г. Санкт-Петербург, ул. 1-я Советская, 12
+7 (812) 912-68-95
info@sccrus.com

Информационная безопасность

Информационная безопасность информационно-телекоммуникационных систем (ИТКС) является одним из приоритетных направлений деятельности нашей компании. Задача защиты информационных и технических ресурсов ИТКС актуальна, сложна, многогранна и противоречива и описать ее в рамках раздела сайта невозможно. Постараемся выделить самое главное. На наш взгляд, решение этой задачи требует грамотного системного подхода и четкого ответа на три основных вопроса:

1. Что (какие ресурсы) необходимо защитить?

Обоснованный выбор объектов защиты — необходимое начальное условие создания подсистемы защиты информации (ПЗИ) любой ИТКС. Задача выбора объектов защиты в ИТКС усложняется большим количеством разнородной информации различной важности, обрабатываемой в информационных системах из состава ИТКС, наличием разнородных и разнотипных технических и программных средств и т. д. При неправильном определении объектов защиты ИТКС возможны, как снижение уровня защиты всей ИТКС, так и необоснованные расходы на создание и эксплуатацию ПЗИ.

2. От чего (кого) необходимо обеспечить защиту?

На этапе проектирования подсистемы защиты информации ИТКС необходимо четко понимать от чего (каких угроз?) и кого (каких нарушителей?) мы должны защитить ИТКС? Логично, что у школьника, имеющего доступ к компьютеру и базовые знания, одни потенциальные возможности по нанесению вашей ИТКС вреда, а у профессионального хакера другие. Также логично, что от отключения электричества ИТКС защитить гораздо легче, чем от наводнения. Поэтому все потенциальные угрозы и возможности нарушителей (риски информационной безопасности) должны быть тщательно проанализированы и описаны в базовых документах: «Модели угроз» и «Модели нарушителя» ИТКС. Отметим, что данные модели создаются для всей ИТКС и защиту от описанных угроз и нарушителей должна обеспечивать подсистема защиты информации ИТКС, а не одно средство защиты информации, разрабатываемое с учетом требований производителя или силового Ведомства. Отметим, что в 100% случаев применение единичных средств защиты информации для защиты ИТКС не приводит к увеличению уровня ее защищенности, но при этом, зачастую, негативно влияет на функциональные характеристики всей ИТКС. При этом реализация производителем требований защиты информации в своем изделии в 100% случаев его удорожает. Например, программное средство защиты информации, установленное на недоверенную операционную систему, требует для своей работы системных ресурсов (не всегда доступных), что негативно сказывается на функционировании прикладных программ, и при этом оно абсолютно неэффективно, если злоумышленник (нарушитель) имеет возможность получить доступ к операционной системе и после этого сделать со всеми прикладными процессами все, что пожелает.

Применение системного подхода к задаче защиты информации в ИТКС позволяет обеспечить обоснованное применение средств защиты информации именно там, где это необходимо. Отметим, что в некоторых случаях вместо использования в ИТКС дорогостоящих средств защиты информации целесообразно применение различных организационных и организационно-технических мероприятий.

3. Как будет обеспечена защита ресурсов ИТКС?

В настоящее время разработано множество методологий (методов), способов, механизмов, моделей и средств защиты информации. Не имеет смысла их перечислять и описывать, так как каждый день в мире появляется что-то новое. Отметим, что все механизмы, методы и т. д., составляющие определенные меры защиты информации должны в своей совокупности нейтрализовывать все угрозы информационной безопасности ИТКС и должны быть направлены на обеспечение конфиденциальности, целостности и доступности необходимых информационных ресурсов, а также на обеспечение непрерывности деятельности организации.

Как правило, меры защиты ИТКС описываются в двух основных документах — «Модели защиты» и «Политике безопасности» ИТКС, на основе которых разрабатывается нормативная, эксплуатационная и др. документация для персонала. Положения «Модели защиты» являются фундаментом, на основе которого разрабатывается специальное техническое задание (СТЗ), включающее различные подробные требования к ПЗИ ИТКС. Создание ПЗИ ИТКС регламентируется соответствующими международными и национальными стандартами, методическими указаниями, ведомственными требованиями и т. д. На этапе технического проектирования (технического предложения) разработчик ПЗИ должен использовать методологию системного анализа с целью нахождения оптимальной структуры и состава ПЗИ с учетом требований СТЗ. Завершает создание ПЗИ ИТКС ее аттестация на соответствие требованиям СТЗ и (или) ведомственным требованиям.

Таким образом, создание ПЗИ — это четкая последовательность взаимосвязанных этапов работ, требующих от разработчиков глубоких знаний в различных IT-областях и опыта применения методологий системного подхода и системного анализа. Отметим, что задача обеспечения информационной безопасности ИТКС должна решаться параллельно с задачей обеспечения непрерывности деятельности (бизнеса) организации, так как потенциальные риски информационной безопасности и состояние ПЗИ ИТКС напрямую влияют на деятельность организации.

Компания SCC оказывает следующие виды услуг в области информационной безопасности:

  1. Консалтинг в области информационной безопасности.
  2. Аудит информационной безопасности.
  3. Создание и развитие ПЗИ ИТКС коммерческих и государственных организаций.
  4. Создание и развитие систем управления информационной безопасностью коммерческих и государственных организаций.
  5. Создание защищенных информационных систем.
  6. Создание защищенных мультисервисных сетей связи.
  7. Создание защищенных ситуационных центров.
  8. Разработка нормативной, организационно-распорядительной и другой документации по защите информации, в том числе:
    • модели угроз;
    • модели нарушителя;
    • модели защиты;
    • политики безопасности;
    • проектов требований, указаний, инструкций и т. д.
  9. Аттестация систем защиты информации на соответствие различным международным и национальным требованиям безопасности информации (в том числе — требованиям ФСТЭК России и ФСБ России). Специалисты SCC имеют большой опыт создания и развития ИТКС специального назначения для силовых Ведомств России, а также различных систем информационной безопасности в интересах государственных и коммерческих организаций, что позволяет нашей компании обеспечить высокое качество услуг в области информационной безопасности.

Для получения более подробной информации об услугах напишите или позвоните нам в любое удобное для Вас время.

Консалтинг в области информационной безопасности

В настоящее время в мире существует много подходов к обеспечению информационной безопасности в информационно-телекоммуникационных системах (ИТКС). На наш взгляд, перспективным подходом к обеспечению информационной безопасности в ИТКС является построение подсистемы защиты информации (ПЗИ) ИТКС, обеспечивающей комплексную (многоуровневую) защиту информационных и технических ресурсов ИТКС, начиная от физической защиты (датчики, камеры) и заканчивая средствами защиты прикладного уровня (защита протоколов сигнализации, разграничение доступа пользователей и др.).

Современная ПЗИ ИТКС должна:

  1. Обеспечивать защиту информационных и технических (IT-инфраструктура) ресурсов ИТКС.
  2. Иметь в своем составе средства предотвращения, обнаружения и реагирования на возникающие угрозы информационной безопасности, охватывающие все уровни защиты информации (физический, аппаратный, программный).
  3. Иметь возможность реагировать на возникающие инциденты информационной безопасности средствами защиты информации различных уровней защиты. На практике это может выглядеть следующим образом. При обнаружении попытки несанкционированного доступа пользователя к приложению (например, превышение попыток неправильного ввода логина и пароля) средства защиты информации различных уровней ПЗИ ИТКС реагируют по заранее определенным сценариям, например:
    • запись в регистрационный журнал приложения;
    • сигнализация администратору безопасности ИТКС;
    • блокировка аккаунта пользователя в операционной системе;
    • блокировка дверей помещения, в которой находится пользователь, и др.

Отметим, что последнее требование к современной ПЗИ ИТКС предполагает:

  • наличие специально обученного персонала;
  • создание подсистемы управления информационной безопасностью в составе ПЗИ ИТКС;
  • разработки необходимого организационно-технического и другого обеспечения, в котором подробно бы описывались сценарии компьютерных атак, сценарии реагирования, действия персонала при обнаружении попыток несанкционированного доступа, компьютерных вирусов и др.

Исходя из выше изложенного подхода к задаче обеспечения информационной безопасности в ИТКС, компания SCC оказывает услуги консалтинга в области информационной безопасности по следующим направлениям:

  • обеспечение информационной безопасности в современных ИТКС, обрабатывающих информацию ограниченного доступа;
  • создание и внедрение автоматизированных систем управления информационной безопасностью;
  • создание защищенных мультисервисных сетей связи;
  • создание защищенных информационных систем;
  • создание защищенных ситуационных центров.

Для получения более подробной информации об услугах напишите или позвоните нам в любое удобное для Вас время.

Аудит системы обеспечения информационной безопасности

Проведение аудита системы обеспечения информационной безопасности (СОИБ) организации проводится с целью получения независимой оценки:

  • состояния и эффективности СОИБ;
  • соответствия СОИБ целям и задачам организации;
  • соответствия и полноты выполнения требований различных документов в области информационной безопасности (стандарты, методики, рекомендации и т. д.), предъявляемых к организации.

Проведение аудита позволяет увидеть недостатки СОИБ, а его результаты являются необходимыми исходными данными при принятии решений о развитии (модернизации) СОИБ организации.

Компания SCC предоставляет своим клиентам следующие услуги аудита информационной безопасности:

  1. Анализ соответствия СОИБ организации требованиям безопасности национальных (СТР-К, ФЗ № 152, СТО БР ИББС) и международных (ISO/IEC 27001, ISO/IEC 17799) стандартов.
  2. Анализ соответствия автоматизированных систем в защищенном исполнении (АСЗИ) организации требованиям информационной безопасности ФСТЭК России и ФСБ России.
  3. Разработка стратегии и программы развития СОИБ организации (по результатам аудита), описание состава, сроков, стоимости и последовательности этапов работ, обеспечивающих достижение заданных целевых показателей состояния СОИБ; технико-экономическое обоснование предлагаемых к реализации работ (проектов).
  4. Разработка отдельных рекомендаций по доработке (модернизации) СОИБ и АСЗИ организации с целью соответствия заданным требованиям информационной безопасности.
  5. Подготовка подсистемы управления СОИБ организации к сертификации на соответствие требованиям ISO/IEC 27001.

Для получения более подробной информации об услугах напишите или позвоните нам в любое удобное для Вас время.

Создание и развитие подсистемы защиты информации информационно-телекоммуникационных систем

Динамичное развитие современных информационно-телекоммуникационных систем (ИТКС) обуславливает появление новых угроз информационной безопасности и, как следствие — развитие современных подходов, механизмов, методов, средств защиты информации (СрЗИ) и т. д. Эта проблема особенно актуальна для ИТКС государственных и коммерческих организаций, в которых обрабатывается важнейшая корпоративная информация и информация, составляющая государственную тайну, так как в них требования по защите информации являются первостепенными. Как правило, все требования информационной безопасности реализовывает подсистема защиты информации (ПЗИ) ИТКС.

Необходимость создания ПЗИ ИТКС организации появляется в случае первоначального создания ИТКС, к которой предъявляются требования информационной безопасности, а также в случае, если ИТКС организации была разработана без учета требований информационной безопасности, которые необходимо выполнить в настоящий момент.

Необходимость развития (доработки) ПЗИ ИТКС организации появляется в следующих случаях:

  • изменение архитектуры и структуры ИТКС, порядка взаимодействий элементов и др. — негативные результаты аудита информационной безопасности;
  • появление новых угроз информационной безопасности;
  • включение в состав ИТКС новых компонентов (информационных и телекоммуникационных систем, программно-аппаратных средств и т. д.);
  • необходимость взаимодействия ИТКС с ИТКС другой организации или ее компонентами;
  • изменение положений основных руководящих документов организации в области информационной безопасности, а также стратегий развития деятельности (бизнеса), развития ИТКС (IT) и др.

Таким образом, ПЗИ ИТКС должна динамично и последовательно развиваться вместе с остальными подсистемами ИТКС согласно планам развития деятельности (бизнеса) организации и ее ИТКС.

В зависимости от требований информационной безопасности к ИТКС организации в составе ее ПЗИ могут быть реализованы следующие подсистемы:

  • управления доступом;
  • криптографической защиты информации;
  • обеспечения целостности;
  • регистрации и учёта;
  • антивирусной защиты;
  • защиты от компьютерных атак;
  • защиты информации от утечки по техническим каналам;
  • управления информационной безопасностью;
  • предотвращения утечки информации (Data Leak Prevention, DLP).

На основании требований наших клиентов и результатов проведенного аудита информационной безопасности специалисты SCC могут реализовать комплексную, объединенную общим управлением ПЗИ ИТКС или требуемые подсистемы ПЗИ ИТКС. Каждая подсистема и ПЗИ ИТКС в целом строятся на основании положений руководящих документов в области информационной безопасности, действующих в организации (стратегии, планы развития, модели угроз, нарушителя, защиты и т. д.) с использованием необходимых средств защиты информации (СрЗИ) и с разработкой необходимой документации.

Целесообразность выбора и применения того или иного СрЗИ определенного производителя или необходимость разработки уникального СрЗИ определяется результатами проектирования ПЗИ ИТКС (защищенной информационной системы).

Специалисты SCC имеют большой опыт создания и развития ПЗИ ИТКС различных организаций, разработки и внедрения СрЗИ отечественных и иностранных производителей, что позволяет нашей компании предлагать клиентам надежные проверенные решения для построения ПЗИ своей ИТКС.

Для получения более подробной информации об услугах напишите или позвоните нам в любое удобное для Вас время.

Создание защищенных информационных систем

К защищенным информационным системам (похожие термины: информационная система специального назначения, автоматизированная система в защищенном исполнении) относятся информационные системы:

  • обрабатывающие информацию, составляющую государственную тайну;
  • обрабатывающие важную корпоративную информацию, удаление или разглашение которой может привести к серьезным негативным последствиям (материальные и репутационные потери, потеря бизнеса, приостановление деятельности или ликвидация организации и др.). При создании защищенных информационных систем (ЗИС) в ее составе выделяется подсистема защиты информации, которая, в зависимости от предъявляемых к ЗИС требований, может обладать различной функциональностью и включать различные средства защиты информации.

Существует несколько основных отличий создания защищенных информационных систем от создания корпоративных информационных систем и информационных систем общего назначения:

  1. Создание ЗИС регламентируется не только общими для всех информационных систем стандартами (серия ГОСТ 34, РД 50-34.698-90 и др.), но и специальными стандартами (ГОСТ Р 51583, ГОСТ Р 53113 и др.), а также требованиями силовых Ведомств (ФСТЭК России, ФСБ России и др.).
  2. При создании ЗИС требования информационной безопасности, предъявляемые к ЗИС, имеют более высокий приоритет по сравнению с остальными требованиями.
  3. Необходимость строгого выполнения требований информационной безопасности при проведении работ по созданию ЗИС.
  4. Необходимость разработки специального технического задания на создание подсистемы защиты информации (ПЗИ) ЗИС.
  5. Необходимость проведения специальных исследований и специальных проверок программно-аппаратных средств и помещений, в которых будут развернуты технические средства ЗИС.
  6. Необходимость разработки нормативной, организационно-распорядительной и другой документации по защите информации, в том числе:
    • модели угроз;
    • модели нарушителя;
    • модели защиты;
    • политики безопасности;
    • проектов требований, указаний, инструкций и т. д.
  7. Необходимость аттестации ПЗИ ЗИС.

При создании ЗИС стоит учитывать, что необходимость выполнения требований информационной безопасности всегда приводит к использованию в ЗИС неэффективных (по сравнению с традиционными информационными системами) системотехнических, организационно-технических и других решений. При этом на принятие таких решений влияют разные (иногда противоположные) взгляды экспертов в области информационной безопасности на решение задач данной области. Поэтому задача создания ЗИС довольно специфична и требует от исполнителя успешного опыта проектирования, развертывания и аттестации подобных систем. Специалисты SCC имеют необходимый опыт создания ЗИС, обеспечивающих обработку конфиденциальной информации и информации, составляющей государственную тайну, что позволяет компании SCC минимизировать материальные и временные издержки своих клиентов при создании различных защищенных информационных систем.

Для получения более подробной информации об услугах напишите или позвоните нам в любое удобное для Вас время.

Создание защищенных мультисервисных сетей связи

До последнего времени создание защищенных сетей связи (ЗСС) было доступно только силовым Ведомствам и очень обеспеченным организациям. Однако развитие IT-технологий и большой выбор средств защиты информации обеспечили возможность создания ЗСС для любой государственной или коммерческой организации, заинтересованной в максимальной защите своей информации.

В зависимости от задач в организации может быть реализована выделенная защищенная сеть связи (например, сеть защищенной видеоконференцсвязи) или защищенная (ЗМСС) мультисервисная сеть связи, обеспечивающая предоставление пользователям мультисервисных услуг (телефония, аудио и видео конференция, обмен файлами и др.).

Отметим, что вопреки устоявшемуся мнению, создание ЗСС — это не просто развертывание в открытой сети средств криптографической защиты информации. На наш взгляд — это комплекс взаимосвязанных организационно-технических мероприятий, включающих:

  • проектирование ЗСС (ЗМСС);
  • разработку (закупку) и развертывание необходимых программно-аппаратных средств;
  • проведение необходимых специальных исследований и проверок оборудования;
  • разработку необходимого организационного и другого обеспечения эксплуатации и развития ЗСС (ЗМСС);
  • обучение эксплуатационного персонала и др.

Решение задача создания ЗСС требует применения системного подхода и зависит от следующих факторов:

  • функциональных требований организации-заказчика ЗСС;
  • требований информационной безопасности;
  • результатов IT-аудита;
  • результатов аудита информационной безопасности и др.

Отметим, что достичь реального положительного эффекта от создания и использования ЗСС в организации очень сложно, так как это требует выполнения пользователями ЗСС определенных правил (например — оставлять свой мобильный телефон в специальном сейфе при прибытии на работу), которые очень часто не выполняются. Поэтому при проектировании ЗСС разработчик должен оценить все риски информационной безопасности, которые могут возникнуть при эксплуатации ЗСС, и проектировать ЗСС, как одну из подсистем системы обеспечения информационной безопасности организации. Такой подход позволит обеспечить:

  • контроль выполнения пользователями ЗСС положений эксплуатационной документации на средства ЗСС и требований Политики безопасности организации, оперативное реагирование в случае их нарушения;
  • прозрачность процессов обеспечения информационной безопасностью в организации;
  • сократить количество эксплуатационного персонала;
  • унифицировать технические решения, применяемые в информационно-телекоммуникационной системе организации.

Специалисты SCC имеют большой опыт создания и эксплуатации ЗСС, обеспечивающих обработку конфиденциальной информации и информации, составляющей государственную тайну, что позволяет нашей компании разработать оптимальные системно-технические решения по созданию ЗСС (ЗМСС) наших клиентов.

Для получения более подробной информации об услуге напишите или позвоните нам в любое удобное для Вас время. Создание и развитие систем управления информационной безопасностью

Согласно положениям различных национальных и международных стандартов в составе любой системы обеспечения информационной безопасности организации должна быть реализована система управления информационной безопасностью (СУИБ). Положения ISO/IEC 27001 определяют СУИБ частью общей системы управления, основанной на оценке бизнес-рисков и предназначенной для разработки, реализации, эксплуатации, мониторинга, анализа, сопровождения и совершенствования информационной безопасности.

Подход к управлению информационной безопасностью (ИБ), изложенный в ISO/IEC 27001 и ISO/IEC 17799, позволяет взглянуть на управление ИБ, как на совокупность взаимосвязанных процессов, затрагивающих все стороны деятельности организации и напрямую влияющих на ее деятельность. Большое количество и разноплановость процессов управления ИБ в организации делает невозможным создание, внедрение, эксплуатацию и развитие СУИБ без автоматизации процессов управления ИБ. Поэтому в большинстве случаев СУИБ представляет собой автоматизированную информационную систему, в состав которой входят необходимые технические средства, персонал и различное обеспечение (организационное, программное, методическое и др.). Архитектура и характеристики СУИБ зависят от следующих факторов:

  • требований заказчика по автоматизации процессов управления ИБ;
  • требований информационной безопасности;
  • возможностей по управлению средствами защиты информации, программным обеспечением и телекоммуникационным оборудованием;
  • положений руководящих документов организации в области информационной безопасности (модели угроз, нарушителя, защиты, политика безопасности и др.);
  • состояние и распределенность IT-инфраструктуры организации и др.

При создании и развитии СУИБ коммерческих и государственных организаций специалисты SCC решают следующие задачи:

  1. IT-аудит.
  2. Аудит информационной безопасности.
  3. Создание СУИБ в соответствии с требованиями стандартов, общих для всех автоматизированных систем (серия ГОСТ 34, РД 50-34.698-90 и др.), специальных стандартов (ГОСТ Р 51583, ГОСТ Р 53113 и др.), требованиями силовых Ведомств (ФСТЭК России, ФСБ России и др.).
  4. Разработка, поставка и внедрение программного обеспечения, реализующего функции СУИБ.
  5. Разработка программы развития СУИБ организации (по результатам аудита), описание состава, сроков, стоимости и последовательности этапов работ, обеспечивающих достижение заданных целевых показателей состояния СУИБ; технико-экономическое обоснование предлагаемых к реализации работ (проектов).
  6. Разработка отдельных рекомендаций по доработке (модернизации) СУИБ организации с целью соответствия заданным требованиям информационной безопасности.

Создание и внедрение СУИБ в организации позволит получить ей следующие преимущества:

  1. Повышение уровня информационной безопасности организации с помощью увеличения эффективности процессов управления ИБ.
  2. Возможность оперативного реагирования организации с помощью средств СУИБ на изменение угроз и возможностей потенциальных нарушителей ИБ.
  3. Оптимизация расходов на обеспечение информационной безопасности за счет предупреждения инцидентов ИБ, их своевременного обнаружения и реагирования по заранее согласованным сценариям.
  4. Закрепление ответственности и координацию деятельности различных департаментов (подразделений) организации в части управления ИБ.
  5. Обоснование затрат на обеспечение ИБ.
  6. Решение одной из задач обеспечения непрерывности деятельности (бизнеса) организации.

Для получения более подробной информации об услугах напишите или позвоните нам в любое удобное для Вас время.