trenders, profile picture
Uploaded bytrenders
13 views

Проектирование_СЗИ_персональных_данных_практикум.pdf

Документ описывает проектирование систем защиты персональных данных в соответствии с законодательством Республики Беларусь и требования к защите информации, включая обязательные меры и ответственность организаций. Указывается на важность технической и криптографической защиты, а также на соответствие систем защиты информации требованиям законодательства. Приведены ссылки на ключевые законы и документы, касающиеся защиты данных и информации.

Embed presentation

Download to read offline
ПРОЕКТИРОВАНИЕ СИСТЕМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ ЗАКОНОДАТЕЛЬСТВА (Интенсив-практикум)
Кратко о себе: − Опыт работы в сфере информационной безопасности 15+ лет, в качестве архитектора и консультанта, в проектах по созданию систем защиты информации в соответствии с требованиями законодательства. Преподаватель авторских курсов по информационной безопасности. − Образование: радиоинженер-педагог + магистратура и аспирантура по направлению информационная безопасность. − Сфера интересов: технологии облачных вычислений, гособлака, проектирование и внедрение систем защиты информации, СМИБ Подробнее: http://www.linkedin.com/pub/viacheslav-aksionov/50/b91/65/en ПРЕПОДАВАТЕЛЬ Вячеслав Аксёнов IT Security Architect | Information Security Trainer Хобби:) Telegram itsec.by: https://t.me/+EvefRxUy4PBlMzMy
Зачем это все надо? Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Статья 28. Основные требования по защите информации ➢ Информация, распространение и (или) предоставление которой ограничено, не отнесенная к государственным секретам, должна обрабатываться в информационных системах с применением системы ЗИ, аттестованной в порядке, установленном ОАЦ Статья 17. Меры по обеспечению защиты персональных данных 3. Обязательными мерами по обеспечению защиты персональных данных являются: ➢ осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно- аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные. Кодекс Республики Беларусь об административных правонарушениях Статья 23.7 часть 4 Несоблюдение мер обеспечения защиты персональных данных физических лиц – влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя – от десяти до двадцати пяти базовых величин, а на юридическое лицо – от двадцати до пятидесяти базовых величин.
Ответственность (п.15) Руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации. Положение о технической и криптографической защите информации Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449)
Закон РБ от 10.11.2008 г. № 455-З «Об информации, информатизации и защите информации» Положение о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Положение о технической и криптографической защите информации Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Закон РБ от 05.01.2013 г. № 16-З «О коммерческой тайне» Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 О служебной информации ограниченного распространения и информации, составляющей коммерческую тайну Постановление Совета Министров РБ от 12 августа 2014 г. № 783 Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) Постановление Совета Министров РБ 15.05.2013 № 375 (в редакции постановления Совета Министров РБ 12.03.2020 № 145) Перечень государственных стандартов, взаимосвязанных с техническим регламентом Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (TP 2013/027/BY) Приказ ОАЦ от 12.03.2020 № 77
защита информации защита информации – комплекс правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации. Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации». система защиты информации система защиты информации – совокупность мер по защите информации, реализованных в информационной системе. Положение о технической и криптографической защите информации, УТВЕРЖДЕНО Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449). Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» Статья 29 Меры по защите информации Правовые • заключаемые обладателем информации с пользователем информации договоры, в которых устанавливаются условия пользования информацией, а также ответственность сторон по договору за нарушение указанных условий Организационные • обеспечение особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации), а также разграничение доступа к информации по кругу лиц и характеру информации Технические • использование средств технической и криптографической защиты информации, а также меры по контролю защищенности информации Можно скачать в телеграмм-канале itsec.by https://t.me/+EvefRxUy4PBlMzMy
Техническая и криптографическая защита Положение о порядке ТЗИ и КЗИ Приказ ОАЦ от 20.02.2020 № 66 Политика ИБ Регламентированные процессы 52 требования Тех задание Общая схема системы защиты Сертифицированные средства защиты (Rout, VPN, FW, IPS, Antivirus) Аттестация системы защиты Дополнительная отчетность Ответственный за ТЗИ и КЗИ ТР «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY). Постановление Сов Мин РБ 15.05.2013 № 375 (в редакции от 12.03.2020 № 145) Перечень государственных стандартов, взаимосвязанных с TP 2013/027/BY. Приказ ОАЦ от 12.03.2020 № 77 Положение о порядке аттестации Приказ ОАЦ от 20.02.2020 № 66 Положение о порядке представления в ОАЦ сведений о событиях ИБ, состоянии ТЗИ и КЗИ. Приказ ОАЦ от 20.02.2020 № 66
Проектирование системы СЗИ анализ структуры ИС и информационных потоков (внутренних и внешних) в целях определения состава (количества) и мест размещения элементов информационной системы (аппаратных и программных), ее физических и логических границ издание политики информационной безопасности определение требований к системе защиты информации в техническом задании на создание системы защиты информации выбор средств технической и криптографической защиты информации разработка (корректировка) общей схемы системы защиты информации Создание СЗИ внедрение средств ТЗИ и КЗИ, проверка их работоспособности и совместимости с другими объектами ИС разработка (корректировка) документации на СЗИ по перечню, определенному в техническом задании реализация организационных мер по ЗИ Аттестация СЗИ разработка программы и методики аттестации установление соответствия реального состава и структуры объектов ИС общей схеме СЗИ проверка правильности отнесения ИС к классу типовых ИС, выбора и применения средств ЗИ анализ разработанной документации на СЗИ собственника (владельца) ИС на предмет ее соответствия требованиям законодательства ознакомление с документацией о распределении функций персонала по организации и обеспечению ЗИ проведение испытаний СЗИ на предмет выполнения установленных законодательством требований по ЗИ внешняя и внутренняя проверка отсутствия уязвимостей, сведения о которых подтверждены изготовителями (разработчиками) оформление технического отчета и протокола испытаний оформление аттестата соответствия Функционирование СЗИ обеспечение функционирования СЗИ в процессе эксплуатации ИС обеспечение ЗИ в случае прекращения эксплуатации ИС Комплекс мероприятий по технической и криптографической защите информации, подлежащей обработке (сбору, накоплению, вводу, выводу, приему, передаче, записи, хранению, регистрации, уничтожению, преобразованию, отображению) в информационной системе Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66.
ITSEС_B.E.E.R_2023 https://www.youtube.com/watch?v=Sgk0tVbMxN0&list=PLAt8XeN4JkimI8U1f14nq01WJ4fGBnRcb Анализ исходных данных на информационную систему Классификация информационной системы
Анализ исходных данных на информационную систему
Классификация информационной системы
Классификация ИС Приложение 1 Классы типовых информационных систем Категория информации (форма собственности ИС) Наличие подключения к открытым каналам передачи данных есть нет общедоступная информация (в т.ч. общедоступные персональные данные государственная ИС 5-гос 6-гос негосударственная ИС 5-частн 6-частн персональные данные, за исключением специальных персональных данных 3-ин 4-ин специальные персональные данные, за исключением биометрических и генетических персональных данных 3-спец 4-спец биометрические и генетические персональные данные 3-бг 4-бг информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих государственные секреты, и служебной информации ограниченного распространения) 3-юл 4-юл служебная информация ограниченного распространения 3-дсп 4-дсп Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195)
Классификация ИС Приложение 2 Акт отнесения информационной системы к классу типовых информационных систем (форма) Пример приказа Комплекс программно-технических средств «Корпоративная информационная система Предприятия.
Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Глава 1 - Общие положения Глава 2 - Проектирование системы защиты информации Глава 3 - Создание системы защиты информации Глава 4 - Особенности эксплуатации информационной системы с применением системы защиты информации Приложение 1 - Классы типовых информационных систем Приложение 2 - Акт отнесения информационной системы к классу типовых информационных систем (форма) Приложение 2 - Перечень требований к системе защиты информации, подлежащих включению в техническое задание Приложение 4 - Требования к организации взаимодействия информационных систем Приложение 5 - Методы обезличивания персональных данных проектирование создание эксплуатация модернизация
Общие положения Комплекс мероприятий по технической и криптографической ЗИ включает: проектирование системы защиты информации создание системы защиты информации аттестацию системы защиты информации обеспечение функционирования системы защиты информации в процессе эксплуатации информационной системы обеспечение защиты информации в случае прекращения эксплуатации информационной системы.
Проектирование СЗИ На этапе ПРОЕКТИРОВАНИЯ СЗИ осуществляются: анализ структуры ИС и информационных потоков (внутренних и внешних) в целях определения состава (количества) и мест размещения элементов информационной системы (аппаратных и программных), ее физических и логических границ; издание политики информационной безопасности; определение требований к системе защиты информации в техническом задании на создание системы защиты информации; выбор средств технической и криптографической защиты информации; разработка (корректировка) общей схемы системы защиты информации.
Анализ структуры ИС Проектирование СЗИ Информационная система N Подсистема N Подсистема N Подсистема N Подсистема интеграции Смежные системы Модуль N Модуль N Модуль N Модуль N Protocol/port Protocol/port Protocol/port Protocol/port
Разработка политики информационной безопасности
Разработка политики ИБ Политика информационной безопасности организации должна содержать: цели и принципы защиты информации в организации; перечень ИС, отнесенных к соответствующим классам типовых ИС, перечень СВТ, а также сведения о подразделении ЗИ (должностном лице), ответственном за обеспечение ЗИ обязанности пользователей информационной системы; порядок взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия), в том числе при осуществлении информационных отношений на правах операторов, посредников, пользователей информационных систем и обладателей информации. Проектирование СЗИ
Разработка технического задания на создание системы защиты информации
Разработка технического задания Техническое задание должно содержать: наименование информационной системы с указанием присвоенного ей класса типовых информационных систем; требования к системе защиты информации в зависимости от используемых технологий и класса типовых информационных систем на основе перечня согласно приложению 3; сведения об организации взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия) с учетом требований согласно приложению 4; порядок обезличивания персональных данных (в случае их обработки в информационной системе) с применением методов согласно приложению 5 требования к средствам криптографической защиты информации; перечень документации на систему защиты информации. требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого собственника (владельца) Разрабатывается собственником (владельцем) ИС либо лицензиатом ОАЦ и утверждается собственником (владельцем) ИС. Собственник (владелец) ИС вправе не включать в техническое задание отдельные обязательные требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер
Перечень требований к СЗИ Приложение 3 к Приказу ОАЦ №66 Перечень требований к СЗИ, подлежащих включению в ТЗ ❑ Аудит безопасности ❑ Требования по обеспечению защиты данных ❑ Требования по обеспечению идентификации и аутентификации ❑ Требования по защите системы защиты информации информационной системы ❑ Обеспечение криптографической защиты информации ❑ Дополнительные требования по обеспечению защиты информации в виртуальной инфраструктуре ❑ Иные требования
Перечень требований к СЗИ Приложение 3 к Приказу ОАЦ №66 Примечания: 1. Обозначения «4-фл», «4-юл», «4- дсп», «3-фл», «3-юл» и «3-дсп» соответствуют классам типовых информационных систем. 2. Требования, отмеченные знаком «+», являются обязательными. 3. Требования, отмеченные знаком «+/–», являются рекомендуемыми.
встроенные средства системного и прикладного ПО Виды требований Организационные меры (регламентация) Средства защиты информации
Перечень требований к СЗИ Приложение 3 к Приказу ОАЦ №66
Перечень требований к СЗИ Приложение 3 к Приказу ОАЦ №66 п.10. Собственник (владелец) ИС вправе не включать в техническое задание отдельные обязательные требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер
Организация взаимодействия с иными ИС Приложение 4 к Приказу ОАЦ №66 Примечания: • Под символом «х» понимается физически выделенный канал передачи данных. • Под символом «о» понимается наличие подключения к открытым каналам передачи данных (в том числе к глобальной компьютерной сети Интернет). • При передаче служебной информации ограниченного распространения по сетям электросвязи общего пользования данная информация должна быть защищена с использованием средств криптографической защиты информации, обеспечивающих линейное и (или) предварительное шифрование передаваемой информации.
Разработка общей схемы системы защиты информации
Разработка общей схемы СЗИ Проектирование СЗИ Общая схема системы защиты информации должна содержать: ❑ наименование информационной системы ❑ класс типовых информационных систем ❑ места размещения средств вычислительной техники, сетевого оборудования, системного и прикладного программного обеспечения, средств технической и криптографической защиты информации ❑ физические границы информационной системы ❑ внешние и внутренние информационные потоки и протоколы обмена защищаемой информацией
Проектирование СЗИ ➢ В случае документирования создания информационных систем в соответствии с техническими нормативными правовыми актами, регламентирующими порядок создания автоматизированных систем, сведения, указанные в пункте 11 (общая схема СЗИ), могут быть предусмотрены в документах на АИС. ➢ Допускается создание единой системы защиты информации для: • нескольких информационных систем, функционирующих в общей программно-технической среде и принадлежащих одному собственнику (владельцу); • нескольких типовых информационных систем, принадлежащих одному собственнику (владельцу). ➢ При проектировании системы защиты информации информационной системы, функционирование которой предполагается на базе информационной системы другого собственника (владельца), имеющей аттестованную систему защиты информации, может быть предусмотрено применение требований, реализованных в системе защиты информации информационной системы этого собственника (владельца). ➢ Такие требования применяются в соответствии с договором на оказание соответствующих услуг.
Создание СЗИ На этапе создания системы защиты информации осуществляются: ❑ внедрение средств технической и криптографической защиты информации, проверка их работоспособности и совместимости с другими объектами информационной системы; ❑разработка (корректировка) документации на систему защиты информации по перечню, определенному в техническом задании; ❑ реализация организационных мер по защите информации.
Внедрение средств ЗИ Создание СЗИ В ходе внедрения средств технической и криптографической защиты информации осуществляются: их монтаж и наладка в соответствии с документацией на систему защиты информации, рекомендациями изготовителя, требованиями по совместимости средств криптографической защиты информации и ограничениями, указанными в сертификате соответствия; смена реквизитов доступа к функциям управления и настройкам, установленным по умолчанию, либо блокировка учетных записей, не предусматривающих смену указанных реквизитов; проверка корректности выполнения такими средствами требований безопасности в реальных условиях эксплуатации и во взаимодействии с другими объектами информационной системы.
Внедрение средств ЗИ Пример ограничения в сертификате
Разработка локальных правовых актов, регламентирующих вопросы защиты информации
Разработка документации на СЗИ Создание СЗИ Документация на СЗИ должна содержать описание способов разграничения доступа пользователей к объектам информационной системы, а также порядок: ❑ резервирования и уничтожения информации; ❑ защиты от вредоносного программного обеспечения; ❑ использования съемных носителей информации; ❑ использования электронной почты; ❑ обновления средств защиты информации; ❑ осуществления контроля (мониторинга) за функционированием информационной системы и системы защиты информации; ❑ реагирования на события информационной безопасности и ликвидации их последствий; ❑ управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению.
https://www.sans.org/security- resources/policies http://securitypolicy.ru/
Реализация организационных мер по ЗИ Создание СЗИ 19. Реализация организационных мер по защите информации осуществляется в целях выполнения требований, изложенных в документации на систему защиты информации собственника (владельца) информационной системы, которые доводятся до сведения пользователей информационной системы под роспись. Организационные меры по криптографической защите информации должны включать в себя меры по обеспечению особого режима допуска на территорию (в помещения), на которой может быть осуществлен доступ к средствам криптографической защиты информации и криптографическим ключам (носителям), а также по разграничению доступа к ним по кругу лиц.
Эксплуатация ИС с применением СЗИ В процессе эксплуатации ИС с применением аттестованной СЗИ осуществляются: ❑ контроль за соблюдением требований, установленных в НПА, документации на СЗИ собственника (владельца) ИС; ❑ контроль за порядком использования объектов информационной системы; ❑ мониторинг функционирования системы защиты информации; ❑ выявление угроз (анализ журналов аудита), которые могут привести к сбоям, нарушению функционирования ИС; ❑ резервное копирование информации, содержащейся в информационной системе; ❑ обучение (повышение квалификации) пользователей информационной системы.
Эксплуатация ИС с применением СЗИ В случае невозможности устранения выявленных нарушений в течение пяти рабочих дней с момента их выявления собственники (владельцы) ИС обязаны: • прекратить обработку информации, распространение и (или) предоставление которой ограничено, о чем письменно информировать ОАЦ; • осуществить доработку системы защиты информации и провести оценку на предмет необходимости ее повторной аттестации. В соответствии с документацией на систему защиты информации собственники (владельцы) информационных систем выявляют и фиксируют нарушения требований по защите информации, принимают меры по своевременному устранению таких нарушений. В случае компрометации криптографических ключей средств криптографической защиты информации собственники (владельцы) информационных систем обязаны незамедлительно прекратить использование данных средств для обработки информации.
Эксплуатация ИС с применением СЗИ 22. Наладочные работы и сервисное обслуживание объектов информационной системы проводятся с участием подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации. 23. Модернизация действующих систем защиты информации осуществляется в порядке, установленном для проектирования и создания таких систем.
Эксплуатация ИС с применением СЗИ В случае прекращения эксплуатации ИС собственник (владелец) ИС в соответствии с документацией на СЗИ принимает меры по: • защите информации, которая обрабатывалась в информационной системе; • резервному копированию информации и криптографических ключей (при необходимости), обеспечению их конфиденциальности и целостности; • уничтожению (удалению) данных и криптографических ключей с машинных носителей информации и (или) уничтожению таких носителей информации.
Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66
Аттестация СЗИ Аттестация системы защиты информации – комплекс организационно- технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации Аттестат соответствия системы защиты информации информационной системы требованиям по защите информации – документ установленной формы, подтверждающий соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации
Аттестация СЗИ Аттестация проводится организациями, имеющими специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ. Собственники (владельцы) информационных систем вправе самостоятельно проводить аттестацию. Аттестация проводится в случаях: - создания системы защиты информации; истечения срока действия аттестата соответствия; - изменения технологии обработки защищаемой информации; - изменения технических мер, реализованных при создании системы защиты информации.
Подготовка исходных данных к проведению аттестации системы защиты информации
Аттестация СЗИ При проведении аттестации собственником (владельцем) ИС самостоятельно работы по аттестации выполняются аттестационной комиссией, назначенной решением (приказом, иным документом) руководителя собственника (владельца) ИС.
Исходные данные для аттестации СЗИ Аттестация специализированными организациями проводится на основании следующих исходных данных: ❑ политики информационной безопасности организации; ❑ акта отнесения к классу типовых информационных систем; ❑ технического задания на создание информационной системы* или системы защиты информации; ❑ общей схемы системы защиты информации; ❑ документации на систему защиты информации; ❑ копий сертификатов соответствия либо экспертных заключений на средства защиты информации. * Техническое задание на создание ИС представляется в случае закрепления в нем требований по ЗИ
Аттестация СЗИ включает: ❑ разработку программы и методики аттестации; ❑ установление соответствия реального состава и структуры объектов ИС общей схеме СЗИ; ❑ проверку правильности отнесения ИС к классу типовых ИС, выбора и применения средств ЗИ; ❑ анализ разработанной документации на СЗИ собственника (владельца) ИС на предмет ее соответствия требованиям законодательства об информации, информатизации и защите информации; ❑ ознакомление с документацией о распределении функций персонала по организации и обеспечению ЗИ; ❑ проведение испытаний системы защиты информации на предмет выполнения установленных законодательством требований по ЗИ; ❑ внешнюю и внутреннюю проверку отсутствия уязвимостей, сведения о которых подтверждены изготовителями (разработчиками); ❑ оформление технического отчета и протокола испытаний; ❑ оформление аттестата соответствия. При аттестации информационных систем классов «3-ин», «3-спец», «3-бг», «3-юл» и «3-дсп» мероприятия, предусмотренные в абзацах седьмом и восьмом пункта 8, проводятся с использованием средства контроля эффективности защищенности информации. Допускается выполнение мероприятий по аттестации СЗИ, на выделенном наборе сегментов ИС, обеспечивающих полную реализацию технологии обработки защищаемой информации.
Мероприятия, предусмотренные в абзацах втором–девятом пункта 8 Положения о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, могут не проводиться при выполнении в совокупности следующих условий: • аттестация системы защиты информации информационной системы, создаваемой на базе информационной системы специализированной организации, проводится этой специализированной организацией; • в системе защиты информации информационной системы специализированной организации, аттестованной в установленном порядке, реализованы требования по защите информации аттестуемой системы защиты информации.
Разработка программы и методики аттестации
Программа и методика аттестации СЗИ Программа и методика аттестации разрабатываются на основании исходных данных и должны содержать: ❑ перечень выполняемых работ, ❑ методов проверки требований безопасности, реализованных в системе защиты информации, ❑ используемой контрольной аппаратуры и тестовых средств, ❑ а также информацию о продолжительности их выполнения. Программа и методика аттестации разрабатываются: - аттестационной комиссией, назначенной решением (приказом, иным документом) руководителя собственника (владельца) ИС, – при проведении аттестации собственником (владельцем) ИС самостоятельно; - специализированной организацией – при проведении аттестации такой организацией. В данном случае специализированная организация согласовывает разработанные программу и методику аттестации с заявителем.
№ Требование Проверочное действие Результат 1.1 Разграничение доступа пользователей к средствам вычислительной техники, сетевому оборудованию, системному программному обеспечению и средствам защиты информации (3.1) 1. Используя административные учетные записи авторизоваться на средствах вычислительной техники, сетевом оборудованию, системном программном обеспечению и средствах защиты информации; 2. Просмотреть перечень всех учетных записей с правами «администратора»; 3. Соотнести данные сведения с информацией о сотрудниках, ответственных за администрирование данных объектов ИС Наличие учетных записей для всех пользователей, имеющих право администрирования объектов ИС 1.2 Идентификация и аутентификация пользователей (3.2) 1. Попытаться осуществить доступ к объектам ИС под учетной записью существующего пользователя, но используя неверный пароль; 2. Повторить попытку используя верный пароль. Успешный вход должен произойти только во второй попытке 1.3 Защита обратной связи при вводе аутентификационной информации (3.3) Осуществить ввод паролей для доступа к объектам ИС Вводимые символы должны скрываться (маскироваться) 1.4 Полномочное управление (создание, активация, блокировка и уничтожение) учетными записями пользователей (3.4) 1. Осуществить создание/активацию учетной записи пользователя для объектов ИС; 2. Осуществить блокировку/уничтожение учетной записи пользователя для объектов ИС Убедиться в возможности управления учетными записями пользователей ИС
Срок проведения аттестации: • определяется руководителем собственника (владельца) ИС при проведении аттестации собственником (владельцем) ИС самостоятельно • не может превышать 180 календарных дней при проведении аттестации специализированной организацией
В случае выявления недостатков: После устранения недостатков заявитель вправе повторно обратиться за проведением аттестации в порядке, установленном настоящим Положением. При невозможности устранения заявителем выявленных недостатков в указанный срок специализированная организация отказывает в выдаче аттестата соответствия. Заявитель должен устранить недостатки, выявленные указанной организацией, в течение 30 календарных дней со дня получения уведомления. В случае выявления в процессе проведения аттестации недостатков специализированная организация не позднее чем за35 календарных дней до истечения срока проведения аттестации направляет заявителю соответствующее уведомление.
Разработка технического отчета и протокола испытаний
Оформление аттестата соответствия Аттестат соответствия подписывается: ✓ руководителем собственника (владельца) ИС - при проведении аттестации собственником (владельцем) ИС самостоятельно; ✓ руководителем специализированной организации - при проведении аттестации специализированной организацией. Аттестат соответствия оформляется сроком на 5 лет.
Предоставление в ОАЦ сведений о ЗИ • копии аттестата соответствия системы защиты информации информационной системы требованиям по защите информации, технического отчета и протокола испытаний не позднее десяти календарных дней со дня оформления (получения) аттестата соответствия СЗИ: Положение о порядке представления в Оперативно-аналитический центр при Президенте Республики Беларусь сведений о событиях информационной безопасности, состоянии технической и криптографической защиты информации Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
Предоставление в ОАЦ сведений о ЗИ Ежегодно до 1 февраля года, следующего за отчетным: • сведения об ИС, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, по форме согласно приложению 2; • сведения о подразделениях защиты информации или иных подразделениях (должностных лицах), ответственных за обеспечение защиты информации, с указанием наименования подразделения, фамилии, собственного имени, отчества (если таковое имеется) должностного лица и работников таких подразделений, уровня образования в области защиты информации, переподготовки или повышения квалификации по вопросам технической и криптографической защиты информации, а также контактных данных; Положение о порядке представления в Оперативно-аналитический центр при Президенте Республики Беларусь сведений о событиях информационной безопасности, состоянии технической и криптографической защиты информации Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
62/91 Дополнительные материалы Telegram itsec.by: https://t.me/+EvefRxUy4PBlMzMy Facebook Belarusian InfoSecurity Community Telegram Belarusian InfoSec Community

More Related Content

PDF
Проектирование СЗИ.pdf
bytrenders
 
PDF
Аксёнов_Опыт построения СЗИ.pdf
bytrenders
 
PDF
Information Security Legislations (BY)
byВячеслав Аксёнов
 
PDF
Aksionov_B_E_E_R_2022.pdf
bytrenders
 
PDF
Information security systems development
byВячеслав Аксёнов
 
PDF
ISMS audit and implementation
byВячеслав Аксёнов
 
PDF
Information Security Presentation (B.E.E.R 2021)
byВячеслав Аксёнов
 
PDF
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
byВячеслав Аксёнов
 
Проектирование СЗИ.pdf
bytrenders
 
Аксёнов_Опыт построения СЗИ.pdf
bytrenders
 
Information Security Legislations (BY)
byВячеслав Аксёнов
 
Aksionov_B_E_E_R_2022.pdf
bytrenders
 
Information security systems development
byВячеслав Аксёнов
 
ISMS audit and implementation
byВячеслав Аксёнов
 
Information Security Presentation (B.E.E.R 2021)
byВячеслав Аксёнов
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
byВячеслав Аксёнов
 

Similar to Проектирование_СЗИ_персональных_данных_практикум.pdf

PDF
Clouds security (responsibility and information relations)
byВячеслав Аксёнов
 
PDF
Legislation and Responsibility (VMUG #7 Belarus)
byВячеслав Аксёнов
 
PDF
Information Security Presentation (B.E.E.R - 2019)
byВячеслав Аксёнов
 
PPT
Оценка защищенности информационных систем, использующих средства криптографич...
bySQALab
 
PDF
Техническая защита персональных данных в Беларуси
byВячеслав Аксёнов
 
PDF
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
byCisco Russia
 
PDF
требования по иб фстэк (госис, пдн, асу тп) V.1.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Список мер по обеспечению безопасности персональных данных
bySiteSecure
 
PDF
Требования по иб фстэк (госис, пдн, асу тп) V.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
bytrenders
 
PDF
методические рекомендации для гис
byAKlimchuk
 
PDF
Требования в области информационной безопасности и соответствующие им решения...
byCisco Russia
 
PPT
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
bySQALab
 
PDF
Требования в области информационной безопасности и соответствующие им решения...
byCisco Russia
 
PDF
Состав и содержание мер по обеспечению безопасности персональных данных
byПавел Семченко
 
PDF
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
byВячеслав Аксёнов
 
PDF
Стадии создания АС в ЗИ (РБ).pdf
bytrenders
 
PPTX
Защита ГИС
byАлексей Кураленко
 
PDF
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
byКонстантин Бажин
 
PDF
Актуальные вопросы защиты информации для государственных оранов
bySergey Borisov
 
Clouds security (responsibility and information relations)
byВячеслав Аксёнов
 
Legislation and Responsibility (VMUG #7 Belarus)
byВячеслав Аксёнов
 
Information Security Presentation (B.E.E.R - 2019)
byВячеслав Аксёнов
 
Оценка защищенности информационных систем, использующих средства криптографич...
bySQALab
 
Техническая защита персональных данных в Беларуси
byВячеслав Аксёнов
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
byCisco Russia
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Список мер по обеспечению безопасности персональных данных
bySiteSecure
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
bytrenders
 
методические рекомендации для гис
byAKlimchuk
 
Требования в области информационной безопасности и соответствующие им решения...
byCisco Russia
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
bySQALab
 
Требования в области информационной безопасности и соответствующие им решения...
byCisco Russia
 
Состав и содержание мер по обеспечению безопасности персональных данных
byПавел Семченко
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
byВячеслав Аксёнов
 
Стадии создания АС в ЗИ (РБ).pdf
bytrenders
 
Защита ГИС
byАлексей Кураленко
 
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
byКонстантин Бажин
 
Актуальные вопросы защиты информации для государственных оранов
bySergey Borisov
 

More from trenders

PDF
Крипторегулирование в Беларуси - 2023 год
bytrenders
 
PDF
Обучение по вопросам ЗПД.pdf
bytrenders
 
PDF
Управление риском в СМИБ.pdf
bytrenders
 
PDF
Обеспечение ИБ Банков (обзорная презентация курса).pdf
bytrenders
 
PDF
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdf
bytrenders
 
PDF
iso-mek-27001-2022.pdf
bytrenders
 
PDF
Information security risk management.pdf
bytrenders
 
PDF
Guide to Computer Security Log Management (ru).pdf
bytrenders
 
PDF
Exercise Programs for IT Plans and Capabilities (ru).pdf
bytrenders
 
PDF
Enterprise Security Architecture.pdf
bytrenders
 
PDF
CIS Critical Security Controls.pdf
bytrenders
 
PDF
Computer Security Incident Handling Guide (ru).pdf
bytrenders
 
PDF
Экосистема промышленной кибербезопасности.pdf
bytrenders
 
PDF
Стратегия компании и пути развития.pdf
bytrenders
 
PDF
Обзор портфолио экспертных сервисов.pdf
bytrenders
 
PDF
Ландшафт киберугроз и современные тренды ИБ.pdf
bytrenders
 
PDF
Контроль происходящего на стыке IT и ОТ.pdf
bytrenders
 
PDF
Комплексное руководство по построению SOC.pdf
bytrenders
 
PDF
Комплексная защита промышленной инфраструктуры.pdf
bytrenders
 
PDF
Кибериммунитет к угрозам.pdf
bytrenders
 
Крипторегулирование в Беларуси - 2023 год
bytrenders
 
Обучение по вопросам ЗПД.pdf
bytrenders
 
Управление риском в СМИБ.pdf
bytrenders
 
Обеспечение ИБ Банков (обзорная презентация курса).pdf
bytrenders
 
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdf
bytrenders
 
iso-mek-27001-2022.pdf
bytrenders
 
Information security risk management.pdf
bytrenders
 
Guide to Computer Security Log Management (ru).pdf
bytrenders
 
Exercise Programs for IT Plans and Capabilities (ru).pdf
bytrenders
 
Enterprise Security Architecture.pdf
bytrenders
 
CIS Critical Security Controls.pdf
bytrenders
 
Computer Security Incident Handling Guide (ru).pdf
bytrenders
 
Экосистема промышленной кибербезопасности.pdf
bytrenders
 
Стратегия компании и пути развития.pdf
bytrenders
 
Обзор портфолио экспертных сервисов.pdf
bytrenders
 
Ландшафт киберугроз и современные тренды ИБ.pdf
bytrenders
 
Контроль происходящего на стыке IT и ОТ.pdf
bytrenders
 
Комплексное руководство по построению SOC.pdf
bytrenders
 
Комплексная защита промышленной инфраструктуры.pdf
bytrenders
 
Кибериммунитет к угрозам.pdf
bytrenders
 

Проектирование_СЗИ_персональных_данных_практикум.pdf

  • 1.
    ПРОЕКТИРОВАНИЕ СИСТЕМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ ЗАКОНОДАТЕЛЬСТВА (Интенсив-практикум)
  • 2.
    Кратко о себе: −Опыт работы в сфере информационной безопасности 15+ лет, в качестве архитектора и консультанта, в проектах по созданию систем защиты информации в соответствии с требованиями законодательства. Преподаватель авторских курсов по информационной безопасности. − Образование: радиоинженер-педагог + магистратура и аспирантура по направлению информационная безопасность. − Сфера интересов: технологии облачных вычислений, гособлака, проектирование и внедрение систем защиты информации, СМИБ Подробнее: http://www.linkedin.com/pub/viacheslav-aksionov/50/b91/65/en ПРЕПОДАВАТЕЛЬ Вячеслав Аксёнов IT Security Architect | Information Security Trainer Хобби:) Telegram itsec.by: https://t.me/+EvefRxUy4PBlMzMy
  • 4.
    Зачем это всенадо? Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Статья 28. Основные требования по защите информации ➢ Информация, распространение и (или) предоставление которой ограничено, не отнесенная к государственным секретам, должна обрабатываться в информационных системах с применением системы ЗИ, аттестованной в порядке, установленном ОАЦ Статья 17. Меры по обеспечению защиты персональных данных 3. Обязательными мерами по обеспечению защиты персональных данных являются: ➢ осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно- аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные. Кодекс Республики Беларусь об административных правонарушениях Статья 23.7 часть 4 Несоблюдение мер обеспечения защиты персональных данных физических лиц – влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя – от десяти до двадцати пяти базовых величин, а на юридическое лицо – от двадцати до пятидесяти базовых величин.
  • 5.
    Ответственность (п.15) Руководитель организации несетперсональную ответственность за организацию работ по технической и криптографической защите информации в организации. Положение о технической и криптографической защите информации Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449)
  • 6.
    Закон РБ от10.11.2008 г. № 455-З «Об информации, информатизации и защите информации» Положение о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Положение о технической и криптографической защите информации Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Закон РБ от 05.01.2013 г. № 16-З «О коммерческой тайне» Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 О служебной информации ограниченного распространения и информации, составляющей коммерческую тайну Постановление Совета Министров РБ от 12 августа 2014 г. № 783 Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) Постановление Совета Министров РБ 15.05.2013 № 375 (в редакции постановления Совета Министров РБ 12.03.2020 № 145) Перечень государственных стандартов, взаимосвязанных с техническим регламентом Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (TP 2013/027/BY) Приказ ОАЦ от 12.03.2020 № 77
  • 7.
    защита информации защита информации– комплекс правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации. Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации». система защиты информации система защиты информации – совокупность мер по защите информации, реализованных в информационной системе. Положение о технической и криптографической защите информации, УТВЕРЖДЕНО Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449). Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» Статья 29 Меры по защите информации Правовые • заключаемые обладателем информации с пользователем информации договоры, в которых устанавливаются условия пользования информацией, а также ответственность сторон по договору за нарушение указанных условий Организационные • обеспечение особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации), а также разграничение доступа к информации по кругу лиц и характеру информации Технические • использование средств технической и криптографической защиты информации, а также меры по контролю защищенности информации Можно скачать в телеграмм-канале itsec.by https://t.me/+EvefRxUy4PBlMzMy
  • 8.
    Техническая и криптографическаязащита Положение о порядке ТЗИ и КЗИ Приказ ОАЦ от 20.02.2020 № 66 Политика ИБ Регламентированные процессы 52 требования Тех задание Общая схема системы защиты Сертифицированные средства защиты (Rout, VPN, FW, IPS, Antivirus) Аттестация системы защиты Дополнительная отчетность Ответственный за ТЗИ и КЗИ ТР «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY). Постановление Сов Мин РБ 15.05.2013 № 375 (в редакции от 12.03.2020 № 145) Перечень государственных стандартов, взаимосвязанных с TP 2013/027/BY. Приказ ОАЦ от 12.03.2020 № 77 Положение о порядке аттестации Приказ ОАЦ от 20.02.2020 № 66 Положение о порядке представления в ОАЦ сведений о событиях ИБ, состоянии ТЗИ и КЗИ. Приказ ОАЦ от 20.02.2020 № 66
  • 9.
    Проектирование системы СЗИ анализ структурыИС и информационных потоков (внутренних и внешних) в целях определения состава (количества) и мест размещения элементов информационной системы (аппаратных и программных), ее физических и логических границ издание политики информационной безопасности определение требований к системе защиты информации в техническом задании на создание системы защиты информации выбор средств технической и криптографической защиты информации разработка (корректировка) общей схемы системы защиты информации Создание СЗИ внедрение средств ТЗИ и КЗИ, проверка их работоспособности и совместимости с другими объектами ИС разработка (корректировка) документации на СЗИ по перечню, определенному в техническом задании реализация организационных мер по ЗИ Аттестация СЗИ разработка программы и методики аттестации установление соответствия реального состава и структуры объектов ИС общей схеме СЗИ проверка правильности отнесения ИС к классу типовых ИС, выбора и применения средств ЗИ анализ разработанной документации на СЗИ собственника (владельца) ИС на предмет ее соответствия требованиям законодательства ознакомление с документацией о распределении функций персонала по организации и обеспечению ЗИ проведение испытаний СЗИ на предмет выполнения установленных законодательством требований по ЗИ внешняя и внутренняя проверка отсутствия уязвимостей, сведения о которых подтверждены изготовителями (разработчиками) оформление технического отчета и протокола испытаний оформление аттестата соответствия Функционирование СЗИ обеспечение функционирования СЗИ в процессе эксплуатации ИС обеспечение ЗИ в случае прекращения эксплуатации ИС Комплекс мероприятий по технической и криптографической защите информации, подлежащей обработке (сбору, накоплению, вводу, выводу, приему, передаче, записи, хранению, регистрации, уничтожению, преобразованию, отображению) в информационной системе Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66.
  • 10.
    ITSEС_B.E.E.R_2023 https://www.youtube.com/watch?v=Sgk0tVbMxN0&list=PLAt8XeN4JkimI8U1f14nq01WJ4fGBnRcb Анализ исходных данныхна информационную систему Классификация информационной системы
  • 11.
    Анализ исходных данныхна информационную систему
  • 13.
  • 14.
    Классификация ИС Приложение 1 Классытиповых информационных систем Категория информации (форма собственности ИС) Наличие подключения к открытым каналам передачи данных есть нет общедоступная информация (в т.ч. общедоступные персональные данные государственная ИС 5-гос 6-гос негосударственная ИС 5-частн 6-частн персональные данные, за исключением специальных персональных данных 3-ин 4-ин специальные персональные данные, за исключением биометрических и генетических персональных данных 3-спец 4-спец биометрические и генетические персональные данные 3-бг 4-бг информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих государственные секреты, и служебной информации ограниченного распространения) 3-юл 4-юл служебная информация ограниченного распространения 3-дсп 4-дсп Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195)
  • 15.
    Классификация ИС Приложение 2 Актотнесения информационной системы к классу типовых информационных систем (форма) Пример приказа Комплекс программно-технических средств «Корпоративная информационная система Предприятия.
  • 16.
    Положение о порядкетехнической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Глава 1 - Общие положения Глава 2 - Проектирование системы защиты информации Глава 3 - Создание системы защиты информации Глава 4 - Особенности эксплуатации информационной системы с применением системы защиты информации Приложение 1 - Классы типовых информационных систем Приложение 2 - Акт отнесения информационной системы к классу типовых информационных систем (форма) Приложение 2 - Перечень требований к системе защиты информации, подлежащих включению в техническое задание Приложение 4 - Требования к организации взаимодействия информационных систем Приложение 5 - Методы обезличивания персональных данных проектирование создание эксплуатация модернизация
  • 17.
    Общие положения Комплекс мероприятийпо технической и криптографической ЗИ включает: проектирование системы защиты информации создание системы защиты информации аттестацию системы защиты информации обеспечение функционирования системы защиты информации в процессе эксплуатации информационной системы обеспечение защиты информации в случае прекращения эксплуатации информационной системы.
  • 18.
    Проектирование СЗИ На этапеПРОЕКТИРОВАНИЯ СЗИ осуществляются: анализ структуры ИС и информационных потоков (внутренних и внешних) в целях определения состава (количества) и мест размещения элементов информационной системы (аппаратных и программных), ее физических и логических границ; издание политики информационной безопасности; определение требований к системе защиты информации в техническом задании на создание системы защиты информации; выбор средств технической и криптографической защиты информации; разработка (корректировка) общей схемы системы защиты информации.
  • 19.
    Анализ структуры ИС ПроектированиеСЗИ Информационная система N Подсистема N Подсистема N Подсистема N Подсистема интеграции Смежные системы Модуль N Модуль N Модуль N Модуль N Protocol/port Protocol/port Protocol/port Protocol/port
  • 20.
  • 21.
    Разработка политики ИБ Политикаинформационной безопасности организации должна содержать: цели и принципы защиты информации в организации; перечень ИС, отнесенных к соответствующим классам типовых ИС, перечень СВТ, а также сведения о подразделении ЗИ (должностном лице), ответственном за обеспечение ЗИ обязанности пользователей информационной системы; порядок взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия), в том числе при осуществлении информационных отношений на правах операторов, посредников, пользователей информационных систем и обладателей информации. Проектирование СЗИ
  • 22.
    Разработка технического заданияна создание системы защиты информации
  • 23.
    Разработка технического задания Техническоезадание должно содержать: наименование информационной системы с указанием присвоенного ей класса типовых информационных систем; требования к системе защиты информации в зависимости от используемых технологий и класса типовых информационных систем на основе перечня согласно приложению 3; сведения об организации взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия) с учетом требований согласно приложению 4; порядок обезличивания персональных данных (в случае их обработки в информационной системе) с применением методов согласно приложению 5 требования к средствам криптографической защиты информации; перечень документации на систему защиты информации. требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого собственника (владельца) Разрабатывается собственником (владельцем) ИС либо лицензиатом ОАЦ и утверждается собственником (владельцем) ИС. Собственник (владелец) ИС вправе не включать в техническое задание отдельные обязательные требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер
  • 24.
    Перечень требований кСЗИ Приложение 3 к Приказу ОАЦ №66 Перечень требований к СЗИ, подлежащих включению в ТЗ ❑ Аудит безопасности ❑ Требования по обеспечению защиты данных ❑ Требования по обеспечению идентификации и аутентификации ❑ Требования по защите системы защиты информации информационной системы ❑ Обеспечение криптографической защиты информации ❑ Дополнительные требования по обеспечению защиты информации в виртуальной инфраструктуре ❑ Иные требования
  • 25.
    Перечень требований кСЗИ Приложение 3 к Приказу ОАЦ №66 Примечания: 1. Обозначения «4-фл», «4-юл», «4- дсп», «3-фл», «3-юл» и «3-дсп» соответствуют классам типовых информационных систем. 2. Требования, отмеченные знаком «+», являются обязательными. 3. Требования, отмеченные знаком «+/–», являются рекомендуемыми.
  • 26.
    встроенные средства системногои прикладного ПО Виды требований Организационные меры (регламентация) Средства защиты информации
  • 27.
    Перечень требований кСЗИ Приложение 3 к Приказу ОАЦ №66
  • 28.
    Перечень требований кСЗИ Приложение 3 к Приказу ОАЦ №66 п.10. Собственник (владелец) ИС вправе не включать в техническое задание отдельные обязательные требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер
  • 29.
    Организация взаимодействия сиными ИС Приложение 4 к Приказу ОАЦ №66 Примечания: • Под символом «х» понимается физически выделенный канал передачи данных. • Под символом «о» понимается наличие подключения к открытым каналам передачи данных (в том числе к глобальной компьютерной сети Интернет). • При передаче служебной информации ограниченного распространения по сетям электросвязи общего пользования данная информация должна быть защищена с использованием средств криптографической защиты информации, обеспечивающих линейное и (или) предварительное шифрование передаваемой информации.
  • 30.
  • 31.
    Разработка общей схемыСЗИ Проектирование СЗИ Общая схема системы защиты информации должна содержать: ❑ наименование информационной системы ❑ класс типовых информационных систем ❑ места размещения средств вычислительной техники, сетевого оборудования, системного и прикладного программного обеспечения, средств технической и криптографической защиты информации ❑ физические границы информационной системы ❑ внешние и внутренние информационные потоки и протоколы обмена защищаемой информацией
  • 32.
    Проектирование СЗИ ➢ Вслучае документирования создания информационных систем в соответствии с техническими нормативными правовыми актами, регламентирующими порядок создания автоматизированных систем, сведения, указанные в пункте 11 (общая схема СЗИ), могут быть предусмотрены в документах на АИС. ➢ Допускается создание единой системы защиты информации для: • нескольких информационных систем, функционирующих в общей программно-технической среде и принадлежащих одному собственнику (владельцу); • нескольких типовых информационных систем, принадлежащих одному собственнику (владельцу). ➢ При проектировании системы защиты информации информационной системы, функционирование которой предполагается на базе информационной системы другого собственника (владельца), имеющей аттестованную систему защиты информации, может быть предусмотрено применение требований, реализованных в системе защиты информации информационной системы этого собственника (владельца). ➢ Такие требования применяются в соответствии с договором на оказание соответствующих услуг.
  • 33.
    Создание СЗИ На этапесоздания системы защиты информации осуществляются: ❑ внедрение средств технической и криптографической защиты информации, проверка их работоспособности и совместимости с другими объектами информационной системы; ❑разработка (корректировка) документации на систему защиты информации по перечню, определенному в техническом задании; ❑ реализация организационных мер по защите информации.
  • 34.
    Внедрение средств ЗИ СозданиеСЗИ В ходе внедрения средств технической и криптографической защиты информации осуществляются: их монтаж и наладка в соответствии с документацией на систему защиты информации, рекомендациями изготовителя, требованиями по совместимости средств криптографической защиты информации и ограничениями, указанными в сертификате соответствия; смена реквизитов доступа к функциям управления и настройкам, установленным по умолчанию, либо блокировка учетных записей, не предусматривающих смену указанных реквизитов; проверка корректности выполнения такими средствами требований безопасности в реальных условиях эксплуатации и во взаимодействии с другими объектами информационной системы.
  • 35.
    Внедрение средств ЗИ Примерограничения в сертификате
  • 36.
    Разработка локальных правовыхактов, регламентирующих вопросы защиты информации
  • 37.
    Разработка документации наСЗИ Создание СЗИ Документация на СЗИ должна содержать описание способов разграничения доступа пользователей к объектам информационной системы, а также порядок: ❑ резервирования и уничтожения информации; ❑ защиты от вредоносного программного обеспечения; ❑ использования съемных носителей информации; ❑ использования электронной почты; ❑ обновления средств защиты информации; ❑ осуществления контроля (мониторинга) за функционированием информационной системы и системы защиты информации; ❑ реагирования на события информационной безопасности и ликвидации их последствий; ❑ управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению.
  • 38.
  • 39.
    Реализация организационных мерпо ЗИ Создание СЗИ 19. Реализация организационных мер по защите информации осуществляется в целях выполнения требований, изложенных в документации на систему защиты информации собственника (владельца) информационной системы, которые доводятся до сведения пользователей информационной системы под роспись. Организационные меры по криптографической защите информации должны включать в себя меры по обеспечению особого режима допуска на территорию (в помещения), на которой может быть осуществлен доступ к средствам криптографической защиты информации и криптографическим ключам (носителям), а также по разграничению доступа к ним по кругу лиц.
  • 40.
    Эксплуатация ИС сприменением СЗИ В процессе эксплуатации ИС с применением аттестованной СЗИ осуществляются: ❑ контроль за соблюдением требований, установленных в НПА, документации на СЗИ собственника (владельца) ИС; ❑ контроль за порядком использования объектов информационной системы; ❑ мониторинг функционирования системы защиты информации; ❑ выявление угроз (анализ журналов аудита), которые могут привести к сбоям, нарушению функционирования ИС; ❑ резервное копирование информации, содержащейся в информационной системе; ❑ обучение (повышение квалификации) пользователей информационной системы.
  • 41.
    Эксплуатация ИС сприменением СЗИ В случае невозможности устранения выявленных нарушений в течение пяти рабочих дней с момента их выявления собственники (владельцы) ИС обязаны: • прекратить обработку информации, распространение и (или) предоставление которой ограничено, о чем письменно информировать ОАЦ; • осуществить доработку системы защиты информации и провести оценку на предмет необходимости ее повторной аттестации. В соответствии с документацией на систему защиты информации собственники (владельцы) информационных систем выявляют и фиксируют нарушения требований по защите информации, принимают меры по своевременному устранению таких нарушений. В случае компрометации криптографических ключей средств криптографической защиты информации собственники (владельцы) информационных систем обязаны незамедлительно прекратить использование данных средств для обработки информации.
  • 42.
    Эксплуатация ИС сприменением СЗИ 22. Наладочные работы и сервисное обслуживание объектов информационной системы проводятся с участием подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации. 23. Модернизация действующих систем защиты информации осуществляется в порядке, установленном для проектирования и создания таких систем.
  • 43.
    Эксплуатация ИС сприменением СЗИ В случае прекращения эксплуатации ИС собственник (владелец) ИС в соответствии с документацией на СЗИ принимает меры по: • защите информации, которая обрабатывалась в информационной системе; • резервному копированию информации и криптографических ключей (при необходимости), обеспечению их конфиденциальности и целостности; • уничтожению (удалению) данных и криптографических ключей с машинных носителей информации и (или) уничтожению таких носителей информации.
  • 44.
    Положение о порядкеаттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66
  • 45.
    Аттестация СЗИ Аттестация системызащиты информации – комплекс организационно- технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации Аттестат соответствия системы защиты информации информационной системы требованиям по защите информации – документ установленной формы, подтверждающий соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации
  • 46.
    Аттестация СЗИ Аттестация проводитсяорганизациями, имеющими специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ. Собственники (владельцы) информационных систем вправе самостоятельно проводить аттестацию. Аттестация проводится в случаях: - создания системы защиты информации; истечения срока действия аттестата соответствия; - изменения технологии обработки защищаемой информации; - изменения технических мер, реализованных при создании системы защиты информации.
  • 47.
    Подготовка исходных данныхк проведению аттестации системы защиты информации
  • 48.
    Аттестация СЗИ При проведенииаттестации собственником (владельцем) ИС самостоятельно работы по аттестации выполняются аттестационной комиссией, назначенной решением (приказом, иным документом) руководителя собственника (владельца) ИС.
  • 49.
    Исходные данные дляаттестации СЗИ Аттестация специализированными организациями проводится на основании следующих исходных данных: ❑ политики информационной безопасности организации; ❑ акта отнесения к классу типовых информационных систем; ❑ технического задания на создание информационной системы* или системы защиты информации; ❑ общей схемы системы защиты информации; ❑ документации на систему защиты информации; ❑ копий сертификатов соответствия либо экспертных заключений на средства защиты информации. * Техническое задание на создание ИС представляется в случае закрепления в нем требований по ЗИ
  • 50.
    Аттестация СЗИ включает: ❑разработку программы и методики аттестации; ❑ установление соответствия реального состава и структуры объектов ИС общей схеме СЗИ; ❑ проверку правильности отнесения ИС к классу типовых ИС, выбора и применения средств ЗИ; ❑ анализ разработанной документации на СЗИ собственника (владельца) ИС на предмет ее соответствия требованиям законодательства об информации, информатизации и защите информации; ❑ ознакомление с документацией о распределении функций персонала по организации и обеспечению ЗИ; ❑ проведение испытаний системы защиты информации на предмет выполнения установленных законодательством требований по ЗИ; ❑ внешнюю и внутреннюю проверку отсутствия уязвимостей, сведения о которых подтверждены изготовителями (разработчиками); ❑ оформление технического отчета и протокола испытаний; ❑ оформление аттестата соответствия. При аттестации информационных систем классов «3-ин», «3-спец», «3-бг», «3-юл» и «3-дсп» мероприятия, предусмотренные в абзацах седьмом и восьмом пункта 8, проводятся с использованием средства контроля эффективности защищенности информации. Допускается выполнение мероприятий по аттестации СЗИ, на выделенном наборе сегментов ИС, обеспечивающих полную реализацию технологии обработки защищаемой информации.
  • 51.
    Мероприятия, предусмотренные вабзацах втором–девятом пункта 8 Положения о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, могут не проводиться при выполнении в совокупности следующих условий: • аттестация системы защиты информации информационной системы, создаваемой на базе информационной системы специализированной организации, проводится этой специализированной организацией; • в системе защиты информации информационной системы специализированной организации, аттестованной в установленном порядке, реализованы требования по защите информации аттестуемой системы защиты информации.
  • 52.
    Разработка программы иметодики аттестации
  • 53.
    Программа и методикааттестации СЗИ Программа и методика аттестации разрабатываются на основании исходных данных и должны содержать: ❑ перечень выполняемых работ, ❑ методов проверки требований безопасности, реализованных в системе защиты информации, ❑ используемой контрольной аппаратуры и тестовых средств, ❑ а также информацию о продолжительности их выполнения. Программа и методика аттестации разрабатываются: - аттестационной комиссией, назначенной решением (приказом, иным документом) руководителя собственника (владельца) ИС, – при проведении аттестации собственником (владельцем) ИС самостоятельно; - специализированной организацией – при проведении аттестации такой организацией. В данном случае специализированная организация согласовывает разработанные программу и методику аттестации с заявителем.
  • 54.
    № Требование Проверочноедействие Результат 1.1 Разграничение доступа пользователей к средствам вычислительной техники, сетевому оборудованию, системному программному обеспечению и средствам защиты информации (3.1) 1. Используя административные учетные записи авторизоваться на средствах вычислительной техники, сетевом оборудованию, системном программном обеспечению и средствах защиты информации; 2. Просмотреть перечень всех учетных записей с правами «администратора»; 3. Соотнести данные сведения с информацией о сотрудниках, ответственных за администрирование данных объектов ИС Наличие учетных записей для всех пользователей, имеющих право администрирования объектов ИС 1.2 Идентификация и аутентификация пользователей (3.2) 1. Попытаться осуществить доступ к объектам ИС под учетной записью существующего пользователя, но используя неверный пароль; 2. Повторить попытку используя верный пароль. Успешный вход должен произойти только во второй попытке 1.3 Защита обратной связи при вводе аутентификационной информации (3.3) Осуществить ввод паролей для доступа к объектам ИС Вводимые символы должны скрываться (маскироваться) 1.4 Полномочное управление (создание, активация, блокировка и уничтожение) учетными записями пользователей (3.4) 1. Осуществить создание/активацию учетной записи пользователя для объектов ИС; 2. Осуществить блокировку/уничтожение учетной записи пользователя для объектов ИС Убедиться в возможности управления учетными записями пользователей ИС
  • 55.
    Срок проведения аттестации: •определяется руководителем собственника (владельца) ИС при проведении аттестации собственником (владельцем) ИС самостоятельно • не может превышать 180 календарных дней при проведении аттестации специализированной организацией
  • 56.
    В случае выявлениянедостатков: После устранения недостатков заявитель вправе повторно обратиться за проведением аттестации в порядке, установленном настоящим Положением. При невозможности устранения заявителем выявленных недостатков в указанный срок специализированная организация отказывает в выдаче аттестата соответствия. Заявитель должен устранить недостатки, выявленные указанной организацией, в течение 30 календарных дней со дня получения уведомления. В случае выявления в процессе проведения аттестации недостатков специализированная организация не позднее чем за35 календарных дней до истечения срока проведения аттестации направляет заявителю соответствующее уведомление.
  • 57.
  • 59.
    Оформление аттестата соответствия Аттестатсоответствия подписывается: ✓ руководителем собственника (владельца) ИС - при проведении аттестации собственником (владельцем) ИС самостоятельно; ✓ руководителем специализированной организации - при проведении аттестации специализированной организацией. Аттестат соответствия оформляется сроком на 5 лет.
  • 60.
    Предоставление в ОАЦсведений о ЗИ • копии аттестата соответствия системы защиты информации информационной системы требованиям по защите информации, технического отчета и протокола испытаний не позднее десяти календарных дней со дня оформления (получения) аттестата соответствия СЗИ: Положение о порядке представления в Оперативно-аналитический центр при Президенте Республики Беларусь сведений о событиях информационной безопасности, состоянии технической и криптографической защиты информации Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
  • 61.
    Предоставление в ОАЦсведений о ЗИ Ежегодно до 1 февраля года, следующего за отчетным: • сведения об ИС, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, по форме согласно приложению 2; • сведения о подразделениях защиты информации или иных подразделениях (должностных лицах), ответственных за обеспечение защиты информации, с указанием наименования подразделения, фамилии, собственного имени, отчества (если таковое имеется) должностного лица и работников таких подразделений, уровня образования в области защиты информации, переподготовки или повышения квалификации по вопросам технической и криптографической защиты информации, а также контактных данных; Положение о порядке представления в Оперативно-аналитический центр при Президенте Республики Беларусь сведений о событиях информационной безопасности, состоянии технической и криптографической защиты информации Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
  • 62.
    62/91 Дополнительные материалы Telegram itsec.by:https://t.me/+EvefRxUy4PBlMzMy Facebook Belarusian InfoSecurity Community Telegram Belarusian InfoSec Community