Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
СОЗДАНИЕ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В
ЗАЩИЩЕННОМ ИСПОЛНЕНИИ
Учебный центр Softline
Вячеслав Аксёнов | itsec.by
НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
2/91
1. Конституция
2. Указы/Декреты Президента
3. Кодексы
4. Законы
5. Постановления Совета
Мин...
ТНПА РБ
(> 100)
Методы и
средства
безопасности
Требования и
средства защиты
информации от НСД
Защита
информации
Системы ме...
ГОСТ ISO 19011-2013
УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА
PLAN
 Роли,
ответственность,
компетентность.
 Объем
программы
 Риски
п...
Стадии создания систем
ГОСТ 34.601-90
Информационная
технология. Комплекс
стандартов на
автоматизированные
системы.
Автома...
Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62
Жизненный цикл СЗИ
Проектирование СЗИ
Формирование
требований к СЗИ
Формир...
Управление проектом
СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ
ОБСЛЕДОВАНИЕ ИС (СЗИ ИС)
Формирование требований к СЗИ
 Чек-листы
 Анкеты-опросники
 Отчет по результатам обследования
Проектирование СЗИ
Классификация объектов
информатизации
Одна
контролируемая
зона (КЗ)
Несколько КЗ +
соединение
каналами
...
Проектирование СЗИ
Определение перечня защищаемых
активов*
Конфиденциаль
ность
Целостность Доступность Подлинность Сохранн...
РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯ
Формирование требований к СЗИ
 Система защиты информации.
Техническое задание
Проектирование СЗИ
Тех. задание / Задание по безопасности
ГОСТ 34.602-89 СТБ 34.101.1-2014 СТБ 34.101.2-2014 СТБ 34.101.3-...
ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯ
Разработка (проектирование) СЗИ
 Система защиты информации. Эскизный проект.
 Система защит...
ЗАДАНИЕ ПО БЕЗОПАСНОСТИ
Разработка (проектирование) СЗИ
 Автоматизированная информационная система.
Задание по безопаснос...
ПОЛИТИКА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Внедрение (создание) СЗИ
 Автоматизированная информационная система.
Система защиты ...
ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ
Внедрение (создание) СЗИ
 Регламент использования объектов информационной системы и их управлен...
КОМПЛЕКТ ДОКУМЕНТОВ В
СООТВЕТСТВИИ С УГО
Внедрение (создание) СЗИ
 Базовый проект.
 Использование системы управления
кон...
ОПЫТНАЯ ЭКСПЛУАТАЦИЯ
Внедрение (создание) СЗИ
 Журнал опытной эксплуатации.
 План-график устранения недостатков по
резул...
ПРИЕМОЧНЫЕ ИСПЫТАНИЯ СЗИ
Внедрение (создание) СЗИ
 Программа и методика приемочных испытаний.
 Протокол приемочных испыт...
ПРОВЕДЕНИЕ АТТЕСТАЦИИ
Аттестация СЗИ
 анализ исходных данных;
 разработка программы аттестации;
 предварительное ознако...
ул. Мележа, 5/2, офис 1103
220113, г. Минск, Беларусь
+375 17 2161866, educ@softline.by
Спасибо за внимание!
Учебный центр...
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Upcoming SlideShare
Loading in …5
×

Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.

Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.

  • Be the first to comment

Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.

  1. 1. СОЗДАНИЕ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ Учебный центр Softline Вячеслав Аксёнов | itsec.by
  2. 2. НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ 2/91 1. Конституция 2. Указы/Декреты Президента 3. Кодексы 4. Законы 5. Постановления Совета Министров 6. Приказы ОАЦ Закон Республики Беларусь от 10 января 2000 г. №361-З «О нормативных правовых актах Республики Беларусь» Статья 10 Иерархия
  3. 3. ТНПА РБ (> 100) Методы и средства безопасности Требования и средства защиты информации от НСД Защита информации Системы менеджмента информационной безопасности Критерии оценки безопасности ИТ Обеспечение информационной безопасности банков КВОИ Информационные технологии Информационные технологии и безопасность
  4. 4. ГОСТ ISO 19011-2013 УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА PLAN  Роли, ответственность, компетентность.  Объем программы  Риски программы  Процедуры  Ресурсы Установление целей программы аудита Установление программы аудита DO  Цель, область применения, критерии для каждого аудита.  Выбор методов аудита  Назначение руководителя команды по аудиту (ответственный)  Менеджмент выходных данных  Менеджмент записей Внедрение программы аудита CHECK Мониторинг программы аудита ACT Анализ и улучшение программы аудита Компетентность и оценивание аудиторов Проведение аудита
  5. 5. Стадии создания систем ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие ГОСТ Р 51583-2014 ISO/IEC/IEEE 15288:2015 ГОСТ Р ИСО/МЭК 15288-2005
  6. 6. Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62 Жизненный цикл СЗИ Проектирование СЗИ Формирование требований к СЗИ Формирование требований к ИС Разработка концепции АС Техническое задание Создание СЗИ Разработка задания по безопасности Проектирование (разработка) СЗИ Эскизный проект Технический проект Рабочая документация Внедрение СЗИ (без аттестации) Ввод в действие ИС (без приемки в промышленную эксплуатацию) Аттестация СЗИ Эксплуатация СЗИ Выводизэксплуатации Сопровождение СЗИ Сопровождение ИС ГОСТ 34.601-90
  7. 7. Управление проектом СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ
  8. 8. ОБСЛЕДОВАНИЕ ИС (СЗИ ИС) Формирование требований к СЗИ  Чек-листы  Анкеты-опросники  Отчет по результатам обследования
  9. 9. Проектирование СЗИ Классификация объектов информатизации Одна контролируемая зона (КЗ) Несколько КЗ + соединение каналами передачи Каналы передачи выходят за пределы КЗ Общедоступная информация А3 Б3 В3 Информация, распространение и (или) предоставление которой ограничено А2 Б2 В2 Государственные секреты А1 Б1  СТБ 34.101.30-2007
  10. 10. Проектирование СЗИ Определение перечня защищаемых активов* Конфиденциаль ность Целостность Доступность Подлинность Сохранность Линии связи / СПД    Аппаратное обеспечение    Программное обеспечение    . . . . . . . . . ? ? ? ? ? Данные      * Матрица требований, предъявляемых к защищаемым активам (пример формы представления)
  11. 11. РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯ Формирование требований к СЗИ  Система защиты информации. Техническое задание
  12. 12. Проектирование СЗИ Тех. задание / Задание по безопасности ГОСТ 34.602-89 СТБ 34.101.1-2014 СТБ 34.101.2-2014 СТБ 34.101.3-2014 Техническое задание на создание СЗИ 1. Общие сведения 2. Назначение и цели создания СЗИ 3. Характеристика объекта защиты 4. Требования к СЗИ 5. Состав и содержание работ по созданию СЗИ 6. Порядок контроля и приемки 7. Требования к составу и содержанию работ по подготовке к вводу СЗИ в действие 8. Требования к документированию 9. Источники разработки 10. Перечень принятых сокращений Задание по безопасности на ИС 1. Введение в описание ЗБ 2. Описание объекта 3. Среда безопасности объекта 4. Задачи безопасности 5. Требования безопасности Для объекта Функциональные Гарантийные Для среды 6. Общая спецификация 8. Обоснование 7. Требования соответствия ПЗ
  13. 13. ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯ Разработка (проектирование) СЗИ  Система защиты информации. Эскизный проект.  Система защиты информации. Технический проект.  Система защиты информации. Рабочая документация.
  14. 14. ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка (проектирование) СЗИ  Автоматизированная информационная система. Задание по безопасности.
  15. 15. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Внедрение (создание) СЗИ  Автоматизированная информационная система. Система защиты информации. Политика информационной безопасности.
  16. 16. ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ Внедрение (создание) СЗИ  Регламент использования объектов информационной системы и их управления (администрирования).  Регламент резервирования и уничтожения информации.  Регламент защиты от вредоносного программного обеспечения.  Порядок выявления угроз, которые могут привести к сбоям, нарушению функционирования информационной системы.  Порядок реагирования на инциденты информационной безопасности.  Порядок контроля (мониторинга) за функционированием информационной системы.
  17. 17. КОМПЛЕКТ ДОКУМЕНТОВ В СООТВЕТСТВИИ С УГО Внедрение (создание) СЗИ  Базовый проект.  Использование системы управления конфигурацией.  Описание архитектуры безопасности.  Анализ уязвимостей.  Подготовительные процедуры.  Покрытие управлением конфигурации частей объекта оценки.  Процедуры поставки.  Руководство пользователя.  Функциональная спецификация реализации безопасности.
  18. 18. ОПЫТНАЯ ЭКСПЛУАТАЦИЯ Внедрение (создание) СЗИ  Журнал опытной эксплуатации.  План-график устранения недостатков по результатам опытной эксплуатации (при необходимости).  Документ «Тестирование».
  19. 19. ПРИЕМОЧНЫЕ ИСПЫТАНИЯ СЗИ Внедрение (создание) СЗИ  Программа и методика приемочных испытаний.  Протокол приемочных испытаний.  Акт приемочных испытаний.
  20. 20. ПРОВЕДЕНИЕ АТТЕСТАЦИИ Аттестация СЗИ  анализ исходных данных;  разработка программы аттестации;  предварительное ознакомление с ИС и СЗИ;  проведение обследования ИС и СЗИ;  проверка правильности отнесения ИС к классу тип. ОИ, выбора и СрЗИ;  анализ орг.структуры, состава и структуры комплекса ТС и ПО ИС, информационных потоков, состава и структуры комплекса ТС и ПО СЗИ;  анализ разработанной документации и ее соответствие требованиям законодательства;  проверка подготовки кадров и распределения ответственности персонала за организацию и обеспечение ИБ;  проведение испытаний СЗИ на предмет выполнения установленных требований безопасности;  оформление протоколов испытаний и заключения по результатам проверок;  оформление аттестата соответствия.
  21. 21. ул. Мележа, 5/2, офис 1103 220113, г. Минск, Беларусь +375 17 2161866, educ@softline.by Спасибо за внимание! Учебный центр Softline http://edu.softline.by

×