Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Cisco Russia
Необходимость в межсетевых экранах нового поколения (NGFWs), ориентированных на защиту от угроз
и способных эффективно снизить риски, что не под силу традиционным унифицированным системам предотвращения угроз (UTM) и отдельным специализированным решениям, подтверждена многочисленными исследованиями, в том числе и исследованиями компании Cisco — каждая организация должна понимать, что она может стать целью атаки хакеров. Специалисты Cisco по исследованию угроз обнаружили вредоносный трафик в 100 % корпоративных сетей, участвующих в проверке, что говорит о том, что злоумышленники часто проникали в эти сети и, возможно, оставались незамеченными на протяжении продолжительного периода времени.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Снижение рисков и затрат на внедрение защиты информационной системы персональных данных (ИСПДн) путем выноса серверного сегмента в специализированное облако Softline.
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Cisco Russia
Необходимость в межсетевых экранах нового поколения (NGFWs), ориентированных на защиту от угроз
и способных эффективно снизить риски, что не под силу традиционным унифицированным системам предотвращения угроз (UTM) и отдельным специализированным решениям, подтверждена многочисленными исследованиями, в том числе и исследованиями компании Cisco — каждая организация должна понимать, что она может стать целью атаки хакеров. Специалисты Cisco по исследованию угроз обнаружили вредоносный трафик в 100 % корпоративных сетей, участвующих в проверке, что говорит о том, что злоумышленники часто проникали в эти сети и, возможно, оставались незамеченными на протяжении продолжительного периода времени.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Снижение рисков и затрат на внедрение защиты информационной системы персональных данных (ИСПДн) путем выноса серверного сегмента в специализированное облако Softline.
Решения Cisco для защиты персональных данныхCisco Russia
Мы постоянно находимся под контролем различных государственных и муниципальных органов власти, коммерческих и правоохранительных структур. Паспортные столы и поликлиники, банки и пенсионные фонды, гостиницы и ЖЭКи, ГИБДД и избирательные комиссии, кадровые агентства и HR-подразделения работодателей... Все они собирают, группируют, анализируют, систематизируют, передают, получают персональные данные о нас. И не всегда они прилагают усилия для охраны этих сведений; зачастую теряя их или продавая мошенникам и нечистым на руку покупателям.
Защита персональных данных (ПДн) последние годы была и остается одной из острейших проблем в информационной сфере и взаимоотношениях государства, граждан и бизнеса. Постоянные утечки информации из государственных органов, банков, операторов связи и медицинских учреждений, продажа этих данных в Интернете или на компьютерных лотках; все это наносит ущерб и нарушает основные права на неприкосновенность частной жизни, дарованные каждому гражданину Конституцией РФ.
Совокупность последних положений регуляторов предполагает построение замкнутого и адаптивного комплекса требований, создающего предпосылки для построения систем со "встроенной безопасностью", что является необходимым условием обеспечения ИБ современных информационных систем.
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Вячеслав Аксёнов
В книгу включены презентации, материалы для практических занятий, примеры и формы документов моего авторского курса «Оценка и управления рисками информационной безопасности», который преподается с 2017 года
Краткая презентация первого модуля авторского курса «Разработка, внедрение и аудит системы менеджмента информационной безопасности в соответствии с требованиями ISO/IEC 27001» https://edu.softline.by/courses/isms.html
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
Требования законодательства по защите персональных данных в Беларуси и их взаимосвязь. С гиперссылками на тексты нормативных правовых актов.
+ Добавлен раздел про ответственность за нарушения законодательства.
Legislation and Responsibility (VMUG #7 Belarus)Вячеслав Аксёнов
Дополнительные материалы к докладу на конференции «VMUG #7 Belarus».
Требования НПА и ТНПА Республики Беларусь в области информационной безопасности.
Уголовная и административная ответственность за нарушения в области защиты информации.
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
G-Clouds Architecture and Security (fragment of course materials)
Information Security Presentation (B.E.E.R 2021)
1. Защита информации
«All Inclusive»:
от персональных данных до
критических инфраструктур.
Соберем конструктор вместе
(Практический кейс)
Вячеслав Аксёнов,
Enterprise Security Architect
BEST ENGINEERING EVENT OF THE REPUBLIC
B.E.E.R 2021
2. Организация:
ООО «XYZ». Частная форма собственности.
Информационные системы/ресурсы:
CRM.
1С.
СПО – (web-приложение. оказание платных услуг физ. лицам).
ПО АРМ «Плательщик» (МНС), ПО «Ввод ДПУ» (ФСЗН),
Консультант-Плюс, клиент-банк, почта, MS Project, web-сайт,
хранилище файлов.
Инфраструктура:
ЦОД (поставщика услуг): Серверный шкаф: серверы,
оборудование СХД и СПД.
Офис: ПК сотрудников, обеспечивающая IT-инфраструктура.
5. Определение применимых требований
ИНФОРМАЦИЯ
распространение и (или)
предоставление которой
ограничено
общедоступная
персональные данные коммерческая тайна
профессиональная тайна банковская тайна
служебная информация
ограниченного
распространения
государственные секреты
Закон Республики Беларусь
от 10 ноября 2008 г.
№ 455-З
«Об информации,
информатизации и
защите информации»
ГЛАВА 3
6. Определение применимых требований
3. Кто является
владельцем
(собственником) ИС?
1. Какая информация
обрабатывается в ИС?
Наша
организация
Другая
организация
общедоступная
гос. секреты
перс. данные
ком. тайна
(тайна юр. лица)
служебная (ДСП)
Реализация
мероприятий по
проектированию,
созданию и
аттестации СЗИ
НАШЕЙ ОРГАНИЗАЦИИ НЕ ТРЕБУЕТСЯ
Реализация мероприятий по проектированию,
созданию и аттестации СЗИ ИС
2. Является ли наша
организация
государственной?
Регулятор КГБ
Требования супер
секретные J
ДА
НЕТ
7. На основании соответствия критериям отнесения к КВОИ
Показатели уровня вероятного ущерба национальным
интересам Республики Беларусь в политической,
экономической, социальной, информационной,
экологической и иных сферах в случае создания угроз
информационной безопасности либо в результате
возникновения рисков информационной безопасности в
отношении объекта информатизации, не предназначенного
для проведения работ с использованием государственных
секретов (его составляющих элементов)
Приказ Оперативно-аналитического центра при Президенте
Республики Беларусь
20.02.2020 № 65
Определение применимых требований
8. 1. Составление перечня (реестра) информационных
систем и ресурсов.
2. Категорирование информации (информационных
систем) в соответствии с законодательством об
информации, информатизации и защите информации.
3. Классификация информационных систем и ресурсов.
4. Определение применимых требований.
Этап 1. Определение применимых
требований
15. Группа Общедоступная информация Информация, распространение и (или)
предоставление которой ограничено
Подгруппа Изолированная Открытая Изолированная Открытая
Категория частн гос частн гос фл юл дсп фл юл дсп
Класс 6-частн 6-гос 5-частн 5-гос 4-фл 4-юл 4-дсп 3-фл 3-юл 3-дсп
частн - негосударственные ИС;
гос - государственные ИС;
изолированная - не имеет подключений к открытым
каналам передачи данных;
открытая - подключена к открытым каналам передачи
данных;
фл - информация о частной жизни физического лица и персональные данные, иная
информация, составляющая охраняемую законом тайну физического лица;
юл - информация, составляющая коммерческую и иную охраняемую законом тайну
юридического лица, распространение и (или) предоставление которой ограничено (за
исключением гос секретов и ДСП);
дсп - служебная информация ограниченного распространения.
Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах,
предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом
Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
Классификация ИС/ИР
17. Классификация ИС/ИР
Приложение 2 к Положению о порядке технической и
криптографической защиты информации в информационных системах,
предназначенных для обработки информации, распространение и (или)
предоставление которой ограничено», утвержденное Приказом
Оперативно-аналитического центра при Президенте Республики
Беларусь 20.02.2020 № 66
18. Необходимо создавать аттестованную
СЗИ
3. Кто является
владельцем
(собственником) ИС?
1. Какая информация
обрабатывается в ИС?
Наша
организация
Другая
организация
общедоступная
гос. секреты
перс. данные
ком. тайна
(тайна юр. лица)
служебная (ДСП)
Реализация
мероприятий по
проектированию,
созданию и
аттестации СЗИ
НАШЕЙ ОРГАНИЗАЦИИ НЕ ТРЕБУЕТСЯ
Реализация мероприятий по проектированию,
созданию и аттестации СЗИ ИС
2. Является ли наша
организация
государственной?
Регулятор КГБ
Требования супер
секретные J
ДА
НЕТ
20. На основании соответствия критериям отнесения к КВОИ
Определение применимых требований
Показатели уровня вероятного ущерба национальным
интересам Республики Беларусь в политической,
экономической, социальной, информационной,
экологической и иных сферах в случае создания угроз
информационной безопасности либо в результате
возникновения рисков информационной безопасности в
отношении объекта информатизации, не предназначенного
для проведения работ с использованием государственных
секретов (его составляющих элементов)
Приказ Оперативно-аналитического центра при Президенте
Республики Беларусь
20.02.2020 № 65
21. Показатели уровня вероятного ущерба …
Приказ Оперативно-аналитического центра при
Президенте Республики Беларусь 20.02.2020 № 65
Оценка соответствия
критериям отнесения к КВОИ
23. Примечания:
1. Обозначения «4-фл», «4-юл», «4-дсп», «3-фл», «3-юл» и «3-дсп»
соответствуют классам типовых информационных систем.
2. Требования, отмеченные знаком «+», являются обязательными.
3. Требования, отмеченные знаком «+/–», являются рекомендуемыми.
Перечень требований к СЗИ
Приложение 3 к
Положению о порядке
технической и
криптографической
защиты информации в
информационных
системах,
предназначенных для
обработки информации,
распространение и (или)
предоставление которой
ограничено»,
утвержденное Приказом
Оперативно-
аналитического центра
при Президенте
Республики Беларусь
20.02.2020 № 66
24. Перечень требований к СЗИ
Приложение 3 к Положению о порядке технической и
криптографической защиты информации в информационных
системах, предназначенных для обработки информации,
распространение и (или) предоставление которой ограничено»,
утвержденное Приказом Оперативно-аналитического центра при
Президенте Республики Беларусь 20.02.2020 № 66
25. Rout - Использование
маршрутизатора (коммутатора
маршрутизирующего)
FW - Использование межсетевого
экрана.
IDS - Обеспечение обнаружения и
предотвращения вторжений в
информационной системе.
AV EP - Обеспечение защиты СВТ от
вредоносных программ.
AV NET - Обеспечение в реальном
масштабе времени автоматической
проверки пакетов сетевого трафика и
файлов данных, передаваемых по
сети, и обезвреживание
обнаруженных вредоносных
программ.
AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по
почтовым протоколам, и обезвреживание обнаруженных вредоносных программ.
VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей
электросвязи общего пользования (средства линейного или предварительного шифрования).
DLP - Использование системы обнаружения и предотвращения утечек информации из ИС.
LM - Обеспечение централизованного сбора и хранения информации о событиях ИБ.
IDM - Обеспечение централизованного управления учетными записями пользователей ИС.
AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования.
Перечень требований к СЗИ
Класс
ИС
FW IDS AV EP VPN LM
DLP
3-дсп
3-юл
3-фл
4-дсп
4-юл
4-фл
IDM AM
AV
NET
AV
MAIL
Rout
26. Требования к проведению комплекса мероприятий
(последовательность выполнения работ)
Требования к организационным мерам
(политика, регламенты).
Требования к техническим мерам
(средства защиты)
Этап 2. Реализация требований
27. Категорирование
информации
Классификация ИС
Анализ структуры
ИС
Разработка/дорабо
тка политики ИБ
Разработка
технического
задания на
создание СЗИ
Определение
требований к
средствам ЗИ,
подлежащим к
закупке
Разработка
документа «Общая
схема СЗИ»
Ввод в действие
СЗИ: закупка,
монтаж,
пусконаладочные
работы
Разработка
(корректировка)
документации на
систему ЗИ
Подготовка
исходных данных
для проведения
аттестации
Разработка
программы и
методики
аттестации
Проведение
аттестации системы
защиты
информации
Оформление
технического отчета
и протокола
испытаний
Оформление
аттестата
соответствия
Проект (последовательность работ)
«Положение о порядке технической и криптографической защиты информации в
информационных системах, предназначенных для обработки информации,
распространение и (или) предоставление которой ограничено»,
«Положение о порядке аттестации систем защиты информации информационных
систем, предназначенных для обработки информации, распространение и (или)
предоставление которой ограничено»,
утвержденные Приказом Оперативно-аналитического центра при Президенте
Республики Беларусь 20.02.2020 № 66
28. • цели и принципы защиты информации в организации;
• перечень информационных систем, отнесенных к соответствующим классам типовых
информационных систем, а также отдельно стоящих электронных собственности или
ином законном основании, с указанием подразделения защиты информации или иного
подразделения (должностного лица), ответственного за обеспечение защиты
информации;
• обязанности пользователей информационной системы;
• порядок взаимодействия с иными информационными системами (в случае
предполагаемого взаимодействия), в том числе при осуществлении информационных
отношений на правах операторов, посредников, пользователей информационных систем
и обладателей информации.
Политика информационной безопасности
• резервирования и уничтожения информации;
• защиты от вредоносного программного обеспечения;
• использования съемных носителей информации;
• использования электронной почты;
• обновления средств защиты информации;
• осуществления контроля (мониторинга) за функционированием информационной
системы и системы защиты информации;
• реагирования на события информационной безопасности и ликвидации их последствий;
• управления криптографическими ключами, в том числе требования по их генерации,
распределению, хранению, доступу к ним и их уничтожению.
Регламенты
Политика, регламенты
29. Средства защиты Область применения
Маршрутизатор
Cisco ISR 4321/K9
Обеспечение управления внешними информационными потоками (маршрутизация) между
информационными системами.
Межсетевой экран
Cisco Firepower
FPR1120-NGFW-K9
Многофункциональное
устройство защиты информации
FortiGate-100
FG-100F
Межсетевое экранирование.
Обеспечение управления внешними информационными потоками (маршрутизация) между
информационными системами.
Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной
системы только необходимыми соединениями.
Обеспечение сегментирования (изоляции) сети управления объектами информационной
системы от сети передачи данных.
Обеспечение обнаружения и предотвращения вторжений в информационной системе.
Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого
трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных
вредоносных программ
Программно-аппаратный
комплекс «Шлюз безопасности
Bel VPN Gate 4.5»
Криптографическая защита информации
Обеспечение защищенного канала передачи данных между рабочими местами субъектов
информационной системы и объектами
Обеспечение защищенного канала передачи данных при взаимодействии с иными
информационными системами.
Программный продукт «Клиент
безопасности Bel VPN Client-P
4.1»
Криптографическая защита информации.
Обеспечение защищенного канала передачи данных между рабочими местами субъектов
информационной системы и объектами
Программный комплекс «Сервер
TLS АВЕСТ» (AvTLSSrv)
Криптографическая защита информации
Идентификация пользователя с использованием сертификата открытого ключа изданного РУЦ
ГосСУОК.
Коммутатор Cisco Nexus
N3K-C3524P-10GX
Обеспечение управления внешними информационными потоками (маршрутизация) между
информационными системами.
Средства защиты информации
30. Endpoint Security for Windows
Endpoint Security for Linux
Secure Mail Gateway
Security
Center
Advanced
Malware
Protection
Cisco Firepower 1120
NGFW Appliance
Средства защиты информации
31. Руководитель организации
несет персональную
ответственность
за организацию работ по
технической и
криптографической защите
информации в организации.
(п.15)
Указ Президента РБ от 16.04.2013 № 196
(в редакции Указа Президента РБ от
09.12.2019 № 449)
Положение о технической и
криптографической защите
информации