Ведущий специалист по информационной безопасности
СТАДИИ ЖИЗНЕННОГО ЦИКЛА ИНФОРМАЦИОННЫХ СИСТЕМ.
Вячеслав Аксёнов
ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА.
+375 29 861 76 [email protected]
Республика Беларусь (2011-2015 гг.)
2011 - Стандарты серии СТБ ISO/IEC 2700x2011 - Безопасность КВОИ (Указ Президента РБ № 486)2013 - Закон о коммерческой тайне2013 - ТР 2013/027/BY2014 - Стандартизация обеспечение информационной безопасности банков2015 - Приказ ОАЦ № 3 от 16.01.2015.
Тенденции в сфере ЗИ
2/13
Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания
Стадии создания систем
3/13
ГОСТ 34.601-90Формирование
требований Разработка концепции Техническое задание
Сопровождение Вывод из эксплуатации Эскизный проект
Технических проектРабочая документацияВвод в действие
ГОСТ Р 51583-2014
ISO/IEC/IEEE 15288:2015ГОСТ Р ИСО/МЭК 15288-2005
Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62Жизненный цикл СЗИ
4/13
Проектирование СЗИ
Формирование требований к СЗИ
Формирование требований к ИС
Разработка концепции АС
Техническое задание
Создание СЗИ
Разработка задания по безопасности
Проектирование (разработка) СЗИ
Эскизный проект
Технический проект
Рабочая документация
Внедрение СЗИ (без аттестации)Ввод в действие ИС
(без приемки в промышленную эксплуатацию)
Аттестация СЗИ
Эксплуатация СЗИ
Выво
д из
экс
плуа
таци
и
Сопровождение СЗИ
Сопровождение ИС
ГОСТ 34.601-90
Проектирование СЗИ
Законодательство РБ об информации, информатизации и защите информациитермины и определения в области автоматизированных системтермины и определения в области ЗИ
Термины и определения. Стадии
5/13
ПРОЕКТИРОВАНИЕ СЗИ
Определение перечня информации, подлежащей защите
Классификация объекта информатизации
Разработка модели угроз безопасности информации;
Разработка технического задания
Разработка задания по безопасности на ИС
ГОСТ 34.003-90
СТБ ГОСТ Р 50922-2000
Проектирование СЗИ
Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»
Общедоступная
Ограниченного распространения
Служебная
Гос. секреты
Определение перечня информации подлежащей защите
6/13
ИНФОРМАЦИЯ
распространение и (или) предоставление которой
ограниченообщедоступная
персональные данные коммерческая тайна
профессиональная тайна банковская тайна
служебная информация ограниченного
распространениягосударственные секреты
Проектирование СЗИ
Классификация объектов информатизации
7/13
Одна контролируемая
зона (КЗ)
Несколько КЗ + соединение
каналами передачи
Каналы передачи
выходят за пределы КЗ
Общедоступная информация А3 Б3 В3Информация, распространение и (или) предоставление которой ограничено А2 Б2 В2Государственные секреты А1 Б1
СТБ 34.101.30-2007
Проектирование СЗИ
Определение перечня защищаемых активов*
8/13
Конфиденциальность Целостность Доступность Подлинность Сохранность
Линии связи / СПД Аппаратное обеспечение Программное обеспечение . . . . . . . . . ? ? ? ? ?Данные
* Матрица требований, предъявляемых к защищаемым активам (пример формы представления)
СТБ ISO/IEC 27005-2012 СТБ 34.101.61-2013
Проектирование СЗИ
Модель угроз
Угроза
Источник
Метод реализации
Актив
Уязвимость
Вероятность
Ущерб
Моделирование угроз ИБ
9/13
Модель нарушителя
Компетентность / Квалификация
Ресурсы
Мотивация
СТБ ISO 31000-2015 СТБ ISO/IEC 27005-2012 СТБ 34.101.61-2013
http://bdu.fstec.ru/threat
Проектирование СЗИ
Техническое задание:
Модель угроз
Требования к функциям (задачам), выполняемым СЗИ
Состав и содержание работ по созданию СЗИ
Требования к документированию
Тех. задание / Задание по безопасности
10/13
Задание по безопасности:
Модель угроз
Функциональные требования
Гарантийные требования
Общая спецификация
ГОСТ 34.602-89
СТБ 34.101.1-2014СТБ 34.101.2-2014СТБ 34.101.3-2014
http://www.cisecurity.org/critical-controls.cfm
Создание СЗИ
11/13
• Разработка и внедрение организационно-распорядительных документов, определяющих мероприятия по ЗИ
• Внедрение запланированных к исполнению СрЗИ (закупка, монтаж и пуско-наладочные работы средств защиты информации в соответствии с эксплуатационной документацией)
• Предварительные испытания СЗИ• Опытная эксплуатация СЗИ и доработка• Приемочные испытания СЗИ
Создание СЗИ
ГОСТ 34.201-89 ГОСТ 34.603-92 http://benchmarks.cisecurity.org/
Аттестация / Эксплуатация СЗИ
12/13
Аттестация СЗИ
Ввод в действие ИС Эксплуатация Модернизаци
яВывод из
эксплуатации
Подробная информация по вопросам создания СЗИСтадии ЖЦ СЗИ
13/13
http://goo.gl/xboFDM
НПА, ТНПА
Рекомендации
Документация
ЧТО?
ЗАЧЕМ?
ГДЕ ВЗЯТЬ?
СПАСИБО!
Ведущий специалист по информационной безопасности
Вячеслав Аксёнов
+375 29 861 76 [email protected]