Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
2. НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
2/91
1. Конституция
2. Указы/Декреты Президента
3. Кодексы
4. Законы
5. Постановления Совета
Министров
6. Приказы ОАЦ
Закон Республики Беларусь
от 10 января 2000 г. №361-З
«О нормативных правовых
актах Республики Беларусь»
Статья 10
Иерархия
3. ТНПА РБ
(> 100)
Методы и
средства
безопасности
Требования и
средства защиты
информации от НСД
Защита
информации
Системы менеджмента
информационной
безопасности
Критерии оценки
безопасности ИТ
Обеспечение информационной
безопасности банков
КВОИ
Информационные технологии
Информационные технологии и безопасность
4.
5. ГОСТ ISO 19011-2013
УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА
PLAN
Роли,
ответственность,
компетентность.
Объем
программы
Риски
программы
Процедуры
Ресурсы
Установление целей
программы аудита
Установление
программы аудита
DO
Цель, область
применения, критерии
для каждого аудита.
Выбор методов аудита
Назначение
руководителя команды
по аудиту
(ответственный)
Менеджмент выходных
данных
Менеджмент записей
Внедрение программы аудита
CHECK
Мониторинг
программы аудита
ACT
Анализ и улучшение
программы аудита
Компетентность
и оценивание
аудиторов
Проведение
аудита
6. Стадии создания систем
ГОСТ 34.601-90
Информационная
технология. Комплекс
стандартов на
автоматизированные
системы.
Автоматизированные
системы. Стадии создания
Формирование
требований
Разработка концепции Техническое задание
Сопровождение Вывод из эксплуатации Эскизный проект
Технических проектРабочая документацияВвод в действие
ГОСТ Р 51583-2014
ISO/IEC/IEEE 15288:2015
ГОСТ Р ИСО/МЭК 15288-2005
7. Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62
Жизненный цикл СЗИ
Проектирование СЗИ
Формирование
требований к СЗИ
Формирование
требований к ИС
Разработка концепции
АС
Техническое задание
Создание СЗИ
Разработка задания по безопасности
Проектирование
(разработка) СЗИ
Эскизный проект
Технический проект
Рабочая документация
Внедрение СЗИ (без аттестации)
Ввод в действие ИС
(без приемки в промышленную
эксплуатацию)
Аттестация СЗИ
Эксплуатация СЗИ
Выводизэксплуатации
Сопровождение СЗИ
Сопровождение ИС
ГОСТ 34.601-90
9. ОБСЛЕДОВАНИЕ ИС (СЗИ ИС)
Формирование требований к СЗИ
Чек-листы
Анкеты-опросники
Отчет по результатам обследования
10. Проектирование СЗИ
Классификация объектов
информатизации
Одна
контролируемая
зона (КЗ)
Несколько КЗ +
соединение
каналами
передачи
Каналы
передачи
выходят за
пределы КЗ
Общедоступная информация А3 Б3 В3
Информация, распространение и (или)
предоставление которой ограничено А2 Б2 В2
Государственные секреты А1 Б1
СТБ 34.101.30-2007
11. Проектирование СЗИ
Определение перечня защищаемых
активов*
Конфиденциаль
ность
Целостность Доступность Подлинность Сохранность
Линии связи / СПД
Аппаратное обеспечение
Программное обеспечение
. . . . . . . . . ? ? ? ? ?
Данные
* Матрица требований, предъявляемых к защищаемым активам (пример формы представления)
13. Проектирование СЗИ
Тех. задание / Задание по безопасности
ГОСТ 34.602-89 СТБ 34.101.1-2014 СТБ 34.101.2-2014 СТБ 34.101.3-2014
Техническое задание на создание СЗИ
1. Общие сведения
2. Назначение и цели
создания СЗИ
3. Характеристика
объекта защиты
4. Требования к СЗИ
5. Состав и
содержание работ по
созданию СЗИ
6. Порядок контроля и
приемки
7. Требования к
составу и содержанию
работ по подготовке к
вводу СЗИ в действие
8. Требования к
документированию
9. Источники
разработки
10. Перечень принятых
сокращений
Задание по безопасности на ИС
1. Введение в
описание ЗБ
2. Описание объекта
3. Среда безопасности
объекта
4. Задачи
безопасности
5. Требования
безопасности
Для объекта
Функциональные
Гарантийные
Для среды
6. Общая
спецификация
8. Обоснование
7. Требования
соответствия ПЗ
14. ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯ
Разработка (проектирование) СЗИ
Система защиты информации. Эскизный проект.
Система защиты информации. Технический проект.
Система защиты информации. Рабочая документация.
17. ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ
Внедрение (создание) СЗИ
Регламент использования объектов информационной системы и их управления
(администрирования).
Регламент резервирования и уничтожения информации.
Регламент защиты от вредоносного программного обеспечения.
Порядок выявления угроз, которые могут
привести к сбоям, нарушению
функционирования информационной системы.
Порядок реагирования на инциденты
информационной безопасности.
Порядок контроля (мониторинга) за
функционированием информационной
системы.
18. КОМПЛЕКТ ДОКУМЕНТОВ В
СООТВЕТСТВИИ С УГО
Внедрение (создание) СЗИ
Базовый проект.
Использование системы управления
конфигурацией.
Описание архитектуры безопасности.
Анализ уязвимостей.
Подготовительные процедуры.
Покрытие управлением конфигурации
частей объекта оценки.
Процедуры поставки.
Руководство пользователя.
Функциональная спецификация
реализации безопасности.
19. ОПЫТНАЯ ЭКСПЛУАТАЦИЯ
Внедрение (создание) СЗИ
Журнал опытной эксплуатации.
План-график устранения недостатков по
результатам опытной эксплуатации (при
необходимости).
Документ «Тестирование».
20. ПРИЕМОЧНЫЕ ИСПЫТАНИЯ СЗИ
Внедрение (создание) СЗИ
Программа и методика приемочных испытаний.
Протокол приемочных испытаний.
Акт приемочных испытаний.
21. ПРОВЕДЕНИЕ АТТЕСТАЦИИ
Аттестация СЗИ
анализ исходных данных;
разработка программы аттестации;
предварительное ознакомление с ИС и СЗИ;
проведение обследования ИС и СЗИ;
проверка правильности отнесения ИС к классу тип. ОИ, выбора и СрЗИ;
анализ орг.структуры, состава и структуры комплекса ТС и ПО ИС, информационных потоков,
состава и структуры комплекса ТС и ПО СЗИ;
анализ разработанной документации и ее соответствие требованиям законодательства;
проверка подготовки кадров и распределения ответственности персонала за организацию и
обеспечение ИБ;
проведение испытаний СЗИ на предмет выполнения установленных требований безопасности;
оформление протоколов испытаний и заключения по результатам проверок;
оформление аттестата соответствия.
22. ул. Мележа, 5/2, офис 1103
220113, г. Минск, Беларусь
+375 17 2161866, educ@softline.by
Спасибо за внимание!
Учебный центр Softline
http://edu.softline.by