Порядок проведення експертизи (визначений Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 № 93, зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087 та НД ТЗІ 2.6-001-11 "Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах").

Для проведення експертизи КСЗІ в ІТС або засобу технічного захисту інформації (далі - засіб ТЗІ) Замовник надсилає заяву встановленої форми на ім’я Голови (заступника Голови) Державної служби спеціального зв’язку та захисту інформації України (Держспецзв’язку).

За результатами розгляду заяви Держспецзв’язку у місячний термін приймає рішення про можливість та доцільність проведення експертизи та визначає IT Engineering у якості організатора експертизи.

Відносини між Замовником та організатором експертизи регламентуються укладеним між ними договором. Термін проведення експертизи визначається договором і не повинен перевищувати шести місяців. У разі значного обсягу експертних робіт термін проведення експертизи може бути продовжений за згодою Адміністрації Держспецзв’язку та Замовника.

Замовник надає Організатору експертизи комплект організаційно-технічної документації на КСЗІ в ІТС, необхідної для проведення експертних випробувань.

Організатор експертизи, за результатами аналізу наданих Замовником документів і з урахуванням загальних методик оцінювання задекларованих характеристик об’єкта експертизи, формує програму і окремі методики проведення експертизи та розробляє, у разі необхідності, порядок відбору зразків засобів ТЗІ для проведення випробувань і відповідне програмно-технічне забезпечення.

Програма проведення експертизи узгоджується із Замовником та Департаментом з питань захисту інформації в інформаційно-телекомунікаційних системах Адміністрації Держспецзв’язку, а окремі методики - з зазначеним департаментом. 

Терміни розробки окремих методик та необхідного програмно-технічного забезпечення залежать від характеру та складності об’єкта експертизи і визначаються у договорі.

Результати експертних робіт за окремими методиками оформлюються у вигляді протоколу виконання робіт, затвердженого організатором експертизи.

У разі виявлення невідповідності об’єкта експертизи вимогам нормативних документів з ТЗІ, організатор експертизи може запропонувати Замовнику виконати доробку КСЗІ в ІТС або засобу ТЗІ. Терміни доробки визначається спільним протоколом або додатковою угодою до договору між Замовником та організатором експертизи.

Відомості щодо всіх доробок, а також результати додаткових експертних робіт оформлюються окремими протоколами.

За результатами проведених робіт організатор експертизи складає експертний висновок щодо відповідності КСЗІ в ІТС або засобу ТЗІ вимогам нормативних документів з ТЗІ і разом з протоколом виконання робіт подає до Адміністрації Держспецзв’язку.

У разі наявності у Замовника обґрунтованих претензій щодо порядку проведення або результатів експертизи, він може звернутися до Адміністрації Держспецзв’язку з пропозицією щодо здійснення контролю за проведенням організатором експертизи експертних робіт. 

Сертифікація програмних та апаратних засобів в галузі ТЗІ

Комплексна система захисту інформації – це сукупність організаційних, інженерно-технічних заходів, програмно – апаратних засобів, які забезпечують захист інформації в автоматизованій системі у відповідності до нормативно – правових актівв в галузі захисту інформації, та дозволять обробляти в автоматизованій системі інформацію, до якої, відповідно до її призначення, правового статусу та грифу обмеження доступу, висуваються вимоги по забезпеченню її конфіденційності, цілісності та доступності в ході її обробки. 

Фахівці IT Engineering мають відповідну освіту та тривалий досвід роботи в сфері технічного та криптографічного захисту інформації та досвід з проектування і створення комплексних систем захисту інформації в інформаційно-телекомунікаційних системах (ІТС) різної складності, починаючи від автоматизованих систем першого класу та закінчуючи складними, розподіленими системами. 

Слід відзначити, що IT Engineering має усі необхідні дозвільні документи для провадження робіт у галузі криптографічного та технічного захисту інформації, що в свою чергу дозволяє надавати послуги зі створення комплексних систем захисту інформації підприємствам, установам, організаціям незалежно від їх форми власності.

Як результат робіт зі створення КСЗІ, фахівцями нашого підприємства буде реалізовано повний комплекс організаційно-технічних заходів щодо забезпечення захисту інформації, яка обробляється у Вашій ІТС, а також виконується підготовка об'єкта до державної експертизи. Роботи виконуються відповідно до вимог законодавства та в порядку, що передбачений діючими нормативно-правовими актами в області захисту інформації.

Основні етапи робіт, які будуть виконані нашими фахівцями при побудові КСЗІ:

  • Підготовка організаційно-розпорядчої документації.
  • Обстеження інформаційної інфраструктури Замовника.
  • Розробка "Плану захисту інформації".
  • Розробка "Технічного завдання на створення КСЗІ".
  • Розробка "Технічного проекту на створення КСЗІ".
  • Приведення інформаційної інфраструктури Замовника у відповідність із "Технічним проектом на створення КСЗІ".
  • Розробка "Експлуатаційної документації на КСЗІ".
  • Впровадження КСЗІ.
  • Випробування КСЗІ.
  • Проведення державної експертизи КСЗІ та одержання "Атестата відповідності".
  • Підтримка й обслуговування КСЗІ.

При розробці та впровадженні КСЗІ ми пропонуємо використовувати як типові підсистеми захисту інформації, розроблені нашими фахівцями при виконанні схожих робіт, що дозволить зменшити вартість розробки, впровадження та підтримки КСЗІ для Вашої організації, так і підсистем захисту інформації, які будуть розроблені, на стадії технічного проектування КСЗІ, індивідуально для інформаційно-телекомунікаційної системи Вашої організації.

Пропонуємо Вам послугу, зі створення комплексної системи захисту інформації інформаційно-телекомунікаційної системи (далі – КСЗІ ІТС) Вашої депозитарної установи (далі – ДУ) з підтвердженою відповідністю (з отриманням "Атестату відповідності КСЗІ" Адміністрації Держспецзв'язку). 

Послуга включає у себе весь спектр робіт "під ключ", які необхідні для створення КСЗІ ДУ, а саме:

  • аудит стану захищеності ІТС ДУ;
  • створення КСЗІ ІТС ДУ;
  • проведення державної експертизи КСЗІ ІТС ДУ (Атестація КСЗІ).

За результатом надання послуг "під ключ" зі створення КСЗІ ІТС ДУ Вами буде отримано "Атестат відповідності на КСЗІ ІТС ДУ" разом із "Експертним висновком на КСЗІ ІТС ДУ".

З метою отримання безкоштовної консультації просимо Вас заповнити електронну форму:

XMLSign
Найменування(*)
Ім’я
Телефон(*)
Телефон
E-Mail
Електронна пошта!
ANTISPAM
Invalid Input
 

У разі замовлення послуги "під ключ", зі створення КСЗІ ДУ нами будуть виконані наступні етапи робіт:

"Перший етап" - Підготовка організаційно-розпорядчої документації ІТС ДУ, що включає:

  • Розробку "Проекту обґрунтування необхідності створення КСЗІ ІТС ДУ";
  • Розробку "Проекту наказу про створення КСЗІ ІТС ДУ";
  • Проведення обстеження інформаційної інфраструктури ДУ;
  • Розробку "Акту обстеження ІТС ДУ".

"Другий етап" - Розробка політик інформаційної безпеки ІТС ДУ, що включає: 

  • Розробку "Моделі загроз ІТС ДУ" та "Моделі порушника ІТС ДУ";
  • Розробку "Політики інформаційної безпеки ІТС ДУ";
  • Розробку "Положення про службу захисту інформації в ІТС ДУ";
  • Розробку "Плану захисту інформації ІТС ДУ".

"Третій етап" - Розробка технічного завдання на КСЗІ ІТС ДУ, що включає: 

  • Розробку "Технічного завдання на КСЗІ ІТС ДУ";
  • Супроводження процесу узгодження регулятором "Технічного завдання на КСЗІ ІТС ДУ";

"Четвертий етап" - Розробка проекту КСЗІ ІТС ДУ, що включає: 

  • Розробку "Технічного проекту на КСЗІ ІТС ДУ";
  • Розробку "Експлуатаційної (робочої) документації на КСЗІ ІТС ДУ";
  • Приведення ІТС ДУ у відповідність із "Технічним проектом на КСЗІ ІТС ДУ";
  • Проведення налаштувань засобів захисту інформації;
  • Проведення навчання користувачів роботі із комплексом засобів захисту інформації.

"П’ятий етап" - Оцінка захищеності інформації в ІТС ДУ, що включає: 

  • Розробку "Проекту наказу про створення комісії із проведення попередніх випробувань КСЗІ ІТС ДУ";
  • Розробку "Програми та методики проведення попередніх випробувань КСЗІ ІТС ДУ";
  • Проведення попередніх випробувань КСЗІ ІТС ДУ;
  • Розробку "Протоколу проведення попередніх випробувань КСЗІ ІТС ДУ";
  • Розробку "Проекту Акту про приймання КСЗІ ІТС ДУ у дослідну експлуатацію";
  • Розробку "Проекту Акту про завершення дослідної експлуатації КСЗІ ІТС ДУ".

"Шостий етап" - Державна експертиза КСЗІ ІТС ДУ (виконує підрядна організація), що включає:

  • Розробку "Програми та методики експертних випробувань КСЗІ ІТС ДУ";
  • Проведення державної експертизи КСЗІ ІТС ДУ;
  • Розробку "Протоколу проведення експертних випробувань КСЗІ ІТС ДУ";
  • Розробку та реєстрацію "Експертного висновку КСЗІ ІТС ДУ" у регулятора;
  • Отримання "Атестату відповідності КСЗІ ІТС ДУ" від регулятора.

Етапи робіт:

  • обстеження: визначення області діяльності, виділення критично важливих бізнес-процесів, які будуть захищатися;
  • розробка політики безпеки організації;
  • визначення методології оцінки ризиків інформаційної безпеки та прийнятного рівня ризиків;
  • ідентифікація ризиків;
  • аналіз та оцінка ризиків;
  • підготовка плану обробку для кожного критичного ризика, виділення контролів;
  • розробка політик і процедур СУІБ;
  • імплементація СУІБ – втілення контролів (механизмів захисту) за планом обробки ризиків;
  • підготовка до сертифікації СУІБ незалежною стороною.

Фахівці Товариства виконували роботи з побудови системи управління інформаційною безпекою центру обробки даних «Бі Мобайл» (http://bemobile.ua/), результатом яких є надання сертифікату відповідності вимогам стандарту ISO/IEC 27001:2005.

 

 

 

Пропонуємо Вам придбати ліцензію на право використання «Програмного модуля платформи Linux зі складу Бібліотеки функцій криптографічних перетворень «uaCrypto, версія ICAO» (далі – Бібліотека), який забезпечує обчислення електронного підпису від даних, що формуються програмним реєстратором розрахункових операцій (РРО) та передаються до фіскального сервера Державної податкової служби України у відповідності до визначених форматів та протоколів обміну.

Бібліотека реалізує криптографічні алгоритми, структури та формати даних інфраструктури відкритих ключів, згідно із національними стандартами та нормативними документами, має діючий експертний висновок Адміністрації Державної служби спеціального зв'язку та захисту інформації України, а також сумісна із фіскальним сервером Державної податкової служби України.

В свою чергу Бібліотека забезпечує підтримку (взаємодію) із кваліфікованими надавачами електронних довірчих послу такими як Інформаційно-довідковий департамент Державної податкової служби України, ЦСК “Україна”, та інші.

З метою придбання ліцензії на право використання Бібліотеки просимо заповнити електронну форму:

Connection RRO
Замовник(*)
Найменування Замовника
В особі(*)
В особі
Діє на підставі (*)
В особі
ЄДРПОУ / ІПН(*)
Зазначте номер Свідоцтва та дату його видачі!
Юр. адреса(*)
Юридична адреса
Рахунок IBAN(*)
Номер банківського рахунку
Телефон(*)
Телефон
E-Mail(*)
Електронна пошта!
Ліцензії(*)
Кількість ліцензій
Нова Пошта №(*)
Зазначте найближче до Вас відділення Нової Пошти!
Примітка
Ваш текст:
Обов’язково →(*)
Необхідно надати IT Engineering дозвіл на обробку персональних даних!
ANTISPAM
Invalid Input

Аудит стану інформаційної безпеки – це незалежна оцінка поточного стану системи інформаційної безпеки, що встановлює рівень її відповідності певним критеріям, та надання результатів у вигляді рекомендацій.

З метою визначення стану захищеності автоматизованої системи, засобами якої обробляється критична інформація Замовника, та відповідності наявної системи управління інформаційною безпекою вимогам стандартів та нормативних документів в державному, комерційному та банківському секторі IT Engineering виконує:

  • Комплексний аудит стану безпеки інформаційних систем: дозволяє отримати найбільш повну та об'єктивну оцінку захищеності інформаційної системи, локалізувати наявні проблеми і розробити ефективну програму побудови системи забезпечення інформаційної безпеки організації.
  • Аудит стану безпеки окремих об'єктів ІТ-інфраструктури: дозволяє виконати оцінку рівня захищеності окремих елементів ІТ-інфраструктури організації.

Під час виконання вищенаведених робіт враховуються вимоги як міжнародних, так і національних стандартів: ISO 27001, СОУ Н НБУ 65.1 СУІБ 1.0:2010.

Фахівці IT Engineering мають статус національних експертів в галузі технічного захисту інформації та пройшли навчання вимогам міжнародних стандартів, що підтверджується відповідними сертифікатами.

Фахівці Товариства приймали участь (з метою встановлення відповідності вимогам галузевих стандартів СОУ Н НБУ 65.1 СУІБ 1.0:2010 та СОУ Н НБУ 65.1 СУІБ 2.0:2010 ) у проведенні аудиту стану інформаційної безпеки ПАТ «Ощадний банк України».

Також фахівці Товариства виконували аудит стану інформаційної безпеки центру обробки даних «Бі Мобайл» (http://bemobile.ua/) на відповідність вимогам міжнародного стандарту ISO/IEC 27001:2005.
© 2025 IT Engineering
Made in Ukraine