Информационная безопасность и киберзащита
Главная / Услуги / Информационная безопасность и киберзащита
Одним из основных направлений деятельности Одесского научно-исследовательского института связи Администрации Государственной службы специальной связи и защиты информации Украины является предоставление услуг в области информационной безопасности и киберзащиты.
Виды услуг:
- создание комплексной системы защиты информации (КСЗИ) в информационно-телекоммуникационной системе (в том числе на объектах критической инфраструктуры) в соответствии с действующим законодательством Украины в сфере технической защиты информации;
- проведение государственной экспертизы КСЗИ в соответствии с лицензией по оценке защищенности информации, не составляющей государственной тайны;
- создание системы управления информационной безопасностью (СУИБ) в соответствии с требованиями международных стандартов по вопросам информационной безопасности;
- консультационные услуги по проведению внутренних аудитов СУИБ относительно выполнения требований ISO/IEC 27001:2013 (ДСТУ ISO/IEC 27001:2015) «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги»;
- консультационные услуги по применению лучших мировых практик и внедрения мер защиты с целью достижения уровня информационной безопасности и киберзащиты в соответствии с требованиями международных стандартов;
- проведения аудита СУИБ (внешний аудит второй стороной) в соответствии с требованиями ДСТУ ISO 19011:2012 (ISO 19011:2011, IDT) «Настанова щодо здійснення аудитів систем управління» с предоставлением заключения на проведение сертификационного аудита (внешний аудит третьей стороной) по определению соответствия СУИБ с требованиями ISO/IEC 27001:2013 (ДСТУ ISO/IEC 27001:2015).
Одесский научно-исследовательский институт связи имеет лицензию по оцениванию защищенности информации, не составляющей государственной тайны.
Одесский научно-исследовательский институт связи имеет специалистов:
- с опытом более 14 лет по вопросам создания КСЗИ и проведения государственной экспертизы КСЗИ;
- аудитора СУИБ с подтвержденной квалификацией: - Сертификат ISO 27001:2013 Lead Auditor Ведущий Аудитор Систем Менеджмента ISO 27001:2013.
Если у Вас возникли вопросы, свяжитесь с нами любым удобным для Вас способом и наши специалисты дадут подробные ответы на Ваши вопросы.
В современном высокотехнологичном мире в области информационных технологий все более актуальной становится проблема защиты информационных активов и инфраструктуры компании в целом.
Информация и бизнес-процессы имеют определенную ценность для компаний как государственного так и частного сектора. Каждый новый риск наряду с существующей уязвимостью информационной системы несет в себе угрозу появления инцидента, который в свою очередь может привести к критическим убыткам компании (уничтожить репутацию или уничтожить все активы компании).
Сегодня все передовые компании мира внедряют новейшие технологии обработки информации с применением физических, виртуальных серверов, использованием современных сервисов: SaaS (Software as а service), PaaS (Platform as a Service), IaaS (Infrastructure-as-a-Service), DRaaS ( Disaster Recovery as a Service) для восстановления работоспособности инфраструктуры с минимальными потерями в сжатые сроки и применением технологии хранения данных с помощью сетевых устройств хранения данных (Network attached storage, NAS), сетевых систем хранения данных (Storage area network, SAN), облачного удаленного хранения данных с использованием ресурсов центров обработки данных провайдера и доступен с любого компьютера, имеющего доступ к Internet (Amazon S3, Google Drive, iCloud, Dropbox). Это далеко не полный набор инструментов для обработки и хранения информации, при этом следует понимать главный постулат, что использование незащищенных технологий может только ухудшить бизнес компании или наоборот уничтожить компанию.
Информационная безопасность и киберзащита является критически важным направлением, поскольку предусматривает защиту информации с ограниченным доступом от угроз (потери целостности, конфиденциальности, доступности информации и управляемости системы) с целью поддержания непрерывности бизнес-процессов, сокращение убытков, улучшения репутации на отечественном и мировом рынке, увеличения прибыли на инвестированный капитал и расширения возможностей бизнеса.
Защита компании от внешних угроз - сложная и затратная задача, особенно когда возникает необходимость соответствовать требованиям возрастающему количеству нормативно-правовых документов, национальных и международных стандартов. Руководству компании очень сложно определиться с номенклатурой средств защиты и направлением построения системы защиты - создание КСЗИ или СУИБ.
Примером сложности является формирование концептуальных решений по защите:
- информации, принадлежащей государственным информационным ресурсам и защите информации с ограниченным доступом, требование относительно защиты которой установлено законом (например, персональные данные физических лиц). В соответствии со статьей 8 Закона Украины «Про захист інформації в інформаційно-телекомунікаційних системах», такая информация должна обрабатываться в системе с применением КСЗИ с подтвержденным соответствием;
- информации о персональных данных (personally identifiable information) в соответствии со ст.4 Регламента GDPR (General Data Protection Regulation), медицинской информации (protected health information) и специальных персональных данных (статья 4 (13), (14) и (15), Статья 9 и утверждение (51) - (56) Регламента GDPR). Такая информация должна обрабатываться в системе с созданной системой управления информационной безопасностью с подтвержденным соответствием требованиям международных стандартов в области информационной безопасности.
Специалисты Одесского научно-исследовательского института связи по результатам критического анализа и используя всесторонний комплексный подход помогут найти оптимальное, конкурентно-способное и экономически обоснованное решение относительно построения системы защиты с применением лучших мировых методик, практик и средств защиты в области информационной безопасности и киберзащиты. Среди которых:
- средства борьбы с утечкой информации DLP (Data Loss Prevention Software)
- средства защиты от вредоносного программного обеспечения;
- внедрение решений выявления и реагирования на инциденты информационной безопасности на конечных точках сети EDR (Endpoint Detection and Response)
- web-фильтрация и применение технологии WAF (Web Application Firewall), что позволит защитить интернет-приложения (или различные API) от распространенных сетевых эксплойтов и ботов;
- шифрование информации;
- внедрение решений SIEM (Security Information and Event Management) для мониторинга информационных систем, анализа события безопасности в реальном времени и корреляции инцидентов системы информационной безопасности в целом;
- внедрение решений анти-спам и анти-DoS/DDoS-атак;
- внедрение политики строгой авторизации и аутентификации в соответствии с правилами разграничения доступа;
- внедрение системы обнаружения несанкционированного доступа к сети IDS (Intrusion detection system) и системы предотвращения несанкционированного доступа к сети IPS (Intrusion prevention system) для защиты периметра сети;
- применение межсетевых экранов;
- применение технологии VPN;
- внедрение решений IAM во время применении облачных технологий (Identity and Access Management), что дает возможность безопасного управления доступом к сервисам и ресурсам облака;
- внедрение решений PAM (Privileged Account Management) для осуществления мониторинга и контроля учетных записей сотрудников IT-подразделений, системных администраторов, сотрудников аутсорсинговых организаций;
- защита Wi-Fi точек доступа, мобильных устройств и IoT (Internet of Things), которые используются (особенно на критических объектах компании) в качестве элементов систем пожарной и охранной сигнализации, видеонаблюдения, электронных замков, освещения, систем резервного энергообеспечения, систем аварийного автоматического отключения водо-/газоснабжения и т.п.;
- организация проверки эффективности мероприятий по защите IT-инфраструктуры и бизнес-приложений от внешнего проникновения путем выполнения тестов на проникновение (Penetration test).
Специалисты Одесского научно-исследовательского института связи предоставляют услуги по обучению вопросам информационной безопасности и киберзащиты в области КСЗИ и СУИБ.
КСЗИ представляет собой взаимосвязанную совокупность организационных и инженерно-технических мероприятий, средств и методов защиты информации. Подтверждение соответствия КСЗИ осуществляется по результатам государственной экспертизы с предоставлением разрешительных документов от Администрации Государственной службы специальной связи и защиты информации Украины. В результате государственной экспертизы в сфере ТЗИ владелец КСЗИ получает Аттестат соответствия КСЗИ, что подтверждает ее соответствие требованиям нормативных документов в сфере ТЗИ.
СУИБ – часть общей системы управления компании, основанная на подходе, учитывающем бизнес-риски, предназначенная для разработки, внедрения, функционирования, мониторинга, анализа, поддержания и совершенствования информационной безопасности.
Если у Вас возникли вопросы, свяжитесь с нами любым удобным для Вас способом и наши специалисты дадут подробный ответ на Ваши вопросы.
Ваши желания по улучшению состояния информационной безопасности и киберзащиты с Нашими решениями в области защищенных информационных технологий – это шаг к успешному развитию Вашей компании.
Наши контакты
Адрес: г. Одесса, ул. Бунина, 23
Телефоны: CSO (Chief Security Officer) +380 (50) 395 34 16,
SOC (Security Operation Center) +380 (67) 938 93 28.
E-mail: cso@oniis.org.ua, adm@oniis.org.ua