Clouds security (responsibility and information relations)
- 1. ЗАЩИТА ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ, РАЗМЕЩЕННОЙ В ОБЛАКЕ: распределение ответственности между участниками информационных отношений Вячеслав Аксёнов Enterprise Security Architect
- 2. Почему это актуально Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 №195) Кодекс РБ об административных правонарушениях Статья 23.7. Нарушение законодательства о защите персональных данных Уголовный Кодекс РБ Статья 203-2. Несоблюдение мер обеспечения защиты персональных данных 14. При проектировании СЗИ ИС, функционирование которой предполагается на базе ИС другого собственника (владельца), имеющей аттестованную СЗИ, может быть предусмотрено применение требований, реализованных в СЗИ ИС этого собственника (владельца). Такие требования применяются в соответствии с договором на оказание соответствующих услуг. Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 №195) Мероприятия, предусмотренные в абзацах втором–девятом пункта 8 настоящего Положения, могут не проводиться при выполнении в совокупности следующих условий: аттестация системы защиты информации информационной системы, создаваемой на базе информационной системы специализированной организации, проводится этой специализированной организацией; в системе защиты информации информационной системы специализированной организации, аттестованной в установленном порядке, реализованы требования по защите информации аттестуемой системы защиты информации.
- 3. Какую ответственность распределять Реализация комплекса мероприятий по технической и криптографической ЗИ Эксплуатация информационной системы с применением системы защиты информации Проектирование, создание и аттестация СЗИ ИС Потребителя Применение требований, реализованных в СЗИ ИС Поставщика
- 4. Проектирование, создание и аттестация Категорирование информации Классификация ИС Анализ структуры ИС Разработка/доработка политики ИБ Разработка технического задания на создание СЗИ Определение требований к средствам ЗИ, подлежащим закупке Разработка документа «Общая схема СЗИ» Ввод в действие СЗИ: закупка, монтаж, пусконаладочные работы Разработка (корректировка) документации на систему ЗИ Подготовка исходных данных для проведения аттестации Разработка программы и методики аттестации Проведение аттестации системы защиты информации Оформление технического отчета и протокола испытаний Оформление аттестата соответствия
- 5. Проектирование СЗИ Для разработки ТЗ Поставщик предоставляет требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого собственника (владельца) – если функционирование ИС, для которой осуществляется проектирование СЗИ, предполагается на базе ИС другого собственника (владельца) в соответствии с пунктом 14 настоящего Положения. Такие требования применяются в соответствии с договором на оказание соответствующих услуг. Для разработки Общей схемы СЗИ Поставщик предоставляет сведения места размещения средств вычислительной техники, сетевого оборудования, системного и прикладного программного обеспечения, средств технической и криптографической ЗИ; физические границы информационной системы.
- 6. Rout - Использование маршрутизатора (коммутатора маршрутизирующего) FW - Использование межсетевого экрана. Proxy / WAF - Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях . IDS - Обеспечение обнаружения и предотвращения вторжений в информационной системе. AV EP - Обеспечение защиты средств вычислительной техники от вредоносных программ. AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ. AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ. VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного шифрования). Pre-crypt - Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования). IC - Обеспечение контроля целостности данных в информационной системе (средства контроля целостности). LM - Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности. IDM - Обеспечение централизованного управления учетными записями пользователей информационной системы. AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования. Перечень требований к системе защиты информации, подлежащих включению в техническое задание - Приложение 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (в редакции приказа ОАЦ 12.11.2021 № 195) Использование средств ЗИ Класс ИС FW IDS AV EP IC LM DLP 3-дсп 3-юл 3-бг 3-спец 3-ин IDM AM AV NET AV MAIL Rout Proxy / WAF Pre- crypt VPN Поставщик услуг Потребитель
- 7. Распределение ответственности за обеспечение ЗИ* Наименование требования Поставщик Потребитель 2.2 Обеспечение контроля за работоспособностью, параметрами настройки и правильностью функционирования средств вычислительной техники, сетевого оборудования, системного программного обеспечения и средств защиты информации В отношении: - виртуальной инфраструктуры IaaS - сетевого оборудования - дополнительных сервисов В отношении: - ПЭВМ администраторов - общесистемного ПО - программных средств защиты информации 6.1 Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг В отношении виртуальной инфраструктуры IaaS - 7.10 Обеспечение защиты средств вычислительной техники от вредоносных программ В отношении: - СВТ виртуальной инфраструктуры IaaS - ПЭВМ администраторов IaaS В отношении: - ПЭВМ администраторов - виртуальных машин IaaS Защита данных в информационной системе Защита среды виртуализации Защищенный доступ (VPN) Система обнаружения и предотвращения вторжений (IDS/IPS) Межсетевые экраны (FW) Маршрутизаторы (Rout) Потоковый антивирус (AV) Физическая безопасность Поставщик услуг Потребитель *Такие требования применяются в соответствии с договором на оказание соответствующих услуг.
- 8. Реализация требований ЗИ* *Такие требования применяются в соответствии с договором на оказание соответствующих услуг. Требование Орг. меры Техн. меры Средства ЗИ 6.1 Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг - IaaS: встроенные функции гипервизора IaaS: VMware vSphere 6.5 Обеспечение резервирования сетевого оборудования по схеме N+1 - IaaS: Кластер сетевого оборудования - 7.6 Обеспечение резервирования информации, подлежащей резервированию ЛПА потребителя, регламентирующие резервирование Встроенные функции объектов ИС (СУБД) IaaS: VMware vSphere; BaaS: Veeam Backup&Replication. 7.13 Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Использование маршрутизатора (коммутатора маршрутизирующего) - - IaaS: Сетевое оборудование; VMware NSX 7.14 Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Использование межсетевого экрана, функционирующего на канальном, и (или) сетевом, и (или) транспортном, и (или) сеансовом, и (или) прикладном уровнях - - IaaS: NGFW; VMware NSX.
- 9. Аттестация СЗИ 8. Аттестация предусматривает комплексную оценку СЗИ в реальных условиях эксплуатации ИС и включает: Мероприятия, предусмотренные в абзацах 2–9 пункта 8 настоящего Положения, могут не проводиться при выполнении в совокупности следующих условий: аттестация СЗИ ИС, создаваемой на базе ИС специализированной организации, проводится этой специализированной организацией; в СЗИ ИС специализированной организации, аттестованной в установленном порядке, реализованы требования по ЗИ аттестуемой СЗИ. 1. Разработку программы и методики аттестации 2. Установление соответствия реального состава и структуры объектов ИС общей схеме СЗИ 3. Проверку правильности отнесения ИС к классу типовых ИС, выбора и применения средств ЗИ 4. Анализ разработанной документации на СЗИ собственника (владельца) ИС на предмет ее соответствия требованиям законодательства об информации, информатизации и ЗИ 5. Ознакомление с документацией о распределении функций персонала по организации и обеспечению ЗИ 6. Проведение испытаний системы защиты информации на предмет выполнения установленных законодательством требований по защите информации 7. Внешнюю и внутреннюю проверку отсутствия либо невозможности использования нарушителем свойств программных, программно- аппаратных и аппаратных средств…… (уязвимостей) 8. Оформление технического отчета и протокола испытаний 9. Оформление аттестата соответствия
- 10. Дополнительно Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» Приказ Оперативно- аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194 "Об обучении по вопросам защиты персональных данных“ Приказ Оперативно- аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 195 "О технической и криптографической защите персональных данных“ Ссылка для скачивания Ссылка для скачивания
- 11. СПАСИБО ЗА ВНИМАНИЕ! Вячеслав Аксёнов Enterprise Security Architect