Abstract image of a woman sitting on books and studying on a laptop

Information Security Presentation (B.E.E.R 2021)

В
Вячеслав Аксёнов

Документ описывает комплекс мер по защите информации в организациях, включая инвентаризацию информационных систем и ресурсов. Указаны этапы реализации требований законодательства в области защиты данных, а также необходимость создания аттестованных систем защиты информации. Основное внимание уделяется соответствию правовым нормам и обеспечению информационной безопасности в различных сферах.

Education
Related topics:
Information Security
1 of 32
Downloaded 23 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур. Соберем конструктор вместе (Практический кейс) Вячеслав Аксёнов, Enterprise Security Architect BEST ENGINEERING EVENT OF THE REPUBLIC B.E.E.R 2021
Организация: ООО «XYZ». Частная форма собственности. Информационные системы/ресурсы:  CRM.  1С.  СПО – (web-приложение. оказание платных услуг физ. лицам).  ПО АРМ «Плательщик» (МНС), ПО «Ввод ДПУ» (ФСЗН), Консультант-Плюс, клиент-банк, почта, MS Project, web-сайт, хранилище файлов. Инфраструктура:  ЦОД (поставщика услуг): Серверный шкаф: серверы, оборудование СХД и СПД.  Офис: ПК сотрудников, обеспечивающая IT-инфраструктура.
Цель: Соответствие требованиям (законодательства) в области защиты информации
Проект: Этап 1. Определение применимых требований. Этап 2. Реализация требований.
Определение применимых требований ИНФОРМАЦИЯ распространение и (или) предоставление которой ограничено общедоступная персональные данные коммерческая тайна профессиональная тайна банковская тайна служебная информация ограниченного распространения государственные секреты Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» ГЛАВА 3
Определение применимых требований 3. Кто является владельцем (собственником) ИС? 1. Какая информация обрабатывается в ИС? Наша организация Другая организация общедоступная гос. секреты перс. данные ком. тайна (тайна юр. лица) служебная (ДСП) Реализация мероприятий по проектированию, созданию и аттестации СЗИ НАШЕЙ ОРГАНИЗАЦИИ НЕ ТРЕБУЕТСЯ Реализация мероприятий по проектированию, созданию и аттестации СЗИ ИС 2. Является ли наша организация государственной? Регулятор КГБ Требования супер секретные J ДА НЕТ
На основании соответствия критериям отнесения к КВОИ Показатели уровня вероятного ущерба национальным интересам Республики Беларусь в политической, экономической, социальной, информационной, экологической и иных сферах в случае создания угроз информационной безопасности либо в результате возникновения рисков информационной безопасности в отношении объекта информатизации, не предназначенного для проведения работ с использованием государственных секретов (его составляющих элементов) Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 65 Определение применимых требований
1. Составление перечня (реестра) информационных систем и ресурсов. 2. Категорирование информации (информационных систем) в соответствии с законодательством об информации, информатизации и защите информации. 3. Классификация информационных систем и ресурсов. 4. Определение применимых требований. Этап 1. Определение применимых требований
Инвентаризация ИС/ИР
Инвентаризация ИС/ИР
Инвентаризация ИС/ИР
Инвентаризация ИС/ИР
Инвентаризация ИС/ИР
Инвентаризация ИС/ИР
Группа Общедоступная информация Информация, распространение и (или) предоставление которой ограничено Подгруппа Изолированная Открытая Изолированная Открытая Категория частн гос частн гос фл юл дсп фл юл дсп Класс 6-частн 6-гос 5-частн 5-гос 4-фл 4-юл 4-дсп 3-фл 3-юл 3-дсп частн - негосударственные ИС; гос - государственные ИС; изолированная - не имеет подключений к открытым каналам передачи данных; открытая - подключена к открытым каналам передачи данных; фл - информация о частной жизни физического лица и персональные данные, иная информация, составляющая охраняемую законом тайну физического лица; юл - информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением гос секретов и ДСП); дсп - служебная информация ограниченного распространения. Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 Классификация ИС/ИР
Инвентаризация ИС/ИР
Классификация ИС/ИР Приложение 2 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
Необходимо создавать аттестованную СЗИ 3. Кто является владельцем (собственником) ИС? 1. Какая информация обрабатывается в ИС? Наша организация Другая организация общедоступная гос. секреты перс. данные ком. тайна (тайна юр. лица) служебная (ДСП) Реализация мероприятий по проектированию, созданию и аттестации СЗИ НАШЕЙ ОРГАНИЗАЦИИ НЕ ТРЕБУЕТСЯ Реализация мероприятий по проектированию, созданию и аттестации СЗИ ИС 2. Является ли наша организация государственной? Регулятор КГБ Требования супер секретные J ДА НЕТ
Необходимо создавать аттестованную СЗИ?
На основании соответствия критериям отнесения к КВОИ Определение применимых требований Показатели уровня вероятного ущерба национальным интересам Республики Беларусь в политической, экономической, социальной, информационной, экологической и иных сферах в случае создания угроз информационной безопасности либо в результате возникновения рисков информационной безопасности в отношении объекта информатизации, не предназначенного для проведения работ с использованием государственных секретов (его составляющих элементов) Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 65
Показатели уровня вероятного ущерба … Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 65 Оценка соответствия критериям отнесения к КВОИ
Определение применимых требований
Примечания: 1. Обозначения «4-фл», «4-юл», «4-дсп», «3-фл», «3-юл» и «3-дсп» соответствуют классам типовых информационных систем. 2. Требования, отмеченные знаком «+», являются обязательными. 3. Требования, отмеченные знаком «+/–», являются рекомендуемыми. Перечень требований к СЗИ Приложение 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно- аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
Перечень требований к СЗИ Приложение 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
Rout - Использование маршрутизатора (коммутатора маршрутизирующего) FW - Использование межсетевого экрана. IDS - Обеспечение обнаружения и предотвращения вторжений в информационной системе. AV EP - Обеспечение защиты СВТ от вредоносных программ. AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ. AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ. VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного или предварительного шифрования). DLP - Использование системы обнаружения и предотвращения утечек информации из ИС. LM - Обеспечение централизованного сбора и хранения информации о событиях ИБ. IDM - Обеспечение централизованного управления учетными записями пользователей ИС. AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования. Перечень требований к СЗИ Класс ИС FW IDS AV EP VPN LM DLP 3-дсп 3-юл 3-фл 4-дсп 4-юл 4-фл IDM AM AV NET AV MAIL Rout
Требования к проведению комплекса мероприятий (последовательность выполнения работ) Требования к организационным мерам (политика, регламенты). Требования к техническим мерам (средства защиты) Этап 2. Реализация требований
Категорирование информации Классификация ИС Анализ структуры ИС Разработка/дорабо тка политики ИБ Разработка технического задания на создание СЗИ Определение требований к средствам ЗИ, подлежащим к закупке Разработка документа «Общая схема СЗИ» Ввод в действие СЗИ: закупка, монтаж, пусконаладочные работы Разработка (корректировка) документации на систему ЗИ Подготовка исходных данных для проведения аттестации Разработка программы и методики аттестации Проведение аттестации системы защиты информации Оформление технического отчета и протокола испытаний Оформление аттестата соответствия Проект (последовательность работ) «Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», «Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденные Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
• цели и принципы защиты информации в организации; • перечень информационных систем, отнесенных к соответствующим классам типовых информационных систем, а также отдельно стоящих электронных собственности или ином законном основании, с указанием подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации; • обязанности пользователей информационной системы; • порядок взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия), в том числе при осуществлении информационных отношений на правах операторов, посредников, пользователей информационных систем и обладателей информации. Политика информационной безопасности • резервирования и уничтожения информации; • защиты от вредоносного программного обеспечения; • использования съемных носителей информации; • использования электронной почты; • обновления средств защиты информации; • осуществления контроля (мониторинга) за функционированием информационной системы и системы защиты информации; • реагирования на события информационной безопасности и ликвидации их последствий; • управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению. Регламенты Политика, регламенты
Средства защиты Область применения Маршрутизатор Cisco ISR 4321/K9 Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Межсетевой экран Cisco Firepower FPR1120-NGFW-K9 Многофункциональное устройство защиты информации FortiGate-100 FG-100F Межсетевое экранирование. Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Обеспечение сегментирования (изоляции) сети управления объектами информационной системы от сети передачи данных. Обеспечение обнаружения и предотвращения вторжений в информационной системе. Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ Программно-аппаратный комплекс «Шлюз безопасности Bel VPN Gate 4.5» Криптографическая защита информации Обеспечение защищенного канала передачи данных между рабочими местами субъектов информационной системы и объектами Обеспечение защищенного канала передачи данных при взаимодействии с иными информационными системами. Программный продукт «Клиент безопасности Bel VPN Client-P 4.1» Криптографическая защита информации. Обеспечение защищенного канала передачи данных между рабочими местами субъектов информационной системы и объектами Программный комплекс «Сервер TLS АВЕСТ» (AvTLSSrv) Криптографическая защита информации Идентификация пользователя с использованием сертификата открытого ключа изданного РУЦ ГосСУОК. Коммутатор Cisco Nexus N3K-C3524P-10GX Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Средства защиты информации
Endpoint Security for Windows Endpoint Security for Linux Secure Mail Gateway Security Center Advanced Malware Protection Cisco Firepower 1120 NGFW Appliance Средства защиты информации
Руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации. (п.15) Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о технической и криптографической защите информации
СПАСИБО ЗА ВНИМАНИЕ! Вячеслав Аксёнов, Enterprise Security Architect

More Related Content

PDF
Создание автоматизированных систем в защищенном исполнении
Вячеслав Аксёнов
 
PDF
Clouds security (responsibility and information relations)
Вячеслав Аксёнов
 
PDF
Сети управления. Поддержка доступности сетей при кибератаке
Cisco Russia
 
PDF
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Вячеслав Аксёнов
 
PDF
Cloud security risk management (fragment of course materials)
Вячеслав Аксёнов
 
PDF
Attestation of personal data protection systems
Вячеслав Аксёнов
 
PDF
ISMS audit and implementation
Вячеслав Аксёнов
 
PDF
Курс: Основы информационной безопасности.
Вячеслав Аксёнов
 
Создание автоматизированных систем в защищенном исполнении
Вячеслав Аксёнов
 
Clouds security (responsibility and information relations)
Вячеслав Аксёнов
 
Сети управления. Поддержка доступности сетей при кибератаке
Cisco Russia
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Вячеслав Аксёнов
 
Cloud security risk management (fragment of course materials)
Вячеслав Аксёнов
 
Attestation of personal data protection systems
Вячеслав Аксёнов
 
ISMS audit and implementation
Вячеслав Аксёнов
 
Курс: Основы информационной безопасности.
Вячеслав Аксёнов
 

What's hot (17)

PDF
Information Security Legislations (BY)
Вячеслав Аксёнов
 
PDF
Управление информационной безопасностью
Вячеслав Аксёнов
 
PDF
Курс: Аудит информационной безопасности (Information Security Audit Course)
Вячеслав Аксёнов
 
PDF
Требования по иб фстэк (госис, пдн, асу тп) V.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Курс: Оценка и управление рисками информационной безопасности в организации
Вячеслав Аксёнов
 
PDF
пр Особенности обработки и защиты ПДн в медицине
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
требования по иб фстэк (госис, пдн, асу тп) V.1.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Iw про compliance 2013 03-05 16на9
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
PDF
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
PDF
Проект приказа ФСТЭК по защите информации в АСУ ТП
Aleksey Lukatskiy
 
PDF
пр Обзор Методических рекомендаций по ГосСОПКА
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
PDF
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Expolink
 
PDF
пр Solar inView Безопасность под контролем, в.1.3
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPT
пр1 про пп1119 и soiso 2013 03-14
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Information Security Legislations (BY)
Вячеслав Аксёнов
 
Управление информационной безопасностью
Вячеслав Аксёнов
 
Курс: Аудит информационной безопасности (Information Security Audit Course)
Вячеслав Аксёнов
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Курс: Оценка и управление рисками информационной безопасности в организации
Вячеслав Аксёнов
 
пр Особенности обработки и защиты ПДн в медицине
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Iw про compliance 2013 03-05 16на9
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Aleksey Lukatskiy
 
пр Обзор Методических рекомендаций по ГосСОПКА
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Expolink
 
пр Solar inView Безопасность под контролем, в.1.3
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр1 про пп1119 и soiso 2013 03-14
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Ad

Similar to Information Security Presentation (B.E.E.R 2021) (20)

PDF
Aksionov_B_E_E_R_2022.pdf
trenders
 
PDF
Information security systems development
Вячеслав Аксёнов
 
PDF
Аксёнов_Опыт построения СЗИ.pdf
trenders
 
PDF
Проектирование_СЗИ_персональных_данных_практикум.pdf
trenders
 
PDF
Проектирование СЗИ.pdf
trenders
 
PPT
Оценка защищенности информационных систем, использующих средства криптографич...
SQALab
 
PPTX
Проблемы при подключении к сетям общего пользования
Alexander Dorofeev
 
PDF
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Вячеслав Аксёнов
 
PDF
Современные средства обеспечения кибербезопасности АСУ ТП
Alexander Dorofeev
 
PPT
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
SQALab
 
PDF
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
 
PPTX
Защита ГИС
Алексей Кураленко
 
PDF
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
trenders
 
PDF
Текущее состояние и тенденции развития НПА по ИБ
Cisco Russia
 
PDF
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
 
PPTX
Стадии жизненного цикла информационных систем и выполнение требований законод...
ActiveCloud
 
PPTX
Жизненный цикл СЗИ или с чего начать?
Александр Лысяк
 
PDF
Информационная безопасность
Datamodel
 
PPTX
презентация доклада масановца
Mathmodels Net
 
PPTX
лекция 1 основные понятия кб
nikolaeva-tatiana
 
Aksionov_B_E_E_R_2022.pdf
trenders
 
Information security systems development
Вячеслав Аксёнов
 
Аксёнов_Опыт построения СЗИ.pdf
trenders
 
Проектирование_СЗИ_персональных_данных_практикум.pdf
trenders
 
Проектирование СЗИ.pdf
trenders
 
Оценка защищенности информационных систем, использующих средства криптографич...
SQALab
 
Проблемы при подключении к сетям общего пользования
Alexander Dorofeev
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Вячеслав Аксёнов
 
Современные средства обеспечения кибербезопасности АСУ ТП
Alexander Dorofeev
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
SQALab
 
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
 
Защита ГИС
Алексей Кураленко
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
trenders
 
Текущее состояние и тенденции развития НПА по ИБ
Cisco Russia
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
 
Стадии жизненного цикла информационных систем и выполнение требований законод...
ActiveCloud
 
Жизненный цикл СЗИ или с чего начать?
Александр Лысяк
 
Информационная безопасность
Datamodel
 
презентация доклада масановца
Mathmodels Net
 
лекция 1 основные понятия кб
nikolaeva-tatiana
 
Ad

More from Вячеслав Аксёнов (13)

PDF
Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Вячеслав Аксёнов
 
PDF
Aksionov_CyberSecurity Training Courses_2023.pdf
Вячеслав Аксёнов
 
PDF
CIS Critical Security Controls аудит, внедрение, автоматизация
Вячеслав Аксёнов
 
PDF
Information security risk management presentation
Вячеслав Аксёнов
 
PDF
Information Security Audit (Course)
Вячеслав Аксёнов
 
PDF
Построение архитектуры безопасности предприятия
Вячеслав Аксёнов
 
PDF
Техническая защита персональных данных в Беларуси (Версия 2)
Вячеслав Аксёнов
 
PDF
Техническая защита персональных данных в Беларуси
Вячеслав Аксёнов
 
PDF
Information Security Presentation (B.E.E.R - 2019)
Вячеслав Аксёнов
 
PDF
Legislation and Responsibility (VMUG Presentation)
Вячеслав Аксёнов
 
PDF
Legislation and Responsibility (VMUG #7 Belarus)
Вячеслав Аксёнов
 
PDF
Risks of non-compliance with regulatory requirements
Вячеслав Аксёнов
 
PDF
G-Clouds Architecture and Security (fragment of course materials)
Вячеслав Аксёнов
 
Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Вячеслав Аксёнов
 
Aksionov_CyberSecurity Training Courses_2023.pdf
Вячеслав Аксёнов
 
CIS Critical Security Controls аудит, внедрение, автоматизация
Вячеслав Аксёнов
 
Information security risk management presentation
Вячеслав Аксёнов
 
Information Security Audit (Course)
Вячеслав Аксёнов
 
Построение архитектуры безопасности предприятия
Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси (Версия 2)
Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси
Вячеслав Аксёнов
 
Information Security Presentation (B.E.E.R - 2019)
Вячеслав Аксёнов
 
Legislation and Responsibility (VMUG Presentation)
Вячеслав Аксёнов
 
Legislation and Responsibility (VMUG #7 Belarus)
Вячеслав Аксёнов
 
Risks of non-compliance with regulatory requirements
Вячеслав Аксёнов
 
G-Clouds Architecture and Security (fragment of course materials)
Вячеслав Аксёнов
 

Information Security Presentation (B.E.E.R 2021)

  • 1. Защита информации «All Inclusive»: от персональных данных до критических инфраструктур. Соберем конструктор вместе (Практический кейс) Вячеслав Аксёнов, Enterprise Security Architect BEST ENGINEERING EVENT OF THE REPUBLIC B.E.E.R 2021
  • 2. Организация: ООО «XYZ». Частная форма собственности. Информационные системы/ресурсы:  CRM.  1С.  СПО – (web-приложение. оказание платных услуг физ. лицам).  ПО АРМ «Плательщик» (МНС), ПО «Ввод ДПУ» (ФСЗН), Консультант-Плюс, клиент-банк, почта, MS Project, web-сайт, хранилище файлов. Инфраструктура:  ЦОД (поставщика услуг): Серверный шкаф: серверы, оборудование СХД и СПД.  Офис: ПК сотрудников, обеспечивающая IT-инфраструктура.
  • 4. Проект: Этап 1. Определение применимых требований. Этап 2. Реализация требований.
  • 5. Определение применимых требований ИНФОРМАЦИЯ распространение и (или) предоставление которой ограничено общедоступная персональные данные коммерческая тайна профессиональная тайна банковская тайна служебная информация ограниченного распространения государственные секреты Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» ГЛАВА 3
  • 6. Определение применимых требований 3. Кто является владельцем (собственником) ИС? 1. Какая информация обрабатывается в ИС? Наша организация Другая организация общедоступная гос. секреты перс. данные ком. тайна (тайна юр. лица) служебная (ДСП) Реализация мероприятий по проектированию, созданию и аттестации СЗИ НАШЕЙ ОРГАНИЗАЦИИ НЕ ТРЕБУЕТСЯ Реализация мероприятий по проектированию, созданию и аттестации СЗИ ИС 2. Является ли наша организация государственной? Регулятор КГБ Требования супер секретные J ДА НЕТ
  • 7. На основании соответствия критериям отнесения к КВОИ Показатели уровня вероятного ущерба национальным интересам Республики Беларусь в политической, экономической, социальной, информационной, экологической и иных сферах в случае создания угроз информационной безопасности либо в результате возникновения рисков информационной безопасности в отношении объекта информатизации, не предназначенного для проведения работ с использованием государственных секретов (его составляющих элементов) Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 65 Определение применимых требований
  • 8. 1. Составление перечня (реестра) информационных систем и ресурсов. 2. Категорирование информации (информационных систем) в соответствии с законодательством об информации, информатизации и защите информации. 3. Классификация информационных систем и ресурсов. 4. Определение применимых требований. Этап 1. Определение применимых требований
  • 15. Группа Общедоступная информация Информация, распространение и (или) предоставление которой ограничено Подгруппа Изолированная Открытая Изолированная Открытая Категория частн гос частн гос фл юл дсп фл юл дсп Класс 6-частн 6-гос 5-частн 5-гос 4-фл 4-юл 4-дсп 3-фл 3-юл 3-дсп частн - негосударственные ИС; гос - государственные ИС; изолированная - не имеет подключений к открытым каналам передачи данных; открытая - подключена к открытым каналам передачи данных; фл - информация о частной жизни физического лица и персональные данные, иная информация, составляющая охраняемую законом тайну физического лица; юл - информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением гос секретов и ДСП); дсп - служебная информация ограниченного распространения. Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 Классификация ИС/ИР
  • 17. Классификация ИС/ИР Приложение 2 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
  • 18. Необходимо создавать аттестованную СЗИ 3. Кто является владельцем (собственником) ИС? 1. Какая информация обрабатывается в ИС? Наша организация Другая организация общедоступная гос. секреты перс. данные ком. тайна (тайна юр. лица) служебная (ДСП) Реализация мероприятий по проектированию, созданию и аттестации СЗИ НАШЕЙ ОРГАНИЗАЦИИ НЕ ТРЕБУЕТСЯ Реализация мероприятий по проектированию, созданию и аттестации СЗИ ИС 2. Является ли наша организация государственной? Регулятор КГБ Требования супер секретные J ДА НЕТ
  • 20. На основании соответствия критериям отнесения к КВОИ Определение применимых требований Показатели уровня вероятного ущерба национальным интересам Республики Беларусь в политической, экономической, социальной, информационной, экологической и иных сферах в случае создания угроз информационной безопасности либо в результате возникновения рисков информационной безопасности в отношении объекта информатизации, не предназначенного для проведения работ с использованием государственных секретов (его составляющих элементов) Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 65
  • 21. Показатели уровня вероятного ущерба … Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 65 Оценка соответствия критериям отнесения к КВОИ
  • 23. Примечания: 1. Обозначения «4-фл», «4-юл», «4-дсп», «3-фл», «3-юл» и «3-дсп» соответствуют классам типовых информационных систем. 2. Требования, отмеченные знаком «+», являются обязательными. 3. Требования, отмеченные знаком «+/–», являются рекомендуемыми. Перечень требований к СЗИ Приложение 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно- аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
  • 24. Перечень требований к СЗИ Приложение 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
  • 25. Rout - Использование маршрутизатора (коммутатора маршрутизирующего) FW - Использование межсетевого экрана. IDS - Обеспечение обнаружения и предотвращения вторжений в информационной системе. AV EP - Обеспечение защиты СВТ от вредоносных программ. AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ. AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ. VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного или предварительного шифрования). DLP - Использование системы обнаружения и предотвращения утечек информации из ИС. LM - Обеспечение централизованного сбора и хранения информации о событиях ИБ. IDM - Обеспечение централизованного управления учетными записями пользователей ИС. AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования. Перечень требований к СЗИ Класс ИС FW IDS AV EP VPN LM DLP 3-дсп 3-юл 3-фл 4-дсп 4-юл 4-фл IDM AM AV NET AV MAIL Rout
  • 26. Требования к проведению комплекса мероприятий (последовательность выполнения работ) Требования к организационным мерам (политика, регламенты). Требования к техническим мерам (средства защиты) Этап 2. Реализация требований
  • 27. Категорирование информации Классификация ИС Анализ структуры ИС Разработка/дорабо тка политики ИБ Разработка технического задания на создание СЗИ Определение требований к средствам ЗИ, подлежащим к закупке Разработка документа «Общая схема СЗИ» Ввод в действие СЗИ: закупка, монтаж, пусконаладочные работы Разработка (корректировка) документации на систему ЗИ Подготовка исходных данных для проведения аттестации Разработка программы и методики аттестации Проведение аттестации системы защиты информации Оформление технического отчета и протокола испытаний Оформление аттестата соответствия Проект (последовательность работ) «Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», «Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденные Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66
  • 28. • цели и принципы защиты информации в организации; • перечень информационных систем, отнесенных к соответствующим классам типовых информационных систем, а также отдельно стоящих электронных собственности или ином законном основании, с указанием подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации; • обязанности пользователей информационной системы; • порядок взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия), в том числе при осуществлении информационных отношений на правах операторов, посредников, пользователей информационных систем и обладателей информации. Политика информационной безопасности • резервирования и уничтожения информации; • защиты от вредоносного программного обеспечения; • использования съемных носителей информации; • использования электронной почты; • обновления средств защиты информации; • осуществления контроля (мониторинга) за функционированием информационной системы и системы защиты информации; • реагирования на события информационной безопасности и ликвидации их последствий; • управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению. Регламенты Политика, регламенты
  • 29. Средства защиты Область применения Маршрутизатор Cisco ISR 4321/K9 Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Межсетевой экран Cisco Firepower FPR1120-NGFW-K9 Многофункциональное устройство защиты информации FortiGate-100 FG-100F Межсетевое экранирование. Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Обеспечение сегментирования (изоляции) сети управления объектами информационной системы от сети передачи данных. Обеспечение обнаружения и предотвращения вторжений в информационной системе. Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ Программно-аппаратный комплекс «Шлюз безопасности Bel VPN Gate 4.5» Криптографическая защита информации Обеспечение защищенного канала передачи данных между рабочими местами субъектов информационной системы и объектами Обеспечение защищенного канала передачи данных при взаимодействии с иными информационными системами. Программный продукт «Клиент безопасности Bel VPN Client-P 4.1» Криптографическая защита информации. Обеспечение защищенного канала передачи данных между рабочими местами субъектов информационной системы и объектами Программный комплекс «Сервер TLS АВЕСТ» (AvTLSSrv) Криптографическая защита информации Идентификация пользователя с использованием сертификата открытого ключа изданного РУЦ ГосСУОК. Коммутатор Cisco Nexus N3K-C3524P-10GX Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Средства защиты информации
  • 30. Endpoint Security for Windows Endpoint Security for Linux Secure Mail Gateway Security Center Advanced Malware Protection Cisco Firepower 1120 NGFW Appliance Средства защиты информации
  • 31. Руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации. (п.15) Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о технической и криптографической защите информации
  • 32. СПАСИБО ЗА ВНИМАНИЕ! Вячеслав Аксёнов, Enterprise Security Architect