Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Создание автоматизированных систем в защищенном исполнении

902 views

Published on

Обзорная презентация тренинга "Создание автоматизированных систем в защищенном исполнении", который прошел 16-18 мая 2016 в Учебном центре Softline.

Published in: Education

Создание автоматизированных систем в защищенном исполнении

  1. 1. СОЗДАНИЕ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ Учебный центр Softline Вячеслав Аксёнов itsec.by 16-18.05.2016
  2. 2. ПРЕПОДАВАТЕЛЬ Вячеслав Аксёнов специалист по информационной безопасности itsec.by Кратко о себе:  Опыт работы в сфере информационной безопасности более 10 лет, в качестве архитектора и консультанта, в проектах по созданию систем защиты информации в соответствии с требованиями законодательства. Преподаватель авторских курсов по информационной безопасности.  Образование: радиоинженер-педагог + магистратура и аспирантура по направлению информационная безопасность.  Сфера интересов: технологии облачных вычислений, гособлака, проектирование и внедрение систем защиты информации. Подробнее: http://www.linkedin.com/pub/viacheslav-aksionov/50/b91/65/en
  3. 3. День 1:  Требования законодательства об информации, информатизации и защите информации.  Технические нормативные правовые акты в области информационной безопасности ПРОГРАММА КУРСА 3/91 День 2:  Стадии создания автоматизированных (информационных) систем  Стадии создания автоматизированных (информационных) систем в защищенном исполнении  Проектирование АС (ИС) в защищенном исполнении (Проект)  Создание АС (ИС) в защищенном исполнении (Проект)  Аттестация системы защиты информации и ввод в действие АС (ИС) (Проект)  Эксплуатация (сопровождение) АС (ИС) (Проект)  + НПА (advanced) День 3:  Требования к мерам защиты информации, обрабатываемой в АС (ИС)  + Защита среды виртуализации (advanced)  Практическая (Проект создания АИС в защищенном исполнении)
  4. 4. бонус  Проект .mpp  Трудозатраты .xlsx + .mpp  Матрица ответственности .xlsx ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ 4/x
  5. 5. бонус ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ 5/x
  6. 6. НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ 6/91 1. Конституция 2. Указы/Декреты Президента 3. Кодексы 4. Законы 5. Постановления Совета Министров 6. Приказы ОАЦ Закон Республики Беларусь от 10 января 2000 г. №361-З «О нормативных правовых актах Республики Беларусь» Статья 10 Иерархия
  7. 7. ТНПА РБ (> 100) Методы и средства безопасности Требования и средства защиты информации от НСД Защита информации Системы менеджмента информационной безопасности Критерии оценки безопасности ИТ Обеспечение информационной безопасности банков КВОИ Информационные технологии Информационные технологии и безопасность
  8. 8. ГОСТ ISO 19011-2013 УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА PLAN  Роли, ответственность, компетентность.  Объем программы  Риски программы  Процедуры  Ресурсы Установление целей программы аудита Установление программы аудита DO  Цель, область применения, критерии для каждого аудита.  Выбор методов аудита  Назначение руководителя команды по аудиту (ответственный)  Менеджмент выходных данных  Менеджмент записей Внедрение программы аудита CHECK Мониторинг программы аудита ACT Анализ и улучшение программы аудита Компетентность и оценивание аудиторов Проведение аудита
  9. 9. Стадии создания систем ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие ГОСТ Р 51583-2014 ISO/IEC/IEEE 15288:2015 ГОСТ Р ИСО/МЭК 15288-2005
  10. 10. Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62 Жизненный цикл СЗИ Проектирование СЗИ Формирование требований к СЗИ Формирование требований к ИС Разработка концепции АС Техническое задание Создание СЗИ Разработка задания по безопасности Проектирование (разработка) СЗИ Эскизный проект Технический проект Рабочая документация Внедрение СЗИ (без аттестации) Ввод в действие ИС (без приемки в промышленную эксплуатацию) Аттестация СЗИ Эксплуатация СЗИ Выводизэксплуатации Сопровождение СЗИ Сопровождение ИС ГОСТ 34.601-90
  11. 11. ФОРМИРОВАНИЕ ТРЕБОВАНИЙ К СЗИ Этапы работ Формирование требований к системе ЗИ АС осуществляется на следующих стадиях создания АСЗИ, определенных ГОСТ 34.601:  «Формирование требований к АС»;  «Разработка концепции АС»;  «Техническое задание». Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Формирование требований к СЗИ Разработка (проектирование) СЗИ Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Формирование требований к СЗИ ПРОЕКТИРОВАНИЕ СЗИ
  12. 12. АНАЛИЗ ИС Проектирование СЗИ (Приказ ОАЦ №62)  Архитектура  Подсистемы  Состав ТС и ПО  Схемы анализ организационной структуры информационной системы и информационных потоков в целях определения состава (количества) и мест размещения элементов системы (аппаратных и программных), ее физических и логических границ
  13. 13. ОБСЛЕДОВАНИЕ ИС (СЗИ ИС) Формирование требований к СЗИ  Чек-листы  Анкеты-опросники  Отчет по результатам обследования
  14. 14. Проектирование СЗИ КЛАССИФИКАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ Одна контролируемая зона (КЗ) Несколько КЗ + соединение каналами передачи Каналы передачи выходят за пределы КЗ Общедоступная информация А3 Б3 В3 Информация, распространение и (или) предоставление которой ограничено А2 Б2 В2 Государственные секреты А1 Б1  СТБ 34.101.30-2007
  15. 15. КЛАССИФИКАЦИЯ ИС Проектирование СЗИ (Приказ ОАЦ №62)  Протокол и Акт присвоение информационной системе класса типового объекта информатизации в порядке, установленном СТБ 34.101.30-2007 «Информационные технологии. Методы и средства безопасности. Объекты информатизации. Классификация» Документ в дополнительных материалах
  16. 16. Проектирование СЗИ Определение перечня защищаемых активов* Конфиденциаль ность Целостность Доступность Подлинность Сохранность Линии связи / СПД    Аппаратное обеспечение    Программное обеспечение    . . . . . . . . . ? ? ? ? ? Данные      * Матрица требований, предъявляемых к защищаемым активам (пример формы представления)
  17. 17. УГРОЗЫ НАРУШЕНИЯ ИБ Модель Документ в дополнительных материалах
  18. 18. РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯ Формирование требований к СЗИ  Система защиты информации. Техническое задание Документ в дополнительных материалах
  19. 19. Проектирование СЗИ (Приказ ОАЦ №62) ТЗ vs ЗБ ГОСТ 34.602-89 СТБ 34.101.1-2014 СТБ 34.101.2-2014 СТБ 34.101.3-2014 Техническое задание на создание СЗИ 1. Общие сведения 2. Назначение и цели создания СЗИ 3. Характеристика объекта защиты 4. Требования к СЗИ 5. Состав и содержание работ по созданию СЗИ 6. Порядок контроля и приемки 7. Требования к составу и содержанию работ по подготовке к вводу СЗИ в действие 8. Требования к документированию 9. Источники разработки 10. Перечень принятых сокращений Задание по безопасности на ИС 1. Введение в описание ЗБ 2. Описание объекта 3. Среда безопасности объекта 4. Задачи безопасности 5. Требования безопасности Для объекта Функциональные Гарантийные Для среды 6. Общая спецификация 8. Обоснование 7. Требования соответствия ПЗ ? ? ?
  20. 20. ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка (проектирование) СЗИ  СТБ 34.101.1-2014 "Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель"  СТБ 34.101.2-2014 "Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности"  СТБ 34.101.3-2014 "Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 3. Гарантийные требования безопасности»
  21. 21. ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка (проектирование) СЗИ Определение среды безопасности Формулирование задач безопасности Формулирование требований безопасности Формулирование спецификаций безопасности
  22. 22. ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка (проектирование) СЗИ Определение среды безопасности • Физическая среда • Активы • Назначение Формулирование задач безопасности • Предположения • Угрозы безопасности • Политика безопасности Формулирование требований безопасности • Функциональные требования • Гарантийные требования • Требования к среде безопасности Формулирование спецификаций
  23. 23. РАЗРАБОТКА ЗАДАНИЯ ПО БЕЗОПАСНОСТИ Разработка (проектирование) СЗИ  Автоматизированная информационная система. Задание по безопасности.
  24. 24. ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка (проектирование) СЗИ  Автоматизированная информационная система. Задание по безопасности. Документы в дополнительных материалах
  25. 25. КОМПЛЕКТ ДОКУМЕНТОВ В СООТВЕТСТВИИ С УГО Внедрение (создание) СЗИ  Базовый проект.  Использование системы управления конфигурацией.  Описание архитектуры безопасности.  Анализ уязвимостей.  Подготовительные процедуры.  Покрытие управлением конфигурации частей объекта оценки.  Процедуры поставки.  Руководство пользователя.  Функциональная спецификация реализации безопасности. Документы в дополнительных материалах
  26. 26. ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯ Разработка (проектирование) СЗИ Разработку системы ЗИ АСЗИ организует заказчик, проводит разработчик в соответствии с ТЗ на создание системы ЗИ АС на следующих стадиях создания АС, определенных ГОСТ 34.601:  Эскизный проект;  Технический проект;  Рабочая документация. Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Разработка (проектирование) СЗИ Разработка (проектирование) СЗИ Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Формирование требований к СЗИ ПРОЕКТИРОВАНИЕ СЗИ
  27. 27. ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯ Разработка (проектирование) СЗИ  Система защиты информации. Эскизный проект.  Система защиты информации. Технический проект.  Система защиты информации. Рабочая документация. Документы в дополнительных материалах
  28. 28. ВНЕДРЕНИЕ СЗИ Этапы работ  Установка и настройка СЗИ;  Разработка организационно-распорядительных документов, определяющих мероприятия по ЗИ в ходе эксплуатации АС:  Предварительные испытания системы ЗИ АС;  Опытная эксплуатацию и доработка системы ЗИ АС,  Приемочные испытания системы ЗИ АС;  Аттестация СЗИ на соответствие требованиям безопасности информации. Внедрение системы ЗИ АС организует заказчик, проводит разработчик в соответствии с законодательством Республики Беларусь об информации, информатизации и защите информации и рабочей документацией на систему ЗИ АС на стадии «Ввод в действие», определенной ГОСТ 34.601. Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Внедрение СЗИ. СОЗДАНИЕ СЗИ.
  29. 29. ПОЛИТИКА ИБ (содержание) Приказ ОАЦ №62 от 30 августа 2013 г. Политика ИБ должна содержать:  цели создания СЗИ;  перечень субъектов и объектов ИС, сведения о их размещении и взаимодействии;  способы разграничения доступа субъектов к объектам ИС;  права и обязанности субъектов ИС;  порядок взаимодействия с иными ИС (в случае предполагаемого взаимодействия);  перечень организационных мер, направленных на реализацию требований по созданию СЗИ;  порядок действий при возникновении угроз, и при ликвидации их последствий.
  30. 30. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Внедрение (создание) СЗИ  Автоматизированная информационная система. Система защиты информации. Политика информационной безопасности. Документ в дополнительных материалах
  31. 31. ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ Внедрение (создание) СЗИ  Регламент использования объектов информационной системы и их управления (администрирования).  Регламент резервирования и уничтожения информации.  Регламент защиты от вредоносного программного обеспечения.  Порядок выявления угроз, которые могут привести к сбоям, нарушению функционирования информационной системы.  Порядок реагирования на инциденты информационной безопасности.  Порядок контроля (мониторинга) за функционированием информационной системы. внедрение организационных мер по защите информации Документы в дополнительных материалах
  32. 32. ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ Создание СЗИ (Приказ ОАЦ №62) Функции Должностные лица и подразделения Должность 1 Должность 2 Должность 3 Функция №1 О И Функция №2 Р И И Функция № N Обозначения: О – ответственный за выполнение; У – участвует в выполнении; И – информируется Р – принимает решение, утверждает.
  33. 33. ДОВЕДЕНИЕ ЛНПА Создание СЗИ (Приказ ОАЦ №62)  Лист ознакомления (отдельный для каждого ЛНПА  Журнал инструктажей
  34. 34. ОПЫТНАЯ ЭКСПЛУАТАЦИЯ Внедрение (создание) СЗИ  Журнал опытной эксплуатации.  План-график устранения недостатков по результатам опытной эксплуатации (при необходимости).  Документ «Тестирование». Документы в дополнительных материалах
  35. 35. ПРИЕМОЧНЫЕ ИСПЫТАНИЯ СЗИ Внедрение (создание) СЗИ  Программа и методика приемочных испытаний.  Протокол приемочных испытаний.  Акт приемочных испытаний. Документы в дополнительных материалах
  36. 36. АТТЕСТАЦИЯ СЗИ  анализ исходных данных;  разработка программы аттестации;  предварительное ознакомление с ИС и СЗИ;  проведение обследования ИС и СЗИ;  проверка правильности отнесения ИС к классу тип. ОИ, выбора и СрЗИ;  анализ орг.структуры, состава и структуры комплекса ТС и ПО ИС, информационных потоков, состава и структуры комплекса ТС и ПО СЗИ;  анализ разработанной документации и ее соответствие требованиям законодательства;  проверку подготовки кадров и распределения ответственности персонала за организацию и обеспечение ИБ;  проведение испытаний СЗИ на предмет выполнения установленных требований безопасности;  оформление протоколов испытаний и заключения по результатам проверок;  оформление аттестата соответствия. Приказ ОАЦ №62 от 30 августа 2013 г. Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Аттестация СЗИ. АТТЕСТАЦИЯ СЗИ.
  37. 37. СОПРОВОЖДЕНИЕ СЗИ Содержание работ (ГОСТ)  Сопровождение системы ЗИ в ходе эксплуатации АС организует заказчик (оператор), проводит разработчик в соответствии с проектными решениями, рабочей документацией на систему ЗИ АС, организационно- распорядительными документами по ЗИ.  Сопровождение системы ЗИ в ходе эксплуатации АС заключается в выполнении работ относительно системы ЗИ АС в соответствии с гарантийными обязательствами и по послегарантийному обслуживанию, которые осуществляются на стадии «Сопровождение АС», определенной ГОСТ 34.601. Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Сопровождение СЗИ ЭКСПЛУАТАЦИЯ СЗИ.
  38. 38. ЭКСПЛУАТАЦИЯ СЗИ В процессе эксплуатации аттестованной СЗИ осуществляются: контроль за соблюдением требований, установленных в НПА,ТНПА, ЛНПА; контроль за порядком использования объектов ИС; мониторинг функционирования СЗИ; выявление угроз, которые могут привести к сбоям, нарушению функционирования ИС; резервное копирование информации, содержащейся в ИС; обучение (повышение квалификации) субъектов ИС. Приказ ОАЦ №62 от 30 августа 2013 г.
  39. 39. ЭКСПЛУАТАЦИЯ СЗИ В случае прекращения эксплуатации ИС собственник (владелец) ИС принимает меры по: • ЗИ, содержащейся в ИС; • резервному копированию информации (при необходимости), обеспечению ее конфиденциальности и целостности; • уничтожению (удалению) данных с машинных носителей информации и (или) уничтожению таких носителей информации. Приказ ОАЦ №62 от 30 августа 2013 г.
  40. 40. ЭКСПЛУАТАЦИЯ СЗИ Модернизация действующих систем защиты информации осуществляется в порядке, установленном настоящим Положением для создания этих систем. Уничтожение (удаление) данных с машинных носителей информации производится при необходимости передачи машинного носителя информации лицам, не являющимся субъектами информационной системы, в том числе для ремонта, технического обслуживания. Приказ ОАЦ №62 от 30 августа 2013 г.
  41. 41. ул. Мележа, 5/2, офис 1103 220113, г. Минск, Беларусь +375 17 2161866, educ@softline.by Спасибо за внимание! Учебный центр Softline http://edu.softline.by

×