1. Разработка общей схемы СЗИ
в ходе реализации мероприятий по
защите информации
Вячеслав Аксёнов
менеджер по ИБ «Приорбанк» ОАО
2. Общая схема СЗИ Положение о порядке технической и
криптографической защиты информации в
информационных системах,
предназначенных для обработки
информации, распространение и (или)
предоставление которой ограничено
Приказ ОАЦ от 20.02.2020 № 66
(в редакции приказа от 12.11.2021 № 195)
Protocol/port
Protocol/port
Protocol/port
Protocol/port
Общая схема СЗИ должна содержать:
❑ наименование ИС
❑ класс типовых ИС
❑ места размещения СВТ, сетевого
оборудования, системного и прикладного
ПО, средств технической и
криптографической ЗИ
❑ физические границы ИС
❑ внешние и внутренние информационные
потоки и протоколы обмена защищаемой
информацией
3. Min vs Max
Информационная система N
Подсистема N
Подсистема N
Подсистема N
Подсистема
интеграции
Смежные
системы
Модуль N Модуль N
Модуль N Модуль N
4. Min vs Max
❑ Детальные сведения об обеспечении
ЗИ.
❑ Организационная структура
❑ Описание организационных мер ЗИ.
❑ Описание технических мер ЗИ.
❑ Сведения о соответствии
требованиям НПА/ТНПА.
❑ Распределение ответственности за
ЗИ при привлечении поставщиков
услуг.
5. Min vs Max
№ Наименование документа Процесс, который регламентируется
1-О Политика информационной
безопасности
Политика информационной безопасности определяет цели и задачи
системы менеджмента информационной безопасности и
устанавливает совокупность правил, требований и руководящих
принципов в области информационной безопасности, которыми
руководствуется Предприятие в своей деятельности.
2-О Положение
о порядке предоставления
прав доступа к
информационным системам
и ресурсам
Положение разработано на основании п. х.х. Политики
информационной безопасности, и устанавливает общую процедуру
предоставления прав доступа работникам Предприятия к
информационным системам и ресурсам Предприятия.
3-О Положение
по обеспечению
антивирусной защиты
Положение разработано на основании п. х.х. Политики
информационной безопасности, и устанавливает требования по
обеспечению информационной безопасности Предприятия
средствами антивирусной защиты и ответственность работников
Предприятия за их выполнение.
Организационные меры ЗИ
6. Min vs Max
№ Наименование средства защиты Назначение
Сведения о сертификации в
Национальной системе
подтверждения
соответствия Республики
Беларусь
1-Т Kaspersky Endpoint Security for
Windows
Обеспечение защиты средств вычислительной
техники от вредоносных программ (7.10)
BY/112 02.01. 036 00965
2-Т Kaspersky Endpoint Security 10 SP1
for Linux
Обеспечение защиты средств вычислительной
техники от вредоносных программ (7.10)
BY/112 02.01. 036 00713
3-Т Kaspersky Secure Mail Gateway Обеспечение в реальном масштабе времени
автоматической проверки файлов данных,
передаваемых по почтовым протоколам, и
обезвреживание обнаруженных вредоносных
программ (7.12)
BY/112 02.01. 036 00538
4-Т Kaspersky Security Center версии 12 Централизованное управление всеми
элементами антивирусной защиты
Не требуется. Программное
обеспечение не является
средством защиты
информации
Технические меры ЗИ
7. Min vs Max
Требование Орг. меры Техн. меры Средства ЗИ
3.4 Обеспечение полномочного
управления (создание, активация,
блокировка и уничтожение)
учетными записями
пользователей информационной
системы
Положение
о порядке предоставления
прав доступа к
информационным
системам и ресурсам
Встроенные системного и
прикладного ПО,
MS AD.
-
7.10 Обеспечение защиты
средств вычислительной техники
от вредоносных программ
Положение
по обеспечению
антивирусной защиты
Kaspersky Security Center
версии 12
Kaspersky Endpoint Security
for Windows;
Kaspersky Endpoint Security
10 SP1 for Linux
7.12 Обеспечение в реальном
масштабе времени
автоматической проверки файлов
данных, передаваемых по
почтовым протоколам, и
обезвреживание обнаруженных
вредоносных программ
Положение
по обеспечению
антивирусной защиты
Kaspersky Security Center
версии 12
Kaspersky Secure Mail
Gateway
Матрица соответствия требованиям для систем класса …
8. Min vs Max
Матрица распределения ответственности за обеспечение защиты информации
Наименование требования Поставщик услуг Организация
2.2 Обеспечение контроля за работоспособностью,
параметрами настройки и правильностью
функционирования средств вычислительной техники,
сетевого оборудования, системного программного
обеспечения и средств защиты информации
В отношении:
- виртуальной
инфраструктуры IaaS
- сетевого оборудования
- дополнительных сервисов
В отношении:
- ПК администраторов
- общесистемного ПО
- программных средств
защиты информации
6.1 Обеспечение защиты от агрессивного
использования ресурсов виртуальной инфраструктуры
потребителями услуг
В отношении виртуальной
инфраструктуры IaaS -
7.10 Обеспечение защиты средств вычислительной
техники от вредоносных программ
В отношении:
- СВТ виртуальной
инфраструктуры IaaS
- ПК администраторов IaaS
В отношении:
- ПК администраторов
- виртуальных машин