SlideShare a Scribd company logo

Проектирование_СЗИ_персональных_данных_практикум.pdf

trenders
trenders

Проектирование систем защиты персональных данных в соответствии с требованиями законодательства (Интенсив практикум)

Software
1 of 62
Download to read offline
ПРОЕКТИРОВАНИЕ СИСТЕМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ ЗАКОНОДАТЕЛЬСТВА (Интенсив-практикум)
Кратко о себе: − Опыт работы в сфере информационной безопасности 15+ лет, в качестве архитектора и консультанта, в проектах по созданию систем защиты информации в соответствии с требованиями законодательства. Преподаватель авторских курсов по информационной безопасности. − Образование: радиоинженер-педагог + магистратура и аспирантура по направлению информационная безопасность. − Сфера интересов: технологии облачных вычислений, гособлака, проектирование и внедрение систем защиты информации, СМИБ Подробнее: http://www.linkedin.com/pub/viacheslav-aksionov/50/b91/65/en ПРЕПОДАВАТЕЛЬ Вячеслав Аксёнов IT Security Architect | Information Security Trainer Хобби:) Telegram itsec.by: https://t.me/+EvefRxUy4PBlMzMy
Зачем это все надо? Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Статья 28. Основные требования по защите информации ➢ Информация, распространение и (или) предоставление которой ограничено, не отнесенная к государственным секретам, должна обрабатываться в информационных системах с применением системы ЗИ, аттестованной в порядке, установленном ОАЦ Статья 17. Меры по обеспечению защиты персональных данных 3. Обязательными мерами по обеспечению защиты персональных данных являются: ➢ осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно- аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные. Кодекс Республики Беларусь об административных правонарушениях Статья 23.7 часть 4 Несоблюдение мер обеспечения защиты персональных данных физических лиц – влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя – от десяти до двадцати пяти базовых величин, а на юридическое лицо – от двадцати до пятидесяти базовых величин.
Ответственность (п.15) Руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации. Положение о технической и криптографической защите информации Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449)
Закон РБ от 10.11.2008 г. № 455-З «Об информации, информатизации и защите информации» Положение о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Положение о технической и криптографической защите информации Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Закон РБ от 05.01.2013 г. № 16-З «О коммерческой тайне» Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 О служебной информации ограниченного распространения и информации, составляющей коммерческую тайну Постановление Совета Министров РБ от 12 августа 2014 г. № 783 Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) Постановление Совета Министров РБ 15.05.2013 № 375 (в редакции постановления Совета Министров РБ 12.03.2020 № 145) Перечень государственных стандартов, взаимосвязанных с техническим регламентом Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (TP 2013/027/BY) Приказ ОАЦ от 12.03.2020 № 77
защита информации защита информации – комплекс правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации. Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации». система защиты информации система защиты информации – совокупность мер по защите информации, реализованных в информационной системе. Положение о технической и криптографической защите информации, УТВЕРЖДЕНО Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449). Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» Статья 29 Меры по защите информации Правовые • заключаемые обладателем информации с пользователем информации договоры, в которых устанавливаются условия пользования информацией, а также ответственность сторон по договору за нарушение указанных условий Организационные • обеспечение особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации), а также разграничение доступа к информации по кругу лиц и характеру информации Технические • использование средств технической и криптографической защиты информации, а также меры по контролю защищенности информации Можно скачать в телеграмм-канале itsec.by https://t.me/+EvefRxUy4PBlMzMy
Техническая и криптографическая защита Положение о порядке ТЗИ и КЗИ Приказ ОАЦ от 20.02.2020 № 66 Политика ИБ Регламентированные процессы 52 требования Тех задание Общая схема системы защиты Сертифицированные средства защиты (Rout, VPN, FW, IPS, Antivirus) Аттестация системы защиты Дополнительная отчетность Ответственный за ТЗИ и КЗИ ТР «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY). Постановление Сов Мин РБ 15.05.2013 № 375 (в редакции от 12.03.2020 № 145) Перечень государственных стандартов, взаимосвязанных с TP 2013/027/BY. Приказ ОАЦ от 12.03.2020 № 77 Положение о порядке аттестации Приказ ОАЦ от 20.02.2020 № 66 Положение о порядке представления в ОАЦ сведений о событиях ИБ, состоянии ТЗИ и КЗИ. Приказ ОАЦ от 20.02.2020 № 66
Проектирование системы СЗИ анализ структуры ИС и информационных потоков (внутренних и внешних) в целях определения состава (количества) и мест размещения элементов информационной системы (аппаратных и программных), ее физических и логических границ издание политики информационной безопасности определение требований к системе защиты информации в техническом задании на создание системы защиты информации выбор средств технической и криптографической защиты информации разработка (корректировка) общей схемы системы защиты информации Создание СЗИ внедрение средств ТЗИ и КЗИ, проверка их работоспособности и совместимости с другими объектами ИС разработка (корректировка) документации на СЗИ по перечню, определенному в техническом задании реализация организационных мер по ЗИ Аттестация СЗИ разработка программы и методики аттестации установление соответствия реального состава и структуры объектов ИС общей схеме СЗИ проверка правильности отнесения ИС к классу типовых ИС, выбора и применения средств ЗИ анализ разработанной документации на СЗИ собственника (владельца) ИС на предмет ее соответствия требованиям законодательства ознакомление с документацией о распределении функций персонала по организации и обеспечению ЗИ проведение испытаний СЗИ на предмет выполнения установленных законодательством требований по ЗИ внешняя и внутренняя проверка отсутствия уязвимостей, сведения о которых подтверждены изготовителями (разработчиками) оформление технического отчета и протокола испытаний оформление аттестата соответствия Функционирование СЗИ обеспечение функционирования СЗИ в процессе эксплуатации ИС обеспечение ЗИ в случае прекращения эксплуатации ИС Комплекс мероприятий по технической и криптографической защите информации, подлежащей обработке (сбору, накоплению, вводу, выводу, приему, передаче, записи, хранению, регистрации, уничтожению, преобразованию, отображению) в информационной системе Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66.
ITSEС_B.E.E.R_2023 https://www.youtube.com/watch?v=Sgk0tVbMxN0&list=PLAt8XeN4JkimI8U1f14nq01WJ4fGBnRcb Анализ исходных данных на информационную систему Классификация информационной системы
Анализ исходных данных на информационную систему
Классификация информационной системы
Классификация ИС Приложение 1 Классы типовых информационных систем Категория информации (форма собственности ИС) Наличие подключения к открытым каналам передачи данных есть нет общедоступная информация (в т.ч. общедоступные персональные данные государственная ИС 5-гос 6-гос негосударственная ИС 5-частн 6-частн персональные данные, за исключением специальных персональных данных 3-ин 4-ин специальные персональные данные, за исключением биометрических и генетических персональных данных 3-спец 4-спец биометрические и генетические персональные данные 3-бг 4-бг информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих государственные секреты, и служебной информации ограниченного распространения) 3-юл 4-юл служебная информация ограниченного распространения 3-дсп 4-дсп Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195)
Классификация ИС Приложение 2 Акт отнесения информационной системы к классу типовых информационных систем (форма) Пример приказа Комплекс программно-технических средств «Корпоративная информационная система Предприятия.
Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Глава 1 - Общие положения Глава 2 - Проектирование системы защиты информации Глава 3 - Создание системы защиты информации Глава 4 - Особенности эксплуатации информационной системы с применением системы защиты информации Приложение 1 - Классы типовых информационных систем Приложение 2 - Акт отнесения информационной системы к классу типовых информационных систем (форма) Приложение 2 - Перечень требований к системе защиты информации, подлежащих включению в техническое задание Приложение 4 - Требования к организации взаимодействия информационных систем Приложение 5 - Методы обезличивания персональных данных проектирование создание эксплуатация модернизация
Общие положения Комплекс мероприятий по технической и криптографической ЗИ включает: проектирование системы защиты информации создание системы защиты информации аттестацию системы защиты информации обеспечение функционирования системы защиты информации в процессе эксплуатации информационной системы обеспечение защиты информации в случае прекращения эксплуатации информационной системы.
Проектирование СЗИ На этапе ПРОЕКТИРОВАНИЯ СЗИ осуществляются: анализ структуры ИС и информационных потоков (внутренних и внешних) в целях определения состава (количества) и мест размещения элементов информационной системы (аппаратных и программных), ее физических и логических границ; издание политики информационной безопасности; определение требований к системе защиты информации в техническом задании на создание системы защиты информации; выбор средств технической и криптографической защиты информации; разработка (корректировка) общей схемы системы защиты информации.
Анализ структуры ИС Проектирование СЗИ Информационная система N Подсистема N Подсистема N Подсистема N Подсистема интеграции Смежные системы Модуль N Модуль N Модуль N Модуль N Protocol/port Protocol/port Protocol/port Protocol/port
Разработка политики информационной безопасности
Разработка политики ИБ Политика информационной безопасности организации должна содержать: цели и принципы защиты информации в организации; перечень ИС, отнесенных к соответствующим классам типовых ИС, перечень СВТ, а также сведения о подразделении ЗИ (должностном лице), ответственном за обеспечение ЗИ обязанности пользователей информационной системы; порядок взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия), в том числе при осуществлении информационных отношений на правах операторов, посредников, пользователей информационных систем и обладателей информации. Проектирование СЗИ
Разработка технического задания на создание системы защиты информации
Разработка технического задания Техническое задание должно содержать: наименование информационной системы с указанием присвоенного ей класса типовых информационных систем; требования к системе защиты информации в зависимости от используемых технологий и класса типовых информационных систем на основе перечня согласно приложению 3; сведения об организации взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия) с учетом требований согласно приложению 4; порядок обезличивания персональных данных (в случае их обработки в информационной системе) с применением методов согласно приложению 5 требования к средствам криптографической защиты информации; перечень документации на систему защиты информации. требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого собственника (владельца) Разрабатывается собственником (владельцем) ИС либо лицензиатом ОАЦ и утверждается собственником (владельцем) ИС. Собственник (владелец) ИС вправе не включать в техническое задание отдельные обязательные требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер
Перечень требований к СЗИ Приложение 3 к Приказу ОАЦ №66 Перечень требований к СЗИ, подлежащих включению в ТЗ ❑ Аудит безопасности ❑ Требования по обеспечению защиты данных ❑ Требования по обеспечению идентификации и аутентификации ❑ Требования по защите системы защиты информации информационной системы ❑ Обеспечение криптографической защиты информации ❑ Дополнительные требования по обеспечению защиты информации в виртуальной инфраструктуре ❑ Иные требования
Перечень требований к СЗИ Приложение 3 к Приказу ОАЦ №66 Примечания: 1. Обозначения «4-фл», «4-юл», «4- дсп», «3-фл», «3-юл» и «3-дсп» соответствуют классам типовых информационных систем. 2. Требования, отмеченные знаком «+», являются обязательными. 3. Требования, отмеченные знаком «+/–», являются рекомендуемыми.
встроенные средства системного и прикладного ПО Виды требований Организационные меры (регламентация) Средства защиты информации
Перечень требований к СЗИ Приложение 3 к Приказу ОАЦ №66
Перечень требований к СЗИ Приложение 3 к Приказу ОАЦ №66 п.10. Собственник (владелец) ИС вправе не включать в техническое задание отдельные обязательные требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер
Организация взаимодействия с иными ИС Приложение 4 к Приказу ОАЦ №66 Примечания: • Под символом «х» понимается физически выделенный канал передачи данных. • Под символом «о» понимается наличие подключения к открытым каналам передачи данных (в том числе к глобальной компьютерной сети Интернет). • При передаче служебной информации ограниченного распространения по сетям электросвязи общего пользования данная информация должна быть защищена с использованием средств криптографической защиты информации, обеспечивающих линейное и (или) предварительное шифрование передаваемой информации.
Разработка общей схемы системы защиты информации
Разработка общей схемы СЗИ Проектирование СЗИ Общая схема системы защиты информации должна содержать: ❑ наименование информационной системы ❑ класс типовых информационных систем ❑ места размещения средств вычислительной техники, сетевого оборудования, системного и прикладного программного обеспечения, средств технической и криптографической защиты информации ❑ физические границы информационной системы ❑ внешние и внутренние информационные потоки и протоколы обмена защищаемой информацией
Проектирование СЗИ ➢ В случае документирования создания информационных систем в соответствии с техническими нормативными правовыми актами, регламентирующими порядок создания автоматизированных систем, сведения, указанные в пункте 11 (общая схема СЗИ), могут быть предусмотрены в документах на АИС. ➢ Допускается создание единой системы защиты информации для: • нескольких информационных систем, функционирующих в общей программно-технической среде и принадлежащих одному собственнику (владельцу); • нескольких типовых информационных систем, принадлежащих одному собственнику (владельцу). ➢ При проектировании системы защиты информации информационной системы, функционирование которой предполагается на базе информационной системы другого собственника (владельца), имеющей аттестованную систему защиты информации, может быть предусмотрено применение требований, реализованных в системе защиты информации информационной системы этого собственника (владельца). ➢ Такие требования применяются в соответствии с договором на оказание соответствующих услуг.
Создание СЗИ На этапе создания системы защиты информации осуществляются: ❑ внедрение средств технической и криптографической защиты информации, проверка их работоспособности и совместимости с другими объектами информационной системы; ❑разработка (корректировка) документации на систему защиты информации по перечню, определенному в техническом задании; ❑ реализация организационных мер по защите информации.
Внедрение средств ЗИ Создание СЗИ В ходе внедрения средств технической и криптографической защиты информации осуществляются: их монтаж и наладка в соответствии с документацией на систему защиты информации, рекомендациями изготовителя, требованиями по совместимости средств криптографической защиты информации и ограничениями, указанными в сертификате соответствия; смена реквизитов доступа к функциям управления и настройкам, установленным по умолчанию, либо блокировка учетных записей, не предусматривающих смену указанных реквизитов; проверка корректности выполнения такими средствами требований безопасности в реальных условиях эксплуатации и во взаимодействии с другими объектами информационной системы.
Внедрение средств ЗИ Пример ограничения в сертификате
Разработка локальных правовых актов, регламентирующих вопросы защиты информации
Разработка документации на СЗИ Создание СЗИ Документация на СЗИ должна содержать описание способов разграничения доступа пользователей к объектам информационной системы, а также порядок: ❑ резервирования и уничтожения информации; ❑ защиты от вредоносного программного обеспечения; ❑ использования съемных носителей информации; ❑ использования электронной почты; ❑ обновления средств защиты информации; ❑ осуществления контроля (мониторинга) за функционированием информационной системы и системы защиты информации; ❑ реагирования на события информационной безопасности и ликвидации их последствий; ❑ управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению.
https://www.sans.org/security- resources/policies http://securitypolicy.ru/
Реализация организационных мер по ЗИ Создание СЗИ 19. Реализация организационных мер по защите информации осуществляется в целях выполнения требований, изложенных в документации на систему защиты информации собственника (владельца) информационной системы, которые доводятся до сведения пользователей информационной системы под роспись. Организационные меры по криптографической защите информации должны включать в себя меры по обеспечению особого режима допуска на территорию (в помещения), на которой может быть осуществлен доступ к средствам криптографической защиты информации и криптографическим ключам (носителям), а также по разграничению доступа к ним по кругу лиц.
Эксплуатация ИС с применением СЗИ В процессе эксплуатации ИС с применением аттестованной СЗИ осуществляются: ❑ контроль за соблюдением требований, установленных в НПА, документации на СЗИ собственника (владельца) ИС; ❑ контроль за порядком использования объектов информационной системы; ❑ мониторинг функционирования системы защиты информации; ❑ выявление угроз (анализ журналов аудита), которые могут привести к сбоям, нарушению функционирования ИС; ❑ резервное копирование информации, содержащейся в информационной системе; ❑ обучение (повышение квалификации) пользователей информационной системы.
Эксплуатация ИС с применением СЗИ В случае невозможности устранения выявленных нарушений в течение пяти рабочих дней с момента их выявления собственники (владельцы) ИС обязаны: • прекратить обработку информации, распространение и (или) предоставление которой ограничено, о чем письменно информировать ОАЦ; • осуществить доработку системы защиты информации и провести оценку на предмет необходимости ее повторной аттестации. В соответствии с документацией на систему защиты информации собственники (владельцы) информационных систем выявляют и фиксируют нарушения требований по защите информации, принимают меры по своевременному устранению таких нарушений. В случае компрометации криптографических ключей средств криптографической защиты информации собственники (владельцы) информационных систем обязаны незамедлительно прекратить использование данных средств для обработки информации.
Эксплуатация ИС с применением СЗИ 22. Наладочные работы и сервисное обслуживание объектов информационной системы проводятся с участием подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации. 23. Модернизация действующих систем защиты информации осуществляется в порядке, установленном для проектирования и создания таких систем.
Эксплуатация ИС с применением СЗИ В случае прекращения эксплуатации ИС собственник (владелец) ИС в соответствии с документацией на СЗИ принимает меры по: • защите информации, которая обрабатывалась в информационной системе; • резервному копированию информации и криптографических ключей (при необходимости), обеспечению их конфиденциальности и целостности; • уничтожению (удалению) данных и криптографических ключей с машинных носителей информации и (или) уничтожению таких носителей информации.
Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66
Аттестация СЗИ Аттестация системы защиты информации – комплекс организационно- технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации Аттестат соответствия системы защиты информации информационной системы требованиям по защите информации – документ установленной формы, подтверждающий соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации
Аттестация СЗИ Аттестация проводится организациями, имеющими специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ. Собственники (владельцы) информационных систем вправе самостоятельно проводить аттестацию. Аттестация проводится в случаях: - создания системы защиты информации; истечения срока действия аттестата соответствия; - изменения технологии обработки защищаемой информации; - изменения технических мер, реализованных при создании системы защиты информации.
Подготовка исходных данных к проведению аттестации системы защиты информации
Аттестация СЗИ При проведении аттестации собственником (владельцем) ИС самостоятельно работы по аттестации выполняются аттестационной комиссией, назначенной решением (приказом, иным документом) руководителя собственника (владельца) ИС.
Исходные данные для аттестации СЗИ Аттестация специализированными организациями проводится на основании следующих исходных данных: ❑ политики информационной безопасности организации; ❑ акта отнесения к классу типовых информационных систем; ❑ технического задания на создание информационной системы* или системы защиты информации; ❑ общей схемы системы защиты информации; ❑ документации на систему защиты информации; ❑ копий сертификатов соответствия либо экспертных заключений на средства защиты информации. * Техническое задание на создание ИС представляется в случае закрепления в нем требований по ЗИ
Аттестация СЗИ включает: ❑ разработку программы и методики аттестации; ❑ установление соответствия реального состава и структуры объектов ИС общей схеме СЗИ; ❑ проверку правильности отнесения ИС к классу типовых ИС, выбора и применения средств ЗИ; ❑ анализ разработанной документации на СЗИ собственника (владельца) ИС на предмет ее соответствия требованиям законодательства об информации, информатизации и защите информации; ❑ ознакомление с документацией о распределении функций персонала по организации и обеспечению ЗИ; ❑ проведение испытаний системы защиты информации на предмет выполнения установленных законодательством требований по ЗИ; ❑ внешнюю и внутреннюю проверку отсутствия уязвимостей, сведения о которых подтверждены изготовителями (разработчиками); ❑ оформление технического отчета и протокола испытаний; ❑ оформление аттестата соответствия. При аттестации информационных систем классов «3-ин», «3-спец», «3-бг», «3-юл» и «3-дсп» мероприятия, предусмотренные в абзацах седьмом и восьмом пункта 8, проводятся с использованием средства контроля эффективности защищенности информации. Допускается выполнение мероприятий по аттестации СЗИ, на выделенном наборе сегментов ИС, обеспечивающих полную реализацию технологии обработки защищаемой информации.
Мероприятия, предусмотренные в абзацах втором–девятом пункта 8 Положения о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, могут не проводиться при выполнении в совокупности следующих условий: • аттестация системы защиты информации информационной системы, создаваемой на базе информационной системы специализированной организации, проводится этой специализированной организацией; • в системе защиты информации информационной системы специализированной организации, аттестованной в установленном порядке, реализованы требования по защите информации аттестуемой системы защиты информации.
Разработка программы и методики аттестации
Программа и методика аттестации СЗИ Программа и методика аттестации разрабатываются на основании исходных данных и должны содержать: ❑ перечень выполняемых работ, ❑ методов проверки требований безопасности, реализованных в системе защиты информации, ❑ используемой контрольной аппаратуры и тестовых средств, ❑ а также информацию о продолжительности их выполнения. Программа и методика аттестации разрабатываются: - аттестационной комиссией, назначенной решением (приказом, иным документом) руководителя собственника (владельца) ИС, – при проведении аттестации собственником (владельцем) ИС самостоятельно; - специализированной организацией – при проведении аттестации такой организацией. В данном случае специализированная организация согласовывает разработанные программу и методику аттестации с заявителем.
№ Требование Проверочное действие Результат 1.1 Разграничение доступа пользователей к средствам вычислительной техники, сетевому оборудованию, системному программному обеспечению и средствам защиты информации (3.1) 1. Используя административные учетные записи авторизоваться на средствах вычислительной техники, сетевом оборудованию, системном программном обеспечению и средствах защиты информации; 2. Просмотреть перечень всех учетных записей с правами «администратора»; 3. Соотнести данные сведения с информацией о сотрудниках, ответственных за администрирование данных объектов ИС Наличие учетных записей для всех пользователей, имеющих право администрирования объектов ИС 1.2 Идентификация и аутентификация пользователей (3.2) 1. Попытаться осуществить доступ к объектам ИС под учетной записью существующего пользователя, но используя неверный пароль; 2. Повторить попытку используя верный пароль. Успешный вход должен произойти только во второй попытке 1.3 Защита обратной связи при вводе аутентификационной информации (3.3) Осуществить ввод паролей для доступа к объектам ИС Вводимые символы должны скрываться (маскироваться) 1.4 Полномочное управление (создание, активация, блокировка и уничтожение) учетными записями пользователей (3.4) 1. Осуществить создание/активацию учетной записи пользователя для объектов ИС; 2. Осуществить блокировку/уничтожение учетной записи пользователя для объектов ИС Убедиться в возможности управления учетными записями пользователей ИС
Срок проведения аттестации: • определяется руководителем собственника (владельца) ИС при проведении аттестации собственником (владельцем) ИС самостоятельно • не может превышать 180 календарных дней при проведении аттестации специализированной организацией
В случае выявления недостатков: После устранения недостатков заявитель вправе повторно обратиться за проведением аттестации в порядке, установленном настоящим Положением. При невозможности устранения заявителем выявленных недостатков в указанный срок специализированная организация отказывает в выдаче аттестата соответствия. Заявитель должен устранить недостатки, выявленные указанной организацией, в течение 30 календарных дней со дня получения уведомления. В случае выявления в процессе проведения аттестации недостатков специализированная организация не позднее чем за35 календарных дней до истечения срока проведения аттестации направляет заявителю соответствующее уведомление.
Разработка технического отчета и протокола испытаний
Оформление аттестата соответствия Аттестат соответствия подписывается: ✓ руководителем собственника (владельца) ИС - при проведении аттестации собственником (владельцем) ИС самостоятельно; ✓ руководителем специализированной организации - при проведении аттестации специализированной организацией. Аттестат соответствия оформляется сроком на 5 лет.
Предоставление в ОАЦ сведений о ЗИ • копии аттестата соответствия системы защиты информации информационной системы требованиям по защите информации, технического отчета и протокола испытаний не позднее десяти календарных дней со дня оформления (получения) аттестата соответствия СЗИ: Положение о порядке представления в Оперативно-аналитический центр при Президенте Республики Беларусь сведений о событиях информационной безопасности, состоянии технической и криптографической защиты информации Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
Предоставление в ОАЦ сведений о ЗИ Ежегодно до 1 февраля года, следующего за отчетным: • сведения об ИС, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, по форме согласно приложению 2; • сведения о подразделениях защиты информации или иных подразделениях (должностных лицах), ответственных за обеспечение защиты информации, с указанием наименования подразделения, фамилии, собственного имени, отчества (если таковое имеется) должностного лица и работников таких подразделений, уровня образования в области защиты информации, переподготовки или повышения квалификации по вопросам технической и криптографической защиты информации, а также контактных данных; Положение о порядке представления в Оперативно-аналитический центр при Президенте Республики Беларусь сведений о событиях информационной безопасности, состоянии технической и криптографической защиты информации Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
62/91 Дополнительные материалы Telegram itsec.by: https://t.me/+EvefRxUy4PBlMzMy Facebook Belarusian InfoSecurity Community Telegram Belarusian InfoSec Community

Recommended

Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)Вячеслав Аксёнов
 
Проектирование СЗИ.pdf
Проектирование СЗИ.pdfПроектирование СЗИ.pdf
Проектирование СЗИ.pdftrenders
 
Аксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdfАксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdftrenders
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdftrenders
 
Information security systems development
Information security systems developmentInformation security systems development
Information security systems developmentВячеслав Аксёнов
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementationВячеслав Аксёнов
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Вячеслав Аксёнов
 
Организация профессиональной переподготовки по направлению «Информационная бе...
Организация профессиональной переподготовки по направлению «Информационная бе...Организация профессиональной переподготовки по направлению «Информационная бе...
Организация профессиональной переподготовки по направлению «Информационная бе...ATOL Drive
 

Recommended

Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)Вячеслав Аксёнов
 
Проектирование СЗИ.pdf
Проектирование СЗИ.pdfПроектирование СЗИ.pdf
Проектирование СЗИ.pdftrenders
 
Аксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdfАксёнов_Опыт построения СЗИ.pdf
Аксёнов_Опыт построения СЗИ.pdftrenders
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdftrenders
 
Information security systems development
Information security systems developmentInformation security systems development
Information security systems developmentВячеслав Аксёнов
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementationВячеслав Аксёнов
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Вячеслав Аксёнов
 
Организация профессиональной переподготовки по направлению «Информационная бе...
Организация профессиональной переподготовки по направлению «Информационная бе...Организация профессиональной переподготовки по направлению «Информационная бе...
Организация профессиональной переподготовки по направлению «Информационная бе...ATOL Drive
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеguestfa9aa
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
ТЗИ 2017
ТЗИ 2017ТЗИ 2017
ТЗИ 2017Альбина Минуллина
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг SmallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Решения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системРешения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системCisco Russia
 
Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиВячеслав Аксёнов
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...SelectedPresentations
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Вячеслав Аксёнов
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systemsВячеслав Аксёнов
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информацииSergey Borisov
 
Альтернатива лицензированию - аутсорсинг
Альтернатива лицензированию - аутсорсингАльтернатива лицензированию - аутсорсинг
Альтернатива лицензированию - аутсорсингУчебный центр "Эшелон"
 
доктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерациидоктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерацииАркадий Захаров
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для госSergey Borisov
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...SQALab
 
Крипторегулирование в Беларуси - 2023 год
Крипторегулирование в Беларуси - 2023 годКрипторегулирование в Беларуси - 2023 год
Крипторегулирование в Беларуси - 2023 годtrenders
 
Обучение по вопросам ЗПД.pdf
Обучение по вопросам ЗПД.pdfОбучение по вопросам ЗПД.pdf
Обучение по вопросам ЗПД.pdftrenders
 

More Related Content

Similar to Проектирование_СЗИ_персональных_данных_практикум.pdf

Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеguestfa9aa
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
Решения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системРешения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системCisco Russia
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиВячеслав Аксёнов
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...SelectedPresentations
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информацииSergey Borisov
 
Альтернатива лицензированию - аутсорсинг
Альтернатива лицензированию - аутсорсингАльтернатива лицензированию - аутсорсинг
Альтернатива лицензированию - аутсорсингУчебный центр "Эшелон"
 
доктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерациидоктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерацииАркадий Захаров
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для госSergey Borisov
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...SQALab
 

Similar to Проектирование_СЗИ_персональных_данных_практикум.pdf (20)

Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли проще
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных оранов
 
ТЗИ 2017
ТЗИ 2017ТЗИ 2017
ТЗИ 2017
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
Решения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системРешения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных систем
 
Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в Беларуси
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirements
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информации
 
Альтернатива лицензированию - аутсорсинг
Альтернатива лицензированию - аутсорсингАльтернатива лицензированию - аутсорсинг
Альтернатива лицензированию - аутсорсинг
 
доктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерациидоктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерации
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
 

More from trenders

Крипторегулирование в Беларуси - 2023 год
Крипторегулирование в Беларуси - 2023 годКрипторегулирование в Беларуси - 2023 год
Крипторегулирование в Беларуси - 2023 годtrenders
 
Обучение по вопросам ЗПД.pdf
Обучение по вопросам ЗПД.pdfОбучение по вопросам ЗПД.pdf
Обучение по вопросам ЗПД.pdftrenders
 
Управление риском в СМИБ.pdf
Управление риском в СМИБ.pdfУправление риском в СМИБ.pdf
Управление риском в СМИБ.pdftrenders
 
Стадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdfСтадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdftrenders
 
Обеспечение ИБ Банков (обзорная презентация курса).pdf
Обеспечение ИБ Банков (обзорная презентация курса).pdfОбеспечение ИБ Банков (обзорная презентация курса).pdf
Обеспечение ИБ Банков (обзорная презентация курса).pdftrenders
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdfАксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdftrenders
 
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdf
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdfАксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdf
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdftrenders
 
iso-mek-27001-2022.pdf
iso-mek-27001-2022.pdfiso-mek-27001-2022.pdf
iso-mek-27001-2022.pdftrenders
 
Information security risk management.pdf
Information security risk management.pdfInformation security risk management.pdf
Information security risk management.pdftrenders
 
Guide to Computer Security Log Management (ru).pdf
Guide to Computer Security Log Management (ru).pdfGuide to Computer Security Log Management (ru).pdf
Guide to Computer Security Log Management (ru).pdftrenders
 
Exercise Programs for IT Plans and Capabilities (ru).pdf
Exercise Programs for IT Plans and Capabilities (ru).pdfExercise Programs for IT Plans and Capabilities (ru).pdf
Exercise Programs for IT Plans and Capabilities (ru).pdftrenders
 
Enterprise Security Architecture.pdf
Enterprise Security Architecture.pdfEnterprise Security Architecture.pdf
Enterprise Security Architecture.pdftrenders
 
CIS Critical Security Controls.pdf
CIS Critical Security Controls.pdfCIS Critical Security Controls.pdf
CIS Critical Security Controls.pdftrenders
 
Computer Security Incident Handling Guide (ru).pdf
Computer Security Incident Handling Guide (ru).pdfComputer Security Incident Handling Guide (ru).pdf
Computer Security Incident Handling Guide (ru).pdftrenders
 
Экосистема промышленной кибербезопасности.pdf
Экосистема промышленной кибербезопасности.pdfЭкосистема промышленной кибербезопасности.pdf
Экосистема промышленной кибербезопасности.pdftrenders
 
Стратегия компании и пути развития.pdf
Стратегия компании и пути развития.pdfСтратегия компании и пути развития.pdf
Стратегия компании и пути развития.pdftrenders
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdftrenders
 
Ландшафт киберугроз и современные тренды ИБ.pdf
Ландшафт киберугроз и современные тренды ИБ.pdfЛандшафт киберугроз и современные тренды ИБ.pdf
Ландшафт киберугроз и современные тренды ИБ.pdftrenders
 
Контроль происходящего на стыке IT и ОТ.pdf
Контроль происходящего на стыке IT и ОТ.pdfКонтроль происходящего на стыке IT и ОТ.pdf
Контроль происходящего на стыке IT и ОТ.pdftrenders
 
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdftrenders
 

More from trenders (20)

Крипторегулирование в Беларуси - 2023 год
Крипторегулирование в Беларуси - 2023 годКрипторегулирование в Беларуси - 2023 год
Крипторегулирование в Беларуси - 2023 год
 
Обучение по вопросам ЗПД.pdf
Обучение по вопросам ЗПД.pdfОбучение по вопросам ЗПД.pdf
Обучение по вопросам ЗПД.pdf
 
Управление риском в СМИБ.pdf
Управление риском в СМИБ.pdfУправление риском в СМИБ.pdf
Управление риском в СМИБ.pdf
 
Стадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdfСтадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdf
 
Обеспечение ИБ Банков (обзорная презентация курса).pdf
Обеспечение ИБ Банков (обзорная презентация курса).pdfОбеспечение ИБ Банков (обзорная презентация курса).pdf
Обеспечение ИБ Банков (обзорная презентация курса).pdf
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdfАксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
 
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdf
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdfАксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdf
Аксёнов_Оценка_и_управление_рисками_информационной_безопасности.pdf
 
iso-mek-27001-2022.pdf
iso-mek-27001-2022.pdfiso-mek-27001-2022.pdf
iso-mek-27001-2022.pdf
 
Information security risk management.pdf
Information security risk management.pdfInformation security risk management.pdf
Information security risk management.pdf
 
Guide to Computer Security Log Management (ru).pdf
Guide to Computer Security Log Management (ru).pdfGuide to Computer Security Log Management (ru).pdf
Guide to Computer Security Log Management (ru).pdf
 
Exercise Programs for IT Plans and Capabilities (ru).pdf
Exercise Programs for IT Plans and Capabilities (ru).pdfExercise Programs for IT Plans and Capabilities (ru).pdf
Exercise Programs for IT Plans and Capabilities (ru).pdf
 
Enterprise Security Architecture.pdf
Enterprise Security Architecture.pdfEnterprise Security Architecture.pdf
Enterprise Security Architecture.pdf
 
CIS Critical Security Controls.pdf
CIS Critical Security Controls.pdfCIS Critical Security Controls.pdf
CIS Critical Security Controls.pdf
 
Computer Security Incident Handling Guide (ru).pdf
Computer Security Incident Handling Guide (ru).pdfComputer Security Incident Handling Guide (ru).pdf
Computer Security Incident Handling Guide (ru).pdf
 
Экосистема промышленной кибербезопасности.pdf
Экосистема промышленной кибербезопасности.pdfЭкосистема промышленной кибербезопасности.pdf
Экосистема промышленной кибербезопасности.pdf
 
Стратегия компании и пути развития.pdf
Стратегия компании и пути развития.pdfСтратегия компании и пути развития.pdf
Стратегия компании и пути развития.pdf
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdf
 
Ландшафт киберугроз и современные тренды ИБ.pdf
Ландшафт киберугроз и современные тренды ИБ.pdfЛандшафт киберугроз и современные тренды ИБ.pdf
Ландшафт киберугроз и современные тренды ИБ.pdf
 
Контроль происходящего на стыке IT и ОТ.pdf
Контроль происходящего на стыке IT и ОТ.pdfКонтроль происходящего на стыке IT и ОТ.pdf
Контроль происходящего на стыке IT и ОТ.pdf
 
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdf
 

Проектирование_СЗИ_персональных_данных_практикум.pdf

  • 1. ПРОЕКТИРОВАНИЕ СИСТЕМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ ЗАКОНОДАТЕЛЬСТВА (Интенсив-практикум)
  • 2. Кратко о себе: − Опыт работы в сфере информационной безопасности 15+ лет, в качестве архитектора и консультанта, в проектах по созданию систем защиты информации в соответствии с требованиями законодательства. Преподаватель авторских курсов по информационной безопасности. − Образование: радиоинженер-педагог + магистратура и аспирантура по направлению информационная безопасность. − Сфера интересов: технологии облачных вычислений, гособлака, проектирование и внедрение систем защиты информации, СМИБ Подробнее: http://www.linkedin.com/pub/viacheslav-aksionov/50/b91/65/en ПРЕПОДАВАТЕЛЬ Вячеслав Аксёнов IT Security Architect | Information Security Trainer Хобби:) Telegram itsec.by: https://t.me/+EvefRxUy4PBlMzMy
  • 3.
  • 4. Зачем это все надо? Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Статья 28. Основные требования по защите информации ➢ Информация, распространение и (или) предоставление которой ограничено, не отнесенная к государственным секретам, должна обрабатываться в информационных системах с применением системы ЗИ, аттестованной в порядке, установленном ОАЦ Статья 17. Меры по обеспечению защиты персональных данных 3. Обязательными мерами по обеспечению защиты персональных данных являются: ➢ осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно- аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные. Кодекс Республики Беларусь об административных правонарушениях Статья 23.7 часть 4 Несоблюдение мер обеспечения защиты персональных данных физических лиц – влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя – от десяти до двадцати пяти базовых величин, а на юридическое лицо – от двадцати до пятидесяти базовых величин.
  • 5. Ответственность (п.15) Руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации. Положение о технической и криптографической защите информации Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449)
  • 6. Закон РБ от 10.11.2008 г. № 455-З «Об информации, информатизации и защите информации» Положение о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Положение о технической и криптографической защите информации Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Закон РБ от 05.01.2013 г. № 16-З «О коммерческой тайне» Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 О служебной информации ограниченного распространения и информации, составляющей коммерческую тайну Постановление Совета Министров РБ от 12 августа 2014 г. № 783 Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) Постановление Совета Министров РБ 15.05.2013 № 375 (в редакции постановления Совета Министров РБ 12.03.2020 № 145) Перечень государственных стандартов, взаимосвязанных с техническим регламентом Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (TP 2013/027/BY) Приказ ОАЦ от 12.03.2020 № 77
  • 7. защита информации защита информации – комплекс правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации. Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации». система защиты информации система защиты информации – совокупность мер по защите информации, реализованных в информационной системе. Положение о технической и криптографической защите информации, УТВЕРЖДЕНО Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449). Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» Статья 29 Меры по защите информации Правовые • заключаемые обладателем информации с пользователем информации договоры, в которых устанавливаются условия пользования информацией, а также ответственность сторон по договору за нарушение указанных условий Организационные • обеспечение особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации), а также разграничение доступа к информации по кругу лиц и характеру информации Технические • использование средств технической и криптографической защиты информации, а также меры по контролю защищенности информации Можно скачать в телеграмм-канале itsec.by https://t.me/+EvefRxUy4PBlMzMy
  • 8. Техническая и криптографическая защита Положение о порядке ТЗИ и КЗИ Приказ ОАЦ от 20.02.2020 № 66 Политика ИБ Регламентированные процессы 52 требования Тех задание Общая схема системы защиты Сертифицированные средства защиты (Rout, VPN, FW, IPS, Antivirus) Аттестация системы защиты Дополнительная отчетность Ответственный за ТЗИ и КЗИ ТР «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY). Постановление Сов Мин РБ 15.05.2013 № 375 (в редакции от 12.03.2020 № 145) Перечень государственных стандартов, взаимосвязанных с TP 2013/027/BY. Приказ ОАЦ от 12.03.2020 № 77 Положение о порядке аттестации Приказ ОАЦ от 20.02.2020 № 66 Положение о порядке представления в ОАЦ сведений о событиях ИБ, состоянии ТЗИ и КЗИ. Приказ ОАЦ от 20.02.2020 № 66
  • 9. Проектирование системы СЗИ анализ структуры ИС и информационных потоков (внутренних и внешних) в целях определения состава (количества) и мест размещения элементов информационной системы (аппаратных и программных), ее физических и логических границ издание политики информационной безопасности определение требований к системе защиты информации в техническом задании на создание системы защиты информации выбор средств технической и криптографической защиты информации разработка (корректировка) общей схемы системы защиты информации Создание СЗИ внедрение средств ТЗИ и КЗИ, проверка их работоспособности и совместимости с другими объектами ИС разработка (корректировка) документации на СЗИ по перечню, определенному в техническом задании реализация организационных мер по ЗИ Аттестация СЗИ разработка программы и методики аттестации установление соответствия реального состава и структуры объектов ИС общей схеме СЗИ проверка правильности отнесения ИС к классу типовых ИС, выбора и применения средств ЗИ анализ разработанной документации на СЗИ собственника (владельца) ИС на предмет ее соответствия требованиям законодательства ознакомление с документацией о распределении функций персонала по организации и обеспечению ЗИ проведение испытаний СЗИ на предмет выполнения установленных законодательством требований по ЗИ внешняя и внутренняя проверка отсутствия уязвимостей, сведения о которых подтверждены изготовителями (разработчиками) оформление технического отчета и протокола испытаний оформление аттестата соответствия Функционирование СЗИ обеспечение функционирования СЗИ в процессе эксплуатации ИС обеспечение ЗИ в случае прекращения эксплуатации ИС Комплекс мероприятий по технической и криптографической защите информации, подлежащей обработке (сбору, накоплению, вводу, выводу, приему, передаче, записи, хранению, регистрации, уничтожению, преобразованию, отображению) в информационной системе Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66.
  • 10. ITSEС_B.E.E.R_2023 https://www.youtube.com/watch?v=Sgk0tVbMxN0&list=PLAt8XeN4JkimI8U1f14nq01WJ4fGBnRcb Анализ исходных данных на информационную систему Классификация информационной системы
  • 11. Анализ исходных данных на информационную систему
  • 12.
  • 14. Классификация ИС Приложение 1 Классы типовых информационных систем Категория информации (форма собственности ИС) Наличие подключения к открытым каналам передачи данных есть нет общедоступная информация (в т.ч. общедоступные персональные данные государственная ИС 5-гос 6-гос негосударственная ИС 5-частн 6-частн персональные данные, за исключением специальных персональных данных 3-ин 4-ин специальные персональные данные, за исключением биометрических и генетических персональных данных 3-спец 4-спец биометрические и генетические персональные данные 3-бг 4-бг информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих государственные секреты, и служебной информации ограниченного распространения) 3-юл 4-юл служебная информация ограниченного распространения 3-дсп 4-дсп Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195)
  • 15. Классификация ИС Приложение 2 Акт отнесения информационной системы к классу типовых информационных систем (форма) Пример приказа Комплекс программно-технических средств «Корпоративная информационная система Предприятия.
  • 16. Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Глава 1 - Общие положения Глава 2 - Проектирование системы защиты информации Глава 3 - Создание системы защиты информации Глава 4 - Особенности эксплуатации информационной системы с применением системы защиты информации Приложение 1 - Классы типовых информационных систем Приложение 2 - Акт отнесения информационной системы к классу типовых информационных систем (форма) Приложение 2 - Перечень требований к системе защиты информации, подлежащих включению в техническое задание Приложение 4 - Требования к организации взаимодействия информационных систем Приложение 5 - Методы обезличивания персональных данных проектирование создание эксплуатация модернизация
  • 17. Общие положения Комплекс мероприятий по технической и криптографической ЗИ включает: проектирование системы защиты информации создание системы защиты информации аттестацию системы защиты информации обеспечение функционирования системы защиты информации в процессе эксплуатации информационной системы обеспечение защиты информации в случае прекращения эксплуатации информационной системы.
  • 18. Проектирование СЗИ На этапе ПРОЕКТИРОВАНИЯ СЗИ осуществляются: анализ структуры ИС и информационных потоков (внутренних и внешних) в целях определения состава (количества) и мест размещения элементов информационной системы (аппаратных и программных), ее физических и логических границ; издание политики информационной безопасности; определение требований к системе защиты информации в техническом задании на создание системы защиты информации; выбор средств технической и криптографической защиты информации; разработка (корректировка) общей схемы системы защиты информации.
  • 19. Анализ структуры ИС Проектирование СЗИ Информационная система N Подсистема N Подсистема N Подсистема N Подсистема интеграции Смежные системы Модуль N Модуль N Модуль N Модуль N Protocol/port Protocol/port Protocol/port Protocol/port
  • 21. Разработка политики ИБ Политика информационной безопасности организации должна содержать: цели и принципы защиты информации в организации; перечень ИС, отнесенных к соответствующим классам типовых ИС, перечень СВТ, а также сведения о подразделении ЗИ (должностном лице), ответственном за обеспечение ЗИ обязанности пользователей информационной системы; порядок взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия), в том числе при осуществлении информационных отношений на правах операторов, посредников, пользователей информационных систем и обладателей информации. Проектирование СЗИ
  • 22. Разработка технического задания на создание системы защиты информации
  • 23. Разработка технического задания Техническое задание должно содержать: наименование информационной системы с указанием присвоенного ей класса типовых информационных систем; требования к системе защиты информации в зависимости от используемых технологий и класса типовых информационных систем на основе перечня согласно приложению 3; сведения об организации взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия) с учетом требований согласно приложению 4; порядок обезличивания персональных данных (в случае их обработки в информационной системе) с применением методов согласно приложению 5 требования к средствам криптографической защиты информации; перечень документации на систему защиты информации. требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого собственника (владельца) Разрабатывается собственником (владельцем) ИС либо лицензиатом ОАЦ и утверждается собственником (владельцем) ИС. Собственник (владелец) ИС вправе не включать в техническое задание отдельные обязательные требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер
  • 24. Перечень требований к СЗИ Приложение 3 к Приказу ОАЦ №66 Перечень требований к СЗИ, подлежащих включению в ТЗ ❑ Аудит безопасности ❑ Требования по обеспечению защиты данных ❑ Требования по обеспечению идентификации и аутентификации ❑ Требования по защите системы защиты информации информационной системы ❑ Обеспечение криптографической защиты информации ❑ Дополнительные требования по обеспечению защиты информации в виртуальной инфраструктуре ❑ Иные требования
  • 25. Перечень требований к СЗИ Приложение 3 к Приказу ОАЦ №66 Примечания: 1. Обозначения «4-фл», «4-юл», «4- дсп», «3-фл», «3-юл» и «3-дсп» соответствуют классам типовых информационных систем. 2. Требования, отмеченные знаком «+», являются обязательными. 3. Требования, отмеченные знаком «+/–», являются рекомендуемыми.
  • 26. встроенные средства системного и прикладного ПО Виды требований Организационные меры (регламентация) Средства защиты информации
  • 27. Перечень требований к СЗИ Приложение 3 к Приказу ОАЦ №66
  • 28. Перечень требований к СЗИ Приложение 3 к Приказу ОАЦ №66 п.10. Собственник (владелец) ИС вправе не включать в техническое задание отдельные обязательные требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер
  • 29. Организация взаимодействия с иными ИС Приложение 4 к Приказу ОАЦ №66 Примечания: • Под символом «х» понимается физически выделенный канал передачи данных. • Под символом «о» понимается наличие подключения к открытым каналам передачи данных (в том числе к глобальной компьютерной сети Интернет). • При передаче служебной информации ограниченного распространения по сетям электросвязи общего пользования данная информация должна быть защищена с использованием средств криптографической защиты информации, обеспечивающих линейное и (или) предварительное шифрование передаваемой информации.
  • 31. Разработка общей схемы СЗИ Проектирование СЗИ Общая схема системы защиты информации должна содержать: ❑ наименование информационной системы ❑ класс типовых информационных систем ❑ места размещения средств вычислительной техники, сетевого оборудования, системного и прикладного программного обеспечения, средств технической и криптографической защиты информации ❑ физические границы информационной системы ❑ внешние и внутренние информационные потоки и протоколы обмена защищаемой информацией
  • 32. Проектирование СЗИ ➢ В случае документирования создания информационных систем в соответствии с техническими нормативными правовыми актами, регламентирующими порядок создания автоматизированных систем, сведения, указанные в пункте 11 (общая схема СЗИ), могут быть предусмотрены в документах на АИС. ➢ Допускается создание единой системы защиты информации для: • нескольких информационных систем, функционирующих в общей программно-технической среде и принадлежащих одному собственнику (владельцу); • нескольких типовых информационных систем, принадлежащих одному собственнику (владельцу). ➢ При проектировании системы защиты информации информационной системы, функционирование которой предполагается на базе информационной системы другого собственника (владельца), имеющей аттестованную систему защиты информации, может быть предусмотрено применение требований, реализованных в системе защиты информации информационной системы этого собственника (владельца). ➢ Такие требования применяются в соответствии с договором на оказание соответствующих услуг.
  • 33. Создание СЗИ На этапе создания системы защиты информации осуществляются: ❑ внедрение средств технической и криптографической защиты информации, проверка их работоспособности и совместимости с другими объектами информационной системы; ❑разработка (корректировка) документации на систему защиты информации по перечню, определенному в техническом задании; ❑ реализация организационных мер по защите информации.
  • 34. Внедрение средств ЗИ Создание СЗИ В ходе внедрения средств технической и криптографической защиты информации осуществляются: их монтаж и наладка в соответствии с документацией на систему защиты информации, рекомендациями изготовителя, требованиями по совместимости средств криптографической защиты информации и ограничениями, указанными в сертификате соответствия; смена реквизитов доступа к функциям управления и настройкам, установленным по умолчанию, либо блокировка учетных записей, не предусматривающих смену указанных реквизитов; проверка корректности выполнения такими средствами требований безопасности в реальных условиях эксплуатации и во взаимодействии с другими объектами информационной системы.
  • 35. Внедрение средств ЗИ Пример ограничения в сертификате
  • 36. Разработка локальных правовых актов, регламентирующих вопросы защиты информации
  • 37. Разработка документации на СЗИ Создание СЗИ Документация на СЗИ должна содержать описание способов разграничения доступа пользователей к объектам информационной системы, а также порядок: ❑ резервирования и уничтожения информации; ❑ защиты от вредоносного программного обеспечения; ❑ использования съемных носителей информации; ❑ использования электронной почты; ❑ обновления средств защиты информации; ❑ осуществления контроля (мониторинга) за функционированием информационной системы и системы защиты информации; ❑ реагирования на события информационной безопасности и ликвидации их последствий; ❑ управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению.
  • 39. Реализация организационных мер по ЗИ Создание СЗИ 19. Реализация организационных мер по защите информации осуществляется в целях выполнения требований, изложенных в документации на систему защиты информации собственника (владельца) информационной системы, которые доводятся до сведения пользователей информационной системы под роспись. Организационные меры по криптографической защите информации должны включать в себя меры по обеспечению особого режима допуска на территорию (в помещения), на которой может быть осуществлен доступ к средствам криптографической защиты информации и криптографическим ключам (носителям), а также по разграничению доступа к ним по кругу лиц.
  • 40. Эксплуатация ИС с применением СЗИ В процессе эксплуатации ИС с применением аттестованной СЗИ осуществляются: ❑ контроль за соблюдением требований, установленных в НПА, документации на СЗИ собственника (владельца) ИС; ❑ контроль за порядком использования объектов информационной системы; ❑ мониторинг функционирования системы защиты информации; ❑ выявление угроз (анализ журналов аудита), которые могут привести к сбоям, нарушению функционирования ИС; ❑ резервное копирование информации, содержащейся в информационной системе; ❑ обучение (повышение квалификации) пользователей информационной системы.
  • 41. Эксплуатация ИС с применением СЗИ В случае невозможности устранения выявленных нарушений в течение пяти рабочих дней с момента их выявления собственники (владельцы) ИС обязаны: • прекратить обработку информации, распространение и (или) предоставление которой ограничено, о чем письменно информировать ОАЦ; • осуществить доработку системы защиты информации и провести оценку на предмет необходимости ее повторной аттестации. В соответствии с документацией на систему защиты информации собственники (владельцы) информационных систем выявляют и фиксируют нарушения требований по защите информации, принимают меры по своевременному устранению таких нарушений. В случае компрометации криптографических ключей средств криптографической защиты информации собственники (владельцы) информационных систем обязаны незамедлительно прекратить использование данных средств для обработки информации.
  • 42. Эксплуатация ИС с применением СЗИ 22. Наладочные работы и сервисное обслуживание объектов информационной системы проводятся с участием подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации. 23. Модернизация действующих систем защиты информации осуществляется в порядке, установленном для проектирования и создания таких систем.
  • 43. Эксплуатация ИС с применением СЗИ В случае прекращения эксплуатации ИС собственник (владелец) ИС в соответствии с документацией на СЗИ принимает меры по: • защите информации, которая обрабатывалась в информационной системе; • резервному копированию информации и криптографических ключей (при необходимости), обеспечению их конфиденциальности и целостности; • уничтожению (удалению) данных и криптографических ключей с машинных носителей информации и (или) уничтожению таких носителей информации.
  • 44. Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66
  • 45. Аттестация СЗИ Аттестация системы защиты информации – комплекс организационно- технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации Аттестат соответствия системы защиты информации информационной системы требованиям по защите информации – документ установленной формы, подтверждающий соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации
  • 46. Аттестация СЗИ Аттестация проводится организациями, имеющими специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ. Собственники (владельцы) информационных систем вправе самостоятельно проводить аттестацию. Аттестация проводится в случаях: - создания системы защиты информации; истечения срока действия аттестата соответствия; - изменения технологии обработки защищаемой информации; - изменения технических мер, реализованных при создании системы защиты информации.
  • 47. Подготовка исходных данных к проведению аттестации системы защиты информации
  • 48. Аттестация СЗИ При проведении аттестации собственником (владельцем) ИС самостоятельно работы по аттестации выполняются аттестационной комиссией, назначенной решением (приказом, иным документом) руководителя собственника (владельца) ИС.
  • 49. Исходные данные для аттестации СЗИ Аттестация специализированными организациями проводится на основании следующих исходных данных: ❑ политики информационной безопасности организации; ❑ акта отнесения к классу типовых информационных систем; ❑ технического задания на создание информационной системы* или системы защиты информации; ❑ общей схемы системы защиты информации; ❑ документации на систему защиты информации; ❑ копий сертификатов соответствия либо экспертных заключений на средства защиты информации. * Техническое задание на создание ИС представляется в случае закрепления в нем требований по ЗИ
  • 50. Аттестация СЗИ включает: ❑ разработку программы и методики аттестации; ❑ установление соответствия реального состава и структуры объектов ИС общей схеме СЗИ; ❑ проверку правильности отнесения ИС к классу типовых ИС, выбора и применения средств ЗИ; ❑ анализ разработанной документации на СЗИ собственника (владельца) ИС на предмет ее соответствия требованиям законодательства об информации, информатизации и защите информации; ❑ ознакомление с документацией о распределении функций персонала по организации и обеспечению ЗИ; ❑ проведение испытаний системы защиты информации на предмет выполнения установленных законодательством требований по ЗИ; ❑ внешнюю и внутреннюю проверку отсутствия уязвимостей, сведения о которых подтверждены изготовителями (разработчиками); ❑ оформление технического отчета и протокола испытаний; ❑ оформление аттестата соответствия. При аттестации информационных систем классов «3-ин», «3-спец», «3-бг», «3-юл» и «3-дсп» мероприятия, предусмотренные в абзацах седьмом и восьмом пункта 8, проводятся с использованием средства контроля эффективности защищенности информации. Допускается выполнение мероприятий по аттестации СЗИ, на выделенном наборе сегментов ИС, обеспечивающих полную реализацию технологии обработки защищаемой информации.
  • 51. Мероприятия, предусмотренные в абзацах втором–девятом пункта 8 Положения о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, могут не проводиться при выполнении в совокупности следующих условий: • аттестация системы защиты информации информационной системы, создаваемой на базе информационной системы специализированной организации, проводится этой специализированной организацией; • в системе защиты информации информационной системы специализированной организации, аттестованной в установленном порядке, реализованы требования по защите информации аттестуемой системы защиты информации.
  • 52. Разработка программы и методики аттестации
  • 53. Программа и методика аттестации СЗИ Программа и методика аттестации разрабатываются на основании исходных данных и должны содержать: ❑ перечень выполняемых работ, ❑ методов проверки требований безопасности, реализованных в системе защиты информации, ❑ используемой контрольной аппаратуры и тестовых средств, ❑ а также информацию о продолжительности их выполнения. Программа и методика аттестации разрабатываются: - аттестационной комиссией, назначенной решением (приказом, иным документом) руководителя собственника (владельца) ИС, – при проведении аттестации собственником (владельцем) ИС самостоятельно; - специализированной организацией – при проведении аттестации такой организацией. В данном случае специализированная организация согласовывает разработанные программу и методику аттестации с заявителем.
  • 54. № Требование Проверочное действие Результат 1.1 Разграничение доступа пользователей к средствам вычислительной техники, сетевому оборудованию, системному программному обеспечению и средствам защиты информации (3.1) 1. Используя административные учетные записи авторизоваться на средствах вычислительной техники, сетевом оборудованию, системном программном обеспечению и средствах защиты информации; 2. Просмотреть перечень всех учетных записей с правами «администратора»; 3. Соотнести данные сведения с информацией о сотрудниках, ответственных за администрирование данных объектов ИС Наличие учетных записей для всех пользователей, имеющих право администрирования объектов ИС 1.2 Идентификация и аутентификация пользователей (3.2) 1. Попытаться осуществить доступ к объектам ИС под учетной записью существующего пользователя, но используя неверный пароль; 2. Повторить попытку используя верный пароль. Успешный вход должен произойти только во второй попытке 1.3 Защита обратной связи при вводе аутентификационной информации (3.3) Осуществить ввод паролей для доступа к объектам ИС Вводимые символы должны скрываться (маскироваться) 1.4 Полномочное управление (создание, активация, блокировка и уничтожение) учетными записями пользователей (3.4) 1. Осуществить создание/активацию учетной записи пользователя для объектов ИС; 2. Осуществить блокировку/уничтожение учетной записи пользователя для объектов ИС Убедиться в возможности управления учетными записями пользователей ИС
  • 55. Срок проведения аттестации: • определяется руководителем собственника (владельца) ИС при проведении аттестации собственником (владельцем) ИС самостоятельно • не может превышать 180 календарных дней при проведении аттестации специализированной организацией
  • 56. В случае выявления недостатков: После устранения недостатков заявитель вправе повторно обратиться за проведением аттестации в порядке, установленном настоящим Положением. При невозможности устранения заявителем выявленных недостатков в указанный срок специализированная организация отказывает в выдаче аттестата соответствия. Заявитель должен устранить недостатки, выявленные указанной организацией, в течение 30 календарных дней со дня получения уведомления. В случае выявления в процессе проведения аттестации недостатков специализированная организация не позднее чем за35 календарных дней до истечения срока проведения аттестации направляет заявителю соответствующее уведомление.
  • 57. Разработка технического отчета и протокола испытаний
  • 58.
  • 59. Оформление аттестата соответствия Аттестат соответствия подписывается: ✓ руководителем собственника (владельца) ИС - при проведении аттестации собственником (владельцем) ИС самостоятельно; ✓ руководителем специализированной организации - при проведении аттестации специализированной организацией. Аттестат соответствия оформляется сроком на 5 лет.
  • 60. Предоставление в ОАЦ сведений о ЗИ • копии аттестата соответствия системы защиты информации информационной системы требованиям по защите информации, технического отчета и протокола испытаний не позднее десяти календарных дней со дня оформления (получения) аттестата соответствия СЗИ: Положение о порядке представления в Оперативно-аналитический центр при Президенте Республики Беларусь сведений о событиях информационной безопасности, состоянии технической и криптографической защиты информации Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
  • 61. Предоставление в ОАЦ сведений о ЗИ Ежегодно до 1 февраля года, следующего за отчетным: • сведения об ИС, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, по форме согласно приложению 2; • сведения о подразделениях защиты информации или иных подразделениях (должностных лицах), ответственных за обеспечение защиты информации, с указанием наименования подразделения, фамилии, собственного имени, отчества (если таковое имеется) должностного лица и работников таких подразделений, уровня образования в области защиты информации, переподготовки или повышения квалификации по вопросам технической и криптографической защиты информации, а также контактных данных; Положение о порядке представления в Оперативно-аналитический центр при Президенте Республики Беларусь сведений о событиях информационной безопасности, состоянии технической и криптографической защиты информации Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
  • 62. 62/91 Дополнительные материалы Telegram itsec.by: https://t.me/+EvefRxUy4PBlMzMy Facebook Belarusian InfoSecurity Community Telegram Belarusian InfoSec Community