Стадии жизненного цикла информационных систем и выполнение требований законодательства
•Download as PPTX, PDF•
0 likes•1,560 views
Рассмотрены требования законодательства Республики Беларусь и положения стандартов, устанавливающие содержание и порядок выполнение работ по защите информации на стадиях жизненного цикла информационных систем (формирование требований, разработка (проектирование), внедрение, ввод в действие, эксплуатация). Также в докладе будет представлен обзор практических рекомендаций известных международных организаций (NIST, SANS Institute, CSA, ENISA), связанных с внедрением систем/подсистем защиты информации (в том числе в виртуальных и облачных средах) и процессов (функций) обеспечения информационной безопасности.
Recommended
More Related Content
What's hot
What's hot (20)
Similar to Стадии жизненного цикла информационных систем и выполнение требований законодательства
Similar to Стадии жизненного цикла информационных систем и выполнение требований законодательства (20)
More from ActiveCloud
More from ActiveCloud (20)
Стадии жизненного цикла информационных систем и выполнение требований законодательства
- 1. Ведущий специалист по информационной безопасности СТАДИИ ЖИЗНЕННОГО ЦИКЛА ИНФОРМАЦИОННЫХ СИСТЕМ. Вячеслав Аксёнов ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА. +375 29 861 76 94 viacheslav.aksionov@activecloud.com
- 2. Республика Беларусь (2011-2015 гг.) 2011 - Стандарты серии СТБ ISO/IEC 2700x 2011 - Безопасность КВОИ (Указ Президента РБ № 486) 2013 - Закон о коммерческой тайне 2013 - ТР 2013/027/BY 2014 - Стандартизация обеспечение информационной безопасности банков 2015 - Приказ ОАЦ № 3 от 16.01.2015. Тенденции в сфере ЗИ 2/13
- 3. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания Стадии создания систем 3/13 ГОСТ 34.601-90 Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие ГОСТ Р 51583-2014 ISO/IEC/IEEE 15288:2015 ГОСТ Р ИСО/МЭК 15288-2005
- 4. Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62 Жизненный цикл СЗИ 4/13 Проектирование СЗИ Формирование требований к СЗИ Формирование требований к ИС Разработка концепции АС Техническое задание Создание СЗИ Разработка задания по безопасности Проектирование (разработка) СЗИ Эскизный проект Технический проект Рабочая документация Внедрение СЗИ (без аттестации) Ввод в действие ИС (без приемки в промышленную эксплуатацию) Аттестация СЗИ Эксплуатация СЗИ Выводизэксплуатации Сопровождение СЗИ Сопровождение ИС ГОСТ 34.601-90
- 5. Проектирование СЗИ Законодательство РБ об информации, информатизации и защите информации термины и определения в области автоматизированных систем термины и определения в области ЗИ Термины и определения. Стадии 5/13 ПРОЕКТИРОВАНИЕ СЗИ Определение перечня информации, подлежащей защите Классификация объекта информатизации Разработка модели угроз безопасности информации; Разработка технического задания Разработка задания по безопасности на ИС ГОСТ 34.003-90 СТБ ГОСТ Р 50922-2000
- 6. Проектирование СЗИ Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» Общедоступная Ограниченного распространения Служебная Гос. секреты Определение перечня информации подлежащей защите 6/13 ИНФОРМАЦИЯ распространение и (или) предоставление которой ограничено общедоступная персональные данные коммерческая тайна профессиональная тайна банковская тайна служебная информация ограниченного распространения государственные секреты
- 7. Проектирование СЗИ Классификация объектов информатизации 7/13 Одна контролируемая зона (КЗ) Несколько КЗ + соединение каналами передачи Каналы передачи выходят за пределы КЗ Общедоступная информация А3 Б3 В3 Информация, распространение и (или) предоставление которой ограничено А2 Б2 В2 Государственные секреты А1 Б1 СТБ 34.101.30-2007
- 8. Проектирование СЗИ Определение перечня защищаемых активов* 8/13 Конфиденциаль ность Целостность Доступность Подлинность Сохранность Линии связи / СПД Аппаратное обеспечение Программное обеспечение . . . . . . . . . ? ? ? ? ? Данные * Матрица требований, предъявляемых к защищаемым активам (пример формы представления) СТБ ISO/IEC 27005-2012 СТБ 34.101.61-2013
- 9. Проектирование СЗИ Модель угроз Угроза Источник Метод реализации Актив Уязвимость Вероятность Ущерб Моделирование угроз ИБ 9/13 Модель нарушителя Компетентность / Квалификация Ресурсы Мотивация СТБ ISO 31000-2015 СТБ ISO/IEC 27005-2012 СТБ 34.101.61-2013 http://bdu.fstec.ru/threat
- 10. Проектирование СЗИ Техническое задание: Модель угроз Требования к функциям (задачам), выполняемым СЗИ Состав и содержание работ по созданию СЗИ Требования к документированию Тех. задание / Задание по безопасности 10/13 Задание по безопасности: Модель угроз Функциональные требования Гарантийные требования Общая спецификация ГОСТ 34.602-89 СТБ 34.101.1-2014 СТБ 34.101.2-2014 СТБ 34.101.3-2014 http://www.cisecurity.org/critical-controls.cfm
- 11. Создание СЗИ 11/13 • Разработка и внедрение организационно- распорядительных документов, определяющих мероприятия по ЗИ • Внедрение запланированных к исполнению СрЗИ (закупка, монтаж и пуско-наладочные работы средств защиты информации в соответствии с эксплуатационной документацией) • Предварительные испытания СЗИ • Опытная эксплуатация СЗИ и доработка • Приемочные испытания СЗИ Создание СЗИ ГОСТ 34.201-89 ГОСТ 34.603-92 http://benchmarks.cisecurity.org/
- 12. Аттестация / Эксплуатация СЗИ 12/13 Аттестация СЗИ Ввод в действие ИС Эксплуатация Модернизация Вывод из эксплуатации
- 13. Подробная информация по вопросам создания СЗИ Стадии ЖЦ СЗИ 13/13 http://goo.gl/xboFDM НПА, ТНПА Рекомендации Документация ЧТО? ЗАЧЕМ? ГДЕ ВЗЯТЬ?
- 14. СПАСИБО! Ведущий специалист по информационной безопасности Вячеслав Аксёнов +375 29 861 76 94 viacheslav.aksionov@activecloud.com
Editor's Notes
- постановление СовМина РБ № 375 от 15.05.2013 утвердившее технический регламент ТР 2013/027/BY, ужесточающий обращение средств ЗИ на рынке РБ. Приказ ОАЦ № 3 от 16.01.2015, в котором в явном виде был определен перечень требований, обязательных для реализации в ИС, предназначенных для обработки информации ограниченного распространения. Стадий жизненного цикла систем.
- Подходы к выделению стадий в жизненном цикле информационных систем можно найти в различных стандартах, устанавливающих процессы жизненного цикла систем. Группа компаний ActiveCloud, в своей практике использует подход, определенный в свое время в ГОСТ 34.601-90, устанавливающий стадии и этапы создания систем. В докладе я также покажу связь стандарта с порядком создания систем в защищенном исполнении и вопросами выполнения требований Регулятора в нашей стране. В ГОСТ 34.601-90 определены следующие стадии создания систем: Ввод в действие системы, включая, Подготовку персонала, Комплектация поставляемыми изделиями, Строительно-монтажные, Пусконаладочные работы, Предварительные испытания, Опытную эксплуатацию, Приёмочные испытания, заканчивающиеся актом приемки в промышленную эксплуатацию. Сопровождение, включая модернизацию и вывод системы из эксплуатации. Комплекс мероприятий по ЗИ, представлен в Положение о порядке ТЗИ в ИС
- Комплекс мероприятий по ЗИ включает в себя следующие стадии: Проектирование, Создание, Аттестацию, Эксплуатация Рассказать про сходства и отличия в законодательстве по ЗИ РБ, РФ, РК: ЗБ (РБ), модель угроз (РФ), карта риска (РК). РФ – пер.сданные и гос. ИС. РБ – все ИС, обрабатывающие инф. ограниченного распространения. Первое, что является важным при создании ИС и системы защиты информации в частности – это использование общепринятых, стандартизированных терминов и определений.
- В ходе создания СЗИ мы должны использовать термины, определенные в законодательстве РБ об информации, информатизации и защите информации и в стандартах. Итак, в этап проектирования СЗИ попадают следующие стадии создания систем: Формирование требований Формирование концепции Техническое задание Эскизный, Техно-рабочий проекты. На данном этапе проводятся следующие действия, указанные на слайде Начнем с определения перечня информации, подлежащей защите
- При определении перечня информации, подлежащей защите мы должны руководствоваться законодательством РБ, в соответствии с которым, информация подразделяется на два вида: Общедоступная Ограниченного распространения С точки зрения создания СЗИ можно выделить следующие категории: Результаты выполнения данного этапа являются входными данными для проведения классификации информационной системы.
- Класс типового объекта информатизации присваивается в соответствии с СТБ 34.101.30-2007. Классификация ОИ проводится по степени конфиденциальности, обрабатываемой в нем информации, и по организации вычислительных процессов: Необходимо отметить, что в соответствии со стандартом класса В2 быть не может. Так как на момент разработки стандарта в ИС законодательно было запрещено наличие подключение сетям общего доступа. И до 2015 года у нас не было аттестованных ИС класса В2. а также средств ЗИ, предназначенных для использования в таких ИС. Теперь в Положении системы класса В2 указаны явно, также в Положении приведены требования к СЗИ таких систем. Следующим этапом является определение перечня защищаемых активов.
- При определении перечня защищаемых активов необходимо определить требования по обеспечению следующих свойств (Приказ ОАЦ №62): Конфиденциальности, Целостности, Доступности, Подлинности, Сохранности. При определении перечня защищаемых активов можно руководствоваться различными стандартами: СТБ ISO/IEC 27005-2012 Менеджмент рисков ИБ. СТБ 34.101.61-2013 устанавливающий методику оценки рисков нарушения ИБ. Перечень защищаемых активов является входными данными для разработки Модели угроз и определения требований по безопасности.
- На этапе моделирования угроз информационной безопасности определяется модель нарушителя (включая сведения о его Квалификации, Ресурсах, и Мотивации). В модели угроз должна быть отражена следующая информация: Угроза, Источник, Метод реализации, Актив, Уязвимость, Вероятность, Ущерб При моделировании угроз рекомендую использовать систематизированные каталоги угроз и уязвимостей, например такие как база данных угроз ФСТЭК. Модель угроз используется для разработки задания по безопасности на систему и может включаться разделом в техническое задание на ИС или СЗИ ИС.
- В Положении о порядке ТЗИ основным документом определяющим требования к безопасности ИС определено Задание по безопасности на ИС, в котором уже должен быть представлен проект СЗИ ИС (в разделе общая спецификация). Хочу отметить, что в соответствии с Приказом ОАЦ №62, при использовании технологий виртуализации, в информационной системе необходимо реализовать требования по защите такой среды. И на рынке РБ в настоящий момент отсутствуют сертифицированные средства защиты, позволяющие реализовать все требования Приказа ОАЦ, например: сертифицированные средства защиты среды виртуализации; сертифицированный по требованиям безопасности гипервизор; сертифицированный сканер уязвимостей. После завершения стадии проектирования, проект переходит в стадию создания СЗИ.
- Разрабатываются Политика ИБ, и ЛНПА (6 шт.) организации, регламентирующие порядок: использования объектов ИС и их управления (администрирования); резервирования и уничтожения информации; защиты от вредоносного ПО; выявления угроз, которые могут привести к сбоям, нарушению функционирования информационной системы; реагирования на инциденты ИБ; контроля (мониторинга) за функционированием ИС. В РБ – 6 ЛНПА, в РФ – 6, в РК – 13. По завершению Приемочных испытаний составляется протокол и акт по результатам проведения приемочных испытаний. После чего можно переходить к аттестации СЗИ.
- Подготовка комплекта исходных данных для проведения аттестации: схемная документация, которая разрабатывается в ходе проектирования системы. акт и протокол приемочных испытаний системы защиты информации. Что в свою очередь подразумевает разработку, программы и методики приемочных испытаний в соответствии с ГОСТ 34.603-92 устанавливающий виды испытаний автоматизированных систем. Испытания в свою очередь проводиться на соответствие требованиям технического задания. (так как сложно провести приемку системы ЗИ на соответствие Заданию по безопасности, в связи с особенностями формулировки требований стандартизированным языком). Где еще используются Задания по безопасности и для чего? Для того чтобы завершить создание СЗИ успешным прохождением аттестации как раз и необходимо использовать стандартизированный подход к созданию СЗИ с учетом стадий определенных в ГОСТ 34.601.
- Подробная информация к настоящему докладу, размещена на ……. Данные материалы вы можете использовать для разработки ТЗ на создание СЗИ ИС, которое вы можете затем реализовать (как самостоятельно, так и с привлечением сторонних организаций) Компания Софтлайн обладает огромным опытом построения систем защиты информации сложных информационных систем в соответствии с требованиями законодательства различных стран. Компания ActiveCloud в свою очередь может предоставить свои экспертные знания в области построения облачных платформ, систем защиты для таких платформ, и систем защиты виртуальных сред.