2. Рассмотрим на примерах:
1. Реализацию комплекса
мероприятий по защите
информации.
2. Основные этапы и результаты
3. Как выглядят основные документы
проекта (Акт классификации, ТЗ,
Общая схема СЗИ)
+ Дополнительные материалы:
шаблоны документов,
инструмент для управления проектом.
3. Дано:
Информационная система/ресурс:
➢ Сервер электронной почты (1 ВМ - Postfix).
Инфраструктура:
➢ IaaS (поставщика услуг).
➢ Офис: обеспечивающая IT-инфраструктура (ПК сотрудников
и т.п.).
Цель проекта:
➢ Проектирование системы защиты информации
информационной системы, размещенной с использованием
IaaS.
Критерий успеха:
➢ Получение аттестата соответствия.
4. Закон РБ от 10.11.2008 г. № 455-З
«Об информации,
информатизации и защите
информации»
Положение о порядке технической и криптографической защиты информации,
обрабатываемой на критически важных объектах информатизации
Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195)
Положение о технической и криптографической защите
информации
Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ
от 09.12.2019 № 449)
Положение о порядке технической и криптографической защиты информации в
информационных системах, предназначенных для обработки информации,
распространение и (или) предоставление которой ограничено
Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195)
Закон РБ от 05.01.2013 г. № 16-З
«О коммерческой тайне»
Закон РБ от 07.05.2021 г. № 99-З
«О защите персональных
данных»
Положение о порядке аттестации систем защиты информации информационных
систем, предназначенных для обработки информации, распространение и (или)
предоставление которой ограничено
Приказ ОАЦ от 20.02.2020 № 66
О служебной информации ограниченного распространения и
информации, составляющей коммерческую тайну
Постановление Совета Министров РБ от 12 августа 2014 г. № 783
Технический регламент Республики Беларусь «Информационные
технологии. Средства защиты информации. Информационная
безопасность» (ТР 2013/027/BY)
Постановление Совета Министров РБ 15.05.2013 № 375 (в редакции
постановления Совета Министров РБ 12.03.2020 № 145)
Перечень
государственных
стандартов,
взаимосвязанных с
техническим
регламентом
Республики Беларусь
«Информационные
технологии. Средства
защиты
информации.
Информационная
безопасность» (TP
2013/027/BY)
Приказ ОАЦ от 12.03.2020
№ 77
Более 50 актов
5. Основные НПА:
Положение о технической и криптографической
защите информации (Указ 196 в ред 449)
Положение о порядке технической и
криптографической защиты информации в
информационных системах, предназначенных для
обработки информации, распространение и (или)
предоставление которой ограничено (Приказ ОАЦ
66 в ред 195)
Положение о порядке аттестации систем защиты
информации информационных систем,
предназначенных для обработки информации,
распространение и (или) предоставление которой
ограничено (Приказ ОАЦ 66 в ред 195)
6. Этапы проекта:
Категорирование
информации и
Классификация
ИС
Анализ структуры
ИС
Разработка /
доработка
политики ИБ
Разработка
технического
задания на
создание СЗИ
Определение
требований к
средствам ЗИ,
подлежащим
закупке
Разработка
документа «Общая
схема СЗИ»
Ввод в действие
СЗИ: закупка,
монтаж,
пусконаладочные
работы
Разработка
(корректировка)
документации на
систему ЗИ
Разработка
программы и
методики
аттестации
Проведение
аттестации
системы защиты
информации
Оформление
технического
отчета и протокола
испытаний
Оформление
аттестата
соответствия
7. Категорирование / Классификация
Деятельность Результат
Назначить комиссию для проведения работ по
категорированию информации и отнесению
информационной системы к классу типовых
информационных систем
Приказ по
организации
Провести категорирование информации, которая
будет обрабатываться в информационной системе,
в соответствии с законодательством об
информации, информатизации и защите
информации, а также отнесение информационной
системы к классу типовых информационных систем
согласно приложению 1 Положение о порядке ТЗИ и
КЗИ в ИС – Приказ ОАЦ 66 в ред 195
Акт отнесения
информационной
системы к классу
типовых
информационных
систем
8. Группа Информация, распространение и (или) предоставление которой ограничено
Подгруппа Изолированная Открытая
Категория ин спец бг юл дсп ин спец бг юл дсп
Класс 4-ин 4-спец 4-бг 4-юл 4-дсп 3-ин 3-спец 3-бг 3-юл 3-дсп
изолированная - не имеет подключений к открытым каналам передачи данных;
открытая - подключена к открытым каналам передачи данных;
ин – персональные данные, за исключением специальных персональных данных;
спец – специальные персональные данные, за исключением биометрических и
генетических персональных данных;
бг – биометрические и генетические персональные данные;
юл – информация, составляющая коммерческую и иную охраняемую законом
тайну юридического лица, распространение и (или) предоставление которой
ограничено (за исключением сведений, составляющих гос секреты, и служебной
информации ограниченного распространения);
дсп – служебная информация ограниченного распространения.
Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах,
предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом
Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 (в редакции Приказа 195)
Классификация ИС/ИР
9. Группа Информация, распространение и (или) предоставление которой ограничено
Подгруппа Изолированная Открытая
Категория ин спец бг юл дсп ин спец бг юл дсп
Класс 4-ин 4-спец 4-бг 4-юл 4-дсп 3-ин 3-спец 3-бг 3-юл 3-дсп
изолированная - не имеет подключений к открытым каналам передачи данных;
открытая - подключена к открытым каналам передачи данных;
ин – персональные данные, за исключением специальных персональных данных;
спец – специальные персональные данные, за исключением биометрических и
генетических персональных данных;
бг – биометрические и генетические персональные данные;
юл – информация, составляющая коммерческую и иную охраняемую законом
тайну юридического лица, распространение и (или) предоставление которой
ограничено (за исключением сведений, составляющих гос секреты, и служебной
информации ограниченного распространения);
дсп – служебная информация ограниченного распространения.
Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах,
предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом
Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 (в редакции Приказа 195)
Классификация ИС/ИР
11. Анализ структуры ИС
результаты
ЦОД CSP
IaaS
VM
MAIL
Пользователь
Системный
администратор
Администратор
безопасности
FW/IPS/AMP
Имя IP VM
CPU
(ядра)
RAM
(Gb)
SSD (Gb)
Tier-1
IP внешние
(кол-во)
vEDGE NAT ОС
bymail ххх.ххх.ххх.ххх 2 2 20 1 (ххх.ххх.ххх.ххх) Debian 10
№ Перечень системного и прикладного ПО
1 MAIL-сервер(mail.xyz.by)
1.1 Системное ПО Debian 10
1.2 Прикладное ПО Postfix 3.5.8
1.3 Средства ЗИ Программное изделие
«Kaspersky Security 8.0
для Linux Mail Server»
Пользователь
mail.xyz.by
https
Системный
администратор
Администратор
безопасности
Система управления
виртуализацией
Bel VPN
Client
vdc.csp.by/admin
www.belgim.by
Bel VPN Gate
3_Общее описание ИС ЭП.docx
12. https://www.sans.org/security-
resources/policies
http://securitypolicy.ru/
Политика ИБ
Должна содержать:
− цели и принципы ЗИ в
организации;
− перечень ИС, отнесенных к
соотв. классам типовых ИС,
перечень СВТ, а также
сведения о подразделении
ЗИ (должностном лице),
ответственном за
обеспечение ЗИ
− обязанности пользователей
ИС;
− порядок взаимодействия с
иными ИС (в случае
предполагаемого
взаимодействия).
4_Политика ИБ.docx
13. Техническое задание должно содержать:
наименование ИС с указанием присвоенного ей класса типовых ИС;
требования к СЗИ в зависимости от используемых технологий и класса типовых ИС на
основе перечня согласно приложению 3;
сведения об организации взаимодействия с иными ИС (в случае предполагаемого
взаимодействия) с учетом требований согласно приложению 4;
порядок обезличивания персональных данных (в случае их обработки в информационной
системе) с применением методов согласно приложению 5
требования к средствам криптографической защиты информации;
перечень документации на систему защиты информации.
требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС
другого собственника (владельца)
Разрабатывается собственником (владельцем) ИС либо лицензиатом ОАЦ
и утверждается собственником (владельцем) ИС.
Собственник (владелец) ИС вправе не включать в техническое задание отдельные обязательные
требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии) либо при условии
согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер
Техническое задание
14. Перечень требований к СЗИ, подлежащих включению в ТЗ
❑ Аудит безопасности
❑ Требования по обеспечению защиты данных
❑ Требования по обеспечению идентификации и аутентификации
❑ Требования по защите системы защиты информации информационной системы
❑ Обеспечение криптографической защиты информации
❑ Дополнительные требования по обеспечению защиты информации в виртуальной
инфраструктуре
❑ Иные требования
Перечень требований к СЗИ
Приложение 3 к Положению…
Примечания:
1. Обозначения «4-ин» … «3-дсп»
соответствуют классам типовых
информационных систем.
2. Требования, отмеченные знаком
«+», являются обязательными.
3. Требования, отмеченные знаком
«+/–», являются рекомендуемыми.
16. Перечень требований к СЗИ
Приложение 3 к Положению…
AV EP - Обеспечение защиты средств вычислительной техники от вредоносных программ.
AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых
по сети, и обезвреживание обнаруженных вредоносных программ.
AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и
обезвреживание обнаруженных вредоносных программ.
VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего
пользования (средства линейного шифрования).
Pre-crypt - Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства
предварительного шифрования).
IC - Обеспечение контроля целостности данных в информационной системе (средства контроля целостности).
DLP - Использование системы обнаружения и предотвращения утечек информации из информационной системы.
LM - Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности.
IDM - Обеспечение централизованного управления учетными записями пользователей информационной системы.
AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования.
Класс
ИС
FW IDS AV EP IC LM
DLP
3-дсп
3-юл
3-бг
3-спец
3-ин
IDM AM
AV
NET
AV
MAIL
Rout
Proxy /
WAF
Pre-
crypt
VPN
Rout - Использование
маршрутизатора (коммутатора
маршрутизирующего)
FW - Использование
межсетевого экрана.
Proxy / WAF - Использование
межсетевого экрана,
функционирующего на
канальном, сетевом и
прикладном уровнях.
IDS - Обеспечение обнаружения
и предотвращения вторжений в
информационной системе.
17. Перечень требований к СЗИ
Приложение 3 к Положению…
AV EP - Обеспечение защиты средств вычислительной техники от вредоносных программ.
AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых
по сети, и обезвреживание обнаруженных вредоносных программ.
AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и
обезвреживание обнаруженных вредоносных программ.
VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего
пользования (средства линейного шифрования).
Pre-crypt - Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства
предварительного шифрования).
IC - Обеспечение контроля целостности данных в информационной системе (средства контроля целостности).
DLP - Использование системы обнаружения и предотвращения утечек информации из информационной системы.
LM - Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности.
IDM - Обеспечение централизованного управления учетными записями пользователей информационной системы.
AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования.
Класс
ИС
FW IDS AV EP IC LM
DLP
3-дсп
3-юл
3-бг
3-спец
3-ин
IDM AM
AV
NET
AV
MAIL
Rout
Proxy /
WAF
Pre-
crypt
VPN
Rout - Использование
маршрутизатора (коммутатора
маршрутизирующего)
FW - Использование
межсетевого экрана.
Proxy / WAF - Использование
межсетевого экрана,
функционирующего на
канальном, сетевом и
прикладном уровнях.
IDS - Обеспечение обнаружения
и предотвращения вторжений в
информационной системе.
18. Класс
ИС
FW IDS AV EP LM
3-юл
3-ин
IDM AM
AV
NET
AV
MAIL
Rout
Proxy /
WAF
VPN
Распределение ответственности
требования из числа реализованных в аттестованной в установленном
порядке СЗИ ИС другого собственника (владельца)
Поставщик Потребитель
Наименование требования Поставщик Потребитель
2.2 Обеспечение контроля за работоспособностью,
параметрами настройки и правильностью функционирования
средств вычислительной техники, сетевого оборудования,
системного программного обеспечения и средств защиты
информации
В отношении:
- виртуальной инфраструктуры
IaaS
- сетевого оборудования
- дополнительных сервисов
В отношении:
- ПК администраторов
- общесистемного ПО
- программных средств
защиты информации
6.1 Обеспечение защиты от агрессивного использования
ресурсов виртуальной инфраструктуры потребителями услуг
В отношении виртуальной
инфраструктуры IaaS
-
7.10 Обеспечение защиты средств вычислительной техники от
вредоносных программ
В отношении:
- СВТ виртуальной
инфраструктуры IaaS
- ПК администраторов IaaS
В отношении:
- ПК администраторов
- виртуальных машин
19. • резервирования и уничтожения информации;
• защиты от вредоносного программного обеспечения;
• использования съемных носителей информации;
• использования электронной почты;
• обновления средств защиты информации;
• осуществления контроля (мониторинга) за функционированием информационной
системы и системы защиты информации;
• реагирования на события информационной безопасности и ликвидации их
последствий;
• управления криптографическими ключами, в том числе требования по их
генерации, распределению, хранению, доступу к ним и их уничтожению.
Регламенты
Перечень документации на СЗИ
Функции
Должностные лица и подразделения
Должность 1 Должность 2 Должность 3
Функция №1 О И
Функция №2 Р И И
Функция № N
Обозначения: О – ответственный за выполнение;
У – участвует в выполнении;
И – информируется
Р – принимает решение, утверждает.
21. Общая схема СЗИ
Общая схема системы защиты информации должна
содержать:
❑ наименование информационной системы
❑ класс типовых информационных систем
❑ места размещения средств вычислительной
техники, сетевого оборудования, системного и
прикладного программного обеспечения, средств
технической и криптографической защиты
информации
❑ физические границы информационной системы
❑ внешние и внутренние информационные потоки и
протоколы обмена защищаемой информацией
22. Общая схема СЗИ
Результат
6_Общая схема СЗИ ИС ЭП.docx
Требование Орг. меры Техн. меры Средства ЗИ
6.1 Обеспечение защиты от
агрессивного использования
ресурсов виртуальной
инфраструктуры потребителями
услуг
-
IaaS: встроенные
функции гипервизора
IaaS: VMware vSphere
6.5 Обеспечение
резервирования сетевого
оборудования по схеме N+1
-
IaaS: Кластер
сетевого
оборудования
-
7.6 Обеспечение
резервирования информации,
подлежащей резервированию
ЛПА потребителя,
регламентирующи
е резервирование
Встроенные функции
объектов ИС (СУБД)
IaaS: VMware vSphere;
BaaS: Veeam
Backup&Replication.
7.13 Обеспечение управления
внешними информационными
потоками (маршрутизация)
между информационными
системами.
- -
IaaS: Сетевое
оборудование; VMware
NSX
23. Дальнейшие шаги:
Этап 2. Создание СЗИ.
Этап 3. Аттестация СЗИ
комплекс организационно-технических мероприятий, в результате
которых документально подтверждается соответствие системы защиты
информации требованиям законодательства об информации,
информатизации и защите информации.
На этапе создания системы защиты информации осуществляются:
❑ внедрение средств технической и криптографической защиты информации,
проверка их работоспособности и совместимости с другими объектами
информационной системы;
❑ разработка (корректировка) документации на систему защиты информации по
перечню, определенному в техническом задании;
❑ реализация организационных мер по защите информации.
24. Руководитель организации
несет персональную
ответственность
за организацию работ по
технической и
криптографической защите
информации в организации.
(п.15)
Указ Президента РБ от 16.04.2013 № 196
(в редакции Указа Президента РБ от
09.12.2019 № 449)
Положение о технической и
криптографической защите
информации
25. Дополнительно
Вкладки:
− Введение - Назначение инструмента и используемые сокращения.
− Руководство по заполнению - Рекомендации по заполнению таблиц.
− Проект создания СЗИ - Отслеживание статуса реализации комплекса
мероприятий по проектированию, созданию и аттестации СЗИ.
− Реализация требований ТЗ - Отслеживание статуса реализации
требований технического задания на создание СЗИ.
− Сводная информация - Сводная информация о реализации проекта.
Проект СЗИ_v.1.0.xlsx