Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...ActiveCloud
Вячеслав Аксёнов
архитектор систем информационной безопасности управления разработки и внедрения облачных решений компании ActiveCloud
Использование технологий облачных вычислений в сфере государственных услуг становится тенденцией во всем мире. Более двадцати европейских стран используют или планируют использовать технологии облачных вычислений в государственном секторе.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Cisco Russia
Необходимость в межсетевых экранах нового поколения (NGFWs), ориентированных на защиту от угроз
и способных эффективно снизить риски, что не под силу традиционным унифицированным системам предотвращения угроз (UTM) и отдельным специализированным решениям, подтверждена многочисленными исследованиями, в том числе и исследованиями компании Cisco — каждая организация должна понимать, что она может стать целью атаки хакеров. Специалисты Cisco по исследованию угроз обнаружили вредоносный трафик в 100 % корпоративных сетей, участвующих в проверке, что говорит о том, что злоумышленники часто проникали в эти сети и, возможно, оставались незамеченными на протяжении продолжительного периода времени.
Совокупность последних положений регуляторов предполагает построение замкнутого и адаптивного комплекса требований, создающего предпосылки для построения систем со "встроенной безопасностью", что является необходимым условием обеспечения ИБ современных информационных систем.
Действительно комплексный подход к защите АСУ ТПDialogueScience
В рамках вебинара «Действительно комплексный подход к защите АСУ ТП», докладчик расскажет об основных отличиях процесса обеспечении информационной безопасности (ИБ) в АСУ ТП от аналогичного в «классических ИТ-системах», а также о том, на что эти отличия влияют. На примерах будут продемонстрированы ситуации, когда средства защиты информации (СЗИ) и технические меры защиты информации неэффективны без организации процесса ИБ и даны пояснения, какие процессы безопасности необходимо выстроить на объекте. Докладчик расскажет о том, что такое комплексный подход к защите АСУ ТП, как проводится исследование и сегментирование распределенных АСУ ТП, оценка рисков и моделирование угроз при формировании требований по защите, даст рекомендации о том, как можно повысить уровень защищенности без реализации дорогостоящих технических решений. Также на вебинаре будут рассмотрены некоторые основные имеющиеся на рынке средства защиты и технические решения, которые можно применить для защиты АСУ ТП.
Спикер:
Дмитрий Ярушевский
CISA, CISM,
руководитель отдела кибербезопасности АСУ ТП ЗАО «ДиалогНаука».
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...ActiveCloud
Вячеслав Аксёнов
архитектор систем информационной безопасности управления разработки и внедрения облачных решений компании ActiveCloud
Использование технологий облачных вычислений в сфере государственных услуг становится тенденцией во всем мире. Более двадцати европейских стран используют или планируют использовать технологии облачных вычислений в государственном секторе.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Cisco Russia
Необходимость в межсетевых экранах нового поколения (NGFWs), ориентированных на защиту от угроз
и способных эффективно снизить риски, что не под силу традиционным унифицированным системам предотвращения угроз (UTM) и отдельным специализированным решениям, подтверждена многочисленными исследованиями, в том числе и исследованиями компании Cisco — каждая организация должна понимать, что она может стать целью атаки хакеров. Специалисты Cisco по исследованию угроз обнаружили вредоносный трафик в 100 % корпоративных сетей, участвующих в проверке, что говорит о том, что злоумышленники часто проникали в эти сети и, возможно, оставались незамеченными на протяжении продолжительного периода времени.
Совокупность последних положений регуляторов предполагает построение замкнутого и адаптивного комплекса требований, создающего предпосылки для построения систем со "встроенной безопасностью", что является необходимым условием обеспечения ИБ современных информационных систем.
Действительно комплексный подход к защите АСУ ТПDialogueScience
В рамках вебинара «Действительно комплексный подход к защите АСУ ТП», докладчик расскажет об основных отличиях процесса обеспечении информационной безопасности (ИБ) в АСУ ТП от аналогичного в «классических ИТ-системах», а также о том, на что эти отличия влияют. На примерах будут продемонстрированы ситуации, когда средства защиты информации (СЗИ) и технические меры защиты информации неэффективны без организации процесса ИБ и даны пояснения, какие процессы безопасности необходимо выстроить на объекте. Докладчик расскажет о том, что такое комплексный подход к защите АСУ ТП, как проводится исследование и сегментирование распределенных АСУ ТП, оценка рисков и моделирование угроз при формировании требований по защите, даст рекомендации о том, как можно повысить уровень защищенности без реализации дорогостоящих технических решений. Также на вебинаре будут рассмотрены некоторые основные имеющиеся на рынке средства защиты и технические решения, которые можно применить для защиты АСУ ТП.
Спикер:
Дмитрий Ярушевский
CISA, CISM,
руководитель отдела кибербезопасности АСУ ТП ЗАО «ДиалогНаука».
Стадии жизненного цикла информационных систем и выполнение требований законод...ActiveCloud
Рассмотрены требования законодательства Республики Беларусь и положения стандартов, устанавливающие содержание и порядок выполнение работ по защите информации на стадиях жизненного цикла информационных систем (формирование требований, разработка (проектирование), внедрение, ввод в действие, эксплуатация). Также в докладе будет представлен обзор практических рекомендаций известных международных организаций (NIST, SANS Institute, CSA, ENISA), связанных с внедрением систем/подсистем защиты информации (в том числе в виртуальных и облачных средах) и процессов (функций) обеспечения информационной безопасности.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.Yuri Bubnov
Структура метода системной инженерии безопасности объектов недвижимости и бизнес-процессов, основанного на международных стандартах ISO 24744, ISO 31000, ISO 22301, Archimate, OMG Essence и работах видных зарубежных учёных Nancy Leveson (MIT), Donald Firesmith (SEI).
Решения Cisco по защите автоматизированных систем управления технологическими...Cisco Russia
Сегодня, в условиях поголовной информатизации всех сфер жизни, как никогда остро встает задача обеспечения информационной безопасности критически важных объектов (КВО), ответственных за функционирование различных систем жизнеобеспечения, финансового управления, транспорта, ЖКХ, энергетики и т.п. Но если раньше такие системы создавались изолированными от Интернет и на базе проприетарных протоколов и технологий, то сейчас ситуация совершенно иная. Бизнес-необходимость требует унификации и стандартизации используемых решений, что и обуславливает массовый переход на новые поколения индустриальных сетей, использующих протокол IP, универсальные операционные системы, подключение к Интернет и т.п. Собранная за последние годы статистика уязвимостей и инцидентов в таких сетях показывает, что число проблем постоянно нарастает. Все это приводит к необходимости пересмотра подходов к защите критических важных объектов и функционирующих на них автоматизированных системах управления технологическими процессами (АСУ ТП).
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Вячеслав Аксёнов
В книгу включены презентации, материалы для практических занятий, примеры и формы документов моего авторского курса «Оценка и управления рисками информационной безопасности», который преподается с 2017 года
Краткая презентация первого модуля авторского курса «Разработка, внедрение и аудит системы менеджмента информационной безопасности в соответствии с требованиями ISO/IEC 27001» https://edu.softline.by/courses/isms.html
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
Требования законодательства по защите персональных данных в Беларуси и их взаимосвязь. С гиперссылками на тексты нормативных правовых актов.
+ Добавлен раздел про ответственность за нарушения законодательства.
Legislation and Responsibility (VMUG #7 Belarus)Вячеслав Аксёнов
Дополнительные материалы к докладу на конференции «VMUG #7 Belarus».
Требования НПА и ТНПА Республики Беларусь в области информационной безопасности.
Уголовная и административная ответственность за нарушения в области защиты информации.
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
2. ПРЕПОДАВАТЕЛЬ
Вячеслав Аксёнов
специалист по информационной безопасности
itsec.by
Кратко о себе:
Опыт работы в сфере информационной безопасности более 10 лет, в качестве
архитектора и консультанта, в проектах по созданию систем защиты
информации в соответствии с требованиями законодательства. Преподаватель
авторских курсов по информационной безопасности.
Образование: радиоинженер-педагог + магистратура и аспирантура по
направлению информационная безопасность.
Сфера интересов: технологии облачных вычислений, гособлака,
проектирование и внедрение систем защиты информации.
Подробнее: http://www.linkedin.com/pub/viacheslav-aksionov/50/b91/65/en
3. День 1:
Требования
законодательства об
информации,
информатизации и защите
информации.
Технические нормативные
правовые акты в области
информационной
безопасности
ПРОГРАММА КУРСА
3/91
День 2:
Стадии создания автоматизированных (информационных) систем
Стадии создания автоматизированных (информационных) систем
в защищенном исполнении
Проектирование АС (ИС) в защищенном исполнении (Проект)
Создание АС (ИС) в защищенном исполнении (Проект)
Аттестация системы защиты информации и ввод в действие АС
(ИС) (Проект)
Эксплуатация (сопровождение) АС (ИС) (Проект)
+ НПА (advanced)
День 3:
Требования к мерам защиты информации, обрабатываемой в АС (ИС)
+ Защита среды виртуализации (advanced)
Практическая (Проект создания АИС в защищенном исполнении)
4. бонус
Проект .mpp
Трудозатраты .xlsx + .mpp
Матрица ответственности .xlsx
ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ
4/x
6. НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
6/91
1. Конституция
2. Указы/Декреты Президента
3. Кодексы
4. Законы
5. Постановления Совета
Министров
6. Приказы ОАЦ
Закон Республики Беларусь
от 10 января 2000 г. №361-З
«О нормативных правовых
актах Республики Беларусь»
Статья 10
Иерархия
7. ТНПА РБ
(> 100)
Методы и
средства
безопасности
Требования и
средства защиты
информации от НСД
Защита
информации
Системы менеджмента
информационной
безопасности
Критерии оценки
безопасности ИТ
Обеспечение информационной
безопасности банков
КВОИ
Информационные технологии
Информационные технологии и безопасность
8. ГОСТ ISO 19011-2013
УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА
PLAN
Роли,
ответственность,
компетентность.
Объем
программы
Риски
программы
Процедуры
Ресурсы
Установление целей
программы аудита
Установление
программы аудита
DO
Цель, область
применения, критерии
для каждого аудита.
Выбор методов аудита
Назначение
руководителя команды
по аудиту
(ответственный)
Менеджмент выходных
данных
Менеджмент записей
Внедрение программы аудита
CHECK
Мониторинг
программы аудита
ACT
Анализ и улучшение
программы аудита
Компетентность
и оценивание
аудиторов
Проведение
аудита
9. Стадии создания систем
ГОСТ 34.601-90
Информационная
технология. Комплекс
стандартов на
автоматизированные
системы.
Автоматизированные
системы. Стадии создания
Формирование
требований
Разработка концепции Техническое задание
Сопровождение Вывод из эксплуатации Эскизный проект
Технических проектРабочая документацияВвод в действие
ГОСТ Р 51583-2014
ISO/IEC/IEEE 15288:2015
ГОСТ Р ИСО/МЭК 15288-2005
10. Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62
Жизненный цикл СЗИ
Проектирование СЗИ
Формирование
требований к СЗИ
Формирование
требований к ИС
Разработка концепции
АС
Техническое задание
Создание СЗИ
Разработка задания по безопасности
Проектирование
(разработка) СЗИ
Эскизный проект
Технический проект
Рабочая документация
Внедрение СЗИ (без аттестации)
Ввод в действие ИС
(без приемки в промышленную
эксплуатацию)
Аттестация СЗИ
Эксплуатация СЗИ
Выводизэксплуатации
Сопровождение СЗИ
Сопровождение ИС
ГОСТ 34.601-90
11. ФОРМИРОВАНИЕ ТРЕБОВАНИЙ К СЗИ
Этапы работ
Формирование требований к системе ЗИ АС осуществляется на следующих
стадиях создания АСЗИ, определенных ГОСТ 34.601:
«Формирование требований к АС»;
«Разработка концепции АС»;
«Техническое задание».
Формирование
требований
Разработка концепции Техническое задание
Сопровождение Вывод из эксплуатации Эскизный проект
Технических проектРабочая документацияВвод в действие
Формирование требований к СЗИ
Разработка (проектирование) СЗИ
Формирование
требований
Разработка концепции Техническое задание
Сопровождение Вывод из эксплуатации Эскизный проект
Технических проектРабочая документацияВвод в действие
Формирование требований к СЗИ
ПРОЕКТИРОВАНИЕ СЗИ
12. АНАЛИЗ ИС
Проектирование СЗИ (Приказ ОАЦ №62)
Архитектура
Подсистемы
Состав ТС и ПО
Схемы
анализ организационной структуры информационной
системы и информационных потоков в целях
определения состава (количества) и мест размещения
элементов системы (аппаратных и программных), ее
физических и логических границ
13. ОБСЛЕДОВАНИЕ ИС (СЗИ ИС)
Формирование требований к СЗИ
Чек-листы
Анкеты-опросники
Отчет по результатам обследования
14. Проектирование СЗИ
КЛАССИФИКАЦИЯ ОБЪЕКТОВ
ИНФОРМАТИЗАЦИИ
Одна
контролируемая
зона (КЗ)
Несколько КЗ +
соединение
каналами
передачи
Каналы
передачи
выходят за
пределы КЗ
Общедоступная информация А3 Б3 В3
Информация, распространение и (или)
предоставление которой ограничено А2 Б2 В2
Государственные секреты А1 Б1
СТБ 34.101.30-2007
15. КЛАССИФИКАЦИЯ ИС
Проектирование СЗИ (Приказ ОАЦ №62)
Протокол и Акт
присвоение информационной системе класса типового объекта
информатизации в порядке, установленном СТБ 34.101.30-2007
«Информационные технологии. Методы и средства
безопасности. Объекты информатизации. Классификация»
Документ в дополнительных материалах
16. Проектирование СЗИ
Определение перечня защищаемых
активов*
Конфиденциаль
ность
Целостность Доступность Подлинность Сохранность
Линии связи / СПД
Аппаратное обеспечение
Программное обеспечение
. . . . . . . . . ? ? ? ? ?
Данные
* Матрица требований, предъявляемых к защищаемым активам (пример формы представления)
19. Проектирование СЗИ (Приказ ОАЦ №62)
ТЗ vs ЗБ
ГОСТ 34.602-89 СТБ 34.101.1-2014 СТБ 34.101.2-2014 СТБ 34.101.3-2014
Техническое задание на создание СЗИ
1. Общие сведения
2. Назначение и цели
создания СЗИ
3. Характеристика
объекта защиты
4. Требования к СЗИ
5. Состав и
содержание работ по
созданию СЗИ
6. Порядок контроля и
приемки
7. Требования к
составу и содержанию
работ по подготовке к
вводу СЗИ в действие
8. Требования к
документированию
9. Источники
разработки
10. Перечень принятых
сокращений
Задание по безопасности на ИС
1. Введение в
описание ЗБ
2. Описание объекта
3. Среда безопасности
объекта
4. Задачи
безопасности
5. Требования
безопасности
Для объекта
Функциональные
Гарантийные
Для среды
6. Общая
спецификация
8. Обоснование
7. Требования
соответствия ПЗ
?
?
?
20. ЗАДАНИЕ ПО БЕЗОПАСНОСТИ
Разработка (проектирование) СЗИ
СТБ 34.101.1-2014 "Информационные технологии и безопасность.
Критерии оценки безопасности информационных технологий. Часть 1.
Введение и общая модель"
СТБ 34.101.2-2014 "Информационные технологии и безопасность. Критерии
оценки безопасности информационных технологий. Часть 2. Функциональные
требования безопасности"
СТБ 34.101.3-2014 "Информационные технологии и безопасность. Критерии
оценки безопасности информационных технологий. Часть 3. Гарантийные
требования безопасности»
21. ЗАДАНИЕ ПО БЕЗОПАСНОСТИ
Разработка (проектирование) СЗИ
Определение
среды
безопасности
Формулирование
задач
безопасности
Формулирование
требований
безопасности
Формулирование
спецификаций
безопасности
22. ЗАДАНИЕ ПО БЕЗОПАСНОСТИ
Разработка (проектирование) СЗИ
Определение
среды
безопасности
• Физическая среда
• Активы
• Назначение
Формулирование
задач
безопасности
• Предположения
• Угрозы безопасности
• Политика безопасности
Формулирование
требований
безопасности
• Функциональные требования
• Гарантийные требования
• Требования к среде безопасности
Формулирование спецификаций
23. РАЗРАБОТКА ЗАДАНИЯ ПО БЕЗОПАСНОСТИ
Разработка (проектирование) СЗИ
Автоматизированная информационная система.
Задание по безопасности.
24. ЗАДАНИЕ ПО БЕЗОПАСНОСТИ
Разработка (проектирование) СЗИ
Автоматизированная информационная система.
Задание по безопасности.
Документы в дополнительных материалах
25. КОМПЛЕКТ ДОКУМЕНТОВ В
СООТВЕТСТВИИ С УГО
Внедрение (создание) СЗИ
Базовый проект.
Использование системы управления
конфигурацией.
Описание архитектуры безопасности.
Анализ уязвимостей.
Подготовительные процедуры.
Покрытие управлением конфигурации
частей объекта оценки.
Процедуры поставки.
Руководство пользователя.
Функциональная спецификация
реализации безопасности.
Документы в дополнительных материалах
26. ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯ
Разработка (проектирование) СЗИ
Разработку системы ЗИ АСЗИ организует заказчик, проводит разработчик в
соответствии с ТЗ на создание системы ЗИ АС на следующих стадиях создания
АС, определенных ГОСТ 34.601:
Эскизный проект;
Технический проект;
Рабочая документация.
Формирование
требований
Разработка концепции Техническое задание
Сопровождение Вывод из эксплуатации Эскизный проект
Технических проектРабочая документацияВвод в действие
Разработка (проектирование) СЗИ
Разработка (проектирование) СЗИ
Формирование
требований
Разработка концепции Техническое задание
Сопровождение Вывод из эксплуатации Эскизный проект
Технических проектРабочая документацияВвод в действие
Формирование требований к СЗИ
ПРОЕКТИРОВАНИЕ СЗИ
27. ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯ
Разработка (проектирование) СЗИ
Система защиты информации. Эскизный проект.
Система защиты информации. Технический проект.
Система защиты информации. Рабочая документация.
Документы в дополнительных материалах
28. ВНЕДРЕНИЕ СЗИ
Этапы работ
Установка и настройка СЗИ;
Разработка организационно-распорядительных документов, определяющих
мероприятия по ЗИ в ходе эксплуатации АС:
Предварительные испытания системы ЗИ АС;
Опытная эксплуатацию и доработка системы ЗИ АС,
Приемочные испытания системы ЗИ АС;
Аттестация СЗИ на соответствие требованиям безопасности информации.
Внедрение системы ЗИ АС организует заказчик, проводит разработчик в
соответствии с законодательством Республики Беларусь об информации,
информатизации и защите информации и рабочей документацией на систему ЗИ
АС на стадии «Ввод в действие», определенной ГОСТ 34.601.
Формирование
требований
Разработка концепции Техническое задание
Сопровождение Вывод из эксплуатации Эскизный проект
Технических проектРабочая документацияВвод в действие
Внедрение СЗИ.
СОЗДАНИЕ СЗИ.
29. ПОЛИТИКА ИБ (содержание)
Приказ ОАЦ №62 от 30 августа 2013 г.
Политика ИБ должна содержать:
цели создания СЗИ;
перечень субъектов и объектов ИС, сведения о их размещении и
взаимодействии;
способы разграничения доступа субъектов к объектам ИС;
права и обязанности субъектов ИС;
порядок взаимодействия с иными ИС (в случае предполагаемого
взаимодействия);
перечень организационных мер, направленных на реализацию требований по
созданию СЗИ;
порядок действий при возникновении угроз, и при ликвидации их последствий.
31. ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ
Внедрение (создание) СЗИ
Регламент использования объектов информационной системы и их управления
(администрирования).
Регламент резервирования и уничтожения информации.
Регламент защиты от вредоносного программного обеспечения.
Порядок выявления угроз, которые могут
привести к сбоям, нарушению
функционирования информационной системы.
Порядок реагирования на инциденты
информационной безопасности.
Порядок контроля (мониторинга) за
функционированием информационной
системы.
внедрение организационных мер
по защите информации
Документы в дополнительных материалах
32. ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ
Создание СЗИ (Приказ ОАЦ №62)
Функции
Должностные лица и подразделения
Должность 1 Должность 2 Должность 3
Функция №1 О И
Функция №2 Р И И
Функция № N
Обозначения: О – ответственный за выполнение;
У – участвует в выполнении;
И – информируется
Р – принимает решение, утверждает.
33. ДОВЕДЕНИЕ ЛНПА
Создание СЗИ (Приказ ОАЦ №62)
Лист ознакомления (отдельный для каждого ЛНПА
Журнал инструктажей
34. ОПЫТНАЯ ЭКСПЛУАТАЦИЯ
Внедрение (создание) СЗИ
Журнал опытной эксплуатации.
План-график устранения недостатков по
результатам опытной эксплуатации (при
необходимости).
Документ «Тестирование».
Документы в дополнительных материалах
35. ПРИЕМОЧНЫЕ ИСПЫТАНИЯ СЗИ
Внедрение (создание) СЗИ
Программа и методика приемочных испытаний.
Протокол приемочных испытаний.
Акт приемочных испытаний.
Документы в дополнительных материалах
36. АТТЕСТАЦИЯ СЗИ
анализ исходных данных;
разработка программы аттестации;
предварительное ознакомление с ИС и СЗИ;
проведение обследования ИС и СЗИ;
проверка правильности отнесения ИС к классу тип. ОИ, выбора и СрЗИ;
анализ орг.структуры, состава и структуры комплекса ТС и ПО ИС, информационных потоков,
состава и структуры комплекса ТС и ПО СЗИ;
анализ разработанной документации и ее соответствие требованиям законодательства;
проверку подготовки кадров и распределения ответственности персонала за организацию и
обеспечение ИБ;
проведение испытаний СЗИ на предмет выполнения установленных требований безопасности;
оформление протоколов испытаний и заключения по результатам проверок;
оформление аттестата соответствия.
Приказ ОАЦ №62 от 30 августа 2013 г.
Формирование
требований
Разработка концепции Техническое задание
Сопровождение Вывод из эксплуатации Эскизный проект
Технических проектРабочая документацияВвод в действие
Аттестация СЗИ.
АТТЕСТАЦИЯ СЗИ.
37. СОПРОВОЖДЕНИЕ СЗИ
Содержание работ (ГОСТ)
Сопровождение системы ЗИ в ходе эксплуатации АС организует заказчик
(оператор), проводит разработчик в соответствии с проектными решениями,
рабочей документацией на систему ЗИ АС, организационно-
распорядительными документами по ЗИ.
Сопровождение системы ЗИ в ходе эксплуатации АС заключается в
выполнении работ относительно системы ЗИ АС в соответствии с
гарантийными обязательствами и по послегарантийному обслуживанию,
которые осуществляются на стадии «Сопровождение АС», определенной ГОСТ
34.601.
Формирование
требований
Разработка концепции Техническое задание
Сопровождение Вывод из эксплуатации Эскизный проект
Технических проектРабочая документацияВвод в действие
Сопровождение СЗИ
ЭКСПЛУАТАЦИЯ СЗИ.
38. ЭКСПЛУАТАЦИЯ СЗИ
В процессе
эксплуатации
аттестованной
СЗИ
осуществляются:
контроль за соблюдением требований, установленных в НПА,ТНПА, ЛНПА;
контроль за порядком использования объектов ИС;
мониторинг функционирования СЗИ;
выявление угроз, которые могут привести к сбоям, нарушению
функционирования ИС;
резервное копирование информации, содержащейся в ИС;
обучение (повышение квалификации) субъектов ИС.
Приказ ОАЦ №62 от 30 августа 2013 г.
39. ЭКСПЛУАТАЦИЯ СЗИ
В случае прекращения эксплуатации ИС собственник
(владелец) ИС принимает меры по:
• ЗИ, содержащейся в ИС;
• резервному копированию информации (при необходимости),
обеспечению ее конфиденциальности и целостности;
• уничтожению (удалению) данных с машинных носителей
информации и (или) уничтожению таких носителей информации.
Приказ ОАЦ №62 от 30 августа 2013 г.
40. ЭКСПЛУАТАЦИЯ СЗИ
Модернизация
действующих систем
защиты информации
осуществляется в
порядке, установленном
настоящим Положением
для создания этих
систем.
Уничтожение (удаление) данных с
машинных носителей информации
производится при необходимости
передачи машинного носителя
информации лицам, не являющимся
субъектами информационной
системы, в том числе для ремонта,
технического обслуживания.
Приказ ОАЦ №62 от 30 августа 2013 г.
41. ул. Мележа, 5/2, офис 1103
220113, г. Минск, Беларусь
+375 17 2161866, educ@softline.by
Спасибо за внимание!
Учебный центр Softline
http://edu.softline.by