Комплексные системы защиты информации

Общая информация

Комплексная система защиты информации (КСЗИ) - это совокупность организационных и инженерных мероприятий, а также программно-аппаратных средств, которые обеспечивают защиту информации в автоматизированной системе. Подробнее об автоматизированных системах

Построение комплексных систем защиты информации является профильным направлением деятельности нашей компании. Мы предлагаем полный комплекс услуг по построению и сопровождению КСЗИ, в том числе:

• Построение КСЗИ для автоматизированных систем всех типов, веб-узлов и веб-сайтов.
• Проведение комплекса работ по построению КСЗИ «под ключ», включая государственную экспертизу КСЗИ с получением Аттестата соответствия.
• Организация государственной экспертизы КСЗИ. Подробнее о государственной экспертизе
• Проведение отдельных этапов работ по построению КСЗИ (разработка технического задания, проектной и технической документации). Подробнее об этапах построения КСЗИ

Специалисты нашей компании имеют многолетний опыт работы в сфере защиты информации и успешно завершили большое количество проектов по построению КСЗИ в различных регионах Украины. Для наших клиентов мы всегда готовы предложить индивидуальный подход к решению различных вопросов и максимально гибкие условия сотрудничества. Отзывы клиентов

Необходимость построения КСЗИ

Необходимость построения КСЗИ определяется законодательством Украины. В частности, согласно ст.8 Закона Украины «Про захист інформації в інформаційно-телекомунікаційних системах», обязательной защите с использованием КСЗИ подлежит информация, которая является собственностью государства или информация с ограниченным доступом, необходимость защиты которой установлена законом.

Порядок проведения работ

Порядок проведения работ по построению КСЗИ в информационно-телекомуникационных системах регламентируется нормативным документом НД ТЗИ 3.7-003-05 «Порядок проведення робіт зі створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі». Требования к защите информации веб-страницы от несанкционированного доступа регламентируются нормативным документом НД ТЗИ 2.5-010-03 «Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу».

Согласно НД ТЗИ 3.7-003-05 «Порядок проведення робіт зі створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі», построение КСЗИ включает следующие этапы:

1. Формирование общих требований к КСЗИ в автоматизированной системе (АС): обоснование необходимости создания КСЗИ, обследование среды функционирования АС, разработка модели угроз, формирование задания на создание КСЗИ.
2. Разработка политики безопасности информации в АС.
3. Разработка технического задания на создание КСЗИ.
4. Cогласование технического задания с Администрацией Государственной службы специальной связи и защиты информации Украины (Госспецсвязи).
5. Разработка технорабочего проекта на создание КСЗИ.
6. Приведение информационной системы Заказчика в соответствие с технорабочим проектом КСЗИ.
7. Предварительные испытания КСЗИ.
8. Опытная эксплуатация КСЗИ.
9. Организация государственной экспертизы КСЗИ и получение Аттестата соответствия.
10. Сопровождение КСЗИ.

Государственная экспертиза КСЗИ

Согласно НД ТЗИ 3.7-003-05 «Порядок проведення робіт зі створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі», отдельным этапом приемных испытаний КСЗИ является организация государственной экспертизы.

Государственная экспертиза КСЗИ проводится в соответствии с документом «Положення про державну експертизу в сфері технічного захисту інформації». Целью проведения государственной экспертизы является исследование, проверка, анализ и оценка объектов экспертизы на предмет возможности их использования для обеспечения технической защиты информации.

Этапы государственной экспертизы

Для проведения государственной экспертизы КСЗИ Заказчик должен направить заявление о проведении экспертизы КСЗИ в Администрацию Госспецсвязи. По результатам рассмотрения заявления экспертный совет Администрации Госспецсвязи принимает решение о целесообразности проведения экспертизы и определяет организатора.

Государственная экспертиза КСЗИ включает следующие этапы:

1. Анализ организационно-технической документации.
2. Разработка программы проведения государственной экспертизы.
3. Разработка методики проведения государственной экспертизы.
4. Согласование программы и методики проведения государственной экспертизы с Администрацией Госспецсвязи.
5. Проведение экспертных проверок КСЗИ.
6. Подготовка экспертного заключения.

По результатам работ организатор экспертизы подает экспертное заключение в Администрацию Госспецсвязи. Администрация Госспецсвязи рассматривает его на заседании экспертного совета и принимает решение о выдаче Аттестата соответствия на КСЗИ.

КСЗИ вводится в рабочую эксплуатацию только после выдачи Аттестата соответствия.

Стоимость работ

Стоимость работ по построению КСЗИ зависит от класса и сложности автоматизированной системы, а также от категории информации, которая в ней обрабатывается.

Для расчета стоимости проведения работ по построению КСЗИ для Вашей системы, пожалуйста обратитесь к нам по тел. (044) 596-15-23 либо по электронной почте Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. . Мы ответим на Ваш запрос и подготовим коммерческое предложение по построению КСЗИ для Вашей системы.

В некоторых случаях для расчета точной стоимости проведения работ может потребоваться предварительное обследование объекта нашими специалистами. Выезд и обследование проводятся бесплатно, в любом регионе Украины.

Классы автоматизированных систем

Автоматизированная система (АС) - это организационно-техническая система, объединяющая вычислительную систему, физическую среду, персонал и обрабатываемую информацию.

Согласно НД ТЗИ 2.5-005-99 «Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу», автоматизированные системы разделяются на следующие классы (в зависимости от технологии обработки и передачи информации):

АС класса «1» - одномашинный однопользовательский комплекс, который обрабатывает информацию одной или нескольких степеней ограничения доступа.

АС класса «2» - локализованный многомашинный многопользовательский комплекс, который обрабатывает информацию разных степеней ограничения доступа.

АС класса «3» - распределенный многомашинный многопользовательский комплекс, который обрабатывает информацию разных степеней ограничения доступа.

Нормативные документы

• Закон України «Про інформацію».
• Закон України «Про захист інформації в інформаційно-телекомунікаційних системах».
• Закон України «Про доступ до публічної інформації».
• Закон України «Про захист персональних даних».
• Наказ № 1/20314 від 03.01.12 р. «Про затвердження Типового порядку обробки персональних даних у базах персональних даних».
• Наказ № 93 от 16.05.07 р. «Про затвердження Положення про державну експертизу в сфері технічного захисту інформації».
• Постанова № 373 от 29.03.07 р. «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах».
• НД ТЗІ 3.7-001-99. «Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі».
• НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу».
• НД ТЗІ 1.1-003-99. «Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу».
• НД ТЗІ 2.5-004-99. «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу».
• НД ТЗІ 2.5-005-99. «Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу».
• НД ТЗІ 1.4-001-2000. «Типове положення про службу захисту інформації в автоматизованій системі».
• НД ТЗІ 3.6-001-2000. «Технічний захист інформації. Комп’ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу».
• НД ТЗІ 2.5-008-02 «Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2».
• НД ТЗІ 2.5-010-03 «Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу».
• НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі».
• НД ТЗІ 2.7-009-09. «Методичні вказівки з оцінювання функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу».
• НД ТЗІ 2.7-010-09. «Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу».
• НД ТЗІ 2.6-001-11 «Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах».
• ДСТУ 3396.2-97. Захист інформації. Технічний захист інформації. Терміни та визначення.
• ДСТУ 3396.0-96. Захист інформації. Технічний захист інформації. Основні положення.
• ДСТУ 3396.1-96. Захист інформації. Технічний захист інформації. Порядок проведення робіт.
• ДСТУ 2226-93. Автоматизовані системи. Терміни та визначення.
• ДСТУ 2853-94. Програмні засоби ЕОМ. Підготовлення i проведення випробувань.
• ДСТУ 2851-94. Програмні засоби ЕОМ. Документування результатів випробувань.