Разработка и создание комплексных систем защиты информации (КСЗИ) является одним из основных направлений деятельности компании IQusion. Специалисты компании имеют профильное образование и длительный опыт работы в сфере технической и криптографической защиты информации. IQusion имеет все необходимые государственные лицензии на предоставление услуг технической и криптографической защиты информации, а также разрешение на проведение деятельности, связанной с государственной тайной, что позволяет предоставлять услуги комплексной защиты информации для предприятий всех форм собственности.
Комплексная система защиты информации (КСЗИ) - совокупность организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.
Организационные мероприятия являются обязательной составляющей построения любой КСЗИ. Инженерно-технические мероприятия осуществляются по мере необходимости.
Организационные мероприятия
Организационные мероприятия включают в себя создание концепции информационной безопасности, а также:
- составление должностных инструкций для пользователей и обслуживающего персонала;
- создание правил администрирования компонент информационной системы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;
- разработка планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
- обучение правилам информационной безопасности пользователей.
В случае необходимости, в рамках проведения организационных мероприятий может быть создана служба информационной безопасности, проведена реорганизация системы делопроизводства и хранения документов.
Инженерно-технические мероприятия
Инженерно-технические мероприятия - совокупность специальных технических средств и их использование для защиты информации. Выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.
Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа.
В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка в помещениях систем охранно-пожарной сигнализации, систем контроля и управления доступом.
Отдельные помещения могут быть оборудованы средствами защиты от утечки акустической (речевой) информации.
Субъекты КСЗИ
В процесс создания КСЗИ вовлекаются следующие стороны:
- организация, для которой осуществляется построение КСЗИ (Заказчик);
- организация, осуществляющая мероприятия по построению КСЗИ (Исполнитель);
- Государственная служба специальной связи и защиты информации Украины (ГСССЗИУ) (Контролирующий орган);
- организация, осуществляющая государственную экспертизу КСЗИ (Организатор экспертизы);
- организация, в случае необходимости привлекаемая Заказчиком или Исполнителем для выполнения некоторых работ по созданию КСЗИ (Подрядчик).
Объекты защиты КСЗИ
Объектами защиты КСЗИ является информация, в любом ее виде и форме представления.
Материальными носителями информации являются сигналы. По своей физической природе информационные сигналы можно разделить на следующие виды: электрические, электромагнитные, акустические, а также их комбинации.
Сигналы могут быть представлены в форме электромагнитных, механических и других видах колебаний, причем информация, которая подлежит защите, содержится в их изменяющихся параметрах.
В зависимости от природы, информационные сигналы распространяются в определенных физических средах. Среды могут быть газовыми, жидкостными и твердыми. Например, воздушное пространство, конструкции зданий, соединительные линии и токопроводящие элементы, грунт и другие.
В зависимости от вида и формы представления информационных сигналов, которые циркулируют в информационно-телекоммуникационной системе (ИТС), в том числе и в автоматизированных системах (АС), при построении КСЗИ могут использоваться различные средства защиты.
Критерии выбора Исполнителя - наличие лицензий, подтверждающих право выполнения работ по КСЗИ;
- профессионализм Исполнителя, подтвержденный квалификацией его специалистов;
- практический опыт внедрения КСЗИ на реальных объектах.
Дополнительными критериями также могут быть эксплуатация собственной КСЗИ ИТС Исполнителя или наличие у Исполнителя системы менеджмента качества, соответствующей требованиям международного стандарта ISO 9001:2008.
Необходимость построения КСЗИ
Необходимость построения КСЗИ определяется требованиями нормативных документов или желанием владельца информационных ресурсов.
Согласно Закону Украины "О защите информации в информационно-телекоммуникационных системах":
- информация, являющаяся собственностью государства, или информация с ограниченным доступом должна быть защищена путем построения КСЗИ, с получением "Аттестата соответствия", который выдается ГСССЗИУ;
- прочая информация может быть защищена с помощью КСЗИ по желанию ее владельца.
Этапы построения КСЗИ Подготовка организационно-распорядительной документации.
Обследование информационной инфраструктуры Заказчика.
Разработка "Плана защиты информации>.
Разработка "Технического задания на создание КСЗИ".
Разработка "Технического проекта на создание КСЗИ".
Приведение информационной инфраструктуры Заказчика в соответствие с "Техническим проектом на создание КСЗИ".
Разработка "Эксплуатационной документации на КСЗИ".
Внедрение КСЗИ.
Испытание КСЗИ.
Проведение государственной экспертизы КСЗИ и получение <Аттестата соответствия>.
Поддержка и обслуживание КСЗИ.
