Багаторічний досвід роботи своїх провідних спеціалістів у сфері захисту інформації ДП «ІНФОТЕХ» застосовує для надання послуг в рамках ліцензії з оцінювання захищеності інформації, що не становить державної таємниці.
Цей напрям включає у себе наступні рішення:
• розробку та впровадження комплексних систем захисту інформації (КСЗІ) в інформаційно-телекомунікаційних системах (ІТС) класу «1», «2», «3»;
• розробку та впровадження КСЗІ WEB-сторінки;
• оцінку захищеності інформації в ІТС шляхом проведення державної експертизи в сфері технічного захисту інформації (ТЗІ);
• проведення робіт з експертизи засобів ТЗІ;
• аудит стану інформаційної безпеки;
• консалтинг та методологічні послуги.
1. Розробка та впровадження комплексних систем захисту інформації (КСЗІ) в інформаційно-телекомунікаційних системах (ІТС) класу «1», «2», «3».
Даний напрямок діяльності ДП «ІНФОТЕХ» призначений для державних та приватних підприємств, що мають необхідність обробляти інформацію з обмеженим доступом.
Підставою для визначення необхідності створення КСЗІ є норми та вимоги чинного законодавства (ЗУ «Про захист інформації в інформаційно-телекомунікаційних системах»), згідно з якими державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю.
Процес створення КСЗІ в ІТС складається з наступних етапів:
• формування загальних вимог до КСЗІ в ІТС;
• розробка політики безпеки інформації в ІТС;
• розробки та погодження з Держспецзв’язку України Технічного завдання на КСЗІ в ІТС;
• розробка проекту КСЗІ;
• введення КСЗІ в дію та оцінка захищеності інформації.
В рамках етапу «введення КСЗІ в дію та оцінка захищеності інформації» проводяться попередні випробування та дослідна експлуатація, що дозволяє замовнику здійснити навчання персоналу, залученого до користування ІТС у подальшому.
За результатами розробки та впровадження КСЗІ в ІТС замовник отримує готовий пакет документації на КСЗІ в ІТС, що передається незалежному організатору експертизи (відповідно до НД ТЗІ 2.6-001-2011 організатори експертизи та експерти мають бути незалежні у своїй діяльності та невідповідальні за створення), рекомендації щодо подальшого використання та переведення ІТС в промислову експлуатацію після завершення державної експертизи.
Під час проведення державної експертизи ДП «ІНФОТЕХ», як розробник, плідно співпрацює з організатором експертизи.
2. Розробка та впровадження КСЗІ WEB-сторінки.
Розміщення актуальних та достовірних державних інформаційних ресурсів на офіційному веб-сайті організації/установи сприяє розвитку публічного документообігу та спрощує роботу зі зверненнями громадян до державних установ.
Відповідно до Закону України «Про доступ до публічної інформації» інформація, яка формується для публікації на веб-сайті, повинна бути доступною, достовірною та захищеною від несанкціонованої модифікації. Виходячи з цього, в рамках інформаційно-телекомунікаційної системи, яка забезпечує роботу веб-сайту, володільцю сайту необхідно забезпечити наступні вимоги політики безпеки:
• захист інформації в процесі її публікації на веб-сайті від несанкціонованого ознайомлення та модифікації (доступ повинен бути обмежений виключно адміністраторами);
• захист технологічних даних функціонування веб-сайту та облікових даних персоналу веб-сайту від несанкціонованого ознайомлення, модифікації та знищення;
• забезпечити стійкість програмно-технічного комплексу веб-сайту до відмов обладнання, резервування критичних компонентів функціонування веб-сайту та можливість модернізації та технологічного обслуговування без переривання функціонування;
• запровадити безперервний аудит подій інформаційної безпеки.
З метою забезпечення політики безпеки веб-сайту у відповідності до вимог чинного законодавства України та виключення або мінімізації збитку, що може спричинити несанкціонованим доступ, повинна бути створена комплексна система захисту інформації веб-сайту. Етапи створення КСЗІ WEB-сторінки є аналогічними до етапів створення КСЗІ ІТС.
Команда ДП «ІНФОТЕХ» поєднує розробників ІТ сфери та досвідчених спеціалістів у сфері технічного захисту інформації, тому надає цю послугу на максимально професійному рівні.
3. Оцінка захищеності інформації в ІТС шляхом проведення державної експертизи в сфері технічного захисту інформації (ТЗІ).
Державна експертиза в сфері технічного захисту інформації проводиться з метою дослідження, перевірки, аналізу та оцінки захищеності інформації в ІТС, а також підтвердження відповідності створеної КСЗІ в ІТС вимогам нормативних документів із технічного захисту інформації.
Даний напрям діяльності актуальний для організацій та установ, що здійснюють обробку інформації, захист якої передбачено чинними нормативно-правовими актами.
Проведення державної експертизи складається з наступних етапів:
• попереднє ознайомлення, обстеження та аналіз документації на КСЗІ в ІТС;
• розроблення та погодження з Адміністрації Держспецзв’язку України Програми та методики проведення експертних випробувань, де визначаються етапи та методи проведення оцінювання КСЗІ в ІТС;
• розробка Протоколу проведення експертних випробувань у якому задокументовані результати перевірки згідно пунктів Програми та методики експертних випробувань;
• подача Експертного висновку на систему до Адміністрації Держспецзв’язку України на розгляд та погодження.
За результатами державної експертизи КСЗІ в ІТС ДП «ІНФОТЕХ» передає замовнику (власнику системи) Атестат відповідності КСЗІ в ІТС вимогам нормативних документів з технічного захисту інформації, що зареєстрований Адміністрацією Держспецзв’язку.
Запорукою якісного виконання даної експертизи ДП «ІНФОТЕХ» є досвідчена команда, що постійно вдосконалює свої знання та вміння, відслідковує останні зміни у законодавстві та плідно співпрацює з розробниками програмного забезпечення.
4. Проведення робіт з експертизи засобів ТЗІ.
Як зазначається в НД ТЗІ 1.1-002-99, у проблемі захисту від несанкціонованого доступу до інформаційних ресурсів, що обробляються в ІТС, відокремлюються два напрями:
• забезпечення захищеності інформації у функціонуючих або створюваних ІТС;
• створення засобів технічного захисту інформації від несанкціонованого доступу або захищених від несанкціонованого доступу компонентів обчислювальної системи поза конкретним середовищем експлуатації.
Державна експертиза засобів технічного захисту інформації проводиться з метою оцінювання відповідності реалізованих в ньому функціональних послуг безпеки (ФПБ) та рівня гарантій коректності їх реалізації вимогам чинних нормативно-правових актів.
У такому випадку проведення державної експертизи передає виконання таких етапів експертних робіт:
1) з оцінювання ФПБ:
• попередній аналіз оцінюваного засобу;
• розроблення програми випробувань ФПБ;
• розроблення методики випробувань ФПБ;
• проведення випробувань засобів реалізації ФПБ;
• аналіз, документування та затвердження результатів випробувань ФПБ.
2) з оцінювання рівня гарантій коректності реалізації ФПБ:
• ознайомлення з оцінюваним засобом, збирання та аналіз матеріалів (документів), що характеризують організацію процесу розроблення, виробництва та постачання оцінюваного засобу;
• розроблення програми перевірки дотримання вимог до рівня гарантій;
• розроблення методики перевірки дотримання вимог до рівня гарантій;
• виконання оцінювання рівня гарантій згідно з розробленими програмою та методикою;
• аналіз та документування результатів оцінювання рівня гарантій;
• оцінювання (за необхідності) відповідності ОЕ вимогам чинних нормативних документів щодо забезпечення захисту інформації в ІТС певного типу або іншим вимогам, які висуваються до нього;
• документування та затвердження результатів експертизи.
За результатами проведення державної експертизи засобу технічного захисту інформації Замовнику передається зареєстрований Адміністрацією Держспецзв’язку Експертний висновок, що підтверджує його відповідність вимогам нормативних документів з технічного захисту інформації.
5. Аудит стану інформаційної безпеки
Аудит інформаційних систем являє собою системний процес отримання та оцінки об'єктивних даних про поточний стан ІС, дії і події, що відбуваються в ній. Метою є встановити рівень їх відповідності певному критерію (внутрішнім стандартам підприємства, вимогам національних і міжнародних стандартів) і надати результати замовнику в вигляді рекомендацій.
Наразі актуальність аудиту зросла через збільшення кількості інформації та ІС. Це виявляє недоцільність раніше вкладених коштів в інформаційні системи і змушує організації шукати шляхи вирішення цієї проблеми. ДП «ІНФОТЕХ» має можливість надати комплексні послуги з аудиту ІС, що дозволяють досягти максимальної віддачі від коштів, що інвестуються в їх створення та обслуговування.
При аудиті нашими фахівцями перевіряються ІС, системи безпеки, системи зв'язку із зовнішнім середовищем та корпоративна мережа, які використовуються підприємством, на предмет їх відповідності поточним бізнес-процесам замовника. При цьому аналізуються і оцінюються ризики функціонування ІС.
Проведення аудиту ІС через ДП «ІНФОТЕХ» має наступні переваги:
• отримання рекомендації щодо оптимізації ІТ-інфраструктури та принципів управління ІТ на підприємстві;
• підвищення прозорості процесів та взаємозв'язків між можливостями ІТ-служби та вимогами бізнес-підрозділів;
• підвищення лояльності внутрішніх клієнтів ІТ-служби;
• отримання простого інструментарію для планування та прийняття рішень.
За результатами проведеного аудиту може бути відрегульовано генеральний напрямок розвитку ІТ-підрозділів організації.
Результати аудиту будуть надані власнику інформаційно-телекомунікаційної системи включно із рекомендаціями щодо необхідних організаційно-технічних заходів забезпечення відповідності поточного стану ІТС, вимогам національних і міжнародних стандартів та можливого подальшого розвитку системи із врахуванням технологічних досягнень в галузі інформаційної безпеки.
6. Консалтинг та методологічні послуги
Консалтинг у сфері захисту інформації пов’язаний з підтримкою робочих процесів організації, під час яких виникає необхідність модернізації існуючої системи або запровадження сучасних засобів та методів захисту інформації. Сюди входить й проведення занять з персоналом, задіяним в експлуатації засобів захисту інформації.
Швидкий розвиток ДП «ІНФОТЕХ» у сфері ІТ та встановлені високі стандарти з боку наших державних замовників дозволяє нам якісно проаналізувати поточний стан задіяних засобів та методів захисту інформаційних ресурсів будь-якого типу організації та надати практичні поради по вдосконаленню, оптимізації та подальшому розвитку загальної системи інформаційної безпеки.