аудит информационной безопасности
выявление недостатков в автоматизированных системах, разработка концепции и политики информационной безопасности организации
Поставка оборудования и ПО
серверного, сетевого оборудования, персональных компьютеров, общего и специального программного обеспечения, средств защиты информации
Внедрение средств защиты
для информационных систем персональных данных, объектов критической информационной инфраструктуры
Оценка защищенности информации
проведение контроля соответствия уровня защищенности информации требованиям руководящих документов


Внедрение системы менеджмента
создание в организации систем менеджмента по ГОСТ Р ИСО 9001-2015, ГОСТ Р ИСО/МЭК 27001-2021
Организация безопасной разработки
реализация процессов разработки безопасного программного обеспечения по ГОСТ 56939-2024
Создание собственного делопроизводства
создание в организации условий для работы с конфиденциальными документами
Разработка технической документации
для информационных систем, программного обеспечения, систем защиты информации по ГОСТ 19 и 34 серий
Аттестация объектов информатизации
Комплекс организационно-технических мероприятий, в результате которых с помощью специального документа - «Аттестата соответствия» подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации
Кому необходима аттестация объектов информатизации?

Аттестация является обязательной в случаях, когда объектом защиты являются:
  • объекты вычислительной техники или выделенные помещения, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну;
  • государственные и муниципальные информационные системы, в том числе государственные, муниципальные информационные системы персональных данных;
  • информационные системы управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированные системы станков с числовым программным управлением;
  • помещения, предназначенные для ведения конфиденциальных переговоров (защищаемые помещения).
Деятельность по аттестации является лицензируемой и подтверждается соответствующими лицензиями Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК России) и Федеральной службы безопасности Российской Федерации (ФСБ России).

Одним из обязательных требований к организациям – соискателям лицензий также является наличие аттестованных по требованиям безопасности объектов информатизации.
Аттестация объектов информатизации, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну
Мероприятия включают в себя полный комплекс работ, предусмотренных нормативными документами ФСБ и ФСТЭК России
  • обследование объекта информатизации, анализ уже примененных организационных и технических мер защиты информации;
  • разработку и согласование программы и методик проведения аттестационных испытаний;
  • классификацию и категорирование объектов с подготовкой проектов соответствующих актов, либо проверка и уточнение соответствующего класса (категории);
  • проведение специальных проверок технических средств объекта информатизации; проведение лабораторных (стендовых) специальных исследований технических средств объекта информатизации;
  • проведение (в случае необходимости) доработки технических средств в части побочных электромагнитных излучений и внедрение пассивных средств защиты информации;
  • определение параметров настройки, используемых программных и программно-технических средств, а также средств защиты информации (средств защиты информации от несанкционированного доступа, антивирусных средств, средств межсетевого экранирования и средств криптографической защиты информации);
  • подбор, внедрение/монтаж и настройку сертифицированных ФСТЭК средств защиты информации;
  • проведение объектового контроля защищенности и оценки эффективности принятых мер по защите информации;
  • разработку эксплуатационных и проектов организационно-распорядительных документов по защите информации;
  • проведение аттестационных мероприятий объекта информатизации;
  • сопровождение и поддержку объекта информатизации в течении всего времени действия «Аттестата соответствия».
Аттестация объектов информатизации, обрабатывающих информацию ограниченного доступа, не составляющую государственную тайну (коммерческая тайна, персональные данные)
Государственные, муниципальные и иные информационные системы, защищаемые помещения
Аттестация объектов информатизации, обрабатывающих информацию ограниченного доступа, не составляющую государственную тайну проводится в соответствии с Порядком организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденным приказом ФСТЭК России от 29.04.2021 № 77.

Аттестация на соответствие требованиям по защите информации обязательна для следующих объектов информатизации:
  • государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных;
  • информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;
  • помещений, предназначенных для ведения конфиденциальных переговоров (защищаемые помещения).

Настоящий Порядок применяется также для аттестации следующих объектов информатизации, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации:
  • значимых объектов критической информационной инфраструктуры Российской Федерации;
  • информационных систем персональных данных (за исключением государственных, муниципальных информационных систем персональных данных);
  • автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Проведение специальных работ
Проведение специальных проверок, лабораторных (стендовых) и объектовых специальных исследований
Филиал АО «БИТК» в г. Воронеже полностью укомплектован достаточным количеством средств измерений и контроля ведущих мировых и отечественных производителей: Rohde & Schwarz, Anritsu, Agilent, STT Group и т.д., что позволяет проводить следующие мероприятия по выявлению каналов утечки информации:
  • лабораторные специальные исследования технических средств;
  • объектовые специальные исследования технических средств и распределенных систем;
  • оценку защищенности выделенных помещений по акустическому и виброакустическому каналам;
  • контроль эффективности установленных технических средств защиты информации.
Защита коммерческой тайны
Мероприятия организационного и технического характера, направленные на защиту коммерческой тайны организации
В рамках внедрения режима коммерческой тайны будут выполнены работы:
  1. Обследование структурных подразделений и информационных систем, где может обрабатываться информация, составляющая коммерческую тайну.
  2. Формирование перечня информации, составляющей коммерческую тайну.
  3. Установление порядка обращения с информацией, составляющей коммерческую тайну, и контроля за соблюдением такого порядка.
  4. Создание порядка учета лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.
  5. Подготовка проектов трудовых договоров с работниками и гражданско-правовых договоров с контрагентами.
  6. Составление положения о коммерческой тайне с порядком использования материальных носителей, содержащих информацию, составляющую коммерческую тайну.
  7. По желанию заказчика может быть проведено обучение или повышение осведомленности работников, допущенных к коммерческой тайне.
Защита персональных данных
мероприятия технического, организационного и организационно-технического характера, направленных на защиту персональных данных
Мы оказываем полный комплекс услуг по организации обработки и обеспечению безопасности персональных данных в организациях в соответствии с требованиями Федерального закона «О персональных данных» и иными нормативными правовыми актами:
  • аудит процессов обработки и защиты персональных данных;
  • разработка локальных актов организации по обработке и защите персональных данных;
  • проектирование системы защиты персональных данных;
  • поставка и внедрение средств защиты информации;
  • аттестация информационных систем персональных данных по требованиям безопасности информации;
  • оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных.
Аудит информационной безопасности
Мероприятия, выполняемые в рамках аудита ИБ организации, направлены на получение оценки о текущем состоянии информационной безопасности в соответствии с критериями и показателями безопасности.
  • разработку концепции и политики информационной безопасности организации;
  • выявление недостатков в автоматизированных системах;
  • поиск и идентификацию уязвимостей программного обеспечения;
  • обнаружение некорректных настроек параметров безопасности;
  • выявление проблем организационного характера.
Поставка оборудования и программного обеспечения
Поставка серверного, сетевого оборудования, персональных компьютеров, общего и специального программного обеспечения, аппаратно-программных и программных средств защиты информации
Осуществляем полный цикл работ по созданию информационной инфраструктуры организации:
  • аудит;
  • проектирование инфраструктуры;
  • подбор оборудования и программного обеспечения;
  • поставка, монтаж и настройка сетевого, серверного оборудования, персональных компьютеров;
  • установка и настройка программного обеспечения, средств виртуализации ведущих производителей;
  • техническая поддержка.
Внедрение средств защиты информации
Поставка и внедрение средств защиты информации
В рамках реализации технических мер защиты информации осуществляем поставку, установку, настройку и сопровождение следующих средств защиты информации, включая:
  • средства защиты от несанкционированного доступа к информации;
  • средства антивирусной защиты информации;
  • средства криптографической защиты информации;
  • межсетевые экраны;
  • системы обнаружения вторжений;
  • SIEM-системы;
  • DLP-системы;
  • средства анализа защищенности;
  • средства гарантированного уничтожения информации;
  • средства контроля целостности;
  • средства резервного копирования.
Оценка защищенности информации
Проведение контроля соответствия уровня защищенности информации требованиям руководящих документов
В рамках контроля могут быть выполнены следующие работы:
  1. Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе (для ИС 1 класса защищенности не реже 1 раза в год; для ИС 2 и 3 классов защищенности не реже 1 раза в 2 года) – п.18.7 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11.02.2013 № 17.
  2. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных (не реже 1 раза в 3 года) – п. 6 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18.02.2013 № 21.
  3. Контроль защиты информации на аттестованном объекте информатизации (не реже 1 раза в 2 года) – п. 32 Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденного приказом ФСТЭК России от 29.04.2021 № 77.
Внедрение системы менеджмента
Внедрение в организации систем менеджмента по ГОСТ Р ИСО 9001-2015, ГОСТ Р ИСО/МЭК 27001-2021
Внедрение в организации систем менеджмента производится в несколько этапов:
  1. Проведение аудита процессов организации.
  2. Анализ документов организации, определение их соответствия реальному состоянию дел и требованиям стандартов системы менеджмента качества и (или) системы менеджмента информационной безопасности.
  3. Разработка и (или) корректировка документов организации, выдача предложений по совершенствованию процессов, назначению.
Организация безопасной разработки
Внедрение процессов разработки безопасного программного обеспечения по ГОСТ 56939-2024
Создание в организации процессов по ГОСТ 56939-2024, связанных с созданием безопасного программного обеспечения и устранением выявленных недостатков, в том числе уязвимостей, программного обеспечения. В процессе выполнения работ в организации будут выполнены работы:
  • планирование процессов разработки безопасного программного обеспечения;
  • организация обучения сотрудников;
  • организация процедур формирования и предъявления требований безопасности к программному обеспечению;
  • организация управления конфигурацией программного обеспечения;
  • организация управления недостатками и запросами на изменение программного обеспечения;
  • организация разработки, уточнения и анализа архитектуры программного обеспечения;
  • организация моделирование угроз и разработка описания поверхности атаки;
  • формирование и поддержание в актуальном состоянии правил кодирования (разработка регламента);
  • организация экспертизы исходного кода (разработка регламента);
  • организация статического анализа исходного код (определение инструментов статического анализа, разработка регламента);
  • организация динамического анализа кода программы (определение инструментов динамического анализа, разработка регламента);
  • организация использования безопасной системы сборки программного обеспечения (разработка регламента);
  • организация обеспечения безопасности сборочной среды программного обеспечения (разработка регламента);
  • управление доступом и контроль целостности кода при разработке программного обеспечения (разработка регламента);
  • обеспечение безопасности используемых секретов (разработка регламента);
  • организация проверки кода на предмет внедрения вредоносного программного обеспечения через цепочки поставок (разработка регламента);
  • организация функционального тестирования (план тестирования);
  • организация нефункционального тестирования (разработка регламента);
  • организация обеспечения безопасности при выпуске готовой к эксплуатации версии программного обеспечения (разработка регламента);
  • организация безопасной поставки программного обеспечения пользователям (разработка регламента);
  • организация обеспечения поддержки программного обеспечения при эксплуатации пользователями (разработка регламента);
  • организация реагирования на информацию об уязвимостях (разработка регламента);
  • организация поиска уязвимостей в программном обеспечении при эксплуатации (разработка регламента);
  • организация обеспечения безопасности при выводе программного обеспечения из эксплуатации (разработка регламента).
Создание собственного конфиденциального делопроизводства
Создание в организации условий по работе с конфиденциальными документами, предотвращение утраты и утечки конфиденциальной информации
Услуги по организации конфиденциального делопроизводства включает в себя следующие мероприятия:
  • аудит организации;
  • определение статуса, структуры, состава структурного подразделения конфиденциального делопроизводства;
  • определение параметров помещения, физических средств защиты;
  • разработка внутренних документов организации (положения о подразделении, должностных обязанностей работников, положения о конфиденциальном делопроизводстве, порядок допуска работников к конфиденциальной информации и т.д.);
  • организация изготовления, учета, хранения, обработки и использование конфиденциальных документов;
  • создание постоянно действующей экспертной комиссии;
  • организация обучения работников правилам обработки конфиденциальной информации и работы с документами.
Разработка технической документации
Подготовка технической, программной и эксплуатационной документации по ГОСТ 19 и 34 серий
Проведение консультаций и (или) разработка программных и эксплуатационных документов на компоненты и комплексы, включая:
1) Проектная документация:
  • эскизный проект;
  • технический проект.
2) Программные документы:
  • спецификация;
  • ведомость держателей подлинников;
  • текст программы;
  • описание программы;
  • программа и методика испытаний;
  • техническое задание;
  • пояснительная записка.
3) Эксплуатационные документы:
  • ведомость эксплуатационных документов;
  • формуляр;
  • описание применения;
  • руководство администратора;
  • руководство пользователя;
  • руководство по техническому обслуживанию.
Этапы по обеспечению защиты информации
Формирование требований к защите информации, содержащейся в информационной системе
Разработка системы защиты информации информационной системы (СЗИ)
Внедрение системы защиты информации информационной системы
Аттестация информационной системы по требованиям защиты информации и ввод ее в действие
Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы
Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации
Подробное описание этапов по обеспечению защиты информации
1. Формирование требований к защите информации, содержащейся в информационной системе

На данном этапе Заказчик (или оператор) информационной системы должен провести комплексный аудит информационной безопасности, по результатам которого он должен определить:
  • цели создания информационной системы (ИС) и решаемые ей задачи;
  • структурно-функциональные характеристики ИС, включающие структуру и состав физические, логические, функциональные и технологические взаимосвязи между элементами ИС, с иными ИС и информационно-телекоммуникационными сетями, режимы обработки информации в ИС и в ее отдельных элементах, а также иные характеристики информационных систем, применяемые информационные технологии и особенности их функционирования;
  • принадлежность информации, обрабатываемой в ИС, к информации ограниченного доступа в интересах определения нормативных правовых актов, методических документов и национальных стандартов, которым должны соответствовать ИС;
  • требуемый класс защищенности ИС;
  • модель нарушителя безопасности информации;
  • актуальные угрозы безопасности информации, определяемые по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей ИС, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности обрабатываемой информации;
  • номенклатуру требований к системе защиты информации ИС, которая должна определяться в зависимости от уровня защищенности ИСПДн и угроз безопасности информации, включенных в модель угроз безопасности информации.
Данный этап очень важен для построения в дальнейшем системы защиты информации, так как допущенная ошибка на начальном этапе может привести к негативным последствиям на этапах внедрения и аттестации информационной системы. Поэтому оператор для выполнения данного этапа вправе привлекать сторонних специалистов, являющихся экспертами в данной области.

2. Разработка системы защиты информации информационной системы (СЗИ)

На данном этапе требуется:
  • определить типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объекты доступа, являющиеся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
  • определить методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
  • выбрать меры защиты информации, подлежащие реализации в системе защиты информации ИС;
  • определить виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
  • определить структуру СЗИ, включая состав (количество) и места размещения ее элементов;
  • осуществить выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;
  • определить параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
  • определить меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.
Как правило, результаты разработки СЗИ ИС оформляются исполнителем в виде проектной и эксплуатационной документации.

3. Внедрение системы защиты информации информационной системы

Выполнение этапа включает в себя:
  • установку и настройку средств защиты информации в ИС Заказчика. Установка и настройка средств защиты информации в информационной системе должна проводиться в соответствии с эксплуатационной документацией на СЗИ ИС и документацией на средства защиты информации;
  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ИС в ходе ее эксплуатации (организационно-распорядительные документы по защите информации);
  • внедрение организационных мер защиты информации;
  • предварительные испытания СЗИ ИС;
  • опытную эксплуатацию СЗИ ИС;
  • анализ уязвимостей ИС и принятие мер защиты информации по их устранению;
  • приемочные испытания СЗИ ИС

4. Аттестация информационной системы по требованиям защиты информации и ввод ее в действие

По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестаты соответствия в случае положительных результатов аттестационных испытаний.

5. Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы

Аттестовать информационную систему – это полдела. Необходимо обеспечить строгое выполнение требований организационно-распорядительной документации, так как система защиты должна функционировать и соответствовать предъявляемым требованиям на всех этапах жизненного цикла информационной системы. Данный этап предполагает соблюдение всех организационных мер по защите информации, а также своевременное обслуживание внедренных программных и программно-аппаратных средств защиты информации.

6. Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации

Данный этап является обязательным при выводе из эксплуатации информационной системы и заключается в организации мероприятий по выводу из эксплуатации средств защиты информации и системы защиты в целом.