Предложение на проведение аудита ИБ АСУ ТПКомпания УЦСБ
Технико-коммерческое предложение на проведение работ по аудиту информационной безопасности автоматизированных систем управления технологическими процессами (АСУ ТП).
Аудит информационной безопасности АСУ ТПКомпания УЦСБ
Презентация с совместного мастер-класса на CISO FORUM 2016 Романа Попова, начальника отдела по информационной безопасности, Э.ОН Россия и Антона Ёркина, руководителя аналитического направления УЦСБ.
В ходе мастер-класса был рассмотрен практический опыт проведения аудита ИБ АСУ ТП в реальной российской электростанции, освещены следующие вопросы:
• Как запустить проект по аудиту ИБ АСУ ТП?
• В чём основные отличия аудита ИБ АСУ ТП от аудита ИБ корпоративных систем?
• Каковы роль и место разработчиков АСУ ТП в аудите ИБ?
• Как корректно интерпретировать результаты аудита ИБ и какие шаги предпринять по его завершению?
Действительно комплексный подход к защите АСУ ТПDialogueScience
В рамках вебинара «Действительно комплексный подход к защите АСУ ТП», докладчик расскажет об основных отличиях процесса обеспечении информационной безопасности (ИБ) в АСУ ТП от аналогичного в «классических ИТ-системах», а также о том, на что эти отличия влияют. На примерах будут продемонстрированы ситуации, когда средства защиты информации (СЗИ) и технические меры защиты информации неэффективны без организации процесса ИБ и даны пояснения, какие процессы безопасности необходимо выстроить на объекте. Докладчик расскажет о том, что такое комплексный подход к защите АСУ ТП, как проводится исследование и сегментирование распределенных АСУ ТП, оценка рисков и моделирование угроз при формировании требований по защите, даст рекомендации о том, как можно повысить уровень защищенности без реализации дорогостоящих технических решений. Также на вебинаре будут рассмотрены некоторые основные имеющиеся на рынке средства защиты и технические решения, которые можно применить для защиты АСУ ТП.
Спикер:
Дмитрий Ярушевский
CISA, CISM,
руководитель отдела кибербезопасности АСУ ТП ЗАО «ДиалогНаука».
Автоматизированный комплекс для содержания под стражейMax Timagin
АКСС-1 - многоуровневый, многокомпонентный комплекс/совокупность аппаратно-программных средств, работающих в режиме реального времени.
Предназначен для автоматического определения фактов нарушения правил внутреннего распорядка, оповещения об этом дежурных служб и возможного предотвращения, устранения или ликвидации этих фактов с помощью интеллектуальной электрошоковой защиты.
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...Компания УЦСБ
Презентация с вебинара, посвящённого обзору практики аудитов информационной безопасности промышленных систем автоматизации и управления, проводимых компанией УЦСБ. Рассмотрены особенности и нюансы основных этапов - подготовка технического задания на проведение аудита, сбор, обработка и анализ информации в ходе самого аудита, а также визуализация и представление итоговых результатов.
Дата вебинара 19 ноября 2015 года.
Запись доступна на канале YouTube: https://youtu.be/XwKqgOcLhYA
Докладчик: Алексей Комаров
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании InfoWatch к вопросам кибербезопасности АСУ ТП. Представлены основные решения InfoWatch для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
Запись: https://goo.gl/WWCnVh
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании Cisco к вопросам кибербезопасности АСУ ТП. Представлены основные решения Cisco для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
Предложение на проведение аудита ИБ АСУ ТПКомпания УЦСБ
Технико-коммерческое предложение на проведение работ по аудиту информационной безопасности автоматизированных систем управления технологическими процессами (АСУ ТП).
Аудит информационной безопасности АСУ ТПКомпания УЦСБ
Презентация с совместного мастер-класса на CISO FORUM 2016 Романа Попова, начальника отдела по информационной безопасности, Э.ОН Россия и Антона Ёркина, руководителя аналитического направления УЦСБ.
В ходе мастер-класса был рассмотрен практический опыт проведения аудита ИБ АСУ ТП в реальной российской электростанции, освещены следующие вопросы:
• Как запустить проект по аудиту ИБ АСУ ТП?
• В чём основные отличия аудита ИБ АСУ ТП от аудита ИБ корпоративных систем?
• Каковы роль и место разработчиков АСУ ТП в аудите ИБ?
• Как корректно интерпретировать результаты аудита ИБ и какие шаги предпринять по его завершению?
Действительно комплексный подход к защите АСУ ТПDialogueScience
В рамках вебинара «Действительно комплексный подход к защите АСУ ТП», докладчик расскажет об основных отличиях процесса обеспечении информационной безопасности (ИБ) в АСУ ТП от аналогичного в «классических ИТ-системах», а также о том, на что эти отличия влияют. На примерах будут продемонстрированы ситуации, когда средства защиты информации (СЗИ) и технические меры защиты информации неэффективны без организации процесса ИБ и даны пояснения, какие процессы безопасности необходимо выстроить на объекте. Докладчик расскажет о том, что такое комплексный подход к защите АСУ ТП, как проводится исследование и сегментирование распределенных АСУ ТП, оценка рисков и моделирование угроз при формировании требований по защите, даст рекомендации о том, как можно повысить уровень защищенности без реализации дорогостоящих технических решений. Также на вебинаре будут рассмотрены некоторые основные имеющиеся на рынке средства защиты и технические решения, которые можно применить для защиты АСУ ТП.
Спикер:
Дмитрий Ярушевский
CISA, CISM,
руководитель отдела кибербезопасности АСУ ТП ЗАО «ДиалогНаука».
Автоматизированный комплекс для содержания под стражейMax Timagin
АКСС-1 - многоуровневый, многокомпонентный комплекс/совокупность аппаратно-программных средств, работающих в режиме реального времени.
Предназначен для автоматического определения фактов нарушения правил внутреннего распорядка, оповещения об этом дежурных служб и возможного предотвращения, устранения или ликвидации этих фактов с помощью интеллектуальной электрошоковой защиты.
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...Компания УЦСБ
Презентация с вебинара, посвящённого обзору практики аудитов информационной безопасности промышленных систем автоматизации и управления, проводимых компанией УЦСБ. Рассмотрены особенности и нюансы основных этапов - подготовка технического задания на проведение аудита, сбор, обработка и анализ информации в ходе самого аудита, а также визуализация и представление итоговых результатов.
Дата вебинара 19 ноября 2015 года.
Запись доступна на канале YouTube: https://youtu.be/XwKqgOcLhYA
Докладчик: Алексей Комаров
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании InfoWatch к вопросам кибербезопасности АСУ ТП. Представлены основные решения InfoWatch для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
Запись: https://goo.gl/WWCnVh
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании Cisco к вопросам кибербезопасности АСУ ТП. Представлены основные решения Cisco для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.
ИБ АСУ ТП NON-STOP. Серия 2. Взаимосвязь АСУ ТП с ИТ и основные отличия подхо...Компания УЦСБ
В продолжение первой серии были рассмотрены вопросы взаимосвязи офисных корпоративных сетей и сетей управления технологическими процессами, выделены совпадения и принципиальные отличия с точки зрения обеспечения их информационной безопасности.
Дата вебинара 29 октября 2015 года.
Запись доступна на канале YouTube: https://youtu.be/5YSNolMhEos
Докладчик: Николай Домуховский.
Комплекс оперативного мониторинга и контроля защищенности АСУ ТП.
Комплекс DATAPK обеспечивает оперативный мониторинг и контроль состояния защищенности автоматизированных систем управления технологическими процессами (АСУ ТП).
При разработке комплекса DATAPK использовались передовые исследования в области безопасности АСУ ТП, учитывались тенденции развития АСУ ТП и обширный практический опыт УЦСБ по созданию систем защиты АСУ ТП.
DATAPK разработан спе- циально для АСУ ТП и пред- назначен для:
• выявления несанкциониро- ванных изменений в АСУ ТП;
• выявления незащищенных компонентов АСУ ТП;
• регистрации событий ИБ в АСУ ТП;
• выявления компонентов АСУ ТП, подверженных крити- ческим уязвимостям;
• обнаружения попыток экс- плуатации уязвимостей компо- нентов АСУ ТП до момента их устранения;
• автоматизированного кон- троля выполнения требований ИБ в АСУ ТП
Пять причин провести аудит информационной безопасности АСУ ТП в этом годуAlexey Komarov
Аудит АСУ ТП является первой ступенькой на пути к созданию комплексной системы защиты информации АСУ ТП. Вместе с тем, не для всех владельцев промышленных систем автоматизации очевидна необходимость того, что в этом направлении вообще нужно что-либо предпринимать. В статье рассмотрены основные причины, которые могут стать побудительными для проведения аудита информационной безопасности АСУ ТП.
Специализированные межсетевые экраны для АСУ ТП: нюансы примененияAlexey Komarov
Интерес к теме обеспечения информационной безопасности промышленных объектов в целом и автоматизированных систем управления технологическими процессами (АСУ ТП) в частности не угасает уже несколько лет, скорее, даже нарастая со временем. В России актуальность темы признается на высоком государственном уровне, доказательством чему могут служить принимаемые нормативные документы и ведущиеся общественные дискуссии.
О сертификации ПО по требованиям безопасности информации в системе сертификац...Олег Габов
О сертификации ПО по требованиям безопасности информации в системе сертификации ФСТЭК России
Оглавление
1. Термины и определения 2
2. Нормативная база системы сертификации Федеральной службы по техническому и экспортному контролю России 3
3. Назначение программного обеспечения 4
3.1. Требования безопасности информации для ПО, которое является средством защиты информации 6
3.2. Требования безопасности информации для ПО со встроенными средствами (механизмами) защиты информации 6
3.3. Требования сертификации ПО по уровню контроля отсутствия недекларированных возможностей 7
4. Применение программного обеспечения в составе информационной/автоматизированной системы 7
5. Основные нормативные правовые акты, в которых указано о необходимости проведения сертификации по требованиям безопасности информации 10
Таблица 1 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну 10
Таблица 2 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатывается информация конфиденциального характера 13
Таблица 3 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатываются персональные данные 16
Обеспечение информационной безопасности при эксплуатации АСУ ТПAlexey Komarov
Журнал Защита информации. INSIDE №2’2016.
В статье рассматривается важность роли системы анализа и мониторинга состояния информационной безопасности (САМСИБ) в качестве ключевого элемента комплексной системы обеспечения информационной безопасности (СОИБ) автоматизированной системы управления технологическим процессом (АСУ ТП) на этапе эксплуатации, а также состав и функции такой системы.
Разработка технико-коммерческого предложения по автоматизации региональной се...Anatoly Simkin
Данный учебный проект представлял собой тендерный конкурс по автоматизации предприятия нефтегазовой отрасли, занимающейся сбытом топлива и товаров в сетях АЗК. Проектным командам необходимо было подготовить и сдать в установленный срок тендерное предложение и провести его публичную защиту. В ходе проекта командам предстояло распределить роли, определить план работ, изучить кейс и провести полноценный проект по подготовке ТКП, включая проработку устава проекта, плана по качеству, проведение обследования и подготовку архитектуры и ТЗ. Каждая веха проекта сопровождалась защитой перед научными руководителями. Анатолий выступал в роли системного архитектора и выполнил большую часть технических работ проекта. Команда Анатолия заняла первое место в конкурсе, получила наивысший бал среди всего курса, а также была отмечена дипломом Академии ИБС за лучшее методическое обеспечение и документирование проектной деятельности. Данный учебный проект проводился в магистратуре МФТИ в 2009 году (1-ый год обучения магистратуры).
This case competition project was a tender for the automation of gasoline station for regional petroleum company (downstream). Project teams had to prepare and deliver in allocated time frame the tender offer and spend his public presentation. Project teams had to hand out roles, define a project plan, analyze the case, elaborate the project charter, quality plan, business and product requirements documents, design the enterprise architecture. Supervisors assessed each milestone of the case competition. Anatoly participated in the project as a system architect and had heavy workload. His team took first place in the competition, received the highest score and got award «The best methodological and project documentation».
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
В ходе вебинара была рассмотрена Система анализа и мониторинга состояния информационной безопасности (САМСИБ) АСУ ТП, предпосылки к её внедрению на предприятии, цели создания, принципы построения, архитектура и основные функции САМСИБ.
Дата вебинара 10 декабря 2015 года.
Запись доступна на канале YouTube: https://youtu.be/RowwYe8aFQU
Докладчик: Антон Ёркин
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению решения Efros Config Inspector для обеспечения информационной безопасности промышленных систем управления и автоматизации. Представлены основные функции, возможности и отличительные особенности решения.
Запись: https://goo.gl/dbxbMf
ИБ АСУ ТП NON-STOP. Серия 2. Взаимосвязь АСУ ТП с ИТ и основные отличия подхо...Компания УЦСБ
В продолжение первой серии были рассмотрены вопросы взаимосвязи офисных корпоративных сетей и сетей управления технологическими процессами, выделены совпадения и принципиальные отличия с точки зрения обеспечения их информационной безопасности.
Дата вебинара 29 октября 2015 года.
Запись доступна на канале YouTube: https://youtu.be/5YSNolMhEos
Докладчик: Николай Домуховский.
Комплекс оперативного мониторинга и контроля защищенности АСУ ТП.
Комплекс DATAPK обеспечивает оперативный мониторинг и контроль состояния защищенности автоматизированных систем управления технологическими процессами (АСУ ТП).
При разработке комплекса DATAPK использовались передовые исследования в области безопасности АСУ ТП, учитывались тенденции развития АСУ ТП и обширный практический опыт УЦСБ по созданию систем защиты АСУ ТП.
DATAPK разработан спе- циально для АСУ ТП и пред- назначен для:
• выявления несанкциониро- ванных изменений в АСУ ТП;
• выявления незащищенных компонентов АСУ ТП;
• регистрации событий ИБ в АСУ ТП;
• выявления компонентов АСУ ТП, подверженных крити- ческим уязвимостям;
• обнаружения попыток экс- плуатации уязвимостей компо- нентов АСУ ТП до момента их устранения;
• автоматизированного кон- троля выполнения требований ИБ в АСУ ТП
Пять причин провести аудит информационной безопасности АСУ ТП в этом годуAlexey Komarov
Аудит АСУ ТП является первой ступенькой на пути к созданию комплексной системы защиты информации АСУ ТП. Вместе с тем, не для всех владельцев промышленных систем автоматизации очевидна необходимость того, что в этом направлении вообще нужно что-либо предпринимать. В статье рассмотрены основные причины, которые могут стать побудительными для проведения аудита информационной безопасности АСУ ТП.
Специализированные межсетевые экраны для АСУ ТП: нюансы примененияAlexey Komarov
Интерес к теме обеспечения информационной безопасности промышленных объектов в целом и автоматизированных систем управления технологическими процессами (АСУ ТП) в частности не угасает уже несколько лет, скорее, даже нарастая со временем. В России актуальность темы признается на высоком государственном уровне, доказательством чему могут служить принимаемые нормативные документы и ведущиеся общественные дискуссии.
О сертификации ПО по требованиям безопасности информации в системе сертификац...Олег Габов
О сертификации ПО по требованиям безопасности информации в системе сертификации ФСТЭК России
Оглавление
1. Термины и определения 2
2. Нормативная база системы сертификации Федеральной службы по техническому и экспортному контролю России 3
3. Назначение программного обеспечения 4
3.1. Требования безопасности информации для ПО, которое является средством защиты информации 6
3.2. Требования безопасности информации для ПО со встроенными средствами (механизмами) защиты информации 6
3.3. Требования сертификации ПО по уровню контроля отсутствия недекларированных возможностей 7
4. Применение программного обеспечения в составе информационной/автоматизированной системы 7
5. Основные нормативные правовые акты, в которых указано о необходимости проведения сертификации по требованиям безопасности информации 10
Таблица 1 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну 10
Таблица 2 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатывается информация конфиденциального характера 13
Таблица 3 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатываются персональные данные 16
Обеспечение информационной безопасности при эксплуатации АСУ ТПAlexey Komarov
Журнал Защита информации. INSIDE №2’2016.
В статье рассматривается важность роли системы анализа и мониторинга состояния информационной безопасности (САМСИБ) в качестве ключевого элемента комплексной системы обеспечения информационной безопасности (СОИБ) автоматизированной системы управления технологическим процессом (АСУ ТП) на этапе эксплуатации, а также состав и функции такой системы.
Разработка технико-коммерческого предложения по автоматизации региональной се...Anatoly Simkin
Данный учебный проект представлял собой тендерный конкурс по автоматизации предприятия нефтегазовой отрасли, занимающейся сбытом топлива и товаров в сетях АЗК. Проектным командам необходимо было подготовить и сдать в установленный срок тендерное предложение и провести его публичную защиту. В ходе проекта командам предстояло распределить роли, определить план работ, изучить кейс и провести полноценный проект по подготовке ТКП, включая проработку устава проекта, плана по качеству, проведение обследования и подготовку архитектуры и ТЗ. Каждая веха проекта сопровождалась защитой перед научными руководителями. Анатолий выступал в роли системного архитектора и выполнил большую часть технических работ проекта. Команда Анатолия заняла первое место в конкурсе, получила наивысший бал среди всего курса, а также была отмечена дипломом Академии ИБС за лучшее методическое обеспечение и документирование проектной деятельности. Данный учебный проект проводился в магистратуре МФТИ в 2009 году (1-ый год обучения магистратуры).
This case competition project was a tender for the automation of gasoline station for regional petroleum company (downstream). Project teams had to prepare and deliver in allocated time frame the tender offer and spend his public presentation. Project teams had to hand out roles, define a project plan, analyze the case, elaborate the project charter, quality plan, business and product requirements documents, design the enterprise architecture. Supervisors assessed each milestone of the case competition. Anatoly participated in the project as a system architect and had heavy workload. His team took first place in the competition, received the highest score and got award «The best methodological and project documentation».
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
В ходе вебинара была рассмотрена Система анализа и мониторинга состояния информационной безопасности (САМСИБ) АСУ ТП, предпосылки к её внедрению на предприятии, цели создания, принципы построения, архитектура и основные функции САМСИБ.
Дата вебинара 10 декабря 2015 года.
Запись доступна на канале YouTube: https://youtu.be/RowwYe8aFQU
Докладчик: Антон Ёркин
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Компания УЦСБ
Презентация с вебинара. Вебинар посвящён рассмотрению решения Efros Config Inspector для обеспечения информационной безопасности промышленных систем управления и автоматизации. Представлены основные функции, возможности и отличительные особенности решения.
Запись: https://goo.gl/dbxbMf
1) The document discusses two Android applications - one for a user device and one for a copter device.
2) The applications are needed to remotely control and monitor the copter, including its location, measurements, and communication between devices.
3) Various APIs are used including Android, Twitter, Google Maps, and Excel to enable features like location services, maps, graphs, data storage, and communication.
Решение Tufin Orchestratiorn Suite представляет собой одну из ведущих в мире систем класса Unified Firewalls Management и позволяет управлять процессами предоставления сетевого доступа в организациях.
Продуктовая линейка компании «Код Безопасности» LETA IT-company
Презентация компании «Код Безопасности», проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Снижение рисков и затрат на внедрение защиты информационной системы персональных данных (ИСПДн) путем выноса серверного сегмента в специализированное облако Softline.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Профстандарт "Специалист по информационной безопасности ИКТ систем"Денис Ефремов
Защита инфокоммуникационной системы организации и оконечных устройств сотрудников.
Основная цель вида профессиональной деятельности:
Противодействие вредоносному влиянию программно-технического воздействия на подсистемы, устройства, элементы и каналы инфокоммуникационных систем.
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
В рамках сервиса Cloud-152 мы предоставляем облачную инфраструктуру, построенную в соответствии с требованиями к защите персональных данных ФЗ-152, и оказываем комплексную поддержку при аттестации ваших информационных систем.
1. ГОСУДАРСТВЕННЫЙ СТАНДАРТ
РЕСПУБЛИКИ БЕЛАРУСЬ
СТБ 34.101.10-2004
Информационные технологии
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
Общие требования
Iнфармацыйныя тэхналогii
СРОДКI ЗАСЦЯРОГI IНФАРМАЦЫI
АД НЕСАНКЦЫЯНIРАВАНАГА ДОСТУПУ
Ў АЎТАМАТЫЗАВАНЫХ СIСТЭМАХ
Агульныя патрабаваннi
Издание официальное
Госстандарт
Минск
БЗ1-2004
2. СТБ 34.101.10-2004
II
УДК 004.056.5(083.74) МКС 35.040 (КГС П85)
Ключевые слова: защита информации, доступ несанкционированный, средства защиты
Предисловие
1 РАЗРАБОТАН научно-исследовательским республиканским унитарным предприятием "НИИ средств
автоматизации" (УП "НИИСА")
ВНЕСЕН Министерством промышленности Республики Беларусь
2 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ постановлением Госстандарта Республики Беларусь
от 30 января 2004 г. № 6
3 ВВЕДЕН ВПЕРВЫЕ
Настоящий стандарт не может быть тиражирован и распространен без разрешения Госстандарта
Республики Беларусь
Издан на русском языке
3. СТБ 34.101.10-2004
III
Содержание
1 Область применения..............................................................................................................................1
2 Нормативные ссылки .............................................................................................................................1
3 Определения...........................................................................................................................................1
4 Общие положения ..................................................................................................................................2
5 Требования к средствам защиты от несанкционированного доступа ...............................................2
4.
5. СТБ 34.101.10-2004
1
ГОСУДАРСТВЕННЫЙ СТАНДАРТ РЕСПУБЛИКИ БЕЛАРУСЬ
Информационные технологии
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
Общие требования
Iнфармацыйныя тэхналогii
СРОДКI ЗАСЦЯРОГI IНФАРМАЦЫI АД НЕСАНКЦЫЯНIРАВАНАГА ДОСТУПУ
Ў АЎТАМАТЫЗАВАНЫХ СIСТЭМАХ
Агульныя патрабаваннi
Information technologies
MEANS FOR INFORMATION PROTECTION FROM UNAUTHORIZED ACCESS
IN AUTOMATED SYSTEM
General requirements
Дата введения 2004-09-01
1 Область применения
Настоящий стандарт распространяется на программные, программно-аппаратные и аппаратные
средства защиты информации от несанкционированного доступа, используемые в автоматизированных
системах (далее – средства защиты от НСД).
Настоящий стандарт не распространяется на средства криптографической защиты информации.
Заказчики применяют настоящий стандарт при задании требований на разработку средств защиты
от НСД.
Разработчики применяют настоящий стандарт при выборе проектных решений и разработке
документации (конструкторской, программной) на средства защиты от НСД.
Эксперты применяют настоящий стандарт при проведении экспертизы (аттестации, сертификации)
средств защиты от НСД.
2 Нормативные ссылки
В настоящем стандарте использованы ссылки на следующие нормативные документы:
СТБ 982-94 Информационная технология. Термины и определения
СТБ ГОСТ Р 50922-2000 Защита информации. Основные термины и определения
ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные
системы. Автоматизированные системы. Термины и определения
3 Определения
В настоящем стандарте применяют термины с соответствующими определениями, приведен-
ными в СТБ 982, СТБ ГОСТ Р 50922 и ГОСТ 34.003, а также следующие термины с соответствую-
щими определениями:
Интерфейс – совокупность средств и правил, обеспечивающих взаимодействие средства защиты
от НСД с техническими средствами (программами, персоналом) автоматизированной системы.
Основной режим – режим, в котором средство защиты от НСД выполняет целевую функцию.
Показатель эффективности средства защиты от несанкционированного доступа – мера или
характеристика для оценки свойства средства защиты от НСД, характеризующего степень достижения
цели, поставленной при его создании.
Издание официальное
6. СТБ 34.101.10-2004
2
Режим настройки – режим, в котором производится ввод значений настраиваемых параметров
средства защиты от НСД.
Режим контроля – режим, в котором производится проверка соответствия фактических характе-
ристик средства защиты от НСД значениям, указанным в документации на него.
Средство защиты от несанкционированного доступа – программное, программно-аппаратное
или аппаратное средство, предназначенное для предотвращения событий, ведущих к нарушению
свойств конфиденциальности, целостности или доступности информации при ее хранении, преобра-
зовании или передаче средствами автоматизированной системы.
4 Общие положения
4.1 Настоящий стандарт устанавливает следующие требования к:
– составу функций, реализуемых средствами защиты от НСД;
– алгоритму функционирования средств защиты от НСД;
– интерфейсам средств защиты от НСД;
– документации на средства защиты от НСД.
4.2 Требования настоящего стандарта направлены на повышение качества средств защиты от
НСД за счет:
– повышения устойчивости функционирования средства защиты от НСД в условиях случайных и
детерминированных воздействий на него;
– включения в документацию необходимых и достаточных сведений для эксплуатации средства
защиты от НСД и для его оценки.
5 Требования к средствам защиты от несанкционированного доступа
5.1 Требования к составу функций, реализуемых средством защиты от НСД
Средство защиты от НСД должно обеспечивать последовательное выполнение следующих
функций, составляющих цикл его работы:
– обнаружение воздействий на входной интерфейс средства защиты от НСД;
– опознание (анализ) выявленных воздействий;
– формирование сигнала управления (разрешение или запрет доступа) по результатам анализа
воздействий.
Требования к реализации средством защиты от НСД других функций (например, аудита, самоди-
агностики и пр.) устанавливаются в техническом задании на его разработку в зависимости от назна-
чения и условий эксплуатации.
5.2 Требования к алгоритму функционирования средства защиты от НСД
5.2.1 Средство защиты от НСД должно обеспечивать четкое разделение режимов работы: режим
настройки, основной режим и режим контроля (профилактического обслуживания).
5.2.2 В режимах настройки или контроля (профилактического обслуживания) средства защиты от
НСД его выходной интерфейс, предназначенный для формирования сигнала управления (разре-
шение или запрет доступа), должен блокироваться.
5.2.3 Перевод средства защиты от НСД из режима настройки в основной режим должен осущест-
вляться только после установки всех необходимых по номенклатуре и допустимых по величинам
значений настраиваемых параметров.
5.2.4 В основном режиме работы при отсутствии воздействий на его входной интерфейс средство
защиты от НСД должно формировать сигнал запрета доступа.
5.2.5 В основном режиме работы средства защиты от НСД на период обработки входного воздей-
ствия его входные интерфейсы должны быть заблокированы для исключения возможности приема на
обработку других входных воздействий.
Разблокировка входных интерфейсов средства защиты от НСД должна осуществляться только
после завершения цикла его работы, формирования и выдачи одного из заранее определенных
выходных сигналов.
5.2.6 Средство защиты от НСД должно обеспечивать обнаружение подлежащих анализу воздей-
ствий на полном множестве воздействий, определенном для его входного интерфейса.
5.2.7 Должна обеспечиваться возможность контроля правильности функционирования средства
защиты от НСД.
7. СТБ 34.101.10-2004
3
5.2.8 Показатель эффективности средства защиты от НСД при увеличении количества попыток
несанкционированного доступа должен соответствовать значению, указанному в эксплуатационной
документации.
5.2.9 Должна быть исключена возможность вывода из строя средства защиты от НСД путем
воздействия на его органы управления иди подачи на входной интерфейс каких-либо сообщений
(команд, сигналов).
5.3 Требования к интерфейсам средства защиты от НСД
5.3.1 Сигналы разрешения или запрещения доступа к информации, формируемые средством
защиты от НСД, должны обеспечивать их однозначную идентификацию в условиях возможных помех
или отказов оборудования.
5.3.1.1 Если формируемые средством защиты от НСД разрешающие и запрещающие сигналы
представляют собой двоичный код, то кодовое расстояние между ними рекомендуется устанавливать
не менее двух (должны различаться не менее чем в двух разрядах).
5.3.1.2 Если формируемые средством защиты от НСД разрешающие и запрещающие сигналы
представляют собой аналоговый сигнал, то значения основной характеристики сигнала (амплитуда,
частота, фаза и т. д.) для разрешающего и запрещающего сигналов рекомендуется выбирать таким
образом, чтобы они различались на максимально допустимую для используемого интерфейса величину.
5.3.2 Сигналы взаимодействия средства защиты от НСД и технических (программных) средств
автоматизированной системы должны быть взаимно определены.
5.3.3 Информационные и предписывающие сообщения, выдаваемые средством защиты от НСД
персоналу автоматизированной системы (при их наличии), должны исключать возможность их неод-
нозначной интерпретации.
5.4 Требования к документации
5.4.1 Конструкторская документация на средство защиты от НСД должна включать документы
(например, технические условия, программу и методику испытаний и т. п.), по которым было бы
возможно проверить соответствие характеристик средства защиты от НСД характеристикам, приве-
денным в эксплуатационной документации (например, в формуляре, паспорте) на него.
5.4.2 На средство защиты от НСД должна разрабатываться эксплуатационная документация,
включающая руководства администратора и пользователя.
5.4.2.1 В руководстве администратора должны быть приведены:
– порядок проведения инсталляции (подключения) средства защиты от НСД;
– порядок первоначальной установки и изменения настраиваемых параметров средства защиты
от НСД;
– порядок проверки работоспособности средства защиты от НСД;
– порядок действий администратора при нештатном функционировании (отказе) средства защиты
от НСД.
5.4.2.2 В руководстве пользователя должны быть приведены:
– назначение, область применения и условия эксплуатации средства защиты от НСД;
– перечень событий, на предотвращение которых направлено средство защиты от НСД;
– порядок действий пользователя при нормальном функционировании средства защиты от НСД;
– порядок действий персонала при нештатном функционировании (отказе) средства защиты от НСД.
8. СТБ 34.101.10-2004
14
Ответственный за выпуск И.А. Воробей
Сдано в набор 17.03.2004. Подписано в печать 31.03.2004. Формат бумаги 60х84/8. Бумага офсетная.
Гарнитура Ариал. Печать офсетная. Усл. печ. л. 0,47. Уч.- изд. л. 0,24. Тираж экз. Заказ
Издатель и полиграфическое исполнение
НП РУП «Белорусский государственный институт стандартизации и сертификации (БелГИСС)»
Лицензия ЛВ № 231 от 04.03.2003. Лицензия ЛП № 408 от 25.07.2000
220113, г. Минск, ул. Мележа, 3.