Ochrona infrastruktury krytycznej

Bieżące monitorowanie podatności w oprogramowaniu, zbieranie informacji o zagrożeniach, monitorowanie zgodności z polityką bezpieczeństwa oraz zapewnienie obsługi incydentów komputerowych to jedne z najważniejszych czynników warunkujących bezpieczeństwo infrastruktury krytycznej kraju.

Co to jest infrastruktura krytyczna?

Infrastruktura krytyczna kraju to zasoby, które mają podstawowe znaczenie dla funkcjonowania społeczeństwa i gospodarki. W jej zakres wchodzą systemy teleinformatyczne obsługujące wytwarzanie i dystrybucję energii elektrycznej, transport, telekomunikację, ochronę zdrowia, bezpieczeństwo wewnętrzne czy administrację publiczną.

Złożoność oprogramowania i systemów teleinformatycznych w ostatniej dekadzie rosła w ogromnym tempie. Wraz z nią, rosło i nadal rośnie ryzyko ujawnienia podatności w oprogramowaniu i ich wykorzystania w celu przejęcia kontroli nad systemem.

Ataki na systemy teleinformatyczne są obecnie coraz częściej spotykanym typem konfliktów zbrojnych i działalności terrorystycznej. Dlatego też, ochrona infrastruktury krytycznej jest jednym z priorytetów administracji publicznej, a poprawne funkcjonowanie tych systemów oraz ich wiarygodność są kluczowe dla zapewnienia bezpieczeństwa kraju.

Unikatowe kompetencje

W Atende Software od 2012 roku rozwijamy System Bezpieczeństwa Teleinformatycznego Infrastruktury Krytycznej (SBTI IK) przeznaczony dla administracji publicznej i ochrony infrastruktury krytycznej. Świadczymy także usługi z zakresu testów penetracyjnych i szkoleń. Nasi pracownicy aktywnie poszukują podatności w ogólnodostępnym i autorskim oprogramowaniu.

Kompleksowa ochrona

Projektowane przez nas oprogramowanie jest dostosowane do potrzeb krajowej administracji publicznej - bazujemy na przepisach prawnych dotyczących ochrony informacji niejawnych oraz na Narodowym Programie Ochrony Infrastruktury Krytycznej. Współpracujemy z zespołami CERT/CSIRT, jesteśmy także uczestnikami programu NASK N6 i konsorcjum OVAL.

Zgodność ze standardami

Rozwijane przez nas oprogramowanie jest zgodne z grupą standardów SCAP (ang. Security Content Automation Protocol). SCAP jest zbiorem specyfikacji opisujących formaty danych oraz nomenklaturę wykorzystywaną w wymianie informacji na temat polityk bezpieczeństwa, podatności i konfiguracji systemów teleinformatycznych.

Standardy SCAP i RFC

  • OVAL (Open Vulnerability and Assessment Language)

    Standard określający format danych służący opisywaniu podatności oraz błędów w oprogramowaniu, testów ich występowania i sposobów zapobiegania, oraz raportowaniu o nich.

  • XCCDF (Extensible ConfigurationChecklist Description Format)

    Standard określający sposób wyrażania wymagań co do systemu (np. polityk bezpieczeństwa) i raportowania wyników oceny zgodności.

  • OCIL (Open Checklist Interactive Language)

    Standard opisu kwestionariuszy, służących do manualnego weryfikowania poziomu bezpieczeństwa, w oparciu o wywiad z administratorem.

  • IODEF (Incident Object Description Exchange Format)

    Standard pozwalający na wymianę informacji o incydentach komputerowych pomiędzy zespołami CERT/CSIRT.

  • CVSS (Common Vulnerability Scoring System)

    Standard definiujący zasady punktowej oceny ważności zagrożeń wynikających z podatności sprzętu i oprogramowania.

  • CVE (Common Vulnerabilities and Exposures)

    Słownik identyfikatorów podatności związanych z wykorzystaniem konkretnych słabości oprogramowania.

  • CCE (Common Configuration Enumeration)

    Słownik zmiennych konfiguracyjnych, mających wpływ na bezpieczeństwo systemu.

  • CPE (Common Platform Enumeration)

    Słownik identyfikatorów platform sprzętowych i programowych.

Ta witryna używa plików cookie. Korzystając ze strony wyrażasz zgodę na używanie plików cookie, zgodnie z aktualnymi ustawieniami przeglądarki. Możesz je w każdej chwili zmienić.