Информационная безопасность и киберзащита

Главная / Услуги / Информационная безопасность и киберзащита

Одним из основных направлений деятельности Одесского научно-исследовательского института связи Администрации Государственной службы специальной связи и защиты информации Украины является предоставление услуг в области информационной безопасности и киберзащиты.

Виды услуг:

• создание комплексной системы защиты информации (КСЗИ) в информационно-телекоммуникационной системе (в том числе на объектах критической инфраструктуры) в соответствии с действующим законодательством Украины в сфере технической защиты информации;
• проведение государственной экспертизы КСЗИ в соответствии с лицензией по оценке защищенности информации, не составляющей государственной тайны;
• создание системы управления информационной безопасностью (СУИБ) в соответствии с требованиями международных стандартов по вопросам информационной безопасности;
• консультационные услуги по проведению внутренних аудитов СУИБ относительно выполнения требований ISO/IEC 27001:2013 (ДСТУ ISO/IEC 27001:2015) «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги»;
• консультационные услуги по применению лучших мировых практик и внедрения мер защиты с целью достижения уровня информационной безопасности и киберзащиты в соответствии с требованиями международных стандартов;
• проведения аудита СУИБ (внешний аудит второй стороной) в соответствии с требованиями ДСТУ ISO 19011:2012 (ISO 19011:2011, IDT) «Настанова щодо здійснення аудитів систем управління» с предоставлением заключения на проведение сертификационного аудита (внешний аудит третьей стороной) по определению соответствия СУИБ с требованиями ISO/IEC 27001:2013 (ДСТУ ISO/IEC 27001:2015).

Одесский научно-исследовательский институт связи имеет лицензию по оцениванию защищенности информации, не составляющей государственной тайны.

Одесский научно-исследовательский институт связи имеет специалистов:

• с опытом более 14 лет по вопросам создания КСЗИ и проведения государственной экспертизы КСЗИ;
• аудитора СУИБ с подтвержденной квалификацией: - Сертификат ISO 27001:2013 Lead Auditor Ведущий Аудитор Систем Менеджмента ISO 27001:2013.

Если у Вас возникли вопросы, свяжитесь с нами любым удобным для Вас способом и наши специалисты дадут подробные ответы на Ваши вопросы.

В современном высокотехнологичном мире в области информационных технологий все более актуальной становится проблема защиты информационных активов и инфраструктуры компании в целом.

Информация и бизнес-процессы имеют определенную ценность для компаний как государственного так и частного сектора. Каждый новый риск наряду с существующей уязвимостью информационной системы несет в себе угрозу появления инцидента, который в свою очередь может привести к критическим убыткам компании (уничтожить репутацию или уничтожить все активы компании).

Сегодня все передовые компании мира внедряют новейшие технологии обработки информации с применением физических, виртуальных серверов, использованием современных сервисов: SaaS (Software as а service), PaaS (Platform as a Service), IaaS (Infrastructure-as-a-Service), DRaaS ( Disaster Recovery as a Service) для восстановления работоспособности инфраструктуры с минимальными потерями в сжатые сроки и применением технологии хранения данных с помощью сетевых устройств хранения данных (Network attached storage, NAS), сетевых систем хранения данных (Storage area network, SAN), облачного удаленного хранения данных с использованием ресурсов центров обработки данных провайдера и доступен с любого компьютера, имеющего доступ к Internet (Amazon S3, Google Drive, iCloud, Dropbox). Это далеко не полный набор инструментов для обработки и хранения информации, при этом следует понимать главный постулат, что использование незащищенных технологий может только ухудшить бизнес компании или наоборот уничтожить компанию.

Информационная безопасность и киберзащита является критически важным направлением, поскольку предусматривает защиту информации с ограниченным доступом от угроз (потери целостности, конфиденциальности, доступности информации и управляемости системы) с целью поддержания непрерывности бизнес-процессов, сокращение убытков, улучшения репутации на отечественном и мировом рынке, увеличения прибыли на инвестированный капитал и расширения возможностей бизнеса.

Защита компании от внешних угроз - сложная и затратная задача, особенно когда возникает необходимость соответствовать требованиям возрастающему количеству нормативно-правовых документов, национальных и международных стандартов. Руководству компании очень сложно определиться с номенклатурой средств защиты и направлением построения системы защиты - создание КСЗИ или СУИБ.

Примером сложности является формирование концептуальных решений по защите:

• информации, принадлежащей государственным информационным ресурсам и защите информации с ограниченным доступом, требование относительно защиты которой установлено законом (например, персональные данные физических лиц). В соответствии со статьей 8 Закона Украины «Про захист інформації в інформаційно-телекомунікаційних системах», такая информация должна обрабатываться в системе с применением КСЗИ с подтвержденным соответствием;
• информации о персональных данных (personally identifiable information) в соответствии со ст.4 Регламента GDPR (General Data Protection Regulation), медицинской информации (protected health information) и специальных персональных данных (статья 4 (13), (14) и (15), Статья 9 и утверждение (51) - (56) Регламента GDPR). Такая информация должна обрабатываться в системе с созданной системой управления информационной безопасностью с подтвержденным соответствием требованиям международных стандартов в области информационной безопасности.

Специалисты Одесского научно-исследовательского института связи по результатам критического анализа и используя всесторонний комплексный подход помогут найти оптимальное, конкурентно-способное и экономически обоснованное решение относительно построения системы защиты с применением лучших мировых методик, практик и средств защиты в области информационной безопасности и киберзащиты. Среди которых:

• средства борьбы с утечкой информации DLP (Data Loss Prevention Software)
• средства защиты от вредоносного программного обеспечения;
• внедрение решений выявления и реагирования на инциденты информационной безопасности на конечных точках сети EDR (Endpoint Detection and Response)
• web-фильтрация и применение технологии WAF (Web Application Firewall), что позволит защитить интернет-приложения (или различные API) от распространенных сетевых эксплойтов и ботов;
• шифрование информации;
• внедрение решений SIEM (Security Information and Event Management) для мониторинга информационных систем, анализа события безопасности в реальном времени и корреляции инцидентов системы информационной безопасности в целом;
• внедрение решений анти-спам и анти-DoS/DDoS-атак;
• внедрение политики строгой авторизации и аутентификации в соответствии с правилами разграничения доступа;
• внедрение системы обнаружения несанкционированного доступа к сети IDS (Intrusion detection system) и системы предотвращения несанкционированного доступа к сети IPS (Intrusion prevention system) для защиты периметра сети;
• применение межсетевых экранов;
• применение технологии VPN;
• внедрение решений IAM во время применении облачных технологий (Identity and Access Management), что дает возможность безопасного управления доступом к сервисам и ресурсам облака;
• внедрение решений PAM (Privileged Account Management) для осуществления мониторинга и контроля учетных записей сотрудников IT-подразделений, системных администраторов, сотрудников аутсорсинговых организаций;
• защита Wi-Fi точек доступа, мобильных устройств и IoT (Internet of Things), которые используются (особенно на критических объектах компании) в качестве элементов систем пожарной и охранной сигнализации, видеонаблюдения, электронных замков, освещения, систем резервного энергообеспечения, систем аварийного автоматического отключения водо-/газоснабжения и т.п.;
• организация проверки эффективности мероприятий по защите IT-инфраструктуры и бизнес-приложений от внешнего проникновения путем выполнения тестов на проникновение (Penetration test).

Специалисты Одесского научно-исследовательского института связи предоставляют услуги по обучению вопросам информационной безопасности и киберзащиты в области КСЗИ и СУИБ.

КСЗИ представляет собой взаимосвязанную совокупность организационных и инженерно-технических мероприятий, средств и методов защиты информации. Подтверждение соответствия КСЗИ осуществляется по результатам государственной экспертизы с предоставлением разрешительных документов от Администрации Государственной службы специальной связи и защиты информации Украины. В результате государственной экспертизы в сфере ТЗИ владелец КСЗИ получает Аттестат соответствия КСЗИ, что подтверждает ее соответствие требованиям нормативных документов в сфере ТЗИ.

СУИБ – часть общей системы управления компании, основанная на подходе, учитывающем бизнес-риски, предназначенная для разработки, внедрения, функционирования, мониторинга, анализа, поддержания и совершенствования информационной безопасности.

Если у Вас возникли вопросы, свяжитесь с нами любым удобным для Вас способом и наши специалисты дадут подробный ответ на Ваши вопросы.

Ваши желания по улучшению состояния информационной безопасности и киберзащиты с Нашими решениями в области защищенных информационных технологий – это шаг к успешному развитию Вашей компании.

Наши контакты

Адрес: г. Одесса, ул. Бунина, 23

Телефоны: CSO (Chief Security Officer) +380 (50) 395 34 16,

SOC (Security Operation Center) +380 (67) 938 93 28.

E-mail: cso@oniis.org.ua, adm@oniis.org.ua

Наши услуги

Полезные статьи