Технічний захист інформації

Багаторічний досвід роботи своїх провідних спеціалістів у сфері захисту інформації ДП «ІНФОТЕХ» застосовує для надання послуг в рамках ліцензії з оцінювання захищеності інформації, що не становить державної таємниці.

Цей напрям включає у себе наступні рішення:

Розробка та впровадження комплексних систем захисту інформації (КСЗІ) в інформаційно-телекомунікаційних системах (ІТС) класу «1», «2», «3».

Даний напрямок діяльності ДП «ІНФОТЕХ» призначений для державних та приватних підприємств, що мають необхідність обробляти інформацію з обмеженим доступом.

Підставою для визначення необхідності створення КСЗІ є норми та вимоги чинного законодавства (ЗУ «Про захист інформації в інформаційно-телекомунікаційних системах»), згідно з якими державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю.

Процес створення КСЗІ в ІТС складається з наступних етапів:

формування загальних вимог до КСЗІ в ІТС;
розробка політики безпеки інформації в ІТС;
розробки та погодження з Держспецзв’язку України Технічного завдання на КСЗІ в ІТС;
розробка проекту КСЗІ;
введення КСЗІ в дію та оцінка захищеності інформації.

В рамках етапу «введення КСЗІ в дію та оцінка захищеності інформації» проводяться попередні випробування та дослідна експлуатація, що дозволяє замовнику здійснити навчання персоналу, залученого до користування ІТС у подальшому.

За результатами розробки та впровадження КСЗІ в ІТС замовник отримує готовий пакет документації на КСЗІ в ІТС, що передається незалежному організатору експертизи (відповідно до НД ТЗІ 2.6-001-2011 організатори експертизи та експерти мають бути незалежні у своїй діяльності та невідповідальні за створення), рекомендації щодо подальшого використання та переведення ІТС в промислову експлуатацію після завершення державної експертизи.

Під час проведення державної експертизи ДП «ІНФОТЕХ», як розробник, плідно співпрацює з організатором експертизи.

Розробка та впровадження КСЗІ WEB-сторінки.

Розміщення актуальних та достовірних державних інформаційних ресурсів на офіційному веб-сайті організації/установи сприяє розвитку публічного документообігу та спрощує роботу зі зверненнями громадян до державних установ.

Відповідно до Закону України «Про доступ до публічної інформації» інформація, яка формується для публікації на веб-сайті, повинна бути доступною, достовірною та захищеною від несанкціонованої модифікації.

Виходячи з цього, в рамках інформаційно-телекомунікаційної системи, яка забезпечує роботу веб-сайту, володільцю сайту необхідно забезпечити наступні вимоги політики безпеки:

захист інформації в процесі її публікації на веб-сайті від несанкціонованого ознайомлення та модифікації (доступ повинен бути обмежений виключно адміністраторами);
захист технологічних даних функціонування веб-сайту та облікових даних персоналу веб-сайту від несанкціонованого ознайомлення, модифікації та знищення;
забезпечити стійкість програмно-технічного комплексу веб-сайту до відмов обладнання, резервування критичних компонентів функціонування веб-сайту та можливість модернізації та технологічного обслуговування без переривання функціонування;
запровадити безперервний аудит подій інформаційної безпеки.

З метою забезпечення політики безпеки веб-сайту у відповідності до вимог чинного законодавства України та виключення або мінімізації збитку, що може спричинити несанкціонованим доступ, повинна бути створена комплексна система захисту інформації веб-сайту. Етапи створення КСЗІ WEB-сторінки є аналогічними до етапів створення КСЗІ ІТС.

Команда ДП «ІНФОТЕХ» поєднує розробників ІТ-сфери та досвідчених спеціалістів у сфері технічного захисту інформації, тому надає цю послугу на максимально професійному рівні.

Оцінка захищеності інформації в ІТС шляхом проведення державної експертизи в сфері технічного захисту інформації (ТЗІ).

Державна експертиза в сфері технічного захисту інформації проводиться з метою дослідження, перевірки, аналізу та оцінки захищеності інформації в ІТС, а також підтвердження відповідності створеної КСЗІ в ІТС вимогам нормативних документів із технічного захисту інформації.

Даний напрям діяльності актуальний для організацій та установ, що здійснюють обробку інформації, захист якої передбачено чинними нормативно-правовими актами.

Проведення державної експертизи складається з наступних етапів:

попереднє ознайомлення, обстеження та аналіз документації на КСЗІ в ІТС;
розроблення та погодження з Адміністрації Держспецзв’язку України Програми та методики проведення експертних випробувань, де визначаються етапи та методи проведення оцінювання КСЗІ в ІТС;
розробка Протоколу проведення експертних випробувань у якому задокументовані результати перевірки згідно пунктів Програми та методики експертних випробувань;
подача Експертного висновку на систему до Адміністрації Держспецзв’язку України на розгляд та погодження.

За результатами державної експертизи КСЗІ в ІТС ДП «ІНФОТЕХ» передає замовнику (власнику системи) Атестат відповідності КСЗІ в ІТС вимогам нормативних документів з технічного захисту інформації, що зареєстрований Адміністрацією Держспецзв’язку.

Запорукою якісного виконання даної експертизи ДП «ІНФОТЕХ» є досвідчена команда, що постійно вдосконалює свої знання та вміння, відслідковує останні зміни у законодавстві та плідно співпрацює з розробниками програмного забезпечення.

Аудит стану інформаційної безпеки

Аудит інформаційних систем являє собою системний процес отримання та оцінки об'єктивних даних про поточний стан ІС, дії і події, що відбуваються в ній. Метою є встановити рівень їх відповідності певному критерію (внутрішнім стандартам підприємства, вимогам національних і міжнародних стандартів) і надати результати замовнику в вигляді рекомендацій.

Наразі актуальність аудиту зросла через збільшення кількості інформації та ІС. Це виявляє недоцільність раніше вкладених коштів в інформаційні системи і змушує організації шукати шляхи вирішення цієї проблеми. ДП «ІНФОТЕХ» має можливість надати комплексні послуги з аудиту ІС, що дозволяють досягти максимальної віддачі від коштів, що інвестуються в їх створення та обслуговування.

При аудиті нашими фахівцями перевіряються ІС, системи безпеки, системи зв'язку із зовнішнім середовищем та корпоративна мережа, які використовуються підприємством, на предмет їх відповідності поточним бізнес-процесам замовника. При цьому аналізуються і оцінюються ризики функціонування ІС.

Проведення аудиту ІС через ДП «ІНФОТЕХ» має наступні переваги:

отримання рекомендації щодо оптимізації ІТ-інфраструктури та принципів управління ІТ на підприємстві;
підвищення прозорості процесів та взаємозв'язків між можливостями ІТ-служби та вимогами бізнес-підрозділів;
підвищення лояльності внутрішніх клієнтів ІТ-служби;
отримання простого інструментарію для планування та прийняття рішень.

За результатами проведеного аудиту може бути відрегульовано генеральний напрямок розвитку ІТ-підрозділів організації.

Результати аудиту будуть надані власнику інформаційно-телекомунікаційної системи включно із рекомендаціями щодо необхідних організаційно-технічних заходів забезпечення відповідності поточного стану ІТС, вимогам національних і міжнародних стандартів та можливого подальшого розвитку системи із врахуванням технологічних досягнень в галузі інформаційної безпеки.

Проведення робіт з експертизи засобів ТЗІ.

Як зазначається в НД ТЗІ 1.1-002-99, у проблемі захисту від несанкціонованого доступу до інформаційних ресурсів, що обробляються в ІТС, відокремлюються два напрями:

забезпечення захищеності інформації у функціонуючих або створюваних ІТС;
створення засобів технічного захисту інформації від несанкціонованого доступу або захищених від несанкціонованого доступу компонентів обчислювальної системи поза конкретним середовищем експлуатації.

Державна експертиза засобів технічного захисту інформації проводиться з метою оцінювання відповідності реалізованих в ньому функціональних послуг безпеки (ФПБ) та рівня гарантій коректності їх реалізації вимогам чинних нормативно-правових актів.

У такому випадку проведення державної експертизи передає виконання таких етапів експертних робіт:

1) з оцінювання ФПБ:

попередній аналіз оцінюваного засобу;
розроблення програми випробувань ФПБ;
розроблення методики випробувань ФПБ;
проведення випробувань засобів реалізації ФПБ;
аналіз, документування та затвердження результатів випробувань ФПБ.

2) з оцінювання рівня гарантій коректності реалізації ФПБ:

ознайомлення з оцінюваним засобом, збирання та аналіз матеріалів (документів), що характеризують організацію процесу розроблення, виробництва та постачання оцінюваного засобу;
розроблення програми перевірки дотримання вимог до рівня гарантій;
розроблення методики перевірки дотримання вимог до рівня гарантій;
виконання оцінювання рівня гарантій згідно з розробленими програмою та методикою;
аналіз та документування результатів оцінювання рівня гарантій;
оцінювання (за необхідності) відповідності ОЕ вимогам чинних нормативних документів щодо забезпечення захисту інформації в ІТС певного типу або іншим вимогам, які висуваються до нього;
документування та затвердження результатів експертизи.

За результатами проведення державної експертизи засобу технічного захисту інформації Замовнику передається зареєстрований Адміністрацією Держспецзв’язку Експертний висновок, що підтверджує його відповідність вимогам нормативних документів з технічного захисту інформації.

Консалтинг та методологічні послуги

Консалтинг у сфері захисту інформації пов’язаний з підтримкою робочих процесів організації, під час яких виникає необхідність модернізації існуючої системи або запровадження сучасних засобів та методів захисту інформації. Сюди входить й проведення занять з персоналом, задіяним в експлуатації засобів захисту інформації.

Швидкий розвиток ДП «ІНФОТЕХ» у сфері ІТ та встановлені високі стандарти з боку наших державних замовників дозволяє нам якісно проаналізувати поточний стан задіяних засобів та методів захисту інформаційних ресурсів будь-якого типу організації та надати практичні поради по вдосконаленню, оптимізації та подальшому розвитку загальної системи інформаційної безпеки.