Создание автоматизированных систем в защищенном...

СОЗДАНИЕ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В

ЗАЩИЩЕННОМ ИСПОЛНЕНИИ

Учебный центр Softline

Вячеслав Аксёнов

itsec.by

16-18.05.2016

ПРЕПОДАВАТЕЛЬ

Вячеслав Аксёнов

специалист по информационной безопасности

itsec.by

Кратко о себе:

Опыт работы в сфере информационной безопасности более 10 лет, в качестве

архитектора и консультанта, в проектах по созданию систем защиты

информации в соответствии с требованиями законодательства. Преподаватель

авторских курсов по информационной безопасности.

Образование: радиоинженер-педагог + магистратура и аспирантура по

направлению информационная безопасность.

Сфера интересов: технологии облачных вычислений, гособлака,

проектирование и внедрение систем защиты информации.

Подробнее: http://www.linkedin.com/pub/viacheslav-aksionov/50/b91/65/en

День 1:

Требования

законодательства об

информации,

информатизации и защите

информации.

Технические нормативные

правовые акты в области

информационной

безопасности

ПРОГРАММА КУРСА

3/91

День 2:

Стадии создания автоматизированных (информационных) систем

Стадии создания автоматизированных (информационных) систем

в защищенном исполнении

Проектирование АС (ИС) в защищенном исполнении (Проект)

Создание АС (ИС) в защищенном исполнении (Проект)

Аттестация системы защиты информации и ввод в действие АС

(ИС) (Проект)

Эксплуатация (сопровождение) АС (ИС) (Проект)

+ НПА (advanced)

День 3:

Требования к мерам защиты информации, обрабатываемой в АС (ИС)

+ Защита среды виртуализации (advanced)

Практическая (Проект создания АИС в защищенном исполнении)

бонус

Проект .mpp

Трудозатраты .xlsx + .mpp

Матрица ответственности .xlsx

ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ

4/x

бонус

ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ

5/x

НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ

6/91

1. Конституция

2. Указы/Декреты Президента

3. Кодексы

4. Законы

5. Постановления Совета

Министров

6. Приказы ОАЦ

Закон Республики Беларусь

от 10 января 2000 г. №361-З

«О нормативных правовых

актах Республики Беларусь»

Статья 10

Иерархия

ТНПА РБ(> 100)

Методы и средства


Требования и средства защиты

информации от НСД

Защита информации

Системы менеджмента информационной


Критерии оценки безопасности ИТ

Обеспечение информационной безопасности банков

КВОИ

Информационные технологии

Информационные технологии и безопасность

ГОСТ ISO 19011-2013

УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА

PLAN

Роли, ответственность, компетентность.

Объем программы

Риски программы

Процедуры Ресурсы

Установление целей программы аудита

Установление программы аудита

DO

Цель, область применения, критерии для каждого аудита.

Выбор методов аудита Назначение

руководителя команды по аудиту (ответственный)

Менеджмент выходных данных

Менеджмент записей

Внедрение программы аудита

CHECK

Мониторинг программы аудита

ACT

Анализ и улучшение программы аудита

Компетентность и оценивание

аудиторов

Проведение аудита

Стадии создания систем

ГОСТ 34.601-90

Информационная

технология. Комплекс

стандартов на

автоматизированные

системы.

Автоматизированные

системы. Стадии создания

Формирование требований

Разработка концепции Техническое задание

Сопровождение Вывод из эксплуатации Эскизный проект

Технических проектРабочая документацияВвод в действие

ГОСТ Р 51583-2014

ISO/IEC/IEEE 15288:2015

ГОСТ Р ИСО/МЭК 15288-2005

Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62

Жизненный цикл СЗИ

Проектирование СЗИ

Формирование требований к СЗИ

Формирование требований к ИС

Разработка концепции АС

Техническое задание

Создание СЗИ

Разработка задания по безопасности

Проектирование (разработка) СЗИ

Эскизный проект

Технический проект

Рабочая документация

Внедрение СЗИ (без аттестации)

Ввод в действие ИС (без приемки в промышленную

эксплуатацию)

Аттестация СЗИ

Эксплуатация СЗИ

Вы

вод

из

эксп

луат

аци

и

Сопровождение СЗИ

Сопровождение ИС

ГОСТ 34.601-90

ФОРМИРОВАНИЕ ТРЕБОВАНИЙ К СЗИЭтапы работ

Формирование требований к системе ЗИ АС осуществляется на следующих

стадиях создания АСЗИ, определенных ГОСТ 34.601:

«Формирование требований к АС»;

«Разработка концепции АС»;

«Техническое задание».





Формирование требований к СЗИ

Разработка (проектирование) СЗИ





Формирование требований к СЗИПРОЕКТИРОВАНИЕ СЗИ

АНАЛИЗ ИСПроектирование СЗИ (Приказ ОАЦ №62)

Архитектура

Подсистемы

Состав ТС и ПО

Схемы

анализ организационной структуры информационной

системы и информационных потоков в целях

определения состава (количества) и мест размещения

элементов системы (аппаратных и программных), ее

физических и логических границ

ОБСЛЕДОВАНИЕ ИС (СЗИ ИС)Формирование требований к СЗИ

Чек-листы

Анкеты-опросники

Отчет по результатам обследования


КЛАССИФИКАЦИЯ ОБЪЕКТОВ

ИНФОРМАТИЗАЦИИ

Одна

контролируемая

зона (КЗ)

Несколько КЗ +

соединение

каналами

передачи

Каналы

передачи

выходят за

пределы КЗ

Общедоступная информация А3 Б3 В3

Информация, распространение и (или)

предоставление которой ограничено А2 Б2 В2

Государственные секреты А1 Б1

СТБ 34.101.30-2007

КЛАССИФИКАЦИЯ ИСПроектирование СЗИ (Приказ ОАЦ №62)

Протокол и Акт

присвоение информационной системе класса типового объекта

информатизации в порядке, установленном СТБ 34.101.30-2007

«Информационные технологии. Методы и средства

безопасности. Объекты информатизации. Классификация»

Документ в дополнительных материалах


Определение перечня защищаемых

активов*

Конфиденциаль

ностьЦелостность Доступность Подлинность Сохранность

Линии связи / СПД

Аппаратное обеспечение

Программное обеспечение

. . . . . . . . . ? ? ? ? ?

Данные

* Матрица требований, предъявляемых к защищаемым активам (пример формы представления)

УГРОЗЫ НАРУШЕНИЯ ИБМодель


РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯФормирование требований к СЗИ

Система защиты информации.

Техническое задание


Проектирование СЗИ (Приказ ОАЦ №62)

ТЗ vs ЗБ

ГОСТ 34.602-89 СТБ 34.101.1-2014 СТБ 34.101.2-2014 СТБ 34.101.3-2014

Техническое задание на создание СЗИ

1. Общие сведения2. Назначение и цели

создания СЗИ

3. Характеристика объекта защиты

4. Требования к СЗИ

5. Состав и содержание работ по

созданию СЗИ

6. Порядок контроля и приемки

7. Требования к составу и содержанию работ по подготовке к вводу СЗИ в действие

8. Требования к документированию

9. Источники разработки

10. Перечень принятых сокращений

Задание по безопасности на ИС

1. Введение в описание ЗБ

2. Описание объекта

3. Среда безопасности объекта

4. Задачи безопасности

5. Требования безопасности

Для объекта

Функциональные

Гарантийные

Для среды6. Общая

спецификация

8. Обоснование7. Требования

соответствия ПЗ

?

?

?

ЗАДАНИЕ ПО БЕЗОПАСНОСТИРазработка (проектирование) СЗИ

СТБ 34.101.1-2014 "Информационные технологии и безопасность.

Критерии оценки безопасности информационных технологий. Часть 1.

Введение и общая модель"

СТБ 34.101.2-2014 "Информационные технологии и безопасность. Критерии

оценки безопасности информационных технологий. Часть 2. Функциональные

требования безопасности"

СТБ 34.101.3-2014 "Информационные технологии и безопасность. Критерии

оценки безопасности информационных технологий. Часть 3. Гарантийные

требования безопасности»


Определение среды


Формулирование задач


Формулирование требований


Формулирование спецификаций безопасности


Определение среды


• Физическая среда

• Активы

• Назначение

Формулирование задач


• Предположения

• Угрозы безопасности

• Политика безопасности

Формулирование требований


• Функциональные требования

• Гарантийные требования

• Требования к среде безопасности

Формулирование спецификаций

РАЗРАБОТКА ЗАДАНИЯ ПО БЕЗОПАСНОСТИРазработка (проектирование) СЗИ

Автоматизированная информационная система.

Задание по безопасности.



Задание по безопасности.

Документы в дополнительных материалах

КОМПЛЕКТ ДОКУМЕНТОВ В

СООТВЕТСТВИИ С УГО

Внедрение (создание) СЗИ

Базовый проект.

Использование системы управления

конфигурацией.

Описание архитектуры безопасности.

Анализ уязвимостей.

Подготовительные процедуры.

Покрытие управлением конфигурации

частей объекта оценки.

Процедуры поставки.

Руководство пользователя.

Функциональная спецификация

реализации безопасности.Документы в дополнительных материалах

ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯРазработка (проектирование) СЗИ

Разработку системы ЗИ АСЗИ организует заказчик, проводит разработчик в

соответствии с ТЗ на создание системы ЗИ АС на следующих стадиях создания

АС, определенных ГОСТ 34.601:

Эскизный проект;

Технический проект;

Рабочая документация.











Формирование требований к СЗИПРОЕКТИРОВАНИЕ СЗИ

ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯРазработка (проектирование) СЗИ

Система защиты информации. Эскизный проект.

Система защиты информации. Технический проект.

Система защиты информации. Рабочая документация.


ВНЕДРЕНИЕ СЗИЭтапы работ

Установка и настройка СЗИ;

Разработка организационно-распорядительных документов, определяющих

мероприятия по ЗИ в ходе эксплуатации АС:

Предварительные испытания системы ЗИ АС;

Опытная эксплуатацию и доработка системы ЗИ АС,

Приемочные испытания системы ЗИ АС;

Аттестация СЗИ на соответствие требованиям безопасности информации.

Внедрение системы ЗИ АС организует заказчик, проводит разработчик в

соответствии с законодательством Республики Беларусь об информации,

информатизации и защите информации и рабочей документацией на систему ЗИ

АС на стадии «Ввод в действие», определенной ГОСТ 34.601.





Внедрение СЗИ.

СОЗДАНИЕ СЗИ.

ПОЛИТИКА ИБ (содержание)Приказ ОАЦ №62 от 30 августа 2013 г.

Политика ИБ должна содержать:

цели создания СЗИ; перечень субъектов и объектов ИС, сведения о их размещении и

взаимодействии; способы разграничения доступа субъектов к объектам ИС; права и обязанности субъектов ИС; порядок взаимодействия с иными ИС (в случае предполагаемого

взаимодействия); перечень организационных мер, направленных на реализацию требований по

созданию СЗИ; порядок действий при возникновении угроз, и при ликвидации их последствий.

ПОЛИТИКА ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИВнедрение (создание) СЗИ


Система защиты информации.

Политика информационной безопасности.


ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ


Регламент использования объектов информационной системы и их управления

(администрирования).

Регламент резервирования и уничтожения информации.

Регламент защиты от вредоносного программного обеспечения. Порядок выявления угроз, которые могут

привести к сбоям, нарушению

функционирования информационной системы.

Порядок реагирования на инциденты

информационной безопасности.

Порядок контроля (мониторинга) за

функционированием информационной

системы.внедрение организационных мер

по защите информации


ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИСоздание СЗИ (Приказ ОАЦ №62)

Функции

Должностные лица и подразделения

Должность 1 Должность 2 Должность 3

Функция №1 О И

Функция №2 Р И И

Функция № N

Обозначения: О – ответственный за выполнение;

У – участвует в выполнении;

И – информируется

Р – принимает решение, утверждает.

ДОВЕДЕНИЕ ЛНПАСоздание СЗИ (Приказ ОАЦ №62)

Лист ознакомления (отдельный для каждого ЛНПА

Журнал инструктажей

ОПЫТНАЯ ЭКСПЛУАТАЦИЯ


Журнал опытной эксплуатации.

План-график устранения недостатков по

результатам опытной эксплуатации (при

необходимости).

Документ «Тестирование».


ПРИЕМОЧНЫЕ ИСПЫТАНИЯ СЗИВнедрение (создание) СЗИ

Программа и методика приемочных испытаний.

Протокол приемочных испытаний.

Акт приемочных испытаний.


АТТЕСТАЦИЯ СЗИ

анализ исходных данных;

разработка программы аттестации;

предварительное ознакомление с ИС и СЗИ;

проведение обследования ИС и СЗИ;

проверка правильности отнесения ИС к классу тип. ОИ, выбора и СрЗИ;

анализ орг.структуры, состава и структуры комплекса ТС и ПО ИС, информационных потоков,

состава и структуры комплекса ТС и ПО СЗИ;

анализ разработанной документации и ее соответствие требованиям законодательства;

проверку подготовки кадров и распределения ответственности персонала за организацию и

обеспечение ИБ;

проведение испытаний СЗИ на предмет выполнения установленных требований безопасности;

оформление протоколов испытаний и заключения по результатам проверок;

оформление аттестата соответствия.

Приказ ОАЦ №62 от 30 августа 2013 г.Формирование

требованийРазработка концепции Техническое задание



Аттестация СЗИ.

АТТЕСТАЦИЯ СЗИ.

СОПРОВОЖДЕНИЕ СЗИСодержание работ (ГОСТ)

Сопровождение системы ЗИ в ходе эксплуатации АС организует заказчик

(оператор), проводит разработчик в соответствии с проектными решениями,

рабочей документацией на систему ЗИ АС, организационно-

распорядительными документами по ЗИ.

Сопровождение системы ЗИ в ходе эксплуатации АС заключается в

выполнении работ относительно системы ЗИ АС в соответствии с

гарантийными обязательствами и по послегарантийному обслуживанию,

которые осуществляются на стадии «Сопровождение АС», определенной ГОСТ

34.601.Формирование

требованийРазработка концепции Техническое задание



Сопровождение СЗИ

ЭКСПЛУАТАЦИЯ СЗИ.

ЭКСПЛУАТАЦИЯ СЗИ

В процессе эксплуатации аттестованной СЗИ осуществляются:

контроль за соблюдением требований, установленных в НПА,ТНПА, ЛНПА;

контроль за порядком использования объектов ИС;

мониторинг функционирования СЗИ;

выявление угроз, которые могут привести к сбоям, нарушению функционирования ИС;

резервное копирование информации, содержащейся в ИС;

обучение (повышение квалификации) субъектов ИС.

Приказ ОАЦ №62 от 30 августа 2013 г.


В случае прекращения эксплуатации ИС собственник (владелец) ИС принимает меры по:

• ЗИ, содержащейся в ИС;

• резервному копированию информации (при необходимости), обеспечению ее конфиденциальности и целостности;

• уничтожению (удалению) данных с машинных носителей информации и (или) уничтожению таких носителей информации.



Модернизация действующих систем защиты информации

осуществляется в порядке, установленном настоящим Положением

для создания этих систем.

Уничтожение (удаление) данных с

машинных носителей информации

производится при необходимости

передачи машинного носителя

информации лицам, не являющимся

субъектами информационной

системы, в том числе для ремонта,

технического обслуживания.


ул. Мележа, 5/2, офис 1103

220113, г. Минск, Беларусь

+375 17 2161866, [email protected]

Спасибо за внимание!

Учебный центр Softline

http://edu.softline.by

http://edu.softline.by/

Создание автоматизированных систем в защищенном...

Education

Transcript of Создание автоматизированных систем в защищенном...