Впровадження КСЗІ

Комплексна система захисту інформації

Закони та норми України вимагають захист інформації, що належить державі, а також інформації з обмеженим доступом, вимоги щодо захисту якої встановлені законом, у тому числі персональні дані.

Комплексна система захисту інформації (КСЗІ) – це організаційні (обов’язкові) та технічні (при необхідності) заходи для захисту інформації від розголошення, витоку та несанкціонованого доступу.

Інфографіка - КСЗІ

Регулювання створення, впровадження та використання КСЗІ в Україні виконується відповідно до нормативних документів із технічного захисту інформації (далі – НД ТЗІ).

Створення КСЗІ в Автоматизованій Системі або Інформаційно-Телекомунікаційній Системі (далі – АС, ІТС, «цільовий об’єкт») здійснюється згідно з НД ТЗІ 3.7-003-05 “Порядок проведення робіт зі створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі” на підставі технічного завдання, розробленого відповідно до вимог НД ТЗІ 3.7-001-99 “Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі”.

Н-Х пропонує професійні послуги зі створення КСЗІ для АС або ІТС, а також відповідні консультації з інформаційної безпеки.

Мета

Метою проекту та наших послуг є створення та впровадження КСЗІ, а також надання консультацій Замовнику в узгодженому обсягу охоплення. Для виконання проекту необхідно виконати наступні разові завдання:

  • Сформувати загальні вимоги до КСЗІ в ІТС.
  • Розробити політики безпеки інформації в ІТС.
  • Розробити технічне завдання (далі – ТЗ) на створення КСЗІ.
  • Розробити проект КСЗІ.
  • Ввести КСЗІ в дію та оцінити захищеність інформації в ІТС.

Також, за бажанням Замовника, Виконавець пропонує постійні послуги з супроводу КСЗІ.

Етапи впровадження КСЗІ

1
Формування загальних вимог до КСЗІ в ІТС
  • Формування загальних вимог до КСЗІ в ІТС.
  • Обгрунтування необхідності створення КСЗІ
  • Обстеження середовищ функціонування ІТС
  • Формування завдання на створення КСЗІ
2
Розробка політики безпеки інформації в ІТС
  • Вивчення об’єкта, на якому створюється КСЗІ, проведення науково-дослідних робіт
  • Вибір варіанту КСЗІ
  • Оформлення політики безпеки
3
Розробка технічного завдання (далі – ТЗ) на створення КСЗІ
  • ТЗ на створення КСЗІ в ІТС є основним організаційно-технічним документом, який визначає вимоги щодо захисту оброблюваної в ІТС інформації, порядок створення КСЗІ, порядок проведення всіх видів випробувань КСЗІ та введення її в експлуатацію в складі ІТС.
  • ТЗ на створення КСЗІ розробляється на відповідній стадії робіт зі створення ІТС на основі комплексного підходу до побудови КСЗІ, який передбачає об’єднання в єдину систему всіх необхідних заходів і засобів захисту від різноманітних загроз безпеці інформації на всіх етапах життєвого циклу ІТС.
  • ТЗ на створення КСЗІ може розроблятися для новостворюваних ІТС, а також при модернізації вже чинних ІТС. Для оформлення ТЗ на КСЗІ можуть бути використані наступні варіанти: у вигляді окремого розділу ТЗ на створення ІТС; у вигляді окремого (часткового) ТЗ; у вигляді доповнення до ТЗ на створення ІТС.
  • Перший варіант рекомендується застосовувати для новостворюваних ІТС. Другий або третій варіанти рекомендується застосовувати в разі модернізації КСЗІ, модернізації чинних ІТС, а також для ІТС, які вже мають затверджене ТЗ на створення, в якому не міститься окремого розділу щодо захисту інформації.
  • Для будь-якого з варіантів розробки та оформлення ТЗ на КСЗІ, його зміст, порядок узгодження та затвердження повинен відповідати НД ТЗІ 3.7-001 і ДСТУ 34.602.
4
Розробка проекту КСЗІ
  • Проект КСЗІ розробляється на підставі та відповідно до ТЗ на створення ІТС (додаток до нього, окремого ТЗ на створення КСЗІ).
  • Ескізний проект КСЗІ. На цьому етапі здійснюється розробка попередніх проектних рішень КСЗІ та, в разі необхідності, її окремих складових частин, а також розробка, оформлення, погодження та затвердження документації на КСЗІ.
  • Технічний проект КСЗІ.
  • Робочий проект КСЗІ.
5
Введення КСЗІ в дію та оцінка захищеності інформації в ІТС
  • Підготовка КСЗІ до введення в дію.
  • Навчання користувачів.
  • Комплектування КСЗІ.
  • Попередні випробування.
  • Дослідна експлуатація.
  • Державна експертиза КСЗІ.

Ознайомтеся з додатковими сервісами та бізнес-кейсами. Надішліть форму для замовлення впровадження КСЗІ або для отримання безкоштовної консультації.

Бізнес-кейси проектів, виконаних нами

Аналіз безпеки вихідних кодів програмного забезпечення
Аудити безпеки та тести на проникнення
Кейси з впровадженню центру безпеки (Security Operations Center)
Керована безпека й комплаєнс (ISO 27001 тощо)
Реагування на інциденти та їх розслідування