Рассмотрены требования законодательства Республики Беларусь и положения стандартов, устанавливающие содержание и порядок выполнение работ по защите информации на стадиях жизненного цикла информационных систем (формирование требований, разработка (проектирование), внедрение, ввод в действие, эксплуатация). Также в докладе будет представлен обзор практических рекомендаций известных международных организаций (NIST, SANS Institute, CSA, ENISA), связанных с внедрением систем/подсистем защиты информации (в том числе в виртуальных и облачных средах) и процессов (функций) обеспечения информационной безопасности.
Текущее состояние проблемы безопасности АСУ ТП в России и миреКРОК
Семинар КРОК 25 февраля 2016 г. «Информационная безопасность промышленных систем»
Доклад «Текущее состояние проблемы безопасности АСУ ТП в России и мире»
Антон Шипулин, руководитель проектов направления информационной безопасности КРОК
Подробнее http://www.croc.ru/action/webinars/59878/
Решения КРОК для информационная безопасность АСУ ТПКРОК
Небезопасное применение автоматизированных систем управления технологическими процессами (АСУ ТП) может открыть возможность несанкционированного доступа к управлению процессами предприятия с самыми разными негативными последствиями — от финансовых потерь и остановками производства до экологических катастроф с человеческими жертвами.
Подробнее http://www.croc.ru/solution/integration/insecurity/acs-security/ и http://automation.croc.ru/solutions/security/acs-security/
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПCisco Russia
Автоматизированные системы управления технологическими процессами Правила защиты информации в государственных и муниципальных информационных системах были установлены ФСТЭК России в 31-м приказе, в разработке которого принимали участие и эксперты Cisco. Практически весь спектр решений Cisco по информационной безопасности может быть применен для защиты АСУ ТП. Кроме того, специально для применения в индустриальных сетях нами было разработано несколько специализированных решений – маршрутизаторов и коммутаторов с функциями защиты, а также индустриальных МСЭ и систем обнаружения вторжений. Также специалистами Cisco совместно с нашими партнерами (Rockwell и другими) были разработаны и детальные рекомендации по созданию защищенных индустриальных сетей.
Видео: https://www.youtube.com/watch?v=BS4uvoqn6io
Текущее состояние проблемы безопасности АСУ ТП в России и миреКРОК
Семинар КРОК 25 февраля 2016 г. «Информационная безопасность промышленных систем»
Доклад «Текущее состояние проблемы безопасности АСУ ТП в России и мире»
Антон Шипулин, руководитель проектов направления информационной безопасности КРОК
Подробнее http://www.croc.ru/action/webinars/59878/
Решения КРОК для информационная безопасность АСУ ТПКРОК
Небезопасное применение автоматизированных систем управления технологическими процессами (АСУ ТП) может открыть возможность несанкционированного доступа к управлению процессами предприятия с самыми разными негативными последствиями — от финансовых потерь и остановками производства до экологических катастроф с человеческими жертвами.
Подробнее http://www.croc.ru/solution/integration/insecurity/acs-security/ и http://automation.croc.ru/solutions/security/acs-security/
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПCisco Russia
Автоматизированные системы управления технологическими процессами Правила защиты информации в государственных и муниципальных информационных системах были установлены ФСТЭК России в 31-м приказе, в разработке которого принимали участие и эксперты Cisco. Практически весь спектр решений Cisco по информационной безопасности может быть применен для защиты АСУ ТП. Кроме того, специально для применения в индустриальных сетях нами было разработано несколько специализированных решений – маршрутизаторов и коммутаторов с функциями защиты, а также индустриальных МСЭ и систем обнаружения вторжений. Также специалистами Cisco совместно с нашими партнерами (Rockwell и другими) были разработаны и детальные рекомендации по созданию защищенных индустриальных сетей.
Видео: https://www.youtube.com/watch?v=BS4uvoqn6io
Аутсорсинг и безопасность ЦОД в контексте переноса ПДн в РФ КРОК
Презентация Михаила Левина, ведущего системного инженера департамента информационных технологий КРОК
Семинар 2 июня 2015 года «Импортозамещение и перенос персональных данных в РФ» http://www.croc.ru/action/detail/56321/
Обучение и сертификация специалистов ИБ АСУ ТПAnton Shipulin
Обзор учебных курсов и сертификаций специалистов по безопасности промышленных систем, подготовленный для конференции компании Лаборатория Касперского «Безопасность без опасностей: актуальные проблемы киберзащиты промышленных систем» (Kaspersky Industrial Security).
Частые вопросы владельцев и офицеров безопасности промышленных объектов: а существуют ли вообще на самом деле киберугрозы промышленным объектам? А не раздута ли тема? А относятся ли угрозы критической инфраструктуре, о которых так много говорят, к моему промышленному объекту? На основе каких данных все-таки строить модель угроз, чтобы она отражала действительность, и на ее основе можно было бы принимать решения о планировании и выполнении мероприятий по защите и их обоснованном финансировании? И как держать руку на пульсе и узнавать о появлении релевантных угроз моему предприятию и эффективных мерах противодействия? Ответить на эти вопросы могут помочь такие развивающиеся понятия как разведка киберугроз (Cyber Threat Intelligence) и обмен информацией об кибеугрозах (Сyber Threat Information Sharing). В докладе будет сделан обзор понятий, их преимуществ, особенностей и сложностей, а также примеров реализации, с акцентом на критическую промышленную инфраструктуру
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению решения Efros Config Inspector для обеспечения информационной безопасности промышленных систем управления и автоматизации. Представлены основные функции, возможности и отличительные особенности решения.
Запись: https://goo.gl/dbxbMf
Методика обеспечения информационной безопасности АСУ ТПКРОК
Семинар КРОК 25 февраля 2016 г. «Информационная безопасность промышленных систем»
Доклад «Методика обеспечения информационной безопасности АСУ ТП»
Вадим Лобашов, руководитель проектов направления информационной безопасности КРОК
Подробнее http://www.croc.ru/action/webinars/59878/
Тематика обеспечения информационной безопасности АСУ ТП в тренде вот уже несколько лет, а относительно недавно появившаяся новая модная тема импортозамещения внесла ещё несколько штрихов, поработав дополнительным драйверов и для отечественных разработчиков подобного класса продуктов. Пришла пора разобраться с «обилием» решений и пополнить ими Каталог Средств Защиты Информации.
RedSeal - система визуализации и анализа рисков сетевой безопасностиDialogueScience
Система визуализации и анализа рисков сетевой безопасности RedSeal, которая позволяет в режиме реального времени получать информацию о конфигурации сетевых устройств, строить виртуальную модель сети компании и выполнять анализ ее текущей конфигурации на соответствие требованиям по защите информации
В рамках сервиса Cloud-152 мы предоставляем облачную инфраструктуру, построенную в соответствии с требованиями к защите персональных данных ФЗ-152, и оказываем комплексную поддержку при аттестации ваших информационных систем.
Управление идентификационными данными и правамиКРОК
Семинар КРОК 01.10.15 «Системные решения: фундамент ИТ современного предприятия»
Доклад «Управление идентификационными данными и правами»
Павел Маслов, эксперт по инфраструктурным решения
Подробнее: http://www.croc.ru/action/webinars/58210/
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании InfoWatch к вопросам кибербезопасности АСУ ТП. Представлены основные решения InfoWatch для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
Запись: https://goo.gl/WWCnVh
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
В ходе вебинара была рассмотрена Система анализа и мониторинга состояния информационной безопасности (САМСИБ) АСУ ТП, предпосылки к её внедрению на предприятии, цели создания, принципы построения, архитектура и основные функции САМСИБ.
Дата вебинара 10 декабря 2015 года.
Запись доступна на канале YouTube: https://youtu.be/RowwYe8aFQU
Докладчик: Антон Ёркин
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Аутсорсинг и безопасность ЦОД в контексте переноса ПДн в РФ КРОК
Презентация Михаила Левина, ведущего системного инженера департамента информационных технологий КРОК
Семинар 2 июня 2015 года «Импортозамещение и перенос персональных данных в РФ» http://www.croc.ru/action/detail/56321/
Обучение и сертификация специалистов ИБ АСУ ТПAnton Shipulin
Обзор учебных курсов и сертификаций специалистов по безопасности промышленных систем, подготовленный для конференции компании Лаборатория Касперского «Безопасность без опасностей: актуальные проблемы киберзащиты промышленных систем» (Kaspersky Industrial Security).
Частые вопросы владельцев и офицеров безопасности промышленных объектов: а существуют ли вообще на самом деле киберугрозы промышленным объектам? А не раздута ли тема? А относятся ли угрозы критической инфраструктуре, о которых так много говорят, к моему промышленному объекту? На основе каких данных все-таки строить модель угроз, чтобы она отражала действительность, и на ее основе можно было бы принимать решения о планировании и выполнении мероприятий по защите и их обоснованном финансировании? И как держать руку на пульсе и узнавать о появлении релевантных угроз моему предприятию и эффективных мерах противодействия? Ответить на эти вопросы могут помочь такие развивающиеся понятия как разведка киберугроз (Cyber Threat Intelligence) и обмен информацией об кибеугрозах (Сyber Threat Information Sharing). В докладе будет сделан обзор понятий, их преимуществ, особенностей и сложностей, а также примеров реализации, с акцентом на критическую промышленную инфраструктуру
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению решения Efros Config Inspector для обеспечения информационной безопасности промышленных систем управления и автоматизации. Представлены основные функции, возможности и отличительные особенности решения.
Запись: https://goo.gl/dbxbMf
Методика обеспечения информационной безопасности АСУ ТПКРОК
Семинар КРОК 25 февраля 2016 г. «Информационная безопасность промышленных систем»
Доклад «Методика обеспечения информационной безопасности АСУ ТП»
Вадим Лобашов, руководитель проектов направления информационной безопасности КРОК
Подробнее http://www.croc.ru/action/webinars/59878/
Тематика обеспечения информационной безопасности АСУ ТП в тренде вот уже несколько лет, а относительно недавно появившаяся новая модная тема импортозамещения внесла ещё несколько штрихов, поработав дополнительным драйверов и для отечественных разработчиков подобного класса продуктов. Пришла пора разобраться с «обилием» решений и пополнить ими Каталог Средств Защиты Информации.
RedSeal - система визуализации и анализа рисков сетевой безопасностиDialogueScience
Система визуализации и анализа рисков сетевой безопасности RedSeal, которая позволяет в режиме реального времени получать информацию о конфигурации сетевых устройств, строить виртуальную модель сети компании и выполнять анализ ее текущей конфигурации на соответствие требованиям по защите информации
В рамках сервиса Cloud-152 мы предоставляем облачную инфраструктуру, построенную в соответствии с требованиями к защите персональных данных ФЗ-152, и оказываем комплексную поддержку при аттестации ваших информационных систем.
Управление идентификационными данными и правамиКРОК
Семинар КРОК 01.10.15 «Системные решения: фундамент ИТ современного предприятия»
Доклад «Управление идентификационными данными и правами»
Павел Маслов, эксперт по инфраструктурным решения
Подробнее: http://www.croc.ru/action/webinars/58210/
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании InfoWatch к вопросам кибербезопасности АСУ ТП. Представлены основные решения InfoWatch для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
Запись: https://goo.gl/WWCnVh
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
В ходе вебинара была рассмотрена Система анализа и мониторинга состояния информационной безопасности (САМСИБ) АСУ ТП, предпосылки к её внедрению на предприятии, цели создания, принципы построения, архитектура и основные функции САМСИБ.
Дата вебинара 10 декабря 2015 года.
Запись доступна на канале YouTube: https://youtu.be/RowwYe8aFQU
Докладчик: Антон Ёркин
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании Cisco к вопросам кибербезопасности АСУ ТП. Представлены основные решения Cisco для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Архитектура технологических сетей и индустриальные решения Cisco Cisco Russia
Данная сессия посвящена обзору архитектуры по построению технологических сетей связи на современном производственном объекте. В основе презентации лежит иерархический подход к построению сетевой архитектуры начиная от уровня ячейки технологического процесса и заканчивая уровнем корпоративных приложений. Описание решения включает в себя раздел по обеспечению информационной безопасности в технологической сети и на стыке технологической и корпоративной сети связи. Рекомендации по проектированию технологических систем будут дополнены краткой информацией по сетевым устройствам производства Cisco в промышленном исполнении.
Решения Cisco по защите автоматизированных систем управления технологическими...Cisco Russia
Сегодня, в условиях поголовной информатизации всех сфер жизни, как никогда остро встает задача обеспечения информационной безопасности критически важных объектов (КВО), ответственных за функционирование различных систем жизнеобеспечения, финансового управления, транспорта, ЖКХ, энергетики и т.п. Но если раньше такие системы создавались изолированными от Интернет и на базе проприетарных протоколов и технологий, то сейчас ситуация совершенно иная. Бизнес-необходимость требует унификации и стандартизации используемых решений, что и обуславливает массовый переход на новые поколения индустриальных сетей, использующих протокол IP, универсальные операционные системы, подключение к Интернет и т.п. Собранная за последние годы статистика уязвимостей и инцидентов в таких сетях показывает, что число проблем постоянно нарастает. Все это приводит к необходимости пересмотра подходов к защите критических важных объектов и функционирующих на них автоматизированных системах управления технологическими процессами (АСУ ТП).
Cisco Threat Defense (Cisco Stealthwatch)Cisco Russia
• Введение
• Обзор системы Cisco Stealthwatch
• Архитектура и развертывание Stealthwatch
• Начало работы с системой Stealthwatch
• Модель тревог
• Резюме
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...ActiveCloud
Вячеслав Аксёнов
архитектор систем информационной безопасности управления разработки и внедрения облачных решений компании ActiveCloud
Использование технологий облачных вычислений в сфере государственных услуг становится тенденцией во всем мире. Более двадцати европейских стран используют или планируют использовать технологии облачных вычислений в государственном секторе.
Презентация Сафонова и Прусенка на семинаре "Продавайте больше"ActiveCloud
Александр Прусенок, технический пре-сейл консультант ActiveCloud, и Павел Богданов, руководитель отдела технической поддержки ActiveCloud: «10 способов улучшить работу сайта нашего клиента без затрат. Погружение в облако ActiveCloud. Размещение высоконагруженных веб-ресурсов. Платформа Bitrix VM. Практический кейс переноса в облако».
Обзор облачных решений и примеров внедрений ActiveCloudActiveCloud
Облачные услуги ActiveCloud – это аренда ИТ-мощностей ActiveCloud, размещенных в лучших дата-центрах, для размещения ИТ-инфраструктуры и бизнес-приложений наших клиентов.
С 2003 года ActiveCloud (www.activecloud.com) – один из ведущих поставщиков хостинговых / облачных услуг (IaaS, SaaS) и облачного консалтинга в России, странах СНГ и ближнего Востока. В 2010 года компания получила инвестиции от фонда SVP для ускорения своего развития.
Сегодня мы предоставляем полный спектр облачных решений, от хостинга сайтов, до построения частных и виртуальных частных облаков для более чем 50 000 клиентских организаций.
Облачные услуги ActiveCloud. Вопросы к SLAActiveCloud
Выступление на конференции SLM в аутсорсинге ИТ-услуг (http://itsmforum.ru/events/2015_04_15) об основных принципах формирования облачного SLA на примере публичной оферты ООО «АктивХост РУ»
Стадии жизненного цикла информационных систем и выполнение требований законодательства
1. Ведущий специалист
по информационной безопасности
СТАДИИ ЖИЗНЕННОГО ЦИКЛА
ИНФОРМАЦИОННЫХ СИСТЕМ.
Вячеслав Аксёнов
ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ
ЗАКОНОДАТЕЛЬСТВА.
+375 29 861 76 94
viacheslav.aksionov@activecloud.com
2. Республика Беларусь (2011-2015 гг.)
2011 - Стандарты серии СТБ ISO/IEC 2700x
2011 - Безопасность КВОИ (Указ Президента РБ № 486)
2013 - Закон о коммерческой тайне
2013 - ТР 2013/027/BY
2014 - Стандартизация обеспечение информационной безопасности банков
2015 - Приказ ОАЦ № 3 от 16.01.2015.
Тенденции в сфере ЗИ
2/13
3. Информационная технология.
Комплекс стандартов на
автоматизированные системы.
Автоматизированные системы.
Стадии создания
Стадии создания систем
3/13
ГОСТ 34.601-90
Формирование
требований
Разработка концепции Техническое задание
Сопровождение Вывод из эксплуатации Эскизный проект
Технических проектРабочая документацияВвод в действие
ГОСТ Р 51583-2014
ISO/IEC/IEEE 15288:2015
ГОСТ Р ИСО/МЭК 15288-2005
4. Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62
Жизненный цикл СЗИ
4/13
Проектирование СЗИ
Формирование
требований к СЗИ
Формирование
требований к ИС
Разработка концепции
АС
Техническое задание
Создание СЗИ
Разработка задания по безопасности
Проектирование
(разработка) СЗИ
Эскизный проект
Технический проект
Рабочая документация
Внедрение СЗИ (без аттестации)
Ввод в действие ИС
(без приемки в промышленную
эксплуатацию)
Аттестация СЗИ
Эксплуатация СЗИ
Выводизэксплуатации
Сопровождение СЗИ
Сопровождение ИС
ГОСТ 34.601-90
5. Проектирование СЗИ
Законодательство РБ об
информации, информатизации и
защите информации
термины и определения в области
автоматизированных систем
термины и определения в области ЗИ
Термины и определения. Стадии
5/13
ПРОЕКТИРОВАНИЕ СЗИ
Определение перечня информации,
подлежащей защите
Классификация объекта
информатизации
Разработка модели угроз
безопасности информации;
Разработка технического задания
Разработка задания по
безопасности на ИС
ГОСТ 34.003-90
СТБ ГОСТ Р 50922-2000
6. Проектирование СЗИ
Закон Республики Беларусь от 10
ноября 2008 г. № 455-З «Об
информации, информатизации и
защите информации»
Общедоступная
Ограниченного распространения
Служебная
Гос. секреты
Определение перечня информации
подлежащей защите
6/13
ИНФОРМАЦИЯ
распространение и (или)
предоставление которой
ограничено
общедоступная
персональные данные коммерческая тайна
профессиональная тайна банковская тайна
служебная информация
ограниченного
распространения
государственные секреты
8. Проектирование СЗИ
Определение перечня защищаемых
активов*
8/13
Конфиденциаль
ность
Целостность Доступность Подлинность Сохранность
Линии связи / СПД
Аппаратное обеспечение
Программное обеспечение
. . . . . . . . . ? ? ? ? ?
Данные
* Матрица требований, предъявляемых к защищаемым активам (пример формы представления)
СТБ ISO/IEC 27005-2012 СТБ 34.101.61-2013
9. Проектирование СЗИ
Модель угроз
Угроза
Источник
Метод реализации
Актив
Уязвимость
Вероятность
Ущерб
Моделирование угроз ИБ
9/13
Модель нарушителя
Компетентность /
Квалификация
Ресурсы
Мотивация
СТБ ISO 31000-2015 СТБ ISO/IEC 27005-2012 СТБ 34.101.61-2013
http://bdu.fstec.ru/threat
10. Проектирование СЗИ
Техническое задание:
Модель угроз
Требования к функциям
(задачам), выполняемым СЗИ
Состав и содержание работ по
созданию СЗИ
Требования к документированию
Тех. задание / Задание по безопасности
10/13
Задание по безопасности:
Модель угроз
Функциональные требования
Гарантийные требования
Общая спецификация
ГОСТ 34.602-89
СТБ 34.101.1-2014
СТБ 34.101.2-2014
СТБ 34.101.3-2014
http://www.cisecurity.org/critical-controls.cfm
11. Создание СЗИ
11/13
• Разработка и внедрение организационно-
распорядительных документов, определяющих
мероприятия по ЗИ
• Внедрение запланированных к исполнению СрЗИ
(закупка, монтаж и пуско-наладочные работы средств
защиты информации в соответствии с эксплуатационной
документацией)
• Предварительные испытания СЗИ
• Опытная эксплуатация СЗИ и доработка
• Приемочные испытания СЗИ
Создание СЗИ
ГОСТ 34.201-89 ГОСТ 34.603-92 http://benchmarks.cisecurity.org/
12. Аттестация / Эксплуатация СЗИ
12/13
Аттестация
СЗИ
Ввод в
действие ИС
Эксплуатация Модернизация
Вывод из
эксплуатации
13. Подробная информация по вопросам создания СЗИ
Стадии ЖЦ СЗИ
13/13
http://goo.gl/xboFDM
НПА, ТНПА
Рекомендации
Документация
ЧТО?
ЗАЧЕМ?
ГДЕ ВЗЯТЬ?
постановление СовМина РБ № 375 от 15.05.2013 утвердившее технический регламент ТР 2013/027/BY, ужесточающий обращение средств ЗИ на рынке РБ.
Приказ ОАЦ № 3 от 16.01.2015, в котором в явном виде был определен перечень требований, обязательных для реализации в ИС, предназначенных для обработки информации ограниченного распространения.
Стадий жизненного цикла систем.
Подходы к выделению стадий в жизненном цикле информационных систем можно найти в различных стандартах, устанавливающих процессы жизненного цикла систем.
Группа компаний ActiveCloud, в своей практике использует подход, определенный в свое время в ГОСТ 34.601-90, устанавливающий стадии и этапы создания систем.
В докладе я также покажу связь стандарта с порядком создания систем в защищенном исполнении и вопросами выполнения требований Регулятора в нашей стране.
В ГОСТ 34.601-90 определены следующие стадии создания систем: Ввод в действие системы, включая, Подготовку персонала, Комплектация поставляемыми изделиями, Строительно-монтажные, Пусконаладочные работы, Предварительные испытания, Опытную эксплуатацию, Приёмочные испытания, заканчивающиеся актом приемки в промышленную эксплуатацию. Сопровождение, включая модернизацию и вывод системы из эксплуатации.
Комплекс мероприятий по ЗИ, представлен в Положение о порядке ТЗИ в ИС
Комплекс мероприятий по ЗИ включает в себя следующие стадии:
Проектирование, Создание, Аттестацию, Эксплуатация
Рассказать про сходства и отличия в законодательстве по ЗИ РБ, РФ, РК:
ЗБ (РБ), модель угроз (РФ), карта риска (РК).
РФ – пер.сданные и гос. ИС.
РБ – все ИС, обрабатывающие инф. ограниченного распространения.
Первое, что является важным при создании ИС и системы защиты информации в частности – это использование общепринятых, стандартизированных терминов и определений.
В ходе создания СЗИ мы должны использовать термины, определенные в законодательстве РБ об информации, информатизации и защите информации и в стандартах.
Итак, в этап проектирования СЗИ попадают следующие стадии создания систем:
Формирование требований
Формирование концепции
Техническое задание
Эскизный, Техно-рабочий проекты.
На данном этапе проводятся следующие действия, указанные на слайде
Начнем с определения перечня информации, подлежащей защите
При определении перечня информации, подлежащей защите мы должны руководствоваться законодательством РБ, в соответствии с которым, информация подразделяется на два вида:
Общедоступная
Ограниченного распространения
С точки зрения создания СЗИ можно выделить следующие категории:
Результаты выполнения данного этапа являются входными данными для проведения классификации информационной системы.
Класс типового объекта информатизации присваивается в соответствии с СТБ 34.101.30-2007.
Классификация ОИ проводится по степени конфиденциальности, обрабатываемой в нем информации, и по организации вычислительных процессов:
Необходимо отметить, что в соответствии со стандартом класса В2 быть не может. Так как на момент разработки стандарта в ИС законодательно было запрещено наличие подключение сетям общего доступа.
И до 2015 года у нас не было аттестованных ИС класса В2. а также средств ЗИ, предназначенных для использования в таких ИС.
Теперь в Положении системы класса В2 указаны явно, также в Положении приведены требования к СЗИ таких систем.
Следующим этапом является определение перечня защищаемых активов.
При определении перечня защищаемых активов необходимо определить требования по обеспечению следующих свойств (Приказ ОАЦ №62):
Конфиденциальности, Целостности, Доступности, Подлинности, Сохранности.
При определении перечня защищаемых активов можно руководствоваться различными стандартами:
СТБ ISO/IEC 27005-2012 Менеджмент рисков ИБ.
СТБ 34.101.61-2013 устанавливающий методику оценки рисков нарушения ИБ.
Перечень защищаемых активов является входными данными для разработки Модели угроз и определения требований по безопасности.
На этапе моделирования угроз информационной безопасности определяется модель нарушителя (включая сведения о его Квалификации, Ресурсах, и Мотивации).
В модели угроз должна быть отражена следующая информация:
Угроза, Источник, Метод реализации, Актив, Уязвимость, Вероятность, Ущерб
При моделировании угроз рекомендую использовать систематизированные каталоги угроз и уязвимостей, например такие как база данных угроз ФСТЭК.
Модель угроз используется для разработки задания по безопасности на систему и может включаться разделом в техническое задание на ИС или СЗИ ИС.
В Положении о порядке ТЗИ основным документом определяющим требования к безопасности ИС определено Задание по безопасности на ИС, в котором уже должен быть представлен проект СЗИ ИС (в разделе общая спецификация).
Хочу отметить, что в соответствии с Приказом ОАЦ №62, при использовании технологий виртуализации, в информационной системе необходимо реализовать требования по защите такой среды.
И на рынке РБ в настоящий момент отсутствуют сертифицированные средства защиты, позволяющие реализовать все требования Приказа ОАЦ, например:
сертифицированные средства защиты среды виртуализации;
сертифицированный по требованиям безопасности гипервизор;
сертифицированный сканер уязвимостей.
После завершения стадии проектирования, проект переходит в стадию создания СЗИ.
Разрабатываются Политика ИБ, и ЛНПА (6 шт.) организации, регламентирующие порядок:
использования объектов ИС и их управления (администрирования);
резервирования и уничтожения информации;
защиты от вредоносного ПО;
выявления угроз, которые могут привести к сбоям, нарушению функционирования информационной системы;
реагирования на инциденты ИБ;
контроля (мониторинга) за функционированием ИС.
В РБ – 6 ЛНПА, в РФ – 6, в РК – 13.
По завершению Приемочных испытаний составляется протокол и акт по результатам проведения приемочных испытаний.
После чего можно переходить к аттестации СЗИ.
Подготовка комплекта исходных данных для проведения аттестации:
схемная документация, которая разрабатывается в ходе проектирования системы.
акт и протокол приемочных испытаний системы защиты информации.
Что в свою очередь подразумевает разработку, программы и методики приемочных испытаний в соответствии с ГОСТ 34.603-92 устанавливающий виды испытаний автоматизированных систем.
Испытания в свою очередь проводиться на соответствие требованиям технического задания. (так как сложно провести приемку системы ЗИ на соответствие Заданию по безопасности, в связи с особенностями формулировки требований стандартизированным языком).
Где еще используются Задания по безопасности и для чего?
Для того чтобы завершить создание СЗИ успешным прохождением аттестации как раз и необходимо использовать стандартизированный подход к созданию СЗИ с учетом стадий определенных в ГОСТ 34.601.
Подробная информация к настоящему докладу, размещена на …….
Данные материалы вы можете использовать для разработки ТЗ на создание СЗИ ИС, которое вы можете затем реализовать (как самостоятельно, так и с привлечением сторонних организаций)
Компания Софтлайн обладает огромным опытом построения систем защиты информации сложных информационных систем в соответствии с требованиями законодательства различных стран.
Компания ActiveCloud в свою очередь может предоставить свои экспертные знания в области построения
облачных платформ,
систем защиты для таких платформ,
и систем защиты виртуальных сред.