Технічний захист інформації

Послуги з розробки та впровадження КСЗІ надаються для органів державної влади, органів місцевого самоврядування, підприємств, установ і організацій, що мають необхідність обробляти інформацію з обмеженим доступом, яка не становить державної таємниці.

Підставою для визначення необхідності створення КСЗІ є норми та вимоги чинного законодавства (ЗУ «Про захист інформації в інформаційно-комунікаційних системах», Правила забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджені Постановою КМУ від 29.03.2006 № 373), згідно з якими державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю.

Процес створення КСЗІ в ІКС складається з таких етапів:

• формування загальних вимог до КСЗІ в ІКС;
• розробка політики безпеки інформації в ІКС;
• розробка Технічного завдання на створення КСЗІ в ІКС та погодження документа з Адміністрацією Держспецзв’язку;
• розробка технічного та робочого проєкту КСЗІ;
• розробка експлуатаційної документації КСЗІ;
• розробка організаційно-розпорядчої документації КСЗІ;
• введення КСЗІ в дію та оцінка захищеності інформації.

В рамках етапу «введення КСЗІ в дію та оцінка захищеності інформації» проводяться попередні випробування та дослідна експлуатація, що дозволяє Замовнику здійснити навчання персоналу, залученого до користування ІКС у подальшому.

За результатами розробки та впровадження КСЗІ в ІКС замовник отримує пакет документів на КСЗІ в ІКС, рекомендації щодо подальшого використання та переведення ІКС в промислову експлуатацію після завершення державної експертизи.

Під час проведення державної експертизи ДП «ІНФОТЕХ», як розробник, плідно співпрацює з організатором експертизи.

Розміщення актуальних та достовірних державних інформаційних ресурсів на офіційному вебсайті організації/установи сприяє розвитку публічного документообігу та спрощує роботу зі зверненнями громадян до державних установ.

Відповідно до Закону України «Про доступ до публічної інформації» інформація, яка формується для публікації на вебсайті, повинна бути доступною, достовірною та захищеною від несанкціонованої модифікації.

Виходячи з цього, в рамках інформаційно-комунікаційної системи, яка забезпечує роботу вебсайту, володільцю сайту необхідно забезпечити такі вимоги політики безпеки:

• захист інформації в процесі її публікації на вебсайті від несанкціонованого ознайомлення та модифікації;
• захист технологічних даних функціонування вебсайту та облікових даних персоналу вебсайту від несанкціонованого ознайомлення, модифікації та знищення;
• стійкість програмно-технічного комплексу вебсайту до відмов обладнання, резервування критичних компонентів функціонування вебсайту, можливість модернізації та технологічного обслуговування без переривання функціонування;
• безперервний аудит подій інформаційної безпеки.

З метою забезпечення політики безпеки вебсайту у відповідності до вимог чинного законодавства України та виключення або мінімізації збитків, що може спричинити несанкціонований доступ, повинна бути створена комплексна система захисту інформації вебсайту. Етапи створення КСЗІ WEB-сторінки є аналогічними до етапів створення КСЗІ ІКС.

Команда ДП «ІНФОТЕХ» поєднує розробників ІТ-сфери та досвідчених спеціалістів у сфері технічного захисту інформації, тому надає цю послугу на максимально професійному рівні.

Державна експертиза в сфері технічного захисту інформації проводиться з метою дослідження, перевірки, аналізу та оцінки захищеності інформації в ІКС, а також підтвердження відповідності створеної КСЗІ в ІКС вимогам нормативних документів із технічного захисту інформації.

Даний напрям діяльності актуальний для організацій та установ, що здійснюють обробку інформації, захист якої передбачено чинними нормативно-правовими актами.

Проведення державної експертизи шляхом проведення експертних випробувань складається з таких етапів:

• попереднє обстеження ІКС, аналіз документації на створення КСЗІ в ІКС;
• розробка програми проведення експертних випробувань та погодження із Замовником експертизи;
• підготовка методики проведення експертизи, що містить методи оцінювання КСЗІ в ІКС;
• оформлення результатів у вигляді протоколу виконання робіт відповідно до методики експертизи;
• підготовка Експертного висновку, який містить висновки щодо кожного пункту методики, а також особливі думки Експертів, зафіксовані в протоколі виконання робіт;
• подання документів експертизи для розгляду та реєстрації до Адміністрації Держспецзв'язку.

За результатами державної експертизи ДП «ІНФОТЕХ» передає Замовнику (власнику системи) Атестат відповідності КСЗІ в ІКС вимогам нормативних документів з технічного захисту інформації (з додатками), що зареєстрований Адміністрацією Держспецзв’язку.

Фахівці ДП «ІНФОТЕХ» постійно вдосконалюють свої знання та вміння, відслідковують останні зміни у законодавстві та плідно співпрацюють із розробниками програмного забезпечення, що є запорукою якісного виконання експертизи.

Консалтинг у сфері захисту інформації пов’язаний з підтримкою робочих процесів організації, під час яких виникає необхідність модернізації існуючої системи або запровадження сучасних засобів та методів захисту інформації, а також проведення занять з персоналом, задіяним в експлуатації засобів захисту інформації.

Швидкий розвиток ДП «ІНФОТЕХ» у сфері ІТ та встановлені високі стандарти з боку наших державних замовників дозволяють нам якісно проаналізувати поточний стан задіяних засобів та методів захисту інформаційних ресурсів будь-якого типу організації та надати практичні поради по вдосконаленню, оптимізації та подальшому розвитку загальної системи інформаційної безпеки.

Як зазначається в НД ТЗІ 1.1-002-99, у проблемі захисту від несанкціонованого доступу до інформаційних ресурсів, що обробляються в ІКС, виокремлюються два напрями:

• забезпечення захищеності інформації у функціонуючих або створюваних ІКС;
• створення засобів технічного захисту інформації від несанкціонованого доступу або захищених від несанкціонованого доступу компонентів обчислювальної системи поза конкретним середовищем експлуатації.

Державна експертиза засобів технічного захисту інформації проводиться з метою оцінювання відповідності реалізованих у них функціональних послуг безпеки (ФПБ) та рівня гарантій коректності їх реалізації вимогам чинних нормативно-правових актів.

У такому випадку проведення державної експертизи складається з таких етапів експертних робіт:

1. оцінювання ФПБ:

   • попередній аналіз оцінюваного засобу;
   • розроблення програми випробувань ФПБ;
   • розроблення методики випробувань ФПБ;
   • проведення випробувань засобів реалізації ФПБ;
   • аналіз, документування та затвердження результатів випробувань ФПБ.

2. оцінювання рівня гарантій коректності реалізації ФПБ:

   • ознайомлення з оцінюваним засобом, збирання та аналіз матеріалів (документів), що характеризують організацію процесу розробки, виробництва та постачання оцінюваного засобу;
   • розробка програми перевірки дотримання вимог рівня гарантій;
   • розробка методики перевірки дотримання вимог до рівня гарантій;
   • виконання оцінювання рівня гарантій згідно з розробленими програмою та методикою;
   • аналіз та документування результатів оцінювання рівня гарантій;
   • оцінювання (за необхідності) відповідності об’єкта експертизи вимогам чинних нормативних документів щодо забезпечення захисту інформації в ІКС певного типу або іншим вимогам, які висуваються до нього;
   • документування та затвердження результатів експертизи.

Слід звернути увагу, що для проведення експертизи засобу ТЗІ разом із заявою про проведення експертизи засобу ТЗІ Замовник надає документи, що підтверджують його право на володіння та/або користування, та/або розпорядження засобом ТЗІ.

За результатами проведення державної експертизи засобу технічного захисту інформації Замовнику передається зареєстрований Адміністрацією Держспецзв’язку Експертний висновок, що підтверджує відповідність засобу технічного захисту інформації вимогам нормативних документів.