Інформаційна безпека та кіберзахист
Головна / Послуги / Інформаційна безпека та кіберзахист
Одним з основних напрямків діяльності Одеського науково-дослідного інституту зв'язку Адміністрації Державної служби спеціального зв’язку та захисту інформації України є надання послуг в галузі інформаційної безпеки та кіберзахисту.
Види послуг:
- створення комплексної системи захисту інформації (КСЗІ) в інформаційно-телекомунікаційній системі (у тому числі на об’єктах критичної інфраструктури) відповідно до чинного законодавства України в сфері технічного захисту інформації;
- проведення державної експертизи КСЗІ відповідно до ліцензії з оцінювання захищеності інформації, що не становить державної таємниці;
- створення системи управління інформаційною безпекою (СУІБ) відповідно до вимог міжнародних стандартів з питань інформаційної безпеки;
- консультаційні послуги з проведення внутрішніх аудитів СУІБ щодо виконання вимог ISO/IEC 27001:2013 (ДСТУ ISO/IEC 27001:2015) «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги»;
- консультаційні послуги щодо застосування кращих світових практик та впровадження заходів захисту з метою досягнення рівня інформаційної безпеки і кіберзахисту відповідно до вимог міжнародних стандартів;
- проведення аудиту СУІБ (зовнішній аудит другою стороною) відповідно до вимог ДСТУ ISO 19011:2012 (ISO 19011:2011, IDT) «Настанова щодо здійснення аудитів систем управління» із наданням висновку на проведення сертифікаційного аудиту (зовнішній аудит третьою стороною) щодо визначення відповідності СУІБ до вимог ISO/IEC 27001:2013 (ДСТУ ISO/IEC 27001:2015).
Одеський науково-дослідний інститут зв'язку має ліцензію з оцінювання захищеності інформації, що не становить державної таємниці.
Одеський науково-дослідний інститут зв'язку має фахівців:
- з досвідом понад 14 років з питань створення КСЗІ та проведення держаної експертизи КСЗІ;
- аудитора СУІБ з підтвердженою кваліфікацією: - Сертифікат ISO 27001:2013 Lead Auditor Провідний Аудитор Систем Менеджменту ISO 27001:2013.
У сучасному високотехнологічному світі в галузі інформаційних технологій все більш актуальна стає проблема захисту інформаційних активів та інфраструктури компанії в цілому.
Інформація та бізнес-процеси мають певну цінність для компаній як державного так і приватного сектору. Кожен новий ризик поряд з існуючої уразливістю інформаційної системи несе в себе загрозу появи інциденту, який в свою чергу може призвести до критичних збитків компанії (знищити репутацію або знищити усі активи компанії).
Сьогодні усі передові компанії світу впроваджують новітні технології обробки інформації із застосуванням фізичних, віртуальних серверів, використанням сучасних сервісів: SaaS (Software as а service) , PaaS (Platform as a Service), IaaS (Infrastructure-as-a-Service), DRaaS (Disaster Recovery as a Service) для відновлення працездатності інфраструктури з мінімальними втратами у стислі строки та застосуванням технології зберігання даних за допомогою мережевих пристроїв зберігання даних (Network attached storage, NAS), мережевих систем зберігання даних (Storage area network, SAN), хмарного віддаленого зберігання даних із використанням ресурсів центрів обробки даних провайдера і доступний з будь-якого комп’ютера, що має доступ до Internet (Amazon S3, Google Drive, iCloud, Dropbox). Це далеко не повний набір інструментів для обробки та зберігання інформації, при цьому слід розуміти головний постулат, що використання незахищених технологій може тільки погрішити бізнес компанії або навпаки знищіти компанію.
Інформаційна безпека та кіберзахист є критично важливим напрямком, оскільки передбачає захист інформації з обмеженим доступом від різноманітних загроз (втрати цілісності, конфіденційності, доступності інформації та керованості системи) з метою підтримки безперервності бізнес-процесів, скорочення збитків, поліпшення репутації на вітчизняному та світовому ринку, збільшення прибутку на інвестований капітал і розширення можливостей бізнесу.
Захист компанії від зовнішніх загроз – складне і витратне завдання, особливо коли виникає необхідність відповідати вимогам зростаючій кількості нормативно-правових документів, національних та міжнародних стандартів. Керівництву компанії дуже складне визначитись з номенклатурою засобів захисту та напрямком побудови систему захисту – створення КСЗІ або СУІБ.
Прикладом складності є формування концептуальних рішень щодо захисту:
- інформації, яка належать державним інформаційним ресурсам та захисту інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом (наприклад, персональні дані фізичних осіб). Відповідно до статті 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», така інформація повинна оброблятися в системі із застосуванням КСЗІ з підтвердженою відповідністю;
- інформації щодо персональних даних (personally identifiable information) відповідно до ст.4 Регламенту GDPR (General Data Protection Regulation), медичної інформації (protected health information) та спеціальних персональних даних (Стаття 4 (13), (14) та (15), Стаття 9 та твердження (51)-(56) Регламенту GDPR). Така інформація повинна оброблятися в системі зі створеною системою управління інформаційною безпекою з підтвердженою відповідністю до вимог міжнародних стандартів в галузі інформаційної безпеки.
Фахівці Одеського науково-дослідного інституту зв'язку за результатами критичного аналізу та використовуючи всебічний комплексний підхід допоможуть знайти оптимальне, конкурентно-спроможне та економічно-обґрунтоване рішення щодо побудови системи захисту із застосування найкращих світових методик, практик та засобів захисту в галузі інформаційної безпеки та кіберзахисту. Серед яких є:
- засоби боротьби з витоком інформації DLP (Data Loss Prevention Software);
- засоби захисту від шкідливого програмного забезпечення;
- упровадження рішень виявлення та реагування на інциденти інформаційної безпеки на кінцевих точках мережі EDR (Endpoint Detection and Response);
- web-фільтрація та застосування технології WAF (Web Application Firewall), що дозволе захистити інтернет-додатки (або різні API) від поширених мережевих експлойтів і ботів;
- шифрування інформації;
- упровадження рішень SIEM (Security Information and Event Management) для моніторингу інформаційних систем, аналізу події безпеки в реальному часі та кореляції інцидентів системи інформаційної безпеки в цілому;
- впровадження рішеннь анти-спам та анти-DoS/DDoS-атак;
- впровадження політики суворої авторизації та аутентифікації відповідно до правил розмежування доступу;
- упровадження системи виявлення несанкціонованого доступу до мережі IDS (Intrusion detection system) та системи запобігання несанкціонованому доступу до мережі IPS (Intrusion prevention system) для захисту периметра мережі;
- застосування міжмережевих екранів;
- застосування технології VPN;
- під час застосування хмарних технологій упровадження рішень IAM (Identity and Access Management), що надає можливості безпечного управління доступом до сервісів та ресурсів хмари;
- упровадження рішень PAM (Privileged Account Management) для здійснення моніторингу і контролю облікових записів співробітників IT-підрозділів, системних адміністраторів, співробітників аутсорсингових організацій;
- захист Wi-Fi точок доступу, мобільних пристроїв та IoT (Internet of Things), які використовуються (особливе на критичних об’єктах Компанії) в якості елементів систем пожежної та охоронної сигналізації, вентиляції, кондиціонування, електронних замків, освітлення, систем резервного енергозабезпечення, систем аварійного автоматичного відключення водо/газопостачання тощо;
- організація перевірки ефективності заходів щодо захисту IT-інфраструктури та бізнес-додатків від зовнішнього проникнення шляхом виконання тестів на проникнення (Penetration test).
Фахівці Одеського науково-дослідного інституту зв'язку надають послуги з навчання питанням інформаційної безпеки та кіберзахисту в галузі КСЗІ та СУІБ.
КСЗІ являє собою взаємопов'язану сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації. Підтвердження відповідності КСЗІ здійснюється за результатами державної експертизи з наданням дозвільних документів від Адміністрації Державної служби спеціального зв’язку та захисту інформації України. В результаті державної експертизи у сфері ТЗІ власник КСЗІ отримує Атестат відповідності КСЗІ, що підтверджує її відповідність вимогам нормативних документів у сфері ТЗІ.
СУІБ – частина загальної системи управління компанії, яка ґрунтується на підході, що враховує бізнес-ризики, призначена для розроблення, впровадження, функціонування, моніторингу, перегляду, підтримування та вдосконалення інформаційної безпеки.
Якщо у Вас виникли питання, зв'яжіться з нами будь-яким зручним для Вас способом і наші фахівці дадуть докладну відповідь на Ваші запитання.
Ваші бажання щодо поліпшення стану інформаційної безпеки та кіберзахисту з Нашими рішеннями в галузі захищених інформаційних технологій – це крок до успішного розвитку Вашої компанії.
Наші контакти
Адреса: м. Одеса, вул. Буніна, 23
Телефони: CSO (Chief Security Officer) +380 (50) 395 34 16,
SOC (Security Operation Center) +380 (67) 938 93 28.
E-mail: cso@oniis.org.ua, adm@oniis.org.ua