SlideShare a Scribd company logo

Information Security Presentation (B.E.E.R 2021)

В
Вячеслав Аксёнов

Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/ Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.

1 of 32
Download to read offline
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур. Соберем конструктор вместе (Практический кейс) Вячеслав Аксёнов, Enterprise Security Architect BEST ENGINEERING EVENT OF THE REPUBLIC B.E.E.R 2021
Организация: ООО «XYZ». Частная форма собственности. Информационные системы/ресурсы:  CRM.  1С.  СПО – (web-приложение. оказание платных услуг физ. лицам).  ПО АРМ «Плательщик» (МНС), ПО «Ввод ДПУ» (ФСЗН), Консультант-Плюс, клиент-банк, почта, MS Project, web-сайт, хранилище файлов. Инфраструктура:  ЦОД (поставщика услуг): Серверный шкаф: серверы, оборудование СХД и СПД.  Офис: ПК сотрудников, обеспечивающая IT-инфраструктура.
Цель: Соответствие требованиям (законодательства) в области защиты информации
Проект: Этап 1. Определение применимых требований. Этап 2. Реализация требований.
Определение применимых требований ИНФОРМАЦИЯ распространение и (или) предоставление которой ограничено общедоступная персональные данные коммерческая тайна профессиональная тайна банковская тайна служебная информация ограниченного распространения государственные секреты Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» ГЛАВА 3
Определение применимых требований 3. Кто является владельцем (собственником) ИС? 1. Какая информация обрабатывается в ИС? Наша организация Другая организация общедоступная гос. секреты перс. данные ком. тайна (тайна юр. лица) служебная (ДСП) Реализация мероприятий по проектированию, созданию и аттестации СЗИ НАШЕЙ ОРГАНИЗАЦИИ НЕ ТРЕБУЕТСЯ Реализация мероприятий по проектированию, созданию и аттестации СЗИ ИС 2. Является ли наша организация государственной? Регулятор КГБ Требования супер секретные J ДА НЕТ
На основании соответствия критериям отнесения к КВОИ Показатели уровня вероятного ущерба национальным интересам Республики Беларусь в политической, экономической, социальной, информационной, экологической и иных сферах в случае создания угроз информационной безопасности либо в результате возникновения рисков информационной безопасности в отношении объекта информатизации, не предназначенного для проведения работ с использованием государственных секретов (его составляющих элементов) Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 65 Определение применимых требований
1. Составление перечня (реестра) информационных систем и ресурсов. 2. Категорирование информации (информационных систем) в соответствии с законодательством об информации, информатизации и защите информации. 3. Классификация информационных систем и ресурсов. 4. Определение применимых требований. Этап 1. Определение применимых требований
Инвентаризация ИС/ИР
Инвентаризация ИС/ИР
Инвентаризация ИС/ИР
Инвентаризация ИС/ИР
Инвентаризация ИС/ИР
Инвентаризация ИС/ИР
Группа Общедоступная информация Информация, распространение и (или) предоставление которой ограничено Подгруппа Изолированная Открытая Изолированная Открытая Категория частн гос частн гос фл юл дсп фл юл дсп Класс 6-частн 6-гос 5-частн 5-гос 4-фл 4-юл 4-дсп 3-фл 3-юл 3-дсп частн - негосударственные ИС; гос - государственные ИС; изолированная - не имеет подключений к открытым каналам передачи данных; открытая - подключена к открытым каналам передачи данных; фл - информация о частной жизни физического лица и персональные данные, иная информация, составляющая охраняемую законом тайну физического лица; юл - информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением гос секретов и ДСП); дсп - служебная информация ограниченного распространения. Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 Классификация ИС/ИР
Инвентаризация ИС/ИР
Классификация ИС/ИР Приложение 2 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
Необходимо создавать аттестованную СЗИ 3. Кто является владельцем (собственником) ИС? 1. Какая информация обрабатывается в ИС? Наша организация Другая организация общедоступная гос. секреты перс. данные ком. тайна (тайна юр. лица) служебная (ДСП) Реализация мероприятий по проектированию, созданию и аттестации СЗИ НАШЕЙ ОРГАНИЗАЦИИ НЕ ТРЕБУЕТСЯ Реализация мероприятий по проектированию, созданию и аттестации СЗИ ИС 2. Является ли наша организация государственной? Регулятор КГБ Требования супер секретные J ДА НЕТ
Необходимо создавать аттестованную СЗИ?
На основании соответствия критериям отнесения к КВОИ Определение применимых требований Показатели уровня вероятного ущерба национальным интересам Республики Беларусь в политической, экономической, социальной, информационной, экологической и иных сферах в случае создания угроз информационной безопасности либо в результате возникновения рисков информационной безопасности в отношении объекта информатизации, не предназначенного для проведения работ с использованием государственных секретов (его составляющих элементов) Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 65
Показатели уровня вероятного ущерба … Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 65 Оценка соответствия критериям отнесения к КВОИ
Определение применимых требований
Примечания: 1. Обозначения «4-фл», «4-юл», «4-дсп», «3-фл», «3-юл» и «3-дсп» соответствуют классам типовых информационных систем. 2. Требования, отмеченные знаком «+», являются обязательными. 3. Требования, отмеченные знаком «+/–», являются рекомендуемыми. Перечень требований к СЗИ Приложение 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно- аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
Перечень требований к СЗИ Приложение 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
Rout - Использование маршрутизатора (коммутатора маршрутизирующего) FW - Использование межсетевого экрана. IDS - Обеспечение обнаружения и предотвращения вторжений в информационной системе. AV EP - Обеспечение защиты СВТ от вредоносных программ. AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ. AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ. VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного или предварительного шифрования). DLP - Использование системы обнаружения и предотвращения утечек информации из ИС. LM - Обеспечение централизованного сбора и хранения информации о событиях ИБ. IDM - Обеспечение централизованного управления учетными записями пользователей ИС. AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования. Перечень требований к СЗИ Класс ИС FW IDS AV EP VPN LM DLP 3-дсп 3-юл 3-фл 4-дсп 4-юл 4-фл IDM AM AV NET AV MAIL Rout
Требования к проведению комплекса мероприятий (последовательность выполнения работ) Требования к организационным мерам (политика, регламенты). Требования к техническим мерам (средства защиты) Этап 2. Реализация требований
Категорирование информации Классификация ИС Анализ структуры ИС Разработка/дорабо тка политики ИБ Разработка технического задания на создание СЗИ Определение требований к средствам ЗИ, подлежащим к закупке Разработка документа «Общая схема СЗИ» Ввод в действие СЗИ: закупка, монтаж, пусконаладочные работы Разработка (корректировка) документации на систему ЗИ Подготовка исходных данных для проведения аттестации Разработка программы и методики аттестации Проведение аттестации системы защиты информации Оформление технического отчета и протокола испытаний Оформление аттестата соответствия Проект (последовательность работ) «Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», «Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденные Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
• цели и принципы защиты информации в организации; • перечень информационных систем, отнесенных к соответствующим классам типовых информационных систем, а также отдельно стоящих электронных собственности или ином законном основании, с указанием подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации; • обязанности пользователей информационной системы; • порядок взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия), в том числе при осуществлении информационных отношений на правах операторов, посредников, пользователей информационных систем и обладателей информации. Политика информационной безопасности • резервирования и уничтожения информации; • защиты от вредоносного программного обеспечения; • использования съемных носителей информации; • использования электронной почты; • обновления средств защиты информации; • осуществления контроля (мониторинга) за функционированием информационной системы и системы защиты информации; • реагирования на события информационной безопасности и ликвидации их последствий; • управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению. Регламенты Политика, регламенты
Средства защиты Область применения Маршрутизатор Cisco ISR 4321/K9 Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Межсетевой экран Cisco Firepower FPR1120-NGFW-K9 Многофункциональное устройство защиты информации FortiGate-100 FG-100F Межсетевое экранирование. Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Обеспечение сегментирования (изоляции) сети управления объектами информационной системы от сети передачи данных. Обеспечение обнаружения и предотвращения вторжений в информационной системе. Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ Программно-аппаратный комплекс «Шлюз безопасности Bel VPN Gate 4.5» Криптографическая защита информации Обеспечение защищенного канала передачи данных между рабочими местами субъектов информационной системы и объектами Обеспечение защищенного канала передачи данных при взаимодействии с иными информационными системами. Программный продукт «Клиент безопасности Bel VPN Client-P 4.1» Криптографическая защита информации. Обеспечение защищенного канала передачи данных между рабочими местами субъектов информационной системы и объектами Программный комплекс «Сервер TLS АВЕСТ» (AvTLSSrv) Криптографическая защита информации Идентификация пользователя с использованием сертификата открытого ключа изданного РУЦ ГосСУОК. Коммутатор Cisco Nexus N3K-C3524P-10GX Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Средства защиты информации
Endpoint Security for Windows Endpoint Security for Linux Secure Mail Gateway Security Center Advanced Malware Protection Cisco Firepower 1120 NGFW Appliance Средства защиты информации
Руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации. (п.15) Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о технической и криптографической защите информации
СПАСИБО ЗА ВНИМАНИЕ! Вячеслав Аксёнов, Enterprise Security Architect

Recommended

Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
Вячеслав Аксёнов
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)
Вячеслав Аксёнов
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
Cisco Russia
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Вячеслав Аксёнов
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)
Вячеслав Аксёнов
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
Вячеслав Аксёнов
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementation
Вячеслав Аксёнов
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.
Вячеслав Аксёнов
 

Recommended

Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
Вячеслав Аксёнов
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)
Вячеслав Аксёнов
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
Cisco Russia
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Вячеслав Аксёнов
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)
Вячеслав Аксёнов
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
Вячеслав Аксёнов
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementation
Вячеслав Аксёнов
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.
Вячеслав Аксёнов
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)
Вячеслав Аксёнов
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностью
Вячеслав Аксёнов
 
Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)
Вячеслав Аксёнов
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Курс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организацииКурс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организации
Вячеслав Аксёнов
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТПAleksey Lukatskiy
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Expolink
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мобильный доступ
Мобильный доступМобильный доступ
Мобильный доступ
Алексей Волков
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасности
Ivan Simanov
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
Dinar Garipov
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdf
trenders
 
Information security systems development
Information security systems developmentInformation security systems development
Information security systems development
Вячеслав Аксёнов
 

More Related Content

What's hot

Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)
Вячеслав Аксёнов
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностью
Вячеслав Аксёнов
 
Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)
Вячеслав Аксёнов
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Курс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организацииКурс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организации
Вячеслав Аксёнов
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТПAleksey Lukatskiy
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Expolink
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot (17)

Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностью
 
Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1
 
Курс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организацииКурс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организации
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТП
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 

Similar to Information Security Presentation (B.E.E.R 2021)

Мобильный доступ
Мобильный доступМобильный доступ
Мобильный доступ
Алексей Волков
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасности
Ivan Simanov
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
Dinar Garipov
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdf
trenders
 
Information security systems development
Information security systems developmentInformation security systems development
Information security systems development
Вячеслав Аксёнов
 
Проблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользованияПроблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользованияAlexander Dorofeev
 
внутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalвнутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_final
Positive Hack Days
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
Cisco Russia
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятора
Alexey Kachalin
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Solar Security
 
Евгений Мардыко (Конфидент) - Dallas Lock 8.0: комплексная система защиты инф...
Евгений Мардыко (Конфидент) - Dallas Lock 8.0: комплексная система защиты инф...Евгений Мардыко (Конфидент) - Dallas Lock 8.0: комплексная система защиты инф...
Евгений Мардыко (Конфидент) - Dallas Lock 8.0: комплексная система защиты инф...
Expolink
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
Expolink
 
Введение в информационную безопасность
Введение в информационную безопасностьВведение в информационную безопасность
Введение в информационную безопасность
Michael Rakutko
 
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
Softline
 
конфидент кузнецов
конфидент кузнецовконфидент кузнецов
конфидент кузнецовExpolink
 
Аксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdfАксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdf
trenders
 
Конфидент - Dallas Lock 8.0: комплексная система защиты информации
Конфидент - Dallas Lock 8.0: комплексная система защиты информацииКонфидент - Dallas Lock 8.0: комплексная система защиты информации
Конфидент - Dallas Lock 8.0: комплексная система защиты информации
Expolink
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Cisco Russia
 

Similar to Information Security Presentation (B.E.E.R 2021) (20)

Мобильный доступ
Мобильный доступМобильный доступ
Мобильный доступ
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасности
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdf
 
Information security systems development
Information security systems developmentInformation security systems development
Information security systems development
 
Проблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользованияПроблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользования
 
внутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalвнутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_final
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятора
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
 
Евгений Мардыко (Конфидент) - Dallas Lock 8.0: комплексная система защиты инф...
Евгений Мардыко (Конфидент) - Dallas Lock 8.0: комплексная система защиты инф...Евгений Мардыко (Конфидент) - Dallas Lock 8.0: комплексная система защиты инф...
Евгений Мардыко (Конфидент) - Dallas Lock 8.0: комплексная система защиты инф...
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
 
Введение в информационную безопасность
Введение в информационную безопасностьВведение в информационную безопасность
Введение в информационную безопасность
 
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
 
конфидент кузнецов
конфидент кузнецовконфидент кузнецов
конфидент кузнецов
 
Аксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdfАксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdf
 
Конфидент - Dallas Lock 8.0: комплексная система защиты информации
Конфидент - Dallas Lock 8.0: комплексная система защиты информацииКонфидент - Dallas Lock 8.0: комплексная система защиты информации
Конфидент - Dallas Lock 8.0: комплексная система защиты информации
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
 

More from Вячеслав Аксёнов

Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Вячеслав Аксёнов
 
Aksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdfAksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdf
Вячеслав Аксёнов
 
CIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизацияCIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизация
Вячеслав Аксёнов
 
Information security risk management presentation
Information security risk management presentationInformation security risk management presentation
Information security risk management presentation
Вячеслав Аксёнов
 
Information Security Audit (Course)
Information Security Audit (Course)Information Security Audit (Course)
Information Security Audit (Course)
Вячеслав Аксёнов
 
Построение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятияПостроение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятия
Вячеслав Аксёнов
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)
Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в Беларуси
Вячеслав Аксёнов
 
Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)
Вячеслав Аксёнов
 
Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)
Вячеслав Аксёнов
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)
Вячеслав Аксёнов
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirements
Вячеслав Аксёнов
 
G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)
Вячеслав Аксёнов
 

More from Вячеслав Аксёнов (14)

Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...
 
Aksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdfAksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdf
 
CIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизацияCIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизация
 
Information security risk management presentation
Information security risk management presentationInformation security risk management presentation
Information security risk management presentation
 
Information Security Audit (Course)
Information Security Audit (Course)Information Security Audit (Course)
Information Security Audit (Course)
 
Построение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятияПостроение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятия
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в Беларуси
 
Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)
 
Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirements
 
G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)
 

Information Security Presentation (B.E.E.R 2021)

  • 1. Защита информации «All Inclusive»: от персональных данных до критических инфраструктур. Соберем конструктор вместе (Практический кейс) Вячеслав Аксёнов, Enterprise Security Architect BEST ENGINEERING EVENT OF THE REPUBLIC B.E.E.R 2021
  • 2. Организация: ООО «XYZ». Частная форма собственности. Информационные системы/ресурсы:  CRM.  1С.  СПО – (web-приложение. оказание платных услуг физ. лицам).  ПО АРМ «Плательщик» (МНС), ПО «Ввод ДПУ» (ФСЗН), Консультант-Плюс, клиент-банк, почта, MS Project, web-сайт, хранилище файлов. Инфраструктура:  ЦОД (поставщика услуг): Серверный шкаф: серверы, оборудование СХД и СПД.  Офис: ПК сотрудников, обеспечивающая IT-инфраструктура.
  • 4. Проект: Этап 1. Определение применимых требований. Этап 2. Реализация требований.
  • 5. Определение применимых требований ИНФОРМАЦИЯ распространение и (или) предоставление которой ограничено общедоступная персональные данные коммерческая тайна профессиональная тайна банковская тайна служебная информация ограниченного распространения государственные секреты Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» ГЛАВА 3
  • 6. Определение применимых требований 3. Кто является владельцем (собственником) ИС? 1. Какая информация обрабатывается в ИС? Наша организация Другая организация общедоступная гос. секреты перс. данные ком. тайна (тайна юр. лица) служебная (ДСП) Реализация мероприятий по проектированию, созданию и аттестации СЗИ НАШЕЙ ОРГАНИЗАЦИИ НЕ ТРЕБУЕТСЯ Реализация мероприятий по проектированию, созданию и аттестации СЗИ ИС 2. Является ли наша организация государственной? Регулятор КГБ Требования супер секретные J ДА НЕТ
  • 7. На основании соответствия критериям отнесения к КВОИ Показатели уровня вероятного ущерба национальным интересам Республики Беларусь в политической, экономической, социальной, информационной, экологической и иных сферах в случае создания угроз информационной безопасности либо в результате возникновения рисков информационной безопасности в отношении объекта информатизации, не предназначенного для проведения работ с использованием государственных секретов (его составляющих элементов) Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 65 Определение применимых требований
  • 8. 1. Составление перечня (реестра) информационных систем и ресурсов. 2. Категорирование информации (информационных систем) в соответствии с законодательством об информации, информатизации и защите информации. 3. Классификация информационных систем и ресурсов. 4. Определение применимых требований. Этап 1. Определение применимых требований
  • 15. Группа Общедоступная информация Информация, распространение и (или) предоставление которой ограничено Подгруппа Изолированная Открытая Изолированная Открытая Категория частн гос частн гос фл юл дсп фл юл дсп Класс 6-частн 6-гос 5-частн 5-гос 4-фл 4-юл 4-дсп 3-фл 3-юл 3-дсп частн - негосударственные ИС; гос - государственные ИС; изолированная - не имеет подключений к открытым каналам передачи данных; открытая - подключена к открытым каналам передачи данных; фл - информация о частной жизни физического лица и персональные данные, иная информация, составляющая охраняемую законом тайну физического лица; юл - информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением гос секретов и ДСП); дсп - служебная информация ограниченного распространения. Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 Классификация ИС/ИР
  • 17. Классификация ИС/ИР Приложение 2 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
  • 18. Необходимо создавать аттестованную СЗИ 3. Кто является владельцем (собственником) ИС? 1. Какая информация обрабатывается в ИС? Наша организация Другая организация общедоступная гос. секреты перс. данные ком. тайна (тайна юр. лица) служебная (ДСП) Реализация мероприятий по проектированию, созданию и аттестации СЗИ НАШЕЙ ОРГАНИЗАЦИИ НЕ ТРЕБУЕТСЯ Реализация мероприятий по проектированию, созданию и аттестации СЗИ ИС 2. Является ли наша организация государственной? Регулятор КГБ Требования супер секретные J ДА НЕТ
  • 20. На основании соответствия критериям отнесения к КВОИ Определение применимых требований Показатели уровня вероятного ущерба национальным интересам Республики Беларусь в политической, экономической, социальной, информационной, экологической и иных сферах в случае создания угроз информационной безопасности либо в результате возникновения рисков информационной безопасности в отношении объекта информатизации, не предназначенного для проведения работ с использованием государственных секретов (его составляющих элементов) Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 65
  • 21. Показатели уровня вероятного ущерба … Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 65 Оценка соответствия критериям отнесения к КВОИ
  • 23. Примечания: 1. Обозначения «4-фл», «4-юл», «4-дсп», «3-фл», «3-юл» и «3-дсп» соответствуют классам типовых информационных систем. 2. Требования, отмеченные знаком «+», являются обязательными. 3. Требования, отмеченные знаком «+/–», являются рекомендуемыми. Перечень требований к СЗИ Приложение 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно- аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
  • 24. Перечень требований к СЗИ Приложение 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
  • 25. Rout - Использование маршрутизатора (коммутатора маршрутизирующего) FW - Использование межсетевого экрана. IDS - Обеспечение обнаружения и предотвращения вторжений в информационной системе. AV EP - Обеспечение защиты СВТ от вредоносных программ. AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ. AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ. VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного или предварительного шифрования). DLP - Использование системы обнаружения и предотвращения утечек информации из ИС. LM - Обеспечение централизованного сбора и хранения информации о событиях ИБ. IDM - Обеспечение централизованного управления учетными записями пользователей ИС. AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования. Перечень требований к СЗИ Класс ИС FW IDS AV EP VPN LM DLP 3-дсп 3-юл 3-фл 4-дсп 4-юл 4-фл IDM AM AV NET AV MAIL Rout
  • 26. Требования к проведению комплекса мероприятий (последовательность выполнения работ) Требования к организационным мерам (политика, регламенты). Требования к техническим мерам (средства защиты) Этап 2. Реализация требований
  • 27. Категорирование информации Классификация ИС Анализ структуры ИС Разработка/дорабо тка политики ИБ Разработка технического задания на создание СЗИ Определение требований к средствам ЗИ, подлежащим к закупке Разработка документа «Общая схема СЗИ» Ввод в действие СЗИ: закупка, монтаж, пусконаладочные работы Разработка (корректировка) документации на систему ЗИ Подготовка исходных данных для проведения аттестации Разработка программы и методики аттестации Проведение аттестации системы защиты информации Оформление технического отчета и протокола испытаний Оформление аттестата соответствия Проект (последовательность работ) «Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», «Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденные Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
  • 28. • цели и принципы защиты информации в организации; • перечень информационных систем, отнесенных к соответствующим классам типовых информационных систем, а также отдельно стоящих электронных собственности или ином законном основании, с указанием подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации; • обязанности пользователей информационной системы; • порядок взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия), в том числе при осуществлении информационных отношений на правах операторов, посредников, пользователей информационных систем и обладателей информации. Политика информационной безопасности • резервирования и уничтожения информации; • защиты от вредоносного программного обеспечения; • использования съемных носителей информации; • использования электронной почты; • обновления средств защиты информации; • осуществления контроля (мониторинга) за функционированием информационной системы и системы защиты информации; • реагирования на события информационной безопасности и ликвидации их последствий; • управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению. Регламенты Политика, регламенты
  • 29. Средства защиты Область применения Маршрутизатор Cisco ISR 4321/K9 Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Межсетевой экран Cisco Firepower FPR1120-NGFW-K9 Многофункциональное устройство защиты информации FortiGate-100 FG-100F Межсетевое экранирование. Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Обеспечение сегментирования (изоляции) сети управления объектами информационной системы от сети передачи данных. Обеспечение обнаружения и предотвращения вторжений в информационной системе. Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ Программно-аппаратный комплекс «Шлюз безопасности Bel VPN Gate 4.5» Криптографическая защита информации Обеспечение защищенного канала передачи данных между рабочими местами субъектов информационной системы и объектами Обеспечение защищенного канала передачи данных при взаимодействии с иными информационными системами. Программный продукт «Клиент безопасности Bel VPN Client-P 4.1» Криптографическая защита информации. Обеспечение защищенного канала передачи данных между рабочими местами субъектов информационной системы и объектами Программный комплекс «Сервер TLS АВЕСТ» (AvTLSSrv) Криптографическая защита информации Идентификация пользователя с использованием сертификата открытого ключа изданного РУЦ ГосСУОК. Коммутатор Cisco Nexus N3K-C3524P-10GX Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Средства защиты информации
  • 30. Endpoint Security for Windows Endpoint Security for Linux Secure Mail Gateway Security Center Advanced Malware Protection Cisco Firepower 1120 NGFW Appliance Средства защиты информации
  • 31. Руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации. (п.15) Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о технической и криптографической защите информации
  • 32. СПАСИБО ЗА ВНИМАНИЕ! Вячеслав Аксёнов, Enterprise Security Architect