Перейти до вмісту

Інформаційна безпека

Ми допоможемо захистити ваш бізнес. Захист ідей та технологій стає невід’ємною частиною сучасного бізнесу.


Ми станемо вашими партнерами у вирішені цих питань.

Ми надаємо наступні послуги із захисту інформації в сучасних інформаційно - телекомунікаційних системах:

  • Авторизація з безпеки інформаційних систем
  • Система Управління Інформаційною Безпекою СУІБ
  • Проведення комплексного аудиту інформаційної безпеки Інформаційних систем
  • Сертифікація програмних та апаратних засобів в галузі технічного захисту інформації

Авторизація з безпеки інформаційних систем

Авторизація з безпеки проводиться з метою підтвердження відповідності інформаційно-комунікаційної системи встановленим вимогам із захисту інформації, а також отримання дозволу (рішення) замовника на її експлуатацію у визначеному середовищі.

Авторизація з безпеки являє собою сукупність організаційних та інженерно – технічних заходів, спрямованих на забезпечення захисту інформації, що циркулює в інформаційно – комунікаційних системах (ІКС), від розголошення, витоку і несанкціонованого доступу.

Авторизація з безпеки є обов’язковою та потрібна для запобігання несанкціонованому доступу та захисту від зловмисних дій для таких типів інформації;  

  • Відкрита інформація, яка відноситься до державних інформаційних ресурсів, а також відкрита інформація про діяльність суб’єктів владних повноважень, військових формувань, яка публікується в Інтернеті, інших глобальних інформаційних мережах і системах або передається телекомунікаційними мережами;
  • Конфіденційна інформація: Будь-яка інформація, яка є власністю держави або потребує захисту згідно із законом, а також конфіденційна інформація про фізичну особу.
  • Службова інформація; Відомості, доступ до яких обмежено згідно із законом або в силу службової необхідності
  • Державні інформаційні ресурси: Системи, що містять інформацію органів державної влади, державних підприємств, установ та організацій.
  • Об’єкти критичної інформаційної інфраструктури: Системи, що забезпечують функціонування життєво важливих для держави об’єктів.
  • Інформація, вимоги щодо захисту якої встановлені законом.

Послуги з авторизації  в Інформаційних Систем різних класів:

  • одно машинних користувацьких комплексів (клас 1);
  • локалізованих багатомашинних багатокористувацьких комплексів (клас 2);
  • розподілених багатомашинних багатокористувацьких комплексів (клас 3).

Послуги охоплюють всі етапи по проходженню Авторизації з безпеки згідно діючих нормативних документів у сфері технічного захисту інформації і включають:

  • розробка методики оцінки ризиків інформаційної безпеки, плану управління ризиками інформаційної безпеки, опису ІКС, формування цільового профілю безпеки для ІКС;
  • розробка політик реалізації заходів захисту інформації в ІКС, інструкцій (процедур) реалізації заходів захисту інформації в ІКС, форм журналів реєстрації заходів з забезпечення безпеки, іншої документації, необхідної для авторизації ІКС з безпеки, супроводження оцінювання дотримання вимог цільового профілю безпеки для цілей авторизації ІКС з безпеки;
  • оцінювання дотримання вимог цільового профілю безпеки для цілей авторизації ІКС з безпеки

Окремо надається послуга

  • плановий щорічний аудит.

Результатом послуг є:

  • внесення Інформаційної системи до Переліку авторизованих систем з безпеки  (Державною службою спеціального зв’язку та захисту інформації України);
  • комплект технічної, робочої, експлуатаційної документації ;

Система Управління Інформаційною Безпекою (СУІБ)

Система управління інформаційною безпекою (СУІБ) – потужний та ефективний засіб, який базується на ризик-орієнтованому підході, та пропагує практику постійного вдосконалення, що допомагає проактивно впроваджувати актуальні та ефективні засоби захисту інформаційного середовища компаній.

 Стандарт ISO 27001 є провідною світовою практикою з управління інформаційною безпекою та широко використовується багатьма компаніями. Відповідно до статистики таких організацій як IT Governance, PECB, Advisera, кількість організацій, що сертифіковані за стандартом ISO 27001 щороку зростає в середньому на 15-20%. Крім того, деякі індустрії, такі як банки та фінансовий сектор за регуляторними вимогами України повинні відповідати вимогам цього стандарту.

Перечень етапів побудови СУІБ

  1. Визначення області дії СУІБ
  2. Попередній аудит на відповідність вимогам ISO 27001:
  • збір вихідних даних про бізнес-процеси, структурні підрозділи, інформаційно-телекомунікаційну інфраструктуру, методи і засоби забезпечення інформаційної безпеки;
  • аналіз діючої організаційно-розпорядчої документації, що регламентує питання забезпечення інформаційної безпеки;
  • оцінка поточного рівня відповідності вимогам стандарту ISO 27001.
  1. 3. Проведення оцінки ризиків:
  • Розробка методики оцінки ризиків;
  • Інвентаризація та класифікація активів;
  • Формування карти загроз;
  • Аналіз і оцінка ризиків;
  • Розробка плану обробки ризиків.
  1. Розробка процедур і документації СУІБ:
  • Розробка процесів управління інформаційною безпекою;
  • Розробка процесів забезпечення інформаційної безпеки;
  • Розробка комплекту організаційно-розпорядчої документації, що регламентує питання забезпечення інформаційної безпеки;
  • Розробка програм підвищення обізнаності з питань управління та забезпечення інформаційної безпеки;
  1. Впровадження процедур і документації СУІБ:
  • Впровадження процесів управління інформаційною безпекою;
  • Впровадження процесів забезпечення інформаційної безпеки;
  • Навчання та підвищення обізнаності співробітників в області забезпечення інформаційної безпеки.
  1. Дослідна експлуатація СУІБ
  2. Сертифікаційний аудит і видача міжнародного сертифікату:
  • Взаємодія з органом сертифікації;
  • Консультаційна підтримка при проходженні сертифікаційного аудиту.

Результатом послуг є:

Система управління інформаційною безпекою, що відповідає вимогам стандарту ISO 27001. 

Комплексний аудит інформаційної безпеки

Аудит інформаційної безпеки – це системний процес отримання об’єктивних якісних і кількісних оцінок поточного стану корпоративної ІТС відповідно до критеріїв інформаційної безпеки.

Для того щоб оцінити реальний стан захищеності ресурсів (інформаційна безпека) ІТС та її здатність протистояти зовнішнім і внутрішнім загрозам безпеці, необхідно регулярно проводити аудит інформаційної безпеки.

Мета проведення аудиту інформаційної безпеки – оцінка стану безпеки ІТС та розробка рекомендацій щодо застосування комплексу організаційних заходів та програмно – технічних засобів, спрямованих на забезпечення захисту інформаційних та інших ресурсів ІТС від загроз інформаційній безпеці.

Послуги з проведення комплексного аудиту інформаційної безпеки, які включають:

  • узгодження порядку виконання робіт;
  • вивчення технічної, експлуатаційної, організаційно – розпорядчої, супровідної та іншої документації, що стосується функціонування ІТС та регламентує порядок захисту інформації, в ній циркулює;
  • інвентаризація інформаційних систем, формалізація бізнес – процесів;
  • аналіз систем забезпечення (системи контролю та управління доступом, пожежної, охоронної, електропостачання, життєзабезпечення тощо);
  • вивчення елементів ІТС, побудова карт комутації, схем адресації і маршрутизації;
  • аналіз безпеки інформації в ІТС, порядку функціонування ІТС і взаємодії її елементів;
  • опитування (анкетування) співробітників з метою перевірки знання посадових і функціональних обов’язків, визначення рівня їх компетентності у використанні профільного програмного забезпечення;
  • виявлення недоліків в технологічному та організаційно – правовому забезпеченні;
  • сканування мережевого периметра: проведення тесту на проникнення (аудит інформаційної безпеки зовнішньої і внутрішньої складових ІТС по відношенню до погроз з боку Інтернет і загроз, пов’язаних з інсайдерською діяльністю всередині організації) відповідно до міжнародними нормативними документами з питань забезпечення інформаційної безпеки;
  • підготовка рекомендацій та презентація результатів.

Результатом послуг є звіт, що містить перелік виявлених вразливостей ІТС, а також загроз, реалізація яких може призвести до порушення штатного режиму функціонування ІТС, неефективного використання її ресурсів, порушення конфіденційності, цілісності та доступності інформації, що циркулює в ІТС, а також рекомендації щодо усунення виявлених вразливостей та забезпечення отказоустойчивого функціонування ІТС.

При необхідності надається консультативно-методична та практична допомога з питань безпечної побудови комп’ютерних мереж, настройка серверного та активного мережного обладнання, пристроїв захисту, комп’ютерів користувачів, а також розробки моделі загроз, плану захисту інформації в ІТС, політики інформаційної безпеки і інший організаційно – методичної документації.

Результатом послуг є:

звіт, що містить перелік виявлених вразливостей ІКС, а також загроз, реалізація яких може призвести до порушення штатного режиму функціонування ІКС, неефективного використання її ресурсів, порушення конфіденційності, цілісності та доступності інформації, що циркулює в ІКС, а також рекомендації щодо усунення виявлених вразливостей та забезпечення отказоустойчивого функціонування ІКС.

При необхідності надається консультативно-методична та практична допомога з питань безпечної побудови комп’ютерних мереж, настройка серверного та активного мережного обладнання, пристроїв захисту, комп’ютерів користувачів, а також розробки моделі загроз, плану захисту інформації в ІКС, політики інформаційної безпеки і інший організаційно – методичної документації.

Сертифікація програмних та апаратних засобів в галузі технічного захисту інформації

Результатом роботи є підтвердження відповідності програмного продукту або апаратного засобу вимогам нормативних документів системи технічного захисту України, та як наслідок, отримання Експертного висновку .  

За плечима багаторічний річний досвід проведення таких робіт. Задоволені клієнти та позитивні відгуки. Працюємо з розробниками програмного забезпечення та апаратних засобів як на пряму так і через посередників або офіційних представників.

Результатом послуг є:

Експертний висновок підтвердження відповідності програмного продукту або апаратного засобу вимогам нормативних документів системи технічного захисту України, та як наслідок, отримання Експертного висновку.  

Наші замовники

Райффайзен банк аваль
Screenshot_1
new_logo
logo
logo ФК УКРНАФТОГАЗ
logo_ua
ufci
softico
steelguard
Арт Капітал Кастоді
Банк Львів
Бизнес-інвест
Кредо-інвест
singnifer
SoftiCo_new_web_3
ТОВ spred_logo
ФК КУБ
logo Придніпров'я
logo Інтер-сервіс-реєстр
gd