| Внедряване на съвременни локално базирани хардуерни и софтуерни решения за подобряване на киберсигурността: С изпълнението на дейността се предвижда внедряване в дейността на Ямайка ЕАД на съвременни локално базирани решения за киберсигурност, които се явяват нови за кандидата, с цел подобряване на безопасността и ефикасността на работните процеси в дружеството. Тези решения интегрират няколко ключови технологии и практики в една оригинална комплексна система, която подобрява киберсигурността на цялостната организация и ефективността на бизнес процеса на Ямайка ЕАД. Към момента дружеството не разполага с подобни решения, внедрени в дейността му.
След извършена оценка на риска на текущото състояние на информационната сигурност в компанията, се установи, че към момента нивото на киберсигурност е ограничено до базова защита, изградена основно върху стандартна антивирусна програма и вградените функции на операционните системи. Липсват централизирани решения за управление на мрежовия трафик, контрол на достъпа, архивиране на данни и мониторинг на събития, което поставя Ямайка ЕАД в рискова зона по отношение на киберзаплахи като фишинг атаки, криптовируси, вътрешни пробиви, загуба на критична информация и др.
С цел намаляване на рисковете за киберсигурността на компанията и на база препоръките от извършената оценка на риска, в рамките на настоящата дейност се предвижда внедряване в дейността на Ямайка ЕАД на комбинирана технология, която съчетава в себе си следните решения, допустими по настоящата процедура:
1) Внедряване на система за защита на информацията в локална мрежа – защитна стена (Next-Generation Firewall)
Това е мрежова защитна стена, която надгражда основните функции на традиционните защитни стени, добавяйки възможности като инспекция на приложения, системи за предотвратяване на проникване и разузнаване на заплахи. NGFW не само филтрира трафика на базата на IP адреси, портове и протоколи, но и анализира съдържанието на пакетите и идентифицира приложения, за да осигури по-задълбочена защита от съвременни заплахи като злонамерен софтуер и атаки на ниво приложения. Внедряването на Next-Generation Firewall в дейността на Ямайка ЕАД ще осигури цялостна и интелигентна защита срещу съвременните киберзаплахи. По този начин дружеството ще получи съществени предимства в областта на киберсигурността като по-добро откриване на заплахи, дълбока инспекция на мрежовия трафик, контрол на приложения и потребители, уеб филтриране и контрол на достъпа, подобрена защита при отдалечена работа, централизирано управление и мониторинг, автоматични актуализации и защита в реално време.
С цел изграждане на капацитет на служителите и гарантиране на ефективна и правилна експлоатация на внедрената по проекта защитна стена от ново поколение, ще бъде проведено обучение за всички служители относно начина на нейното функциониране и използване. Това обучение ще бъде изцяло за сметка на избрания изпълнител.
2) Внедряване на система за управление на съхранението и споделянето на информация, включително сървър
Системата за съхранение и управление на информация (Storage Server/Storage Solution) осигурява централизирано място за съхранение и споделяне на данни, като управлява достъпа чрез потребителски групи и политики за сигурност. Тя поддържа споделяне на файлове през различни протоколи, включва репликация и snapshot-и за защита и може да се използва за виртуализация, бази данни или backup. Такъв тип система решава основни проблеми, например свързани с разпръснато съхранение и липса на контрол върху данните, като осигурява надежден централен ресурс с висока достъпност, улеснява управлението на достъпа, намалява риска от загуба на информация и подобрява ефективността на работата в организацията. Включването на сървър осигурява надеждно съхранение и управление на информацията, което ще улесни администрирането на достъпа и ще подобри сигурността на вътрешните процеси в организацията. Интегрирането на подобна инфраструктура е съществена стъпка към по-добра организация, мащабируемост и контрол на информацията. |
19 684.74
|
0.00
|
| Подкрепа за съответствие с изискванията на Директива (ЕС) 2022/2555: Директива (ЕС) 2022/2555, е законодателен акт на Европейския съюз, приет на 14 декември 2022 г., който актуализира и разширява рамката за киберсигурност, въведена с предишната Директива 2016/1148. Целта ѝ е да подобри киберустойчивостта, реакцията на инциденти и сътрудничеството между държавите членки.
С настоящата дейност Ямайка ЕАД цели получаване на подкрепа за постигане на съответствие на дейността си с изискванията на Директивата чрез:
1) Извършване на одит по информационна сигурност на дружеството
Одитът по информационна сигурност е систематичен процес за оценка на това доколко информационните системи, политики, процеси и контроли на една организация защитават данните ѝ от неоторизиран достъп, злоупотреба, загуба или други заплахи. Чрез извършването на одита се идентифицират уязвимости в системите и мрежите, проверява се спазването на законови и нормативни изисквания, оценява се ефективността на съществуващите мерки за сигурност в компанията и се предлагат подобрения за по-добра защита на информацията.
Външният одит по информационна сигурност се предвижда да покрие цялостната информационна среда и процеси в организацията, за да се оцени дали са защитени адекватно спрямо рискове. По-конкретно, одит ще бъде извършен на следните елементи:
1. ИКТ инфраструктурата
2. Мрежова сигурност
3. Управление на достъпа и потребителите
4. Процеси за архивиране и възстановяване
5. Политики и вътрешни правила
6. Съхранение и защита на данни
7. Човешки фактор
8. Съответствие с нормативни изисквания
Чрез извършването на одит по информационна сигурност на Ямайка ЕАД в дейността на дружеството ще бъдат постигнати следните подобрения:
1. Идентифицирани реални уязвимости и рискове
Одитът показва къде точно се намират слабите места – в системите, мрежата, процесите или човешкия фактор. Така ще бъде добита ясна и конкретна представа какво трябва да се подобри, преди да настъпи инцидент.
2. Подпомагане при вземането на информирани решения
На база одита може да се планират конкретни мерки и инвестиции – например в защитна стена, backup, обучения или други решения – без да разчита на догадки.
3. Осигуряване на съответствие с нормативни изисквания
4. Повишено доверие на клиенти и партньори
Проведен одит показва, че организацията подхожда сериозно към защитата на информацията – което е важен сигнал за партньори, клиенти и доставчици.
5. Намаляване на риска от инциденти и загуби
Реагирането навреме на установените с одита проблеми значително намалява риска от пробив, загуба на данни, прекъсване на работа и финансови щети.
6. Повишена вътрешна култура на сигурност
Одитът често води до подобрения не само в технологиите, но и в поведението и навиците на служителите – чрез обучения, политики и ясни правила.
2) Провеждане на обучения на служителите на Ямайка ЕАД в областта на киберсигурността
Като неотменна част от изпълнението на дейността и постигане на целите на проекта, с цел развитие на професионалния капацитет и повишаване на квалификацията на персонала на дружеството в областта на киберсигурността, настоящата дейност предвижда разработване и въвеждане на програма за обучения в областта на киберсигурността, обхващаща 100% от персонала на дружеството. Обучението по киберсигурност е критично важно, особено за малки фирми, защото технологиите сами по себе си не са достатъчни за осигуряване на безопасна и сигурна работна среда – често най-слабото звено се явява човешкият фактор. В съвременния дигитален свят киберсигурността се превърна в ключов елемент от защитата на всяка организация. Служителите са първата линия на защита срещу киберзаплахи, но често именно те са и най-слабото звено. Повечето киберинциденти възникват не поради липса на технологии, а заради човешка грешка – кликване върху зловреден линк, отваряне на фалшив имейл, използване на слаби пароли и др. Затова обученията по киберсигурност са не просто полезни, а задължителни. |
10 992.78
|
0.00
|
| Внедряване на съвременни локално базирани хардуерни и софтуерни решения за подобряване на киберсигурността - продължение: С внедряването на подобна система ще бъде осигурено централизирано съхранение на данните, ще бъде създадена по-добра организация и структура на информацията, ще се въведе контрол на достъпа и като цяло бъде постигнато много високо ниво на сигурност и защита на информацията. Също така ще бъде осигурено централизирано управление на данни, потребителски акаунти и достъп до ресурси, което значително улеснява прилагането на политики за сигурност. Чрез сървъра могат да се извършват редовни архиви и автоматични актуализации на софтуера, което свежда до минимум риска от уязвимости. Централизираният мониторинг и логване на дейностите в мрежата позволява по-бързо откриване на инциденти и реакция при нужда. Това е особено важно при опити за неоторизиран достъп или пробиви в сигурността.
С цел изграждане на капацитет на служителите и гарантиране на ефективна и правилна експлоатация на внедрената по проекта система за съхранение, ще бъде проведено обучение за всички служители относно начина на нейното функциониране и използване. Това обучение ще бъде изцяло за сметка на избрания изпълнител.
3) Покупка на лицензи
С цел осигуряване на устойчивост на резултатите от проекта, използването и поддържането им след края на проекта и за осигуряване функционирането и работоспособността на решенията, като част от дейността е предвидено закупуването на лицензи за нормалното функциониране на защитната стена и за управление на съхранението и споделянето на информация за срок от 36 месеца след приключването на проекта. Осигуряването на нужното лицензионно обслужване е от ключово значение за постигане на целите на проекта. Лицензионното обслужване предоставя пълна функционалност, автоматични ъпдейти, възможности за мащабиране и интеграции и получава регулярни официални актуализации и пачове за сигурност. Лицензите отключват пълните функции за сигурност, поддръжка и актуализации, които са критично важни за защитата на мрежата. Същевременно компания, която обработва лични или чувствителни данни (например клиентски или финансови), е длъжна по GDPR да използва надеждни и сигурни системи, като използването на легитимен, поддържан софтуер е част от техническите и организационни мерки за защита на данните. |
0.00
|
0.00
|
| Подкрепа за съответствие с изискванията на Директива (ЕС) 2022/2555 - продължение: Чрез целенасочено обучение служителите ще придобият знания как да разпознават съмнителни съобщения, как да реагират при съмнения за пробив в сигурността и как да работят безопасно с дигитални системи. Това не само намалява риска от инциденти, но създава и култура на отговорност и бдителност. Обученията помагат и за спазване на нормативни изисквания като GDPR, като гарантират, че персоналът разбира как да обработва и защитава лични данни. Репутацията на една организация също е поставена на риск при пробив в сигурността, а добре обучен екип може да предотврати подобен сценарий.
Програмата за обучения на служителите на Ямайка ЕАД ще включва следните компоненти:
- Теоретична част - основи на киберсигурността.
- Сигурност при работа с имейл и интернет.
- Сигурност при достъп, пароли и работа с данни.
- Реалистични симулации на фишинг атаки, с цел изграждане на устойчиви навици за разпознаване и реагиране при заплахи;
- Тестови симулации, които намаляват риска от човешки грешки, причиняващи инциденти.
Обученията по киберсигурност трябва да се разглеждат не като еднократна инициатива, а като продължителен процес, който развива и поддържа способността на служителите да се справят с постоянно еволюиращите заплахи. Ето защо ще се провеждат опреснителни обучения минимум един път годишно за период от 3 години. Само така може да се гарантира устойчивата сигурност на дигиталната среда на всяка организация.
3) Провеждане на тестове за уязвимости
Провеждането на тестове за уязвимости е съществена част от проактивната стратегия за киберсигурност и е пряко свързано с повишаване на устойчивостта на ИТ системите. Чрез редовни и целенасочени сканирания, организациите могат да открият известни уязвимости в мрежите, операционните системи, приложенията и конфигурационните параметри, преди те да бъдат експлоатирани от злонамерени лица. Допълнително, извършването на ръчни тестове за проникване (penetration tests) позволява симулиране на реални атаки, с цел да се идентифицират потенциални пътища за компрометиране, които автоматизираните инструменти могат да пропуснат. Важна роля играе и анализът на сигурността на уеб приложенията, включително проверка на автентикацията, контрола на достъпа и устойчивостта срещу често срещани уязвимости.
Тестовете за уязвимост играят съществена роля в управлението на киберриска, като осигуряват цялостен и навременен поглед върху сигурността на системите. Те позволяват ранно идентифициране на критични слабости, които биха могли да доведат до пробиви, както и своевременно приоритизиране и отстраняване на рисковете, което ограничава общата повърхност на потенциалните атаки. В допълнение, познаването на слабите места в инфраструктурата подобрява способността за адекватна и бърза реакция при инциденти. Тестовете спомагат за непрекъсната оптимизация на мерките за сигурност, базирана на реални резултати и обективни данни, като внасят проследимост и структурираност в процесите по защита. Провеждани регулярно, те изграждат дългосрочна устойчивост чрез цикличност, надграждане и затвърждаване на постигнатото. В крайна сметка, тестовете за уязвимост се утвърждават като ефективен инструмент за стратегическо вземане на решения, за минимизиране на рисковете и за укрепване на доверието в цифровата инфраструктура на организацията.
В допълнение, с цел осигуряване на устойчивост на резултатите и поддържане на съответствие с изисквания на директивата, се предвижда извършване на одит и тестове за уязвимости веднъж годишно в рамките на 3 г. след приключване на проекта, както и опреснителни обучения веднъж годишно за период от 3 г. Това ще гарантира продължаваща ефективност на предприетите мерки, навременно идентифициране на нововъзникнали рискове, висока киберкултура, готовност за бърза реакция и адаптиране на политиките за сигурност към динамичната дигитална среда. Важно е да се отбележи, че разходите за тези регулярни одит, тестове и обучения ще бъдат за сметка на кандидата. |
0.00
|
0.00
|
