SlideShare a Scribd company logo

Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.

В
Вячеслав Аксёнов

Курс: Создание автоматизированных систем в защищенном исполнении. Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.

Education
1 of 22
Download to read offline
СОЗДАНИЕ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ Учебный центр Softline Вячеслав Аксёнов | itsec.by
НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ 2/91 1. Конституция 2. Указы/Декреты Президента 3. Кодексы 4. Законы 5. Постановления Совета Министров 6. Приказы ОАЦ Закон Республики Беларусь от 10 января 2000 г. №361-З «О нормативных правовых актах Республики Беларусь» Статья 10 Иерархия
ТНПА РБ (> 100) Методы и средства безопасности Требования и средства защиты информации от НСД Защита информации Системы менеджмента информационной безопасности Критерии оценки безопасности ИТ Обеспечение информационной безопасности банков КВОИ Информационные технологии Информационные технологии и безопасность
ГОСТ ISO 19011-2013 УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА PLAN  Роли, ответственность, компетентность.  Объем программы  Риски программы  Процедуры  Ресурсы Установление целей программы аудита Установление программы аудита DO  Цель, область применения, критерии для каждого аудита.  Выбор методов аудита  Назначение руководителя команды по аудиту (ответственный)  Менеджмент выходных данных  Менеджмент записей Внедрение программы аудита CHECK Мониторинг программы аудита ACT Анализ и улучшение программы аудита Компетентность и оценивание аудиторов Проведение аудита
Стадии создания систем ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие ГОСТ Р 51583-2014 ISO/IEC/IEEE 15288:2015 ГОСТ Р ИСО/МЭК 15288-2005
Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62 Жизненный цикл СЗИ Проектирование СЗИ Формирование требований к СЗИ Формирование требований к ИС Разработка концепции АС Техническое задание Создание СЗИ Разработка задания по безопасности Проектирование (разработка) СЗИ Эскизный проект Технический проект Рабочая документация Внедрение СЗИ (без аттестации) Ввод в действие ИС (без приемки в промышленную эксплуатацию) Аттестация СЗИ Эксплуатация СЗИ Выводизэксплуатации Сопровождение СЗИ Сопровождение ИС ГОСТ 34.601-90
Управление проектом СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ
ОБСЛЕДОВАНИЕ ИС (СЗИ ИС) Формирование требований к СЗИ  Чек-листы  Анкеты-опросники  Отчет по результатам обследования
Проектирование СЗИ Классификация объектов информатизации Одна контролируемая зона (КЗ) Несколько КЗ + соединение каналами передачи Каналы передачи выходят за пределы КЗ Общедоступная информация А3 Б3 В3 Информация, распространение и (или) предоставление которой ограничено А2 Б2 В2 Государственные секреты А1 Б1  СТБ 34.101.30-2007
Проектирование СЗИ Определение перечня защищаемых активов* Конфиденциаль ность Целостность Доступность Подлинность Сохранность Линии связи / СПД    Аппаратное обеспечение    Программное обеспечение    . . . . . . . . . ? ? ? ? ? Данные      * Матрица требований, предъявляемых к защищаемым активам (пример формы представления)
РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯ Формирование требований к СЗИ  Система защиты информации. Техническое задание
Проектирование СЗИ Тех. задание / Задание по безопасности ГОСТ 34.602-89 СТБ 34.101.1-2014 СТБ 34.101.2-2014 СТБ 34.101.3-2014 Техническое задание на создание СЗИ 1. Общие сведения 2. Назначение и цели создания СЗИ 3. Характеристика объекта защиты 4. Требования к СЗИ 5. Состав и содержание работ по созданию СЗИ 6. Порядок контроля и приемки 7. Требования к составу и содержанию работ по подготовке к вводу СЗИ в действие 8. Требования к документированию 9. Источники разработки 10. Перечень принятых сокращений Задание по безопасности на ИС 1. Введение в описание ЗБ 2. Описание объекта 3. Среда безопасности объекта 4. Задачи безопасности 5. Требования безопасности Для объекта Функциональные Гарантийные Для среды 6. Общая спецификация 8. Обоснование 7. Требования соответствия ПЗ
ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯ Разработка (проектирование) СЗИ  Система защиты информации. Эскизный проект.  Система защиты информации. Технический проект.  Система защиты информации. Рабочая документация.
ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка (проектирование) СЗИ  Автоматизированная информационная система. Задание по безопасности.
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Внедрение (создание) СЗИ  Автоматизированная информационная система. Система защиты информации. Политика информационной безопасности.
ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ Внедрение (создание) СЗИ  Регламент использования объектов информационной системы и их управления (администрирования).  Регламент резервирования и уничтожения информации.  Регламент защиты от вредоносного программного обеспечения.  Порядок выявления угроз, которые могут привести к сбоям, нарушению функционирования информационной системы.  Порядок реагирования на инциденты информационной безопасности.  Порядок контроля (мониторинга) за функционированием информационной системы.
КОМПЛЕКТ ДОКУМЕНТОВ В СООТВЕТСТВИИ С УГО Внедрение (создание) СЗИ  Базовый проект.  Использование системы управления конфигурацией.  Описание архитектуры безопасности.  Анализ уязвимостей.  Подготовительные процедуры.  Покрытие управлением конфигурации частей объекта оценки.  Процедуры поставки.  Руководство пользователя.  Функциональная спецификация реализации безопасности.
ОПЫТНАЯ ЭКСПЛУАТАЦИЯ Внедрение (создание) СЗИ  Журнал опытной эксплуатации.  План-график устранения недостатков по результатам опытной эксплуатации (при необходимости).  Документ «Тестирование».
ПРИЕМОЧНЫЕ ИСПЫТАНИЯ СЗИ Внедрение (создание) СЗИ  Программа и методика приемочных испытаний.  Протокол приемочных испытаний.  Акт приемочных испытаний.
ПРОВЕДЕНИЕ АТТЕСТАЦИИ Аттестация СЗИ  анализ исходных данных;  разработка программы аттестации;  предварительное ознакомление с ИС и СЗИ;  проведение обследования ИС и СЗИ;  проверка правильности отнесения ИС к классу тип. ОИ, выбора и СрЗИ;  анализ орг.структуры, состава и структуры комплекса ТС и ПО ИС, информационных потоков, состава и структуры комплекса ТС и ПО СЗИ;  анализ разработанной документации и ее соответствие требованиям законодательства;  проверка подготовки кадров и распределения ответственности персонала за организацию и обеспечение ИБ;  проведение испытаний СЗИ на предмет выполнения установленных требований безопасности;  оформление протоколов испытаний и заключения по результатам проверок;  оформление аттестата соответствия.
ул. Мележа, 5/2, офис 1103 220113, г. Минск, Беларусь +375 17 2161866, educ@softline.by Спасибо за внимание! Учебный центр Softline http://edu.softline.by

Recommended

Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Вячеслав Аксёнов
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Вячеслав Аксёнов
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systemsВячеслав Аксёнов
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Вячеслав Аксёнов
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementationВячеслав Аксёнов
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
 

Recommended

Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Вячеслав Аксёнов
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Вячеслав Аксёнов
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systemsВячеслав Аксёнов
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Вячеслав Аксёнов
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementationВячеслав Аксёнов
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
 
Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Вячеслав Аксёнов
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)Вячеслав Аксёнов
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностьюВячеслав Аксёнов
 
Курс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организацииКурс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организацииВячеслав Аксёнов
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Is protection control (презентация)
Is protection control (презентация)Is protection control (презентация)
Is protection control (презентация)ActiveCloud
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииAleksey Lukatskiy
 
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...ActiveCloud
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТПAleksey Lukatskiy
 
Is protection control
Is protection controlIs protection control
Is protection controlActiveCloud
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...SQALab
 
Стадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdfСтадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdftrenders
 
Проектирование СЗИ.pdf
Проектирование СЗИ.pdfПроектирование СЗИ.pdf
Проектирование СЗИ.pdftrenders
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
 

More Related Content

What's hot

Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Вячеслав Аксёнов
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностьюВячеслав Аксёнов
 
Курс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организацииКурс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организацииВячеслав Аксёнов
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Is protection control (презентация)
Is protection control (презентация)Is protection control (презентация)
Is protection control (презентация)ActiveCloud
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииAleksey Lukatskiy
 
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...ActiveCloud
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТПAleksey Lukatskiy
 
Is protection control
Is protection controlIs protection control
Is protection controlActiveCloud
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 

What's hot (18)

Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностью
 
Курс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организацииКурс: Оценка и управление рисками информационной безопасности в организации
Курс: Оценка и управление рисками информационной безопасности в организации
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
Is protection control (презентация)
Is protection control (презентация)Is protection control (презентация)
Is protection control (презентация)
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
 
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТП
 
Is protection control
Is protection controlIs protection control
Is protection control
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных оранов
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 

Similar to Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.

Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...SQALab
 
Стадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdfСтадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdftrenders
 
Проектирование СЗИ.pdf
Проектирование СЗИ.pdfПроектирование СЗИ.pdf
Проектирование СЗИ.pdftrenders
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
Стадии жизненного цикла информационных систем и выполнение требований законод...
Стадии жизненного цикла информационных систем и выполнение требований законод...Стадии жизненного цикла информационных систем и выполнение требований законод...
Стадии жизненного цикла информационных систем и выполнение требований законод...ActiveCloud
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdfАксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdftrenders
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...Компания УЦСБ
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...SQALab
 
Профстандарт "Специалист по информационной безопасности ИКТ систем"
Профстандарт "Специалист по информационной безопасности ИКТ систем"Профстандарт "Специалист по информационной безопасности ИКТ систем"
Профстандарт "Специалист по информационной безопасности ИКТ систем"Денис Ефремов
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиУчебный центр "Эшелон"
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...SelectedPresentations
 

Similar to Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении. (20)

Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
 
Стадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdfСтадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdf
 
Проектирование СЗИ.pdf
Проектирование СЗИ.pdfПроектирование СЗИ.pdf
Проектирование СЗИ.pdf
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 
Barabanov_Markov it-std
Barabanov_Markov it-stdBarabanov_Markov it-std
Barabanov_Markov it-std
 
Стадии жизненного цикла информационных систем и выполнение требований законод...
Стадии жизненного цикла информационных систем и выполнение требований законод...Стадии жизненного цикла информационных систем и выполнение требований законод...
Стадии жизненного цикла информационных систем и выполнение требований законод...
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdfАксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
 
Evgeniy gulak sherif
Evgeniy gulak sherifEvgeniy gulak sherif
Evgeniy gulak sherif
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...
 
Профстандарт "Специалист по информационной безопасности ИКТ систем"
Профстандарт "Специалист по информационной безопасности ИКТ систем"Профстандарт "Специалист по информационной безопасности ИКТ систем"
Профстандарт "Специалист по информационной безопасности ИКТ систем"
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятора
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасности
 
Обеспечение ИБ АСУ ТП
Обеспечение ИБ АСУ ТПОбеспечение ИБ АСУ ТП
Обеспечение ИБ АСУ ТП
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...
 

More from Вячеслав Аксёнов

Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Вячеслав Аксёнов
 
CIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизацияCIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизацияВячеслав Аксёнов
 
Построение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятияПостроение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятияВячеслав Аксёнов
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиВячеслав Аксёнов
 
G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)Вячеслав Аксёнов
 

More from Вячеслав Аксёнов (15)

Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...
 
Aksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdfAksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdf
 
CIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизацияCIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизация
 
Information security systems development
Information security systems developmentInformation security systems development
Information security systems development
 
Information security risk management presentation
Information security risk management presentationInformation security risk management presentation
Information security risk management presentation
 
Information Security Audit (Course)
Information Security Audit (Course)Information Security Audit (Course)
Information Security Audit (Course)
 
Построение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятияПостроение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятия
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в Беларуси
 
Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)
 
Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirements
 
G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)
 

Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.

  • 1. СОЗДАНИЕ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ Учебный центр Softline Вячеслав Аксёнов | itsec.by
  • 2. НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ 2/91 1. Конституция 2. Указы/Декреты Президента 3. Кодексы 4. Законы 5. Постановления Совета Министров 6. Приказы ОАЦ Закон Республики Беларусь от 10 января 2000 г. №361-З «О нормативных правовых актах Республики Беларусь» Статья 10 Иерархия
  • 3. ТНПА РБ (> 100) Методы и средства безопасности Требования и средства защиты информации от НСД Защита информации Системы менеджмента информационной безопасности Критерии оценки безопасности ИТ Обеспечение информационной безопасности банков КВОИ Информационные технологии Информационные технологии и безопасность
  • 4.
  • 5. ГОСТ ISO 19011-2013 УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА PLAN  Роли, ответственность, компетентность.  Объем программы  Риски программы  Процедуры  Ресурсы Установление целей программы аудита Установление программы аудита DO  Цель, область применения, критерии для каждого аудита.  Выбор методов аудита  Назначение руководителя команды по аудиту (ответственный)  Менеджмент выходных данных  Менеджмент записей Внедрение программы аудита CHECK Мониторинг программы аудита ACT Анализ и улучшение программы аудита Компетентность и оценивание аудиторов Проведение аудита
  • 6. Стадии создания систем ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие ГОСТ Р 51583-2014 ISO/IEC/IEEE 15288:2015 ГОСТ Р ИСО/МЭК 15288-2005
  • 7. Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62 Жизненный цикл СЗИ Проектирование СЗИ Формирование требований к СЗИ Формирование требований к ИС Разработка концепции АС Техническое задание Создание СЗИ Разработка задания по безопасности Проектирование (разработка) СЗИ Эскизный проект Технический проект Рабочая документация Внедрение СЗИ (без аттестации) Ввод в действие ИС (без приемки в промышленную эксплуатацию) Аттестация СЗИ Эксплуатация СЗИ Выводизэксплуатации Сопровождение СЗИ Сопровождение ИС ГОСТ 34.601-90
  • 9. ОБСЛЕДОВАНИЕ ИС (СЗИ ИС) Формирование требований к СЗИ  Чек-листы  Анкеты-опросники  Отчет по результатам обследования
  • 10. Проектирование СЗИ Классификация объектов информатизации Одна контролируемая зона (КЗ) Несколько КЗ + соединение каналами передачи Каналы передачи выходят за пределы КЗ Общедоступная информация А3 Б3 В3 Информация, распространение и (или) предоставление которой ограничено А2 Б2 В2 Государственные секреты А1 Б1  СТБ 34.101.30-2007
  • 11. Проектирование СЗИ Определение перечня защищаемых активов* Конфиденциаль ность Целостность Доступность Подлинность Сохранность Линии связи / СПД    Аппаратное обеспечение    Программное обеспечение    . . . . . . . . . ? ? ? ? ? Данные      * Матрица требований, предъявляемых к защищаемым активам (пример формы представления)
  • 12. РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯ Формирование требований к СЗИ  Система защиты информации. Техническое задание
  • 13. Проектирование СЗИ Тех. задание / Задание по безопасности ГОСТ 34.602-89 СТБ 34.101.1-2014 СТБ 34.101.2-2014 СТБ 34.101.3-2014 Техническое задание на создание СЗИ 1. Общие сведения 2. Назначение и цели создания СЗИ 3. Характеристика объекта защиты 4. Требования к СЗИ 5. Состав и содержание работ по созданию СЗИ 6. Порядок контроля и приемки 7. Требования к составу и содержанию работ по подготовке к вводу СЗИ в действие 8. Требования к документированию 9. Источники разработки 10. Перечень принятых сокращений Задание по безопасности на ИС 1. Введение в описание ЗБ 2. Описание объекта 3. Среда безопасности объекта 4. Задачи безопасности 5. Требования безопасности Для объекта Функциональные Гарантийные Для среды 6. Общая спецификация 8. Обоснование 7. Требования соответствия ПЗ
  • 14. ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯ Разработка (проектирование) СЗИ  Система защиты информации. Эскизный проект.  Система защиты информации. Технический проект.  Система защиты информации. Рабочая документация.
  • 15. ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка (проектирование) СЗИ  Автоматизированная информационная система. Задание по безопасности.
  • 16. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Внедрение (создание) СЗИ  Автоматизированная информационная система. Система защиты информации. Политика информационной безопасности.
  • 17. ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ Внедрение (создание) СЗИ  Регламент использования объектов информационной системы и их управления (администрирования).  Регламент резервирования и уничтожения информации.  Регламент защиты от вредоносного программного обеспечения.  Порядок выявления угроз, которые могут привести к сбоям, нарушению функционирования информационной системы.  Порядок реагирования на инциденты информационной безопасности.  Порядок контроля (мониторинга) за функционированием информационной системы.
  • 18. КОМПЛЕКТ ДОКУМЕНТОВ В СООТВЕТСТВИИ С УГО Внедрение (создание) СЗИ  Базовый проект.  Использование системы управления конфигурацией.  Описание архитектуры безопасности.  Анализ уязвимостей.  Подготовительные процедуры.  Покрытие управлением конфигурации частей объекта оценки.  Процедуры поставки.  Руководство пользователя.  Функциональная спецификация реализации безопасности.
  • 19. ОПЫТНАЯ ЭКСПЛУАТАЦИЯ Внедрение (создание) СЗИ  Журнал опытной эксплуатации.  План-график устранения недостатков по результатам опытной эксплуатации (при необходимости).  Документ «Тестирование».
  • 20. ПРИЕМОЧНЫЕ ИСПЫТАНИЯ СЗИ Внедрение (создание) СЗИ  Программа и методика приемочных испытаний.  Протокол приемочных испытаний.  Акт приемочных испытаний.
  • 21. ПРОВЕДЕНИЕ АТТЕСТАЦИИ Аттестация СЗИ  анализ исходных данных;  разработка программы аттестации;  предварительное ознакомление с ИС и СЗИ;  проведение обследования ИС и СЗИ;  проверка правильности отнесения ИС к классу тип. ОИ, выбора и СрЗИ;  анализ орг.структуры, состава и структуры комплекса ТС и ПО ИС, информационных потоков, состава и структуры комплекса ТС и ПО СЗИ;  анализ разработанной документации и ее соответствие требованиям законодательства;  проверка подготовки кадров и распределения ответственности персонала за организацию и обеспечение ИБ;  проведение испытаний СЗИ на предмет выполнения установленных требований безопасности;  оформление протоколов испытаний и заключения по результатам проверок;  оформление аттестата соответствия.
  • 22. ул. Мележа, 5/2, офис 1103 220113, г. Минск, Беларусь +375 17 2161866, educ@softline.by Спасибо за внимание! Учебный центр Softline http://edu.softline.by