ВА
Uploaded byВячеслав Аксёнов
PDF, PPTX1,381 views

Создание автоматизированных систем в защищенном исполнении

Учебный центр Softline предоставляет курс по созданию автоматизированных систем с акцентом на информационную безопасность. Программа охватывает различные этапы разработки, внедрения и сопровождения систем защиты информации, а также требования законодательства и стандарты безопасности. Преподаватель Вячеслав Аксёнов, имеющий более 10 лет опыта в области информационной безопасности, делится своими знаниями и практическими навыками.

Embed presentation

Download as PDF, PPTX
СОЗДАНИЕ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ Учебный центр Softline Вячеслав Аксёнов itsec.by 16-18.05.2016
ПРЕПОДАВАТЕЛЬ Вячеслав Аксёнов специалист по информационной безопасности itsec.by Кратко о себе:  Опыт работы в сфере информационной безопасности более 10 лет, в качестве архитектора и консультанта, в проектах по созданию систем защиты информации в соответствии с требованиями законодательства. Преподаватель авторских курсов по информационной безопасности.  Образование: радиоинженер-педагог + магистратура и аспирантура по направлению информационная безопасность.  Сфера интересов: технологии облачных вычислений, гособлака, проектирование и внедрение систем защиты информации. Подробнее: http://www.linkedin.com/pub/viacheslav-aksionov/50/b91/65/en
День 1:  Требования законодательства об информации, информатизации и защите информации.  Технические нормативные правовые акты в области информационной безопасности ПРОГРАММА КУРСА 3/91 День 2:  Стадии создания автоматизированных (информационных) систем  Стадии создания автоматизированных (информационных) систем в защищенном исполнении  Проектирование АС (ИС) в защищенном исполнении (Проект)  Создание АС (ИС) в защищенном исполнении (Проект)  Аттестация системы защиты информации и ввод в действие АС (ИС) (Проект)  Эксплуатация (сопровождение) АС (ИС) (Проект)  + НПА (advanced) День 3:  Требования к мерам защиты информации, обрабатываемой в АС (ИС)  + Защита среды виртуализации (advanced)  Практическая (Проект создания АИС в защищенном исполнении)
бонус  Проект .mpp  Трудозатраты .xlsx + .mpp  Матрица ответственности .xlsx ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ 4/x
бонус ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ 5/x
НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ 6/91 1. Конституция 2. Указы/Декреты Президента 3. Кодексы 4. Законы 5. Постановления Совета Министров 6. Приказы ОАЦ Закон Республики Беларусь от 10 января 2000 г. №361-З «О нормативных правовых актах Республики Беларусь» Статья 10 Иерархия
ТНПА РБ (> 100) Методы и средства безопасности Требования и средства защиты информации от НСД Защита информации Системы менеджмента информационной безопасности Критерии оценки безопасности ИТ Обеспечение информационной безопасности банков КВОИ Информационные технологии Информационные технологии и безопасность
ГОСТ ISO 19011-2013 УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА PLAN  Роли, ответственность, компетентность.  Объем программы  Риски программы  Процедуры  Ресурсы Установление целей программы аудита Установление программы аудита DO  Цель, область применения, критерии для каждого аудита.  Выбор методов аудита  Назначение руководителя команды по аудиту (ответственный)  Менеджмент выходных данных  Менеджмент записей Внедрение программы аудита CHECK Мониторинг программы аудита ACT Анализ и улучшение программы аудита Компетентность и оценивание аудиторов Проведение аудита
Стадии создания систем ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие ГОСТ Р 51583-2014 ISO/IEC/IEEE 15288:2015 ГОСТ Р ИСО/МЭК 15288-2005
Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62 Жизненный цикл СЗИ Проектирование СЗИ Формирование требований к СЗИ Формирование требований к ИС Разработка концепции АС Техническое задание Создание СЗИ Разработка задания по безопасности Проектирование (разработка) СЗИ Эскизный проект Технический проект Рабочая документация Внедрение СЗИ (без аттестации) Ввод в действие ИС (без приемки в промышленную эксплуатацию) Аттестация СЗИ Эксплуатация СЗИ Выводизэксплуатации Сопровождение СЗИ Сопровождение ИС ГОСТ 34.601-90
ФОРМИРОВАНИЕ ТРЕБОВАНИЙ К СЗИ Этапы работ Формирование требований к системе ЗИ АС осуществляется на следующих стадиях создания АСЗИ, определенных ГОСТ 34.601:  «Формирование требований к АС»;  «Разработка концепции АС»;  «Техническое задание». Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Формирование требований к СЗИ Разработка (проектирование) СЗИ Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Формирование требований к СЗИ ПРОЕКТИРОВАНИЕ СЗИ
АНАЛИЗ ИС Проектирование СЗИ (Приказ ОАЦ №62)  Архитектура  Подсистемы  Состав ТС и ПО  Схемы анализ организационной структуры информационной системы и информационных потоков в целях определения состава (количества) и мест размещения элементов системы (аппаратных и программных), ее физических и логических границ
ОБСЛЕДОВАНИЕ ИС (СЗИ ИС) Формирование требований к СЗИ  Чек-листы  Анкеты-опросники  Отчет по результатам обследования
Проектирование СЗИ КЛАССИФИКАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ Одна контролируемая зона (КЗ) Несколько КЗ + соединение каналами передачи Каналы передачи выходят за пределы КЗ Общедоступная информация А3 Б3 В3 Информация, распространение и (или) предоставление которой ограничено А2 Б2 В2 Государственные секреты А1 Б1  СТБ 34.101.30-2007
КЛАССИФИКАЦИЯ ИС Проектирование СЗИ (Приказ ОАЦ №62)  Протокол и Акт присвоение информационной системе класса типового объекта информатизации в порядке, установленном СТБ 34.101.30-2007 «Информационные технологии. Методы и средства безопасности. Объекты информатизации. Классификация» Документ в дополнительных материалах
Проектирование СЗИ Определение перечня защищаемых активов* Конфиденциаль ность Целостность Доступность Подлинность Сохранность Линии связи / СПД    Аппаратное обеспечение    Программное обеспечение    . . . . . . . . . ? ? ? ? ? Данные      * Матрица требований, предъявляемых к защищаемым активам (пример формы представления)
УГРОЗЫ НАРУШЕНИЯ ИБ Модель Документ в дополнительных материалах
РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯ Формирование требований к СЗИ  Система защиты информации. Техническое задание Документ в дополнительных материалах
Проектирование СЗИ (Приказ ОАЦ №62) ТЗ vs ЗБ ГОСТ 34.602-89 СТБ 34.101.1-2014 СТБ 34.101.2-2014 СТБ 34.101.3-2014 Техническое задание на создание СЗИ 1. Общие сведения 2. Назначение и цели создания СЗИ 3. Характеристика объекта защиты 4. Требования к СЗИ 5. Состав и содержание работ по созданию СЗИ 6. Порядок контроля и приемки 7. Требования к составу и содержанию работ по подготовке к вводу СЗИ в действие 8. Требования к документированию 9. Источники разработки 10. Перечень принятых сокращений Задание по безопасности на ИС 1. Введение в описание ЗБ 2. Описание объекта 3. Среда безопасности объекта 4. Задачи безопасности 5. Требования безопасности Для объекта Функциональные Гарантийные Для среды 6. Общая спецификация 8. Обоснование 7. Требования соответствия ПЗ ? ? ?
ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка (проектирование) СЗИ  СТБ 34.101.1-2014 "Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель"  СТБ 34.101.2-2014 "Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности"  СТБ 34.101.3-2014 "Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 3. Гарантийные требования безопасности»
ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка (проектирование) СЗИ Определение среды безопасности Формулирование задач безопасности Формулирование требований безопасности Формулирование спецификаций безопасности
ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка (проектирование) СЗИ Определение среды безопасности • Физическая среда • Активы • Назначение Формулирование задач безопасности • Предположения • Угрозы безопасности • Политика безопасности Формулирование требований безопасности • Функциональные требования • Гарантийные требования • Требования к среде безопасности Формулирование спецификаций
РАЗРАБОТКА ЗАДАНИЯ ПО БЕЗОПАСНОСТИ Разработка (проектирование) СЗИ  Автоматизированная информационная система. Задание по безопасности.
ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка (проектирование) СЗИ  Автоматизированная информационная система. Задание по безопасности. Документы в дополнительных материалах
КОМПЛЕКТ ДОКУМЕНТОВ В СООТВЕТСТВИИ С УГО Внедрение (создание) СЗИ  Базовый проект.  Использование системы управления конфигурацией.  Описание архитектуры безопасности.  Анализ уязвимостей.  Подготовительные процедуры.  Покрытие управлением конфигурации частей объекта оценки.  Процедуры поставки.  Руководство пользователя.  Функциональная спецификация реализации безопасности. Документы в дополнительных материалах
ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯ Разработка (проектирование) СЗИ Разработку системы ЗИ АСЗИ организует заказчик, проводит разработчик в соответствии с ТЗ на создание системы ЗИ АС на следующих стадиях создания АС, определенных ГОСТ 34.601:  Эскизный проект;  Технический проект;  Рабочая документация. Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Разработка (проектирование) СЗИ Разработка (проектирование) СЗИ Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Формирование требований к СЗИ ПРОЕКТИРОВАНИЕ СЗИ
ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯ Разработка (проектирование) СЗИ  Система защиты информации. Эскизный проект.  Система защиты информации. Технический проект.  Система защиты информации. Рабочая документация. Документы в дополнительных материалах
ВНЕДРЕНИЕ СЗИ Этапы работ  Установка и настройка СЗИ;  Разработка организационно-распорядительных документов, определяющих мероприятия по ЗИ в ходе эксплуатации АС:  Предварительные испытания системы ЗИ АС;  Опытная эксплуатацию и доработка системы ЗИ АС,  Приемочные испытания системы ЗИ АС;  Аттестация СЗИ на соответствие требованиям безопасности информации. Внедрение системы ЗИ АС организует заказчик, проводит разработчик в соответствии с законодательством Республики Беларусь об информации, информатизации и защите информации и рабочей документацией на систему ЗИ АС на стадии «Ввод в действие», определенной ГОСТ 34.601. Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Внедрение СЗИ. СОЗДАНИЕ СЗИ.
ПОЛИТИКА ИБ (содержание) Приказ ОАЦ №62 от 30 августа 2013 г. Политика ИБ должна содержать:  цели создания СЗИ;  перечень субъектов и объектов ИС, сведения о их размещении и взаимодействии;  способы разграничения доступа субъектов к объектам ИС;  права и обязанности субъектов ИС;  порядок взаимодействия с иными ИС (в случае предполагаемого взаимодействия);  перечень организационных мер, направленных на реализацию требований по созданию СЗИ;  порядок действий при возникновении угроз, и при ликвидации их последствий.
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Внедрение (создание) СЗИ  Автоматизированная информационная система. Система защиты информации. Политика информационной безопасности. Документ в дополнительных материалах
ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ Внедрение (создание) СЗИ  Регламент использования объектов информационной системы и их управления (администрирования).  Регламент резервирования и уничтожения информации.  Регламент защиты от вредоносного программного обеспечения.  Порядок выявления угроз, которые могут привести к сбоям, нарушению функционирования информационной системы.  Порядок реагирования на инциденты информационной безопасности.  Порядок контроля (мониторинга) за функционированием информационной системы. внедрение организационных мер по защите информации Документы в дополнительных материалах
ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ Создание СЗИ (Приказ ОАЦ №62) Функции Должностные лица и подразделения Должность 1 Должность 2 Должность 3 Функция №1 О И Функция №2 Р И И Функция № N Обозначения: О – ответственный за выполнение; У – участвует в выполнении; И – информируется Р – принимает решение, утверждает.
ДОВЕДЕНИЕ ЛНПА Создание СЗИ (Приказ ОАЦ №62)  Лист ознакомления (отдельный для каждого ЛНПА  Журнал инструктажей
ОПЫТНАЯ ЭКСПЛУАТАЦИЯ Внедрение (создание) СЗИ  Журнал опытной эксплуатации.  План-график устранения недостатков по результатам опытной эксплуатации (при необходимости).  Документ «Тестирование». Документы в дополнительных материалах
ПРИЕМОЧНЫЕ ИСПЫТАНИЯ СЗИ Внедрение (создание) СЗИ  Программа и методика приемочных испытаний.  Протокол приемочных испытаний.  Акт приемочных испытаний. Документы в дополнительных материалах
АТТЕСТАЦИЯ СЗИ  анализ исходных данных;  разработка программы аттестации;  предварительное ознакомление с ИС и СЗИ;  проведение обследования ИС и СЗИ;  проверка правильности отнесения ИС к классу тип. ОИ, выбора и СрЗИ;  анализ орг.структуры, состава и структуры комплекса ТС и ПО ИС, информационных потоков, состава и структуры комплекса ТС и ПО СЗИ;  анализ разработанной документации и ее соответствие требованиям законодательства;  проверку подготовки кадров и распределения ответственности персонала за организацию и обеспечение ИБ;  проведение испытаний СЗИ на предмет выполнения установленных требований безопасности;  оформление протоколов испытаний и заключения по результатам проверок;  оформление аттестата соответствия. Приказ ОАЦ №62 от 30 августа 2013 г. Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Аттестация СЗИ. АТТЕСТАЦИЯ СЗИ.
СОПРОВОЖДЕНИЕ СЗИ Содержание работ (ГОСТ)  Сопровождение системы ЗИ в ходе эксплуатации АС организует заказчик (оператор), проводит разработчик в соответствии с проектными решениями, рабочей документацией на систему ЗИ АС, организационно- распорядительными документами по ЗИ.  Сопровождение системы ЗИ в ходе эксплуатации АС заключается в выполнении работ относительно системы ЗИ АС в соответствии с гарантийными обязательствами и по послегарантийному обслуживанию, которые осуществляются на стадии «Сопровождение АС», определенной ГОСТ 34.601. Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Сопровождение СЗИ ЭКСПЛУАТАЦИЯ СЗИ.
ЭКСПЛУАТАЦИЯ СЗИ В процессе эксплуатации аттестованной СЗИ осуществляются: контроль за соблюдением требований, установленных в НПА,ТНПА, ЛНПА; контроль за порядком использования объектов ИС; мониторинг функционирования СЗИ; выявление угроз, которые могут привести к сбоям, нарушению функционирования ИС; резервное копирование информации, содержащейся в ИС; обучение (повышение квалификации) субъектов ИС. Приказ ОАЦ №62 от 30 августа 2013 г.
ЭКСПЛУАТАЦИЯ СЗИ В случае прекращения эксплуатации ИС собственник (владелец) ИС принимает меры по: • ЗИ, содержащейся в ИС; • резервному копированию информации (при необходимости), обеспечению ее конфиденциальности и целостности; • уничтожению (удалению) данных с машинных носителей информации и (или) уничтожению таких носителей информации. Приказ ОАЦ №62 от 30 августа 2013 г.
ЭКСПЛУАТАЦИЯ СЗИ Модернизация действующих систем защиты информации осуществляется в порядке, установленном настоящим Положением для создания этих систем. Уничтожение (удаление) данных с машинных носителей информации производится при необходимости передачи машинного носителя информации лицам, не являющимся субъектами информационной системы, в том числе для ремонта, технического обслуживания. Приказ ОАЦ №62 от 30 августа 2013 г.
ул. Мележа, 5/2, офис 1103 220113, г. Минск, Беларусь +375 17 2161866, educ@softline.by Спасибо за внимание! Учебный центр Softline http://edu.softline.by

More Related Content

PDF
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
byВячеслав Аксёнов
 
PDF
Information Security Presentation (B.E.E.R 2021)
byВячеслав Аксёнов
 
PDF
Attestation of personal data protection systems
byВячеслав Аксёнов
 
PDF
Clouds security (responsibility and information relations)
byВячеслав Аксёнов
 
PDF
Cloud security risk management (fragment of course materials)
byВячеслав Аксёнов
 
PDF
Курс: Основы информационной безопасности.
byВячеслав Аксёнов
 
PDF
ISMS audit and implementation
byВячеслав Аксёнов
 
PDF
Сети управления. Поддержка доступности сетей при кибератаке
byCisco Russia
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
byВячеслав Аксёнов
 
Information Security Presentation (B.E.E.R 2021)
byВячеслав Аксёнов
 
Attestation of personal data protection systems
byВячеслав Аксёнов
 
Clouds security (responsibility and information relations)
byВячеслав Аксёнов
 
Cloud security risk management (fragment of course materials)
byВячеслав Аксёнов
 
Курс: Основы информационной безопасности.
byВячеслав Аксёнов
 
ISMS audit and implementation
byВячеслав Аксёнов
 
Сети управления. Поддержка доступности сетей при кибератаке
byCisco Russia
 

What's hot

PDF
Управление информационной безопасностью
byВячеслав Аксёнов
 
PDF
Курс: Аудит информационной безопасности (Information Security Audit Course)
byВячеслав Аксёнов
 
PPTX
Курс: Оценка и управление рисками информационной безопасности в организации
byВячеслав Аксёнов
 
PDF
Information Security Legislations (BY)
byВячеслав Аксёнов
 
PDF
Требования по иб фстэк (госис, пдн, асу тп) V.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Особенности обработки и защиты ПДн в медицине
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
требования по иб фстэк (госис, пдн, асу тп) V.1.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPT
Is protection control (презентация)
byActiveCloud
 
PDF
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
byActiveCloud
 
PDF
Is protection control
byActiveCloud
 
PDF
Практические аспекты проведения аудита информационной безопасности компании 2...
byDialogueScience
 
PDF
Проект приказа ФСТЭК по защите информации в АСУ ТП
byAleksey Lukatskiy
 
PDF
пр Спроси эксперта про прогнозы ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Политика обнаружения и реагирования на инциденты информационной безопасности
byEvgeniy Shauro
 
PDF
пр Обзор Методических рекомендаций по ГосСОПКА
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Iw про compliance 2013 03-05 16на9
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
byCisco Russia
 
PDF
Актуальные вопросы защиты информации для государственных оранов
bySergey Borisov
 
Управление информационной безопасностью
byВячеслав Аксёнов
 
Курс: Аудит информационной безопасности (Information Security Audit Course)
byВячеслав Аксёнов
 
Курс: Оценка и управление рисками информационной безопасности в организации
byВячеслав Аксёнов
 
Information Security Legislations (BY)
byВячеслав Аксёнов
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Особенности обработки и защиты ПДн в медицине
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Is protection control (презентация)
byActiveCloud
 
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...
byActiveCloud
 
Is protection control
byActiveCloud
 
Практические аспекты проведения аудита информационной безопасности компании 2...
byDialogueScience
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
byAleksey Lukatskiy
 
пр Спроси эксперта про прогнозы ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
byEvgeniy Shauro
 
пр Обзор Методических рекомендаций по ГосСОПКА
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Iw про compliance 2013 03-05 16на9
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
byCisco Russia
 
Актуальные вопросы защиты информации для государственных оранов
bySergey Borisov
 

Similar to Создание автоматизированных систем в защищенном исполнении

PPT
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
bySQALab
 
PPTX
Стадии жизненного цикла информационных систем и выполнение требований законод...
byActiveCloud
 
DOCX
Классификатор работ по информационной безопасности
byОлег Габов
 
PDF
Стадии создания АС в ЗИ (РБ).pdf
bytrenders
 
PDF
Aksionov_B_E_E_R_2022.pdf
bytrenders
 
PDF
Information security systems development
byВячеслав Аксёнов
 
PPT
Оценка защищенности информационных систем, использующих средства криптографич...
bySQALab
 
PPTX
Жизненный цикл СЗИ или с чего начать?
byАлександр Лысяк
 
PDF
Подходы к выполнению требований Приказа №31 ФСТЭК России
byКомпания УЦСБ
 
PDF
Современные средства обеспечения кибербезопасности АСУ ТП
byAlexander Dorofeev
 
PDF
содержание этапов создания ас
byAnastasia Snegina
 
PPTX
Лекция на тему "Разработка технического задания"
byolalapim10
 
PDF
Проектирование СЗИ.pdf
bytrenders
 
PPTX
разработка технического задания
byolalapim10
 
PDF
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
byExpolink
 
PDF
Аксёнов_Опыт построения СЗИ.pdf
bytrenders
 
PDF
Проектирование_СЗИ_персональных_данных_практикум.pdf
bytrenders
 
PPTX
разработка технического задания 1
byolalapim10
 
PDF
Майндкарта по 239-му приказу ФСТЭК
byAleksey Lukatskiy
 
PPTX
Barabanov_Markov it-std
byAlexander Barabanov
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
bySQALab
 
Стадии жизненного цикла информационных систем и выполнение требований законод...
byActiveCloud
 
Классификатор работ по информационной безопасности
byОлег Габов
 
Стадии создания АС в ЗИ (РБ).pdf
bytrenders
 
Aksionov_B_E_E_R_2022.pdf
bytrenders
 
Information security systems development
byВячеслав Аксёнов
 
Оценка защищенности информационных систем, использующих средства криптографич...
bySQALab
 
Жизненный цикл СЗИ или с чего начать?
byАлександр Лысяк
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
byКомпания УЦСБ
 
Современные средства обеспечения кибербезопасности АСУ ТП
byAlexander Dorofeev
 
содержание этапов создания ас
byAnastasia Snegina
 
Лекция на тему "Разработка технического задания"
byolalapim10
 
Проектирование СЗИ.pdf
bytrenders
 
разработка технического задания
byolalapim10
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
byExpolink
 
Аксёнов_Опыт построения СЗИ.pdf
bytrenders
 
Проектирование_СЗИ_персональных_данных_практикум.pdf
bytrenders
 
разработка технического задания 1
byolalapim10
 
Майндкарта по 239-му приказу ФСТЭК
byAleksey Lukatskiy
 
Barabanov_Markov it-std
byAlexander Barabanov
 

More from Вячеслав Аксёнов

PDF
Аксёнов_Оценка и управление рисками информационной безопасности в организации...
byВячеслав Аксёнов
 
PDF
Aksionov_CyberSecurity Training Courses_2023.pdf
byВячеслав Аксёнов
 
PDF
CIS Critical Security Controls аудит, внедрение, автоматизация
byВячеслав Аксёнов
 
PDF
Information security risk management presentation
byВячеслав Аксёнов
 
PDF
Information Security Audit (Course)
byВячеслав Аксёнов
 
PDF
Построение архитектуры безопасности предприятия
byВячеслав Аксёнов
 
PDF
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
byВячеслав Аксёнов
 
PDF
Техническая защита персональных данных в Беларуси (Версия 2)
byВячеслав Аксёнов
 
PDF
Техническая защита персональных данных в Беларуси
byВячеслав Аксёнов
 
PDF
Information Security Presentation (B.E.E.R - 2019)
byВячеслав Аксёнов
 
PDF
Legislation and Responsibility (VMUG Presentation)
byВячеслав Аксёнов
 
PDF
Legislation and Responsibility (VMUG #7 Belarus)
byВячеслав Аксёнов
 
PDF
Risks of non-compliance with regulatory requirements
byВячеслав Аксёнов
 
PDF
G-Clouds Architecture and Security (fragment of course materials)
byВячеслав Аксёнов
 
Аксёнов_Оценка и управление рисками информационной безопасности в организации...
byВячеслав Аксёнов
 
Aksionov_CyberSecurity Training Courses_2023.pdf
byВячеслав Аксёнов
 
CIS Critical Security Controls аудит, внедрение, автоматизация
byВячеслав Аксёнов
 
Information security risk management presentation
byВячеслав Аксёнов
 
Information Security Audit (Course)
byВячеслав Аксёнов
 
Построение архитектуры безопасности предприятия
byВячеслав Аксёнов
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
byВячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси (Версия 2)
byВячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси
byВячеслав Аксёнов
 
Information Security Presentation (B.E.E.R - 2019)
byВячеслав Аксёнов
 
Legislation and Responsibility (VMUG Presentation)
byВячеслав Аксёнов
 
Legislation and Responsibility (VMUG #7 Belarus)
byВячеслав Аксёнов
 
Risks of non-compliance with regulatory requirements
byВячеслав Аксёнов
 
G-Clouds Architecture and Security (fragment of course materials)
byВячеслав Аксёнов
 

Создание автоматизированных систем в защищенном исполнении

  • 1.
    СОЗДАНИЕ АВТОМАТИЗИРОВАННЫХ СИСТЕМВ ЗАЩИЩЕННОМ ИСПОЛНЕНИИ Учебный центр Softline Вячеслав Аксёнов itsec.by 16-18.05.2016
  • 2.
    ПРЕПОДАВАТЕЛЬ Вячеслав Аксёнов специалист поинформационной безопасности itsec.by Кратко о себе:  Опыт работы в сфере информационной безопасности более 10 лет, в качестве архитектора и консультанта, в проектах по созданию систем защиты информации в соответствии с требованиями законодательства. Преподаватель авторских курсов по информационной безопасности.  Образование: радиоинженер-педагог + магистратура и аспирантура по направлению информационная безопасность.  Сфера интересов: технологии облачных вычислений, гособлака, проектирование и внедрение систем защиты информации. Подробнее: http://www.linkedin.com/pub/viacheslav-aksionov/50/b91/65/en
  • 3.
    День 1:  Требования законодательстваоб информации, информатизации и защите информации.  Технические нормативные правовые акты в области информационной безопасности ПРОГРАММА КУРСА 3/91 День 2:  Стадии создания автоматизированных (информационных) систем  Стадии создания автоматизированных (информационных) систем в защищенном исполнении  Проектирование АС (ИС) в защищенном исполнении (Проект)  Создание АС (ИС) в защищенном исполнении (Проект)  Аттестация системы защиты информации и ввод в действие АС (ИС) (Проект)  Эксплуатация (сопровождение) АС (ИС) (Проект)  + НПА (advanced) День 3:  Требования к мерам защиты информации, обрабатываемой в АС (ИС)  + Защита среды виртуализации (advanced)  Практическая (Проект создания АИС в защищенном исполнении)
  • 4.
    бонус  Проект .mpp Трудозатраты .xlsx + .mpp  Матрица ответственности .xlsx ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ 4/x
  • 5.
  • 6.
    НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ 6/91 1.Конституция 2. Указы/Декреты Президента 3. Кодексы 4. Законы 5. Постановления Совета Министров 6. Приказы ОАЦ Закон Республики Беларусь от 10 января 2000 г. №361-З «О нормативных правовых актах Республики Беларусь» Статья 10 Иерархия
  • 7.
    ТНПА РБ (> 100) Методыи средства безопасности Требования и средства защиты информации от НСД Защита информации Системы менеджмента информационной безопасности Критерии оценки безопасности ИТ Обеспечение информационной безопасности банков КВОИ Информационные технологии Информационные технологии и безопасность
  • 8.
    ГОСТ ISO 19011-2013 УПРАВЛЕНИЕПРОГРАММОЙ АУДИТА PLAN  Роли, ответственность, компетентность.  Объем программы  Риски программы  Процедуры  Ресурсы Установление целей программы аудита Установление программы аудита DO  Цель, область применения, критерии для каждого аудита.  Выбор методов аудита  Назначение руководителя команды по аудиту (ответственный)  Менеджмент выходных данных  Менеджмент записей Внедрение программы аудита CHECK Мониторинг программы аудита ACT Анализ и улучшение программы аудита Компетентность и оценивание аудиторов Проведение аудита
  • 9.
    Стадии создания систем ГОСТ34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие ГОСТ Р 51583-2014 ISO/IEC/IEEE 15288:2015 ГОСТ Р ИСО/МЭК 15288-2005
  • 10.
    Приказ ОАЦ приПрезиденте РБ от 30.08.2013 № 62 Жизненный цикл СЗИ Проектирование СЗИ Формирование требований к СЗИ Формирование требований к ИС Разработка концепции АС Техническое задание Создание СЗИ Разработка задания по безопасности Проектирование (разработка) СЗИ Эскизный проект Технический проект Рабочая документация Внедрение СЗИ (без аттестации) Ввод в действие ИС (без приемки в промышленную эксплуатацию) Аттестация СЗИ Эксплуатация СЗИ Выводизэксплуатации Сопровождение СЗИ Сопровождение ИС ГОСТ 34.601-90
  • 11.
    ФОРМИРОВАНИЕ ТРЕБОВАНИЙ КСЗИ Этапы работ Формирование требований к системе ЗИ АС осуществляется на следующих стадиях создания АСЗИ, определенных ГОСТ 34.601:  «Формирование требований к АС»;  «Разработка концепции АС»;  «Техническое задание». Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Формирование требований к СЗИ Разработка (проектирование) СЗИ Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Формирование требований к СЗИ ПРОЕКТИРОВАНИЕ СЗИ
  • 12.
    АНАЛИЗ ИС Проектирование СЗИ(Приказ ОАЦ №62)  Архитектура  Подсистемы  Состав ТС и ПО  Схемы анализ организационной структуры информационной системы и информационных потоков в целях определения состава (количества) и мест размещения элементов системы (аппаратных и программных), ее физических и логических границ
  • 13.
    ОБСЛЕДОВАНИЕ ИС (СЗИИС) Формирование требований к СЗИ  Чек-листы  Анкеты-опросники  Отчет по результатам обследования
  • 14.
    Проектирование СЗИ КЛАССИФИКАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ Одна контролируемая зона(КЗ) Несколько КЗ + соединение каналами передачи Каналы передачи выходят за пределы КЗ Общедоступная информация А3 Б3 В3 Информация, распространение и (или) предоставление которой ограничено А2 Б2 В2 Государственные секреты А1 Б1  СТБ 34.101.30-2007
  • 15.
    КЛАССИФИКАЦИЯ ИС Проектирование СЗИ(Приказ ОАЦ №62)  Протокол и Акт присвоение информационной системе класса типового объекта информатизации в порядке, установленном СТБ 34.101.30-2007 «Информационные технологии. Методы и средства безопасности. Объекты информатизации. Классификация» Документ в дополнительных материалах
  • 16.
    Проектирование СЗИ Определение перечнязащищаемых активов* Конфиденциаль ность Целостность Доступность Подлинность Сохранность Линии связи / СПД    Аппаратное обеспечение    Программное обеспечение    . . . . . . . . . ? ? ? ? ? Данные      * Матрица требований, предъявляемых к защищаемым активам (пример формы представления)
  • 17.
    УГРОЗЫ НАРУШЕНИЯ ИБ Модель Документв дополнительных материалах
  • 18.
    РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯ Формированиетребований к СЗИ  Система защиты информации. Техническое задание Документ в дополнительных материалах
  • 19.
    Проектирование СЗИ (ПриказОАЦ №62) ТЗ vs ЗБ ГОСТ 34.602-89 СТБ 34.101.1-2014 СТБ 34.101.2-2014 СТБ 34.101.3-2014 Техническое задание на создание СЗИ 1. Общие сведения 2. Назначение и цели создания СЗИ 3. Характеристика объекта защиты 4. Требования к СЗИ 5. Состав и содержание работ по созданию СЗИ 6. Порядок контроля и приемки 7. Требования к составу и содержанию работ по подготовке к вводу СЗИ в действие 8. Требования к документированию 9. Источники разработки 10. Перечень принятых сокращений Задание по безопасности на ИС 1. Введение в описание ЗБ 2. Описание объекта 3. Среда безопасности объекта 4. Задачи безопасности 5. Требования безопасности Для объекта Функциональные Гарантийные Для среды 6. Общая спецификация 8. Обоснование 7. Требования соответствия ПЗ ? ? ?
  • 20.
    ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка(проектирование) СЗИ  СТБ 34.101.1-2014 "Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель"  СТБ 34.101.2-2014 "Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности"  СТБ 34.101.3-2014 "Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 3. Гарантийные требования безопасности»
  • 21.
    ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка(проектирование) СЗИ Определение среды безопасности Формулирование задач безопасности Формулирование требований безопасности Формулирование спецификаций безопасности
  • 22.
    ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка(проектирование) СЗИ Определение среды безопасности • Физическая среда • Активы • Назначение Формулирование задач безопасности • Предположения • Угрозы безопасности • Политика безопасности Формулирование требований безопасности • Функциональные требования • Гарантийные требования • Требования к среде безопасности Формулирование спецификаций
  • 23.
    РАЗРАБОТКА ЗАДАНИЯ ПОБЕЗОПАСНОСТИ Разработка (проектирование) СЗИ  Автоматизированная информационная система. Задание по безопасности.
  • 24.
    ЗАДАНИЕ ПО БЕЗОПАСНОСТИ Разработка(проектирование) СЗИ  Автоматизированная информационная система. Задание по безопасности. Документы в дополнительных материалах
  • 25.
    КОМПЛЕКТ ДОКУМЕНТОВ В СООТВЕТСТВИИС УГО Внедрение (создание) СЗИ  Базовый проект.  Использование системы управления конфигурацией.  Описание архитектуры безопасности.  Анализ уязвимостей.  Подготовительные процедуры.  Покрытие управлением конфигурации частей объекта оценки.  Процедуры поставки.  Руководство пользователя.  Функциональная спецификация реализации безопасности. Документы в дополнительных материалах
  • 26.
    ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯ Разработка(проектирование) СЗИ Разработку системы ЗИ АСЗИ организует заказчик, проводит разработчик в соответствии с ТЗ на создание системы ЗИ АС на следующих стадиях создания АС, определенных ГОСТ 34.601:  Эскизный проект;  Технический проект;  Рабочая документация. Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Разработка (проектирование) СЗИ Разработка (проектирование) СЗИ Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Формирование требований к СЗИ ПРОЕКТИРОВАНИЕ СЗИ
  • 27.
    ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯ Разработка(проектирование) СЗИ  Система защиты информации. Эскизный проект.  Система защиты информации. Технический проект.  Система защиты информации. Рабочая документация. Документы в дополнительных материалах
  • 28.
    ВНЕДРЕНИЕ СЗИ Этапы работ Установка и настройка СЗИ;  Разработка организационно-распорядительных документов, определяющих мероприятия по ЗИ в ходе эксплуатации АС:  Предварительные испытания системы ЗИ АС;  Опытная эксплуатацию и доработка системы ЗИ АС,  Приемочные испытания системы ЗИ АС;  Аттестация СЗИ на соответствие требованиям безопасности информации. Внедрение системы ЗИ АС организует заказчик, проводит разработчик в соответствии с законодательством Республики Беларусь об информации, информатизации и защите информации и рабочей документацией на систему ЗИ АС на стадии «Ввод в действие», определенной ГОСТ 34.601. Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Внедрение СЗИ. СОЗДАНИЕ СЗИ.
  • 29.
    ПОЛИТИКА ИБ (содержание) ПриказОАЦ №62 от 30 августа 2013 г. Политика ИБ должна содержать:  цели создания СЗИ;  перечень субъектов и объектов ИС, сведения о их размещении и взаимодействии;  способы разграничения доступа субъектов к объектам ИС;  права и обязанности субъектов ИС;  порядок взаимодействия с иными ИС (в случае предполагаемого взаимодействия);  перечень организационных мер, направленных на реализацию требований по созданию СЗИ;  порядок действий при возникновении угроз, и при ликвидации их последствий.
  • 30.
    ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Внедрение (создание)СЗИ  Автоматизированная информационная система. Система защиты информации. Политика информационной безопасности. Документ в дополнительных материалах
  • 31.
    ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ Внедрение(создание) СЗИ  Регламент использования объектов информационной системы и их управления (администрирования).  Регламент резервирования и уничтожения информации.  Регламент защиты от вредоносного программного обеспечения.  Порядок выявления угроз, которые могут привести к сбоям, нарушению функционирования информационной системы.  Порядок реагирования на инциденты информационной безопасности.  Порядок контроля (мониторинга) за функционированием информационной системы. внедрение организационных мер по защите информации Документы в дополнительных материалах
  • 32.
    ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ СозданиеСЗИ (Приказ ОАЦ №62) Функции Должностные лица и подразделения Должность 1 Должность 2 Должность 3 Функция №1 О И Функция №2 Р И И Функция № N Обозначения: О – ответственный за выполнение; У – участвует в выполнении; И – информируется Р – принимает решение, утверждает.
  • 33.
    ДОВЕДЕНИЕ ЛНПА Создание СЗИ(Приказ ОАЦ №62)  Лист ознакомления (отдельный для каждого ЛНПА  Журнал инструктажей
  • 34.
    ОПЫТНАЯ ЭКСПЛУАТАЦИЯ Внедрение (создание)СЗИ  Журнал опытной эксплуатации.  План-график устранения недостатков по результатам опытной эксплуатации (при необходимости).  Документ «Тестирование». Документы в дополнительных материалах
  • 35.
    ПРИЕМОЧНЫЕ ИСПЫТАНИЯ СЗИ Внедрение(создание) СЗИ  Программа и методика приемочных испытаний.  Протокол приемочных испытаний.  Акт приемочных испытаний. Документы в дополнительных материалах
  • 36.
    АТТЕСТАЦИЯ СЗИ  анализисходных данных;  разработка программы аттестации;  предварительное ознакомление с ИС и СЗИ;  проведение обследования ИС и СЗИ;  проверка правильности отнесения ИС к классу тип. ОИ, выбора и СрЗИ;  анализ орг.структуры, состава и структуры комплекса ТС и ПО ИС, информационных потоков, состава и структуры комплекса ТС и ПО СЗИ;  анализ разработанной документации и ее соответствие требованиям законодательства;  проверку подготовки кадров и распределения ответственности персонала за организацию и обеспечение ИБ;  проведение испытаний СЗИ на предмет выполнения установленных требований безопасности;  оформление протоколов испытаний и заключения по результатам проверок;  оформление аттестата соответствия. Приказ ОАЦ №62 от 30 августа 2013 г. Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Аттестация СЗИ. АТТЕСТАЦИЯ СЗИ.
  • 37.
    СОПРОВОЖДЕНИЕ СЗИ Содержание работ(ГОСТ)  Сопровождение системы ЗИ в ходе эксплуатации АС организует заказчик (оператор), проводит разработчик в соответствии с проектными решениями, рабочей документацией на систему ЗИ АС, организационно- распорядительными документами по ЗИ.  Сопровождение системы ЗИ в ходе эксплуатации АС заключается в выполнении работ относительно системы ЗИ АС в соответствии с гарантийными обязательствами и по послегарантийному обслуживанию, которые осуществляются на стадии «Сопровождение АС», определенной ГОСТ 34.601. Формирование требований Разработка концепции Техническое задание Сопровождение Вывод из эксплуатации Эскизный проект Технических проектРабочая документацияВвод в действие Сопровождение СЗИ ЭКСПЛУАТАЦИЯ СЗИ.
  • 38.
    ЭКСПЛУАТАЦИЯ СЗИ В процессе эксплуатации аттестованной СЗИ осуществляются: контрольза соблюдением требований, установленных в НПА,ТНПА, ЛНПА; контроль за порядком использования объектов ИС; мониторинг функционирования СЗИ; выявление угроз, которые могут привести к сбоям, нарушению функционирования ИС; резервное копирование информации, содержащейся в ИС; обучение (повышение квалификации) субъектов ИС. Приказ ОАЦ №62 от 30 августа 2013 г.
  • 39.
    ЭКСПЛУАТАЦИЯ СЗИ В случаепрекращения эксплуатации ИС собственник (владелец) ИС принимает меры по: • ЗИ, содержащейся в ИС; • резервному копированию информации (при необходимости), обеспечению ее конфиденциальности и целостности; • уничтожению (удалению) данных с машинных носителей информации и (или) уничтожению таких носителей информации. Приказ ОАЦ №62 от 30 августа 2013 г.
  • 40.
    ЭКСПЛУАТАЦИЯ СЗИ Модернизация действующих систем защитыинформации осуществляется в порядке, установленном настоящим Положением для создания этих систем. Уничтожение (удаление) данных с машинных носителей информации производится при необходимости передачи машинного носителя информации лицам, не являющимся субъектами информационной системы, в том числе для ремонта, технического обслуживания. Приказ ОАЦ №62 от 30 августа 2013 г.
  • 41.
    ул. Мележа, 5/2,офис 1103 220113, г. Минск, Беларусь +375 17 2161866, educ@softline.by Спасибо за внимание! Учебный центр Softline http://edu.softline.by