SlideShare a Scribd company logo

Aksionov_B_E_E_R_2022.pdf

trenders
trenders

Проектирование системы защиты информации (Мастер класс)

Software
1 of 28
Download to read offline
Проектирование системы защиты информации (Мастер-класс) Вячеслав Аксёнов, Enterprise Security Architect BEST ENGINEERING EVENT OF THE REPUBLIC B.E.E.R 2022
Рассмотрим на примерах: 1. Реализацию комплекса мероприятий по защите информации. 2. Основные этапы и результаты 3. Как выглядят основные документы проекта (Акт классификации, ТЗ, Общая схема СЗИ) + Дополнительные материалы: шаблоны документов, инструмент для управления проектом.
Дано: Информационная система/ресурс: ➢ Сервер электронной почты (1 ВМ - Postfix). Инфраструктура: ➢ IaaS (поставщика услуг). ➢ Офис: обеспечивающая IT-инфраструктура (ПК сотрудников и т.п.). Цель проекта: ➢ Проектирование системы защиты информации информационной системы, размещенной с использованием IaaS. Критерий успеха: ➢ Получение аттестата соответствия.
Закон РБ от 10.11.2008 г. № 455-З «Об информации, информатизации и защите информации» Положение о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Положение о технической и криптографической защите информации Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Закон РБ от 05.01.2013 г. № 16-З «О коммерческой тайне» Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 О служебной информации ограниченного распространения и информации, составляющей коммерческую тайну Постановление Совета Министров РБ от 12 августа 2014 г. № 783 Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) Постановление Совета Министров РБ 15.05.2013 № 375 (в редакции постановления Совета Министров РБ 12.03.2020 № 145) Перечень государственных стандартов, взаимосвязанных с техническим регламентом Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (TP 2013/027/BY) Приказ ОАЦ от 12.03.2020 № 77 Более 50 актов
Основные НПА: Положение о технической и криптографической защите информации (Указ 196 в ред 449) Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (Приказ ОАЦ 66 в ред 195) Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (Приказ ОАЦ 66 в ред 195)
Этапы проекта: Категорирование информации и Классификация ИС Анализ структуры ИС Разработка / доработка политики ИБ Разработка технического задания на создание СЗИ Определение требований к средствам ЗИ, подлежащим закупке Разработка документа «Общая схема СЗИ» Ввод в действие СЗИ: закупка, монтаж, пусконаладочные работы Разработка (корректировка) документации на систему ЗИ Разработка программы и методики аттестации Проведение аттестации системы защиты информации Оформление технического отчета и протокола испытаний Оформление аттестата соответствия
Категорирование / Классификация Деятельность Результат Назначить комиссию для проведения работ по категорированию информации и отнесению информационной системы к классу типовых информационных систем Приказ по организации Провести категорирование информации, которая будет обрабатываться в информационной системе, в соответствии с законодательством об информации, информатизации и защите информации, а также отнесение информационной системы к классу типовых информационных систем согласно приложению 1 Положение о порядке ТЗИ и КЗИ в ИС – Приказ ОАЦ 66 в ред 195 Акт отнесения информационной системы к классу типовых информационных систем
Группа Информация, распространение и (или) предоставление которой ограничено Подгруппа Изолированная Открытая Категория ин спец бг юл дсп ин спец бг юл дсп Класс 4-ин 4-спец 4-бг 4-юл 4-дсп 3-ин 3-спец 3-бг 3-юл 3-дсп изолированная - не имеет подключений к открытым каналам передачи данных; открытая - подключена к открытым каналам передачи данных; ин – персональные данные, за исключением специальных персональных данных; спец – специальные персональные данные, за исключением биометрических и генетических персональных данных; бг – биометрические и генетические персональные данные; юл – информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих гос секреты, и служебной информации ограниченного распространения); дсп – служебная информация ограниченного распространения. Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 (в редакции Приказа 195) Классификация ИС/ИР
Группа Информация, распространение и (или) предоставление которой ограничено Подгруппа Изолированная Открытая Категория ин спец бг юл дсп ин спец бг юл дсп Класс 4-ин 4-спец 4-бг 4-юл 4-дсп 3-ин 3-спец 3-бг 3-юл 3-дсп изолированная - не имеет подключений к открытым каналам передачи данных; открытая - подключена к открытым каналам передачи данных; ин – персональные данные, за исключением специальных персональных данных; спец – специальные персональные данные, за исключением биометрических и генетических персональных данных; бг – биометрические и генетические персональные данные; юл – информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих гос секреты, и служебной информации ограниченного распространения); дсп – служебная информация ограниченного распространения. Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 (в редакции Приказа 195) Классификация ИС/ИР
Классификация ИС/ИР результаты 1_Приказ О проведении классификации ИС ЭП.docx 2_Акт классификации ИС ЭП.docx
Анализ структуры ИС результаты ЦОД CSP IaaS VM MAIL Пользователь Системный администратор Администратор безопасности FW/IPS/AMP Имя IP VM CPU (ядра) RAM (Gb) SSD (Gb) Tier-1 IP внешние (кол-во) vEDGE NAT ОС bymail ххх.ххх.ххх.ххх 2 2 20 1 (ххх.ххх.ххх.ххх) Debian 10 № Перечень системного и прикладного ПО 1 MAIL-сервер(mail.xyz.by) 1.1 Системное ПО Debian 10 1.2 Прикладное ПО Postfix 3.5.8 1.3 Средства ЗИ Программное изделие «Kaspersky Security 8.0 для Linux Mail Server» Пользователь mail.xyz.by https Системный администратор Администратор безопасности Система управления виртуализацией Bel VPN Client vdc.csp.by/admin www.belgim.by Bel VPN Gate 3_Общее описание ИС ЭП.docx
https://www.sans.org/security- resources/policies http://securitypolicy.ru/ Политика ИБ Должна содержать: − цели и принципы ЗИ в организации; − перечень ИС, отнесенных к соотв. классам типовых ИС, перечень СВТ, а также сведения о подразделении ЗИ (должностном лице), ответственном за обеспечение ЗИ − обязанности пользователей ИС; − порядок взаимодействия с иными ИС (в случае предполагаемого взаимодействия). 4_Политика ИБ.docx
Техническое задание должно содержать: наименование ИС с указанием присвоенного ей класса типовых ИС; требования к СЗИ в зависимости от используемых технологий и класса типовых ИС на основе перечня согласно приложению 3; сведения об организации взаимодействия с иными ИС (в случае предполагаемого взаимодействия) с учетом требований согласно приложению 4; порядок обезличивания персональных данных (в случае их обработки в информационной системе) с применением методов согласно приложению 5 требования к средствам криптографической защиты информации; перечень документации на систему защиты информации. требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого собственника (владельца) Разрабатывается собственником (владельцем) ИС либо лицензиатом ОАЦ и утверждается собственником (владельцем) ИС. Собственник (владелец) ИС вправе не включать в техническое задание отдельные обязательные требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер Техническое задание
Перечень требований к СЗИ, подлежащих включению в ТЗ ❑ Аудит безопасности ❑ Требования по обеспечению защиты данных ❑ Требования по обеспечению идентификации и аутентификации ❑ Требования по защите системы защиты информации информационной системы ❑ Обеспечение криптографической защиты информации ❑ Дополнительные требования по обеспечению защиты информации в виртуальной инфраструктуре ❑ Иные требования Перечень требований к СЗИ Приложение 3 к Положению… Примечания: 1. Обозначения «4-ин» … «3-дсп» соответствуют классам типовых информационных систем. 2. Требования, отмеченные знаком «+», являются обязательными. 3. Требования, отмеченные знаком «+/–», являются рекомендуемыми.
Перечень требований к СЗИ Приложение 3 к Положению…
Перечень требований к СЗИ Приложение 3 к Положению… AV EP - Обеспечение защиты средств вычислительной техники от вредоносных программ. AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ. AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ. VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного шифрования). Pre-crypt - Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования). IC - Обеспечение контроля целостности данных в информационной системе (средства контроля целостности). DLP - Использование системы обнаружения и предотвращения утечек информации из информационной системы. LM - Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности. IDM - Обеспечение централизованного управления учетными записями пользователей информационной системы. AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования. Класс ИС FW IDS AV EP IC LM DLP 3-дсп 3-юл 3-бг 3-спец 3-ин IDM AM AV NET AV MAIL Rout Proxy / WAF Pre- crypt VPN Rout - Использование маршрутизатора (коммутатора маршрутизирующего) FW - Использование межсетевого экрана. Proxy / WAF - Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях. IDS - Обеспечение обнаружения и предотвращения вторжений в информационной системе.
Перечень требований к СЗИ Приложение 3 к Положению… AV EP - Обеспечение защиты средств вычислительной техники от вредоносных программ. AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ. AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ. VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного шифрования). Pre-crypt - Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования). IC - Обеспечение контроля целостности данных в информационной системе (средства контроля целостности). DLP - Использование системы обнаружения и предотвращения утечек информации из информационной системы. LM - Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности. IDM - Обеспечение централизованного управления учетными записями пользователей информационной системы. AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования. Класс ИС FW IDS AV EP IC LM DLP 3-дсп 3-юл 3-бг 3-спец 3-ин IDM AM AV NET AV MAIL Rout Proxy / WAF Pre- crypt VPN Rout - Использование маршрутизатора (коммутатора маршрутизирующего) FW - Использование межсетевого экрана. Proxy / WAF - Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях. IDS - Обеспечение обнаружения и предотвращения вторжений в информационной системе.
Класс ИС FW IDS AV EP LM 3-юл 3-ин IDM AM AV NET AV MAIL Rout Proxy / WAF VPN Распределение ответственности требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого собственника (владельца) Поставщик Потребитель Наименование требования Поставщик Потребитель 2.2 Обеспечение контроля за работоспособностью, параметрами настройки и правильностью функционирования средств вычислительной техники, сетевого оборудования, системного программного обеспечения и средств защиты информации В отношении: - виртуальной инфраструктуры IaaS - сетевого оборудования - дополнительных сервисов В отношении: - ПК администраторов - общесистемного ПО - программных средств защиты информации 6.1 Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг В отношении виртуальной инфраструктуры IaaS - 7.10 Обеспечение защиты средств вычислительной техники от вредоносных программ В отношении: - СВТ виртуальной инфраструктуры IaaS - ПК администраторов IaaS В отношении: - ПК администраторов - виртуальных машин
• резервирования и уничтожения информации; • защиты от вредоносного программного обеспечения; • использования съемных носителей информации; • использования электронной почты; • обновления средств защиты информации; • осуществления контроля (мониторинга) за функционированием информационной системы и системы защиты информации; • реагирования на события информационной безопасности и ликвидации их последствий; • управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению. Регламенты Перечень документации на СЗИ Функции Должностные лица и подразделения Должность 1 Должность 2 Должность 3 Функция №1 О И Функция №2 Р И И Функция № N Обозначения: О – ответственный за выполнение; У – участвует в выполнении; И – информируется Р – принимает решение, утверждает.
Техническое задание Результат 5_ТЗ на СЗИ ИС ЭП.docx
Общая схема СЗИ Общая схема системы защиты информации должна содержать: ❑ наименование информационной системы ❑ класс типовых информационных систем ❑ места размещения средств вычислительной техники, сетевого оборудования, системного и прикладного программного обеспечения, средств технической и криптографической защиты информации ❑ физические границы информационной системы ❑ внешние и внутренние информационные потоки и протоколы обмена защищаемой информацией
Общая схема СЗИ Результат 6_Общая схема СЗИ ИС ЭП.docx Требование Орг. меры Техн. меры Средства ЗИ 6.1 Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг - IaaS: встроенные функции гипервизора IaaS: VMware vSphere 6.5 Обеспечение резервирования сетевого оборудования по схеме N+1 - IaaS: Кластер сетевого оборудования - 7.6 Обеспечение резервирования информации, подлежащей резервированию ЛПА потребителя, регламентирующи е резервирование Встроенные функции объектов ИС (СУБД) IaaS: VMware vSphere; BaaS: Veeam Backup&Replication. 7.13 Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. - - IaaS: Сетевое оборудование; VMware NSX
Дальнейшие шаги: Этап 2. Создание СЗИ. Этап 3. Аттестация СЗИ комплекс организационно-технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации. На этапе создания системы защиты информации осуществляются: ❑ внедрение средств технической и криптографической защиты информации, проверка их работоспособности и совместимости с другими объектами информационной системы; ❑ разработка (корректировка) документации на систему защиты информации по перечню, определенному в техническом задании; ❑ реализация организационных мер по защите информации.
Руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации. (п.15) Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о технической и криптографической защите информации
Дополнительно Вкладки: − Введение - Назначение инструмента и используемые сокращения. − Руководство по заполнению - Рекомендации по заполнению таблиц. − Проект создания СЗИ - Отслеживание статуса реализации комплекса мероприятий по проектированию, созданию и аттестации СЗИ. − Реализация требований ТЗ - Отслеживание статуса реализации требований технического задания на создание СЗИ. − Сводная информация - Сводная информация о реализации проекта. Проект СЗИ_v.1.0.xlsx
Дополнительно Все шаблоны документов будут размещены на сайте конференции https://itg.by/
Дополнительно https://www.youtube.com/watch?v=dijG GSn6JYQ&t=1s https://www.slideshare.net/Viacheslav Aksionov/personal-data-protection- presentation-beer-winter-2021 Facebook Belarusian InfoSecurity Community Telegram Belarusian InfoSec Community itsec.by Telegram itsec.by Авторские курсы
СПАСИБО ЗА ВНИМАНИЕ! Вячеслав Аксёнов, Enterprise Security Architect

Recommended

Аксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdfАксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdftrenders
 
Проектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdfПроектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdftrenders
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеguestfa9aa
 
Проектирование СЗИ.pdf
Проектирование СЗИ.pdfПроектирование СЗИ.pdf
Проектирование СЗИ.pdftrenders
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systemsВячеслав Аксёнов
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...SQALab
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)Вячеслав Аксёнов
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
 

Recommended

Аксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdfАксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdftrenders
 
Проектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdfПроектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdftrenders
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеguestfa9aa
 
Проектирование СЗИ.pdf
Проектирование СЗИ.pdfПроектирование СЗИ.pdf
Проектирование СЗИ.pdftrenders
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systemsВячеслав Аксёнов
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...SQALab
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)Вячеслав Аксёнов
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementationВячеслав Аксёнов
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...SQALab
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТПAleksey Lukatskiy
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...SelectedPresentations
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииBulat Shamsutdinov
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)Ignat Dydyshko
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Стадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdfСтадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdftrenders
 
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...journalrubezh
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trendsTim Parson
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Вячеслав Аксёнов
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...Олег Габов
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациSoftline
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification processУчебный центр "Эшелон"
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Expolink
 
Защита ГИС
Защита ГИСЗащита ГИС
Защита ГИСАлексей Кураленко
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...SelectedPresentations
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1Ekaterina Morozova
 
Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Cisco Russia
 
Крипторегулирование в Беларуси - 2023 год
Крипторегулирование в Беларуси - 2023 годКрипторегулирование в Беларуси - 2023 год
Крипторегулирование в Беларуси - 2023 годtrenders
 
Обучение по вопросам ЗПД.pdf
Обучение по вопросам ЗПД.pdfОбучение по вопросам ЗПД.pdf
Обучение по вопросам ЗПД.pdftrenders
 

More Related Content

Similar to Aksionov_B_E_E_R_2022.pdf

Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...SQALab
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТПAleksey Lukatskiy
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...SelectedPresentations
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииBulat Shamsutdinov
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)Ignat Dydyshko
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Стадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdfСтадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdftrenders
 
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...journalrubezh
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trendsTim Parson
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Вячеслав Аксёнов
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...Олег Габов
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациSoftline
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Expolink
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...SelectedPresentations
 
Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Cisco Russia
 

Similar to Aksionov_B_E_E_R_2022.pdf (20)

ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementation
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТП
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информации
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
 
Стадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdfСтадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdf
 
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trends
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
 
Защита ГИС
Защита ГИСЗащита ГИС
Защита ГИС
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...
 

More from trenders

Крипторегулирование в Беларуси - 2023 год
Крипторегулирование в Беларуси - 2023 годКрипторегулирование в Беларуси - 2023 год
Крипторегулирование в Беларуси - 2023 годtrenders
 
Обучение по вопросам ЗПД.pdf
Обучение по вопросам ЗПД.pdfОбучение по вопросам ЗПД.pdf
Обучение по вопросам ЗПД.pdftrenders
 
Управление риском в СМИБ.pdf
Управление риском в СМИБ.pdfУправление риском в СМИБ.pdf
Управление риском в СМИБ.pdftrenders
 
Обеспечение ИБ Банков (обзорная презентация курса).pdf
Обеспечение ИБ Банков (обзорная презентация курса).pdfОбеспечение ИБ Банков (обзорная презентация курса).pdf
Обеспечение ИБ Банков (обзорная презентация курса).pdftrenders
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdfАксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdftrenders
 
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdf
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdfАксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdf
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdftrenders
 
iso-mek-27001-2022.pdf
iso-mek-27001-2022.pdfiso-mek-27001-2022.pdf
iso-mek-27001-2022.pdftrenders
 
Information security risk management.pdf
Information security risk management.pdfInformation security risk management.pdf
Information security risk management.pdftrenders
 
Guide to Computer Security Log Management (ru).pdf
Guide to Computer Security Log Management (ru).pdfGuide to Computer Security Log Management (ru).pdf
Guide to Computer Security Log Management (ru).pdftrenders
 
Exercise Programs for IT Plans and Capabilities (ru).pdf
Exercise Programs for IT Plans and Capabilities (ru).pdfExercise Programs for IT Plans and Capabilities (ru).pdf
Exercise Programs for IT Plans and Capabilities (ru).pdftrenders
 
Enterprise Security Architecture.pdf
Enterprise Security Architecture.pdfEnterprise Security Architecture.pdf
Enterprise Security Architecture.pdftrenders
 
CIS Critical Security Controls.pdf
CIS Critical Security Controls.pdfCIS Critical Security Controls.pdf
CIS Critical Security Controls.pdftrenders
 
Computer Security Incident Handling Guide (ru).pdf
Computer Security Incident Handling Guide (ru).pdfComputer Security Incident Handling Guide (ru).pdf
Computer Security Incident Handling Guide (ru).pdftrenders
 
Экосистема промышленной кибербезопасности.pdf
Экосистема промышленной кибербезопасности.pdfЭкосистема промышленной кибербезопасности.pdf
Экосистема промышленной кибербезопасности.pdftrenders
 
Стратегия компании и пути развития.pdf
Стратегия компании и пути развития.pdfСтратегия компании и пути развития.pdf
Стратегия компании и пути развития.pdftrenders
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdftrenders
 
Ландшафт киберугроз и современные тренды ИБ.pdf
Ландшафт киберугроз и современные тренды ИБ.pdfЛандшафт киберугроз и современные тренды ИБ.pdf
Ландшафт киберугроз и современные тренды ИБ.pdftrenders
 
Контроль происходящего на стыке IT и ОТ.pdf
Контроль происходящего на стыке IT и ОТ.pdfКонтроль происходящего на стыке IT и ОТ.pdf
Контроль происходящего на стыке IT и ОТ.pdftrenders
 
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdftrenders
 
Комплексная защита промышленной инфраструктуры.pdf
Комплексная защита промышленной инфраструктуры.pdfКомплексная защита промышленной инфраструктуры.pdf
Комплексная защита промышленной инфраструктуры.pdftrenders
 

More from trenders (20)

Крипторегулирование в Беларуси - 2023 год
Крипторегулирование в Беларуси - 2023 годКрипторегулирование в Беларуси - 2023 год
Крипторегулирование в Беларуси - 2023 год
 
Обучение по вопросам ЗПД.pdf
Обучение по вопросам ЗПД.pdfОбучение по вопросам ЗПД.pdf
Обучение по вопросам ЗПД.pdf
 
Управление риском в СМИБ.pdf
Управление риском в СМИБ.pdfУправление риском в СМИБ.pdf
Управление риском в СМИБ.pdf
 
Обеспечение ИБ Банков (обзорная презентация курса).pdf
Обеспечение ИБ Банков (обзорная презентация курса).pdfОбеспечение ИБ Банков (обзорная презентация курса).pdf
Обеспечение ИБ Банков (обзорная презентация курса).pdf
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdfАксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
 
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdf
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdfАксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdf
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdf
 
iso-mek-27001-2022.pdf
iso-mek-27001-2022.pdfiso-mek-27001-2022.pdf
iso-mek-27001-2022.pdf
 
Information security risk management.pdf
Information security risk management.pdfInformation security risk management.pdf
Information security risk management.pdf
 
Guide to Computer Security Log Management (ru).pdf
Guide to Computer Security Log Management (ru).pdfGuide to Computer Security Log Management (ru).pdf
Guide to Computer Security Log Management (ru).pdf
 
Exercise Programs for IT Plans and Capabilities (ru).pdf
Exercise Programs for IT Plans and Capabilities (ru).pdfExercise Programs for IT Plans and Capabilities (ru).pdf
Exercise Programs for IT Plans and Capabilities (ru).pdf
 
Enterprise Security Architecture.pdf
Enterprise Security Architecture.pdfEnterprise Security Architecture.pdf
Enterprise Security Architecture.pdf
 
CIS Critical Security Controls.pdf
CIS Critical Security Controls.pdfCIS Critical Security Controls.pdf
CIS Critical Security Controls.pdf
 
Computer Security Incident Handling Guide (ru).pdf
Computer Security Incident Handling Guide (ru).pdfComputer Security Incident Handling Guide (ru).pdf
Computer Security Incident Handling Guide (ru).pdf
 
Экосистема промышленной кибербезопасности.pdf
Экосистема промышленной кибербезопасности.pdfЭкосистема промышленной кибербезопасности.pdf
Экосистема промышленной кибербезопасности.pdf
 
Стратегия компании и пути развития.pdf
Стратегия компании и пути развития.pdfСтратегия компании и пути развития.pdf
Стратегия компании и пути развития.pdf
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdf
 
Ландшафт киберугроз и современные тренды ИБ.pdf
Ландшафт киберугроз и современные тренды ИБ.pdfЛандшафт киберугроз и современные тренды ИБ.pdf
Ландшафт киберугроз и современные тренды ИБ.pdf
 
Контроль происходящего на стыке IT и ОТ.pdf
Контроль происходящего на стыке IT и ОТ.pdfКонтроль происходящего на стыке IT и ОТ.pdf
Контроль происходящего на стыке IT и ОТ.pdf
 
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdf
 
Комплексная защита промышленной инфраструктуры.pdf
Комплексная защита промышленной инфраструктуры.pdfКомплексная защита промышленной инфраструктуры.pdf
Комплексная защита промышленной инфраструктуры.pdf
 

Aksionov_B_E_E_R_2022.pdf

  • 1. Проектирование системы защиты информации (Мастер-класс) Вячеслав Аксёнов, Enterprise Security Architect BEST ENGINEERING EVENT OF THE REPUBLIC B.E.E.R 2022
  • 2. Рассмотрим на примерах: 1. Реализацию комплекса мероприятий по защите информации. 2. Основные этапы и результаты 3. Как выглядят основные документы проекта (Акт классификации, ТЗ, Общая схема СЗИ) + Дополнительные материалы: шаблоны документов, инструмент для управления проектом.
  • 3. Дано: Информационная система/ресурс: ➢ Сервер электронной почты (1 ВМ - Postfix). Инфраструктура: ➢ IaaS (поставщика услуг). ➢ Офис: обеспечивающая IT-инфраструктура (ПК сотрудников и т.п.). Цель проекта: ➢ Проектирование системы защиты информации информационной системы, размещенной с использованием IaaS. Критерий успеха: ➢ Получение аттестата соответствия.
  • 4. Закон РБ от 10.11.2008 г. № 455-З «Об информации, информатизации и защите информации» Положение о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Положение о технической и криптографической защите информации Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Закон РБ от 05.01.2013 г. № 16-З «О коммерческой тайне» Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 О служебной информации ограниченного распространения и информации, составляющей коммерческую тайну Постановление Совета Министров РБ от 12 августа 2014 г. № 783 Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) Постановление Совета Министров РБ 15.05.2013 № 375 (в редакции постановления Совета Министров РБ 12.03.2020 № 145) Перечень государственных стандартов, взаимосвязанных с техническим регламентом Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (TP 2013/027/BY) Приказ ОАЦ от 12.03.2020 № 77 Более 50 актов
  • 5. Основные НПА: Положение о технической и криптографической защите информации (Указ 196 в ред 449) Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (Приказ ОАЦ 66 в ред 195) Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (Приказ ОАЦ 66 в ред 195)
  • 6. Этапы проекта: Категорирование информации и Классификация ИС Анализ структуры ИС Разработка / доработка политики ИБ Разработка технического задания на создание СЗИ Определение требований к средствам ЗИ, подлежащим закупке Разработка документа «Общая схема СЗИ» Ввод в действие СЗИ: закупка, монтаж, пусконаладочные работы Разработка (корректировка) документации на систему ЗИ Разработка программы и методики аттестации Проведение аттестации системы защиты информации Оформление технического отчета и протокола испытаний Оформление аттестата соответствия
  • 7. Категорирование / Классификация Деятельность Результат Назначить комиссию для проведения работ по категорированию информации и отнесению информационной системы к классу типовых информационных систем Приказ по организации Провести категорирование информации, которая будет обрабатываться в информационной системе, в соответствии с законодательством об информации, информатизации и защите информации, а также отнесение информационной системы к классу типовых информационных систем согласно приложению 1 Положение о порядке ТЗИ и КЗИ в ИС – Приказ ОАЦ 66 в ред 195 Акт отнесения информационной системы к классу типовых информационных систем
  • 8. Группа Информация, распространение и (или) предоставление которой ограничено Подгруппа Изолированная Открытая Категория ин спец бг юл дсп ин спец бг юл дсп Класс 4-ин 4-спец 4-бг 4-юл 4-дсп 3-ин 3-спец 3-бг 3-юл 3-дсп изолированная - не имеет подключений к открытым каналам передачи данных; открытая - подключена к открытым каналам передачи данных; ин – персональные данные, за исключением специальных персональных данных; спец – специальные персональные данные, за исключением биометрических и генетических персональных данных; бг – биометрические и генетические персональные данные; юл – информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих гос секреты, и служебной информации ограниченного распространения); дсп – служебная информация ограниченного распространения. Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 (в редакции Приказа 195) Классификация ИС/ИР
  • 9. Группа Информация, распространение и (или) предоставление которой ограничено Подгруппа Изолированная Открытая Категория ин спец бг юл дсп ин спец бг юл дсп Класс 4-ин 4-спец 4-бг 4-юл 4-дсп 3-ин 3-спец 3-бг 3-юл 3-дсп изолированная - не имеет подключений к открытым каналам передачи данных; открытая - подключена к открытым каналам передачи данных; ин – персональные данные, за исключением специальных персональных данных; спец – специальные персональные данные, за исключением биометрических и генетических персональных данных; бг – биометрические и генетические персональные данные; юл – информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих гос секреты, и служебной информации ограниченного распространения); дсп – служебная информация ограниченного распространения. Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 (в редакции Приказа 195) Классификация ИС/ИР
  • 10. Классификация ИС/ИР результаты 1_Приказ О проведении классификации ИС ЭП.docx 2_Акт классификации ИС ЭП.docx
  • 11. Анализ структуры ИС результаты ЦОД CSP IaaS VM MAIL Пользователь Системный администратор Администратор безопасности FW/IPS/AMP Имя IP VM CPU (ядра) RAM (Gb) SSD (Gb) Tier-1 IP внешние (кол-во) vEDGE NAT ОС bymail ххх.ххх.ххх.ххх 2 2 20 1 (ххх.ххх.ххх.ххх) Debian 10 № Перечень системного и прикладного ПО 1 MAIL-сервер(mail.xyz.by) 1.1 Системное ПО Debian 10 1.2 Прикладное ПО Postfix 3.5.8 1.3 Средства ЗИ Программное изделие «Kaspersky Security 8.0 для Linux Mail Server» Пользователь mail.xyz.by https Системный администратор Администратор безопасности Система управления виртуализацией Bel VPN Client vdc.csp.by/admin www.belgim.by Bel VPN Gate 3_Общее описание ИС ЭП.docx
  • 12. https://www.sans.org/security- resources/policies http://securitypolicy.ru/ Политика ИБ Должна содержать: − цели и принципы ЗИ в организации; − перечень ИС, отнесенных к соотв. классам типовых ИС, перечень СВТ, а также сведения о подразделении ЗИ (должностном лице), ответственном за обеспечение ЗИ − обязанности пользователей ИС; − порядок взаимодействия с иными ИС (в случае предполагаемого взаимодействия). 4_Политика ИБ.docx
  • 13. Техническое задание должно содержать: наименование ИС с указанием присвоенного ей класса типовых ИС; требования к СЗИ в зависимости от используемых технологий и класса типовых ИС на основе перечня согласно приложению 3; сведения об организации взаимодействия с иными ИС (в случае предполагаемого взаимодействия) с учетом требований согласно приложению 4; порядок обезличивания персональных данных (в случае их обработки в информационной системе) с применением методов согласно приложению 5 требования к средствам криптографической защиты информации; перечень документации на систему защиты информации. требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого собственника (владельца) Разрабатывается собственником (владельцем) ИС либо лицензиатом ОАЦ и утверждается собственником (владельцем) ИС. Собственник (владелец) ИС вправе не включать в техническое задание отдельные обязательные требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер Техническое задание
  • 14. Перечень требований к СЗИ, подлежащих включению в ТЗ ❑ Аудит безопасности ❑ Требования по обеспечению защиты данных ❑ Требования по обеспечению идентификации и аутентификации ❑ Требования по защите системы защиты информации информационной системы ❑ Обеспечение криптографической защиты информации ❑ Дополнительные требования по обеспечению защиты информации в виртуальной инфраструктуре ❑ Иные требования Перечень требований к СЗИ Приложение 3 к Положению… Примечания: 1. Обозначения «4-ин» … «3-дсп» соответствуют классам типовых информационных систем. 2. Требования, отмеченные знаком «+», являются обязательными. 3. Требования, отмеченные знаком «+/–», являются рекомендуемыми.
  • 15. Перечень требований к СЗИ Приложение 3 к Положению…
  • 16. Перечень требований к СЗИ Приложение 3 к Положению… AV EP - Обеспечение защиты средств вычислительной техники от вредоносных программ. AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ. AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ. VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного шифрования). Pre-crypt - Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования). IC - Обеспечение контроля целостности данных в информационной системе (средства контроля целостности). DLP - Использование системы обнаружения и предотвращения утечек информации из информационной системы. LM - Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности. IDM - Обеспечение централизованного управления учетными записями пользователей информационной системы. AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования. Класс ИС FW IDS AV EP IC LM DLP 3-дсп 3-юл 3-бг 3-спец 3-ин IDM AM AV NET AV MAIL Rout Proxy / WAF Pre- crypt VPN Rout - Использование маршрутизатора (коммутатора маршрутизирующего) FW - Использование межсетевого экрана. Proxy / WAF - Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях. IDS - Обеспечение обнаружения и предотвращения вторжений в информационной системе.
  • 17. Перечень требований к СЗИ Приложение 3 к Положению… AV EP - Обеспечение защиты средств вычислительной техники от вредоносных программ. AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ. AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ. VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного шифрования). Pre-crypt - Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования). IC - Обеспечение контроля целостности данных в информационной системе (средства контроля целостности). DLP - Использование системы обнаружения и предотвращения утечек информации из информационной системы. LM - Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности. IDM - Обеспечение централизованного управления учетными записями пользователей информационной системы. AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования. Класс ИС FW IDS AV EP IC LM DLP 3-дсп 3-юл 3-бг 3-спец 3-ин IDM AM AV NET AV MAIL Rout Proxy / WAF Pre- crypt VPN Rout - Использование маршрутизатора (коммутатора маршрутизирующего) FW - Использование межсетевого экрана. Proxy / WAF - Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях. IDS - Обеспечение обнаружения и предотвращения вторжений в информационной системе.
  • 18. Класс ИС FW IDS AV EP LM 3-юл 3-ин IDM AM AV NET AV MAIL Rout Proxy / WAF VPN Распределение ответственности требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого собственника (владельца) Поставщик Потребитель Наименование требования Поставщик Потребитель 2.2 Обеспечение контроля за работоспособностью, параметрами настройки и правильностью функционирования средств вычислительной техники, сетевого оборудования, системного программного обеспечения и средств защиты информации В отношении: - виртуальной инфраструктуры IaaS - сетевого оборудования - дополнительных сервисов В отношении: - ПК администраторов - общесистемного ПО - программных средств защиты информации 6.1 Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг В отношении виртуальной инфраструктуры IaaS - 7.10 Обеспечение защиты средств вычислительной техники от вредоносных программ В отношении: - СВТ виртуальной инфраструктуры IaaS - ПК администраторов IaaS В отношении: - ПК администраторов - виртуальных машин
  • 19. • резервирования и уничтожения информации; • защиты от вредоносного программного обеспечения; • использования съемных носителей информации; • использования электронной почты; • обновления средств защиты информации; • осуществления контроля (мониторинга) за функционированием информационной системы и системы защиты информации; • реагирования на события информационной безопасности и ликвидации их последствий; • управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению. Регламенты Перечень документации на СЗИ Функции Должностные лица и подразделения Должность 1 Должность 2 Должность 3 Функция №1 О И Функция №2 Р И И Функция № N Обозначения: О – ответственный за выполнение; У – участвует в выполнении; И – информируется Р – принимает решение, утверждает.
  • 21. Общая схема СЗИ Общая схема системы защиты информации должна содержать: ❑ наименование информационной системы ❑ класс типовых информационных систем ❑ места размещения средств вычислительной техники, сетевого оборудования, системного и прикладного программного обеспечения, средств технической и криптографической защиты информации ❑ физические границы информационной системы ❑ внешние и внутренние информационные потоки и протоколы обмена защищаемой информацией
  • 22. Общая схема СЗИ Результат 6_Общая схема СЗИ ИС ЭП.docx Требование Орг. меры Техн. меры Средства ЗИ 6.1 Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг - IaaS: встроенные функции гипервизора IaaS: VMware vSphere 6.5 Обеспечение резервирования сетевого оборудования по схеме N+1 - IaaS: Кластер сетевого оборудования - 7.6 Обеспечение резервирования информации, подлежащей резервированию ЛПА потребителя, регламентирующи е резервирование Встроенные функции объектов ИС (СУБД) IaaS: VMware vSphere; BaaS: Veeam Backup&Replication. 7.13 Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. - - IaaS: Сетевое оборудование; VMware NSX
  • 23. Дальнейшие шаги: Этап 2. Создание СЗИ. Этап 3. Аттестация СЗИ комплекс организационно-технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации. На этапе создания системы защиты информации осуществляются: ❑ внедрение средств технической и криптографической защиты информации, проверка их работоспособности и совместимости с другими объектами информационной системы; ❑ разработка (корректировка) документации на систему защиты информации по перечню, определенному в техническом задании; ❑ реализация организационных мер по защите информации.
  • 24. Руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации. (п.15) Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о технической и криптографической защите информации
  • 25. Дополнительно Вкладки: − Введение - Назначение инструмента и используемые сокращения. − Руководство по заполнению - Рекомендации по заполнению таблиц. − Проект создания СЗИ - Отслеживание статуса реализации комплекса мероприятий по проектированию, созданию и аттестации СЗИ. − Реализация требований ТЗ - Отслеживание статуса реализации требований технического задания на создание СЗИ. − Сводная информация - Сводная информация о реализации проекта. Проект СЗИ_v.1.0.xlsx
  • 26. Дополнительно Все шаблоны документов будут размещены на сайте конференции https://itg.by/
  • 28. СПАСИБО ЗА ВНИМАНИЕ! Вячеслав Аксёнов, Enterprise Security Architect