Комплексные системы защиты информации

Разработка и создание комплексных систем защиты информации (КСЗИ) является одним из основных направлений деятельности компании IQusion. Специалисты компании имеют профильное образование и длительный опыт работы в сфере технической и криптографической защиты информации. IQusion имеет все необходимые государственные лицензии на предоставление услуг технической и криптографической защиты информации, а также разрешение на проведение деятельности, связанной с государственной тайной, что позволяет предоставлять услуги комплексной защиты информации для предприятий всех форм собственности.

 

Комплексная система защиты информации (КСЗИ) - совокупность организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.

Организационные мероприятия являются обязательной составляющей построения любой КСЗИ. Инженерно-технические мероприятия осуществляются по мере необходимости.

Организационные мероприятия

Организационные мероприятия включают в себя создание концепции информационной безопасности, а также:

  • составление должностных инструкций для пользователей и обслуживающего персонала;
  • создание правил администрирования компонент информационной системы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;
  • разработка планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
  • обучение правилам информационной безопасности пользователей.

В случае необходимости, в рамках проведения организационных мероприятий может быть создана служба информационной безопасности, проведена реорганизация системы делопроизводства и хранения документов.

Инженерно-технические мероприятия

Инженерно-технические мероприятия - совокупность специальных технических средств и их использование для защиты информации. Выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.

Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа.

В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка в помещениях систем охранно-пожарной сигнализации, систем контроля и управления доступом.

Отдельные помещения могут быть оборудованы средствами защиты от утечки акустической (речевой) информации.

Субъекты КСЗИ

В процесс создания КСЗИ вовлекаются следующие стороны:

  • организация, для которой осуществляется построение КСЗИ (Заказчик);
  • организация, осуществляющая мероприятия по построению КСЗИ (Исполнитель);
  • Государственная служба специальной связи и защиты информации Украины (ГСССЗИУ) (Контролирующий орган);
  • организация, осуществляющая государственную экспертизу КСЗИ (Организатор экспертизы);
  • организация, в случае необходимости привлекаемая Заказчиком или Исполнителем для выполнения некоторых работ по созданию КСЗИ (Подрядчик).

Объекты защиты КСЗИ

Объектами защиты КСЗИ является информация, в любом ее виде и форме представления.

Материальными носителями информации являются сигналы. По своей физической природе информационные сигналы можно разделить на следующие виды: электрические, электромагнитные, акустические, а также их комбинации.

Сигналы могут быть представлены в форме электромагнитных, механических и других видах колебаний, причем информация, которая подлежит защите, содержится в их изменяющихся параметрах.

В зависимости от природы, информационные сигналы распространяются в определенных физических средах. Среды могут быть газовыми, жидкостными и твердыми. Например, воздушное пространство, конструкции зданий, соединительные линии и токопроводящие элементы, грунт и другие.

В зависимости от вида и формы представления информационных сигналов, которые циркулируют в информационно-телекоммуникационной системе (ИТС), в том числе и в автоматизированных системах (АС), при построении КСЗИ могут использоваться различные средства защиты.

Критерии выбора Исполнителя

  • наличие лицензий, подтверждающих право выполнения работ по КСЗИ;
  • профессионализм Исполнителя, подтвержденный квалификацией его специалистов;
  • практический опыт внедрения КСЗИ на реальных объектах.

Дополнительными критериями также могут быть эксплуатация собственной КСЗИ ИТС Исполнителя или наличие у Исполнителя системы менеджмента качества, соответствующей требованиям международного стандарта ISO 9001:2008.

Необходимость построения КСЗИ

Необходимость построения КСЗИ определяется требованиями нормативных документов или желанием владельца информационных ресурсов.

Согласно Закону Украины «О защите информации в информационно-телекоммуникационных системах»:

  • информация, являющаяся собственностью государства, или информация с ограниченным доступом должна быть защищена путем построения КСЗИ, с получением «Аттестата соответствия», который выдается ГСССЗИУ;
  • прочая информация может быть защищена с помощью КСЗИ по желанию ее владельца.

Этапы построения КСЗИ

  • Подготовка организационно-распорядительной документации.
  • Обследование информационной инфраструктуры Заказчика.
  • Разработка «Плана защиты информации».
  • Разработка «Технического задания на создание КСЗИ».
  • Разработка «Технического проекта на создание КСЗИ».
  • Приведение информационной инфраструктуры Заказчика в соответствие с «Техническим проектом на создание КСЗИ».
  • Разработка «Эксплуатационной документации на КСЗИ».
  • Внедрение КСЗИ.
  • Испытание КСЗИ.
  • Проведение государственной экспертизы КСЗИ и получение «Аттестата соответствия».
  • Поддержка и обслуживание КСЗИ.

После принятия Заказчиком решения о создании КСЗИ между Заказчиком и Исполнителем подписывается договор о создании КСЗИ, в котором должны быть описаны порядок и сроки выполнения, а также стоимость работ.

О компании IQusion

Компания IQusion оказывает широкий спектр ITC услуг на рынке Украины и СНГ. Нам удалось собрать не просто команду программистов высокого уровня, но и специалистов, которые имеют навыки управления процессами, ресурсами, рисками. Сплоченная и профессиональная команда опытных, высококвалифицированных специалистов способна решать самые сложные задачи, которые требуют нестандартных подходов и компетентности, - от консалтинга до автоматизации бизнес-процессов. Нашими партнерами являются крупные IT компании мирового уровня. Опыт нашей работы - более тысячи реализованных проектов в 150 отраслях бизнеса.

Компания IQusion входит в консорциум Intecracy Group - одного из крупнейших объединений ITC-компаний на рынке Восточной Европы

IQusion. Pure Intellect. Мы предлагаем IT-решения для сложных задач: от системной интеграции до автоматизации бизнес-процессов. Далее