Информационная безопасность информационно-телекоммуникационных систем (ИТКС) является одним из приоритетных направлений деятельности нашей компании. Задача защиты информационных и технических ресурсов ИТКС актуальна, сложна, многогранна и противоречива и описать ее в рамках раздела сайта невозможно. Постараемся выделить самое главное. На наш взгляд, решение этой задачи требует грамотного системного подхода и четкого ответа на три основных вопроса:
Обоснованный выбор объектов защиты — необходимое начальное условие создания подсистемы защиты информации (ПЗИ) любой ИТКС. Задача выбора объектов защиты в ИТКС усложняется большим количеством разнородной информации различной важности, обрабатываемой в информационных системах из состава ИТКС, наличием разнородных и разнотипных технических и программных средств и т. д. При неправильном определении объектов защиты ИТКС возможны, как снижение уровня защиты всей ИТКС, так и необоснованные расходы на создание и эксплуатацию ПЗИ.
На этапе проектирования подсистемы защиты информации ИТКС необходимо четко понимать от чего (каких угроз?) и кого (каких нарушителей?) мы должны защитить ИТКС? Логично, что у школьника, имеющего доступ к компьютеру и базовые знания, одни потенциальные возможности по нанесению вашей ИТКС вреда, а у профессионального хакера другие. Также логично, что от отключения электричества ИТКС защитить гораздо легче, чем от наводнения. Поэтому все потенциальные угрозы и возможности нарушителей (риски информационной безопасности) должны быть тщательно проанализированы и описаны в базовых документах: «Модели угроз» и «Модели нарушителя» ИТКС. Отметим, что данные модели создаются для всей ИТКС и защиту от описанных угроз и нарушителей должна обеспечивать подсистема защиты информации ИТКС, а не одно средство защиты информации, разрабатываемое с учетом требований производителя или силового Ведомства. Отметим, что в 100% случаев применение единичных средств защиты информации для защиты ИТКС не приводит к увеличению уровня ее защищенности, но при этом, зачастую, негативно влияет на функциональные характеристики всей ИТКС. При этом реализация производителем требований защиты информации в своем изделии в 100% случаев его удорожает. Например, программное средство защиты информации, установленное на недоверенную операционную систему, требует для своей работы системных ресурсов (не всегда доступных), что негативно сказывается на функционировании прикладных программ, и при этом оно абсолютно неэффективно, если злоумышленник (нарушитель) имеет возможность получить доступ к операционной системе и после этого сделать со всеми прикладными процессами все, что пожелает.
Применение системного подхода к задаче защиты информации в ИТКС позволяет обеспечить обоснованное применение средств защиты информации именно там, где это необходимо. Отметим, что в некоторых случаях вместо использования в ИТКС дорогостоящих средств защиты информации целесообразно применение различных организационных и организационно-технических мероприятий.
В настоящее время разработано множество методологий (методов), способов, механизмов, моделей и средств защиты информации. Не имеет смысла их перечислять и описывать, так как каждый день в мире появляется что-то новое. Отметим, что все механизмы, методы и т. д., составляющие определенные меры защиты информации должны в своей совокупности нейтрализовывать все угрозы информационной безопасности ИТКС и должны быть направлены на обеспечение конфиденциальности, целостности и доступности необходимых информационных ресурсов, а также на обеспечение непрерывности деятельности организации.
Как правило, меры защиты ИТКС описываются в двух основных документах — «Модели защиты» и «Политике безопасности» ИТКС, на основе которых разрабатывается нормативная, эксплуатационная и др. документация для персонала. Положения «Модели защиты» являются фундаментом, на основе которого разрабатывается специальное техническое задание (СТЗ), включающее различные подробные требования к ПЗИ ИТКС. Создание ПЗИ ИТКС регламентируется соответствующими международными и национальными стандартами, методическими указаниями, ведомственными требованиями и т. д. На этапе технического проектирования (технического предложения) разработчик ПЗИ должен использовать методологию системного анализа с целью нахождения оптимальной структуры и состава ПЗИ с учетом требований СТЗ. Завершает создание ПЗИ ИТКС ее аттестация на соответствие требованиям СТЗ и (или) ведомственным требованиям.
Таким образом, создание ПЗИ — это четкая последовательность взаимосвязанных этапов работ, требующих от разработчиков глубоких знаний в различных IT-областях и опыта применения методологий системного подхода и системного анализа. Отметим, что задача обеспечения информационной безопасности ИТКС должна решаться параллельно с задачей обеспечения непрерывности деятельности (бизнеса) организации, так как потенциальные риски информационной безопасности и состояние ПЗИ ИТКС напрямую влияют на деятельность организации.
Компания SCC оказывает следующие виды услуг в области информационной безопасности:
Для получения более подробной информации об услугах напишите или позвоните нам в любое удобное для Вас время.
В настоящее время в мире существует много подходов к обеспечению информационной безопасности в информационно-телекоммуникационных системах (ИТКС). На наш взгляд, перспективным подходом к обеспечению информационной безопасности в ИТКС является построение подсистемы защиты информации (ПЗИ) ИТКС, обеспечивающей комплексную (многоуровневую) защиту информационных и технических ресурсов ИТКС, начиная от физической защиты (датчики, камеры) и заканчивая средствами защиты прикладного уровня (защита протоколов сигнализации, разграничение доступа пользователей и др.).
Современная ПЗИ ИТКС должна:
Отметим, что последнее требование к современной ПЗИ ИТКС предполагает:
Исходя из выше изложенного подхода к задаче обеспечения информационной безопасности в ИТКС, компания SCC оказывает услуги консалтинга в области информационной безопасности по следующим направлениям:
Для получения более подробной информации об услугах напишите или позвоните нам в любое удобное для Вас время.
Проведение аудита системы обеспечения информационной безопасности (СОИБ) организации проводится с целью получения независимой оценки:
Проведение аудита позволяет увидеть недостатки СОИБ, а его результаты являются необходимыми исходными данными при принятии решений о развитии (модернизации) СОИБ организации.
Компания SCC предоставляет своим клиентам следующие услуги аудита информационной безопасности:
Для получения более подробной информации об услугах напишите или позвоните нам в любое удобное для Вас время.
Динамичное развитие современных информационно-телекоммуникационных систем (ИТКС) обуславливает появление новых угроз информационной безопасности и, как следствие — развитие современных подходов, механизмов, методов, средств защиты информации (СрЗИ) и т. д. Эта проблема особенно актуальна для ИТКС государственных и коммерческих организаций, в которых обрабатывается важнейшая корпоративная информация и информация, составляющая государственную тайну, так как в них требования по защите информации являются первостепенными. Как правило, все требования информационной безопасности реализовывает подсистема защиты информации (ПЗИ) ИТКС.
Необходимость создания ПЗИ ИТКС организации появляется в случае первоначального создания ИТКС, к которой предъявляются требования информационной безопасности, а также в случае, если ИТКС организации была разработана без учета требований информационной безопасности, которые необходимо выполнить в настоящий момент.
Необходимость развития (доработки) ПЗИ ИТКС организации появляется в следующих случаях:
Таким образом, ПЗИ ИТКС должна динамично и последовательно развиваться вместе с остальными подсистемами ИТКС согласно планам развития деятельности (бизнеса) организации и ее ИТКС.
В зависимости от требований информационной безопасности к ИТКС организации в составе ее ПЗИ могут быть реализованы следующие подсистемы:
На основании требований наших клиентов и результатов проведенного аудита информационной безопасности специалисты SCC могут реализовать комплексную, объединенную общим управлением ПЗИ ИТКС или требуемые подсистемы ПЗИ ИТКС. Каждая подсистема и ПЗИ ИТКС в целом строятся на основании положений руководящих документов в области информационной безопасности, действующих в организации (стратегии, планы развития, модели угроз, нарушителя, защиты и т. д.) с использованием необходимых средств защиты информации (СрЗИ) и с разработкой необходимой документации.
Целесообразность выбора и применения того или иного СрЗИ определенного производителя или необходимость разработки уникального СрЗИ определяется результатами проектирования ПЗИ ИТКС (защищенной информационной системы).
Специалисты SCC имеют большой опыт создания и развития ПЗИ ИТКС различных организаций, разработки и внедрения СрЗИ отечественных и иностранных производителей, что позволяет нашей компании предлагать клиентам надежные проверенные решения для построения ПЗИ своей ИТКС.
Для получения более подробной информации об услугах напишите или позвоните нам в любое удобное для Вас время.
К защищенным информационным системам (похожие термины: информационная система специального назначения, автоматизированная система в защищенном исполнении) относятся информационные системы:
Существует несколько основных отличий создания защищенных информационных систем от создания корпоративных информационных систем и информационных систем общего назначения:
При создании ЗИС стоит учитывать, что необходимость выполнения требований информационной безопасности всегда приводит к использованию в ЗИС неэффективных (по сравнению с традиционными информационными системами) системотехнических, организационно-технических и других решений. При этом на принятие таких решений влияют разные (иногда противоположные) взгляды экспертов в области информационной безопасности на решение задач данной области. Поэтому задача создания ЗИС довольно специфична и требует от исполнителя успешного опыта проектирования, развертывания и аттестации подобных систем. Специалисты SCC имеют необходимый опыт создания ЗИС, обеспечивающих обработку конфиденциальной информации и информации, составляющей государственную тайну, что позволяет компании SCC минимизировать материальные и временные издержки своих клиентов при создании различных защищенных информационных систем.
Для получения более подробной информации об услугах напишите или позвоните нам в любое удобное для Вас время.
До последнего времени создание защищенных сетей связи (ЗСС) было доступно только силовым Ведомствам и очень обеспеченным организациям. Однако развитие IT-технологий и большой выбор средств защиты информации обеспечили возможность создания ЗСС для любой государственной или коммерческой организации, заинтересованной в максимальной защите своей информации.
В зависимости от задач в организации может быть реализована выделенная защищенная сеть связи (например, сеть защищенной видеоконференцсвязи) или защищенная (ЗМСС) мультисервисная сеть связи, обеспечивающая предоставление пользователям мультисервисных услуг (телефония, аудио и видео конференция, обмен файлами и др.).
Отметим, что вопреки устоявшемуся мнению, создание ЗСС — это не просто развертывание в открытой сети средств криптографической защиты информации. На наш взгляд — это комплекс взаимосвязанных организационно-технических мероприятий, включающих:
Решение задача создания ЗСС требует применения системного подхода и зависит от следующих факторов:
Отметим, что достичь реального положительного эффекта от создания и использования ЗСС в организации очень сложно, так как это требует выполнения пользователями ЗСС определенных правил (например — оставлять свой мобильный телефон в специальном сейфе при прибытии на работу), которые очень часто не выполняются. Поэтому при проектировании ЗСС разработчик должен оценить все риски информационной безопасности, которые могут возникнуть при эксплуатации ЗСС, и проектировать ЗСС, как одну из подсистем системы обеспечения информационной безопасности организации. Такой подход позволит обеспечить:
Специалисты SCC имеют большой опыт создания и эксплуатации ЗСС, обеспечивающих обработку конфиденциальной информации и информации, составляющей государственную тайну, что позволяет нашей компании разработать оптимальные системно-технические решения по созданию ЗСС (ЗМСС) наших клиентов.
Для получения более подробной информации об услуге напишите или позвоните нам в любое удобное для Вас время. Создание и развитие систем управления информационной безопасностью
Согласно положениям различных национальных и международных стандартов в составе любой системы обеспечения информационной безопасности организации должна быть реализована система управления информационной безопасностью (СУИБ). Положения ISO/IEC 27001 определяют СУИБ частью общей системы управления, основанной на оценке бизнес-рисков и предназначенной для разработки, реализации, эксплуатации, мониторинга, анализа, сопровождения и совершенствования информационной безопасности.
Подход к управлению информационной безопасностью (ИБ), изложенный в ISO/IEC 27001 и ISO/IEC 17799, позволяет взглянуть на управление ИБ, как на совокупность взаимосвязанных процессов, затрагивающих все стороны деятельности организации и напрямую влияющих на ее деятельность. Большое количество и разноплановость процессов управления ИБ в организации делает невозможным создание, внедрение, эксплуатацию и развитие СУИБ без автоматизации процессов управления ИБ. Поэтому в большинстве случаев СУИБ представляет собой автоматизированную информационную систему, в состав которой входят необходимые технические средства, персонал и различное обеспечение (организационное, программное, методическое и др.). Архитектура и характеристики СУИБ зависят от следующих факторов:
При создании и развитии СУИБ коммерческих и государственных организаций специалисты SCC решают следующие задачи:
Создание и внедрение СУИБ в организации позволит получить ей следующие преимущества:
Для получения более подробной информации об услугах напишите или позвоните нам в любое удобное для Вас время.
г. Санкт-Петербург, ул. 1-я Советская, 12
+7 (812) 912-68-95
info@sccrus.com
Данная политика конфиденциальности относится к сайту с доменным именем sccrus.com и его поддоменам. Страница содержит сведения о том, какую информацию администрация сайта или третьи лица могут получать, когда пользователь (вы) посещаете его.
Персональные данные при посещении сайта передаются пользователем добровольно, к ним могут относиться: имя, фамилия, отчество, номера телефонов, адреса электронной почты, адреса для доставки товаров или оказания услуг, реквизиты компании, которую представляет пользователь, должность в компании, которую представляет пользователь, аккаунты в социальных сетях, а также — прочие, заполняемые поля форм.
Эти данные собираются в целях оказания услуг или продажи товаров, возможности связи с пользователем или иной активности пользователя на сайте, а также, чтобы отправлять пользователю информацию, которую он согласился получать.
Мы не проверяем достоверность оставляемых данных и не гарантируем качественного исполнения заказов, оказания услуг или обратной связи с нами при предоставлении некорректных сведений.
Данные собираются имеющимися на сайте формами для заполнения (например, регистрации, оформления заказа, подписки, оставления отзыва, вопроса, обратной связи и иными).
Формы, установленные на сайте, могут передавать данные как напрямую на сайт, так и на сайты сторонних организаций (скрипты сервисов сторонних организаций).
Данные могут собираться через технологию cookies (куки) как непосредственно сайтом, так и скриптами сервисов сторонних организаций. Эти данные собираются автоматически, отправку этих данных можно запретить, отключив cookies (куки) в браузере, в котором открывается сайт.
Кроме персональных данных при посещении сайта собираются не персональные данные, их сбор происходит автоматически веб-сервером, на котором расположен сайт, средствами CMS (системы управления сайтом), скриптами сторонних организаций, установленными на сайте. К данным, собираемым автоматически, относятся: IP адрес и страна его регистрации, имя домена, с которого вы к нам пришли, переходы посетителей с одной страницы сайта на другую, информация, которую ваш браузер предоставляет добровольно при посещении сайта, cookies (куки), фиксируются посещения, иные данные, собираемые счетчиками аналитики сторонних организаций, установленными на сайте.
Эти данные носят неперсонифицированный характер и направлены на улучшение обслуживания клиентов, улучшения удобства использования сайта, анализа статистики посещаемости.
Мы не раскрываем личную информацию пользователей компаниям, организациям и частным лицам, не связанным с нами. Исключение составляют случаи, перечисленные ниже.
Персональные данные пользователя могут публиковаться в общем доступе в соответствии с функционалом сайта, например, при оставлении отзывов / вопросов, может публиковаться указанное пользователем имя, такая активность на сайте является добровольной, и пользователь своими действиями дает согласие на такую публикацию.
Информация может быть раскрыта в целях воспрепятствования мошенничеству или иным противоправным действиям; по требованию законодательства и в иных случаях, предусмотренных законами РФ.
Пользователь соглашается с тем, что персональная информация может быть передана третьим лицам в целях оказания заказанных на сайте услуг, выполнении иных обязательств перед пользователем. К таким лицам, например, относятся курьерская служба, почтовые службы, службы грузоперевозок и иные.
На сайте могут быть установлены формы, собирающие персональную информацию других организаций, в этом случае сбор, хранение и защита персональной информации пользователя осуществляется сторонними организациями в соответствии с их политикой конфиденциальности.
Сбор, хранение и защита полученной от сторонней организации информации осуществляется в соответствии с настоящей политикой конфиденциальности.
Мы принимаем соответствующие меры безопасности по сбору, хранению и обработке собранных данных для защиты их от несанкционированного доступа, изменения, раскрытия или уничтожения, ограничиваем нашим сотрудникам, подрядчикам и агентам доступ к персональным данным, постоянно совершенствуем способы сбора, хранения и обработки данных, включая физические меры безопасности, для противодействия несанкционированному доступу к нашим системам.
Используя сайт, вы выражаете свое согласие с этой политикой конфиденциальности. Если вы не согласны с этой политикой, пожалуйста, не используйте его. Ваше дальнейшее использование сайта после внесения изменений в настоящую политику будет рассматриваться как ваше согласие с этими изменениями.
Политика конфиденциальности не распространяется ни на какие другие сайты и не применима к веб-сайтам третьих лиц, которые могут содержать упоминание о нашем сайте и с которых могут делаться ссылки на сайт, а также ссылки с этого сайта на другие сайты сети интернет. Мы не несем ответственности за действия других веб-сайтов.
Мы имеем право по своему усмотрению обновлять данную политику конфиденциальности в любое время. Мы рекомендуем пользователям регулярно проверять эту страницу (http://sccrus. com/) для того, чтобы быть в курсе любых изменений о том, как мы защищаем информацию о пользователях, которую мы собираем. Используя сайт, вы соглашаетесь с принятием на себя ответственности за периодическое ознакомление с политикой конфиденциальности и изменениями в ней.