SlideShare a Scribd company logo

Information security systems development

В
Вячеслав Аксёнов

Документ описывает проектирование системы защиты информации для информационной системы, размещенной на платформе IaaS, включая ключевые этапы и необходимые документы, такие как акты классификации и техническое задание. Целью проекта является получение аттестата соответствия согласно законодательству РБ в области защиты информации. Также рассматриваются критерии успеха, классификация информации и требования к средствам защиты информации.

Education
Related topics:
Information Security
1 of 28
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Проектирование системы защиты информации (Мастер-класс) Вячеслав Аксёнов, Enterprise Security Architect BEST ENGINEERING EVENT OF THE REPUBLIC B.E.E.R 2022
Рассмотрим на примерах: 1. Реализацию комплекса мероприятий по защите информации. 2. Основные этапы и результаты 3. Как выглядят основные документы проекта (Акт классификации, ТЗ, Общая схема СЗИ) + Дополнительные материалы: шаблоны документов, инструмент для управления проектом.
Дано: Информационная система/ресурс: ➢ Сервер электронной почты (1 ВМ - Postfix). Инфраструктура: ➢ IaaS (поставщика услуг). ➢ Офис: обеспечивающая IT-инфраструктура (ПК сотрудников и т.п.). Цель проекта: ➢ Проектирование системы защиты информации информационной системы, размещенной с использованием IaaS. Критерий успеха: ➢ Получение аттестата соответствия.
Закон РБ от 10.11.2008 г. № 455-З «Об информации, информатизации и защите информации» Положение о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Положение о технической и криптографической защите информации Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Закон РБ от 05.01.2013 г. № 16-З «О коммерческой тайне» Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 О служебной информации ограниченного распространения и информации, составляющей коммерческую тайну Постановление Совета Министров РБ от 12 августа 2014 г. № 783 Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) Постановление Совета Министров РБ 15.05.2013 № 375 (в редакции постановления Совета Министров РБ 12.03.2020 № 145) Перечень государственных стандартов, взаимосвязанных с техническим регламентом Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (TP 2013/027/BY) Приказ ОАЦ от 12.03.2020 № 77 Более 50 актов
Основные НПА: Положение о технической и криптографической защите информации (Указ 196 в ред 449) Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (Приказ ОАЦ 66 в ред 195) Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (Приказ ОАЦ 66 в ред 195)
Этапы проекта: Категорирование информации и Классификация ИС Анализ структуры ИС Разработка / доработка политики ИБ Разработка технического задания на создание СЗИ Определение требований к средствам ЗИ, подлежащим закупке Разработка документа «Общая схема СЗИ» Ввод в действие СЗИ: закупка, монтаж, пусконаладочные работы Разработка (корректировка) документации на систему ЗИ Разработка программы и методики аттестации Проведение аттестации системы защиты информации Оформление технического отчета и протокола испытаний Оформление аттестата соответствия
Категорирование / Классификация Деятельность Результат Назначить комиссию для проведения работ по категорированию информации и отнесению информационной системы к классу типовых информационных систем Приказ по организации Провести категорирование информации, которая будет обрабатываться в информационной системе, в соответствии с законодательством об информации, информатизации и защите информации, а также отнесение информационной системы к классу типовых информационных систем согласно приложению 1 Положение о порядке ТЗИ и КЗИ в ИС – Приказ ОАЦ 66 в ред 195 Акт отнесения информационной системы к классу типовых информационных систем
Группа Информация, распространение и (или) предоставление которой ограничено Подгруппа Изолированная Открытая Категория ин спец бг юл дсп ин спец бг юл дсп Класс 4-ин 4-спец 4-бг 4-юл 4-дсп 3-ин 3-спец 3-бг 3-юл 3-дсп изолированная - не имеет подключений к открытым каналам передачи данных; открытая - подключена к открытым каналам передачи данных; ин – персональные данные, за исключением специальных персональных данных; спец – специальные персональные данные, за исключением биометрических и генетических персональных данных; бг – биометрические и генетические персональные данные; юл – информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих гос секреты, и служебной информации ограниченного распространения); дсп – служебная информация ограниченного распространения. Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 (в редакции Приказа 195) Классификация ИС/ИР
Группа Информация, распространение и (или) предоставление которой ограничено Подгруппа Изолированная Открытая Категория ин спец бг юл дсп ин спец бг юл дсп Класс 4-ин 4-спец 4-бг 4-юл 4-дсп 3-ин 3-спец 3-бг 3-юл 3-дсп изолированная - не имеет подключений к открытым каналам передачи данных; открытая - подключена к открытым каналам передачи данных; ин – персональные данные, за исключением специальных персональных данных; спец – специальные персональные данные, за исключением биометрических и генетических персональных данных; бг – биометрические и генетические персональные данные; юл – информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих гос секреты, и служебной информации ограниченного распространения); дсп – служебная информация ограниченного распространения. Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 (в редакции Приказа 195) Классификация ИС/ИР
Классификация ИС/ИР результаты 1_Приказ О проведении классификации ИС ЭП.docx 2_Акт классификации ИС ЭП.docx
Анализ структуры ИС результаты ЦОД CSP IaaS VM MAIL Пользователь Системный администратор Администратор безопасности FW/IPS/AMP Имя IP VM CPU (ядра) RAM (Gb) SSD (Gb) Tier-1 IP внешние (кол-во) vEDGE NAT ОС bymail ххх.ххх.ххх.ххх 2 2 20 1 (ххх.ххх.ххх.ххх) Debian 10 № Перечень системного и прикладного ПО 1 MAIL-сервер(mail.xyz.by) 1.1 Системное ПО Debian 10 1.2 Прикладное ПО Postfix 3.5.8 1.3 Средства ЗИ Программное изделие «Kaspersky Security 8.0 для Linux Mail Server» Пользователь mail.xyz.by https Системный администратор Администратор безопасности Система управления виртуализацией Bel VPN Client vdc.csp.by/admin www.belgim.by Bel VPN Gate 3_Общее описание ИС ЭП.docx
https://www.sans.org/security- resources/policies http://securitypolicy.ru/ Политика ИБ Должна содержать: − цели и принципы ЗИ в организации; − перечень ИС, отнесенных к соотв. классам типовых ИС, перечень СВТ, а также сведения о подразделении ЗИ (должностном лице), ответственном за обеспечение ЗИ − обязанности пользователей ИС; − порядок взаимодействия с иными ИС (в случае предполагаемого взаимодействия). 4_Политика ИБ.docx
Техническое задание должно содержать: наименование ИС с указанием присвоенного ей класса типовых ИС; требования к СЗИ в зависимости от используемых технологий и класса типовых ИС на основе перечня согласно приложению 3; сведения об организации взаимодействия с иными ИС (в случае предполагаемого взаимодействия) с учетом требований согласно приложению 4; порядок обезличивания персональных данных (в случае их обработки в информационной системе) с применением методов согласно приложению 5 требования к средствам криптографической защиты информации; перечень документации на систему защиты информации. требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого собственника (владельца) Разрабатывается собственником (владельцем) ИС либо лицензиатом ОАЦ и утверждается собственником (владельцем) ИС. Собственник (владелец) ИС вправе не включать в техническое задание отдельные обязательные требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер Техническое задание
Перечень требований к СЗИ, подлежащих включению в ТЗ ❑ Аудит безопасности ❑ Требования по обеспечению защиты данных ❑ Требования по обеспечению идентификации и аутентификации ❑ Требования по защите системы защиты информации информационной системы ❑ Обеспечение криптографической защиты информации ❑ Дополнительные требования по обеспечению защиты информации в виртуальной инфраструктуре ❑ Иные требования Перечень требований к СЗИ Приложение 3 к Положению… Примечания: 1. Обозначения «4-ин» … «3-дсп» соответствуют классам типовых информационных систем. 2. Требования, отмеченные знаком «+», являются обязательными. 3. Требования, отмеченные знаком «+/–», являются рекомендуемыми.
Перечень требований к СЗИ Приложение 3 к Положению…
Перечень требований к СЗИ Приложение 3 к Положению… AV EP - Обеспечение защиты средств вычислительной техники от вредоносных программ. AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ. AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ. VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного шифрования). Pre-crypt - Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования). IC - Обеспечение контроля целостности данных в информационной системе (средства контроля целостности). DLP - Использование системы обнаружения и предотвращения утечек информации из информационной системы. LM - Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности. IDM - Обеспечение централизованного управления учетными записями пользователей информационной системы. AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования. Класс ИС FW IDS AV EP IC LM DLP 3-дсп 3-юл 3-бг 3-спец 3-ин IDM AM AV NET AV MAIL Rout Proxy / WAF Pre- crypt VPN Rout - Использование маршрутизатора (коммутатора маршрутизирующего) FW - Использование межсетевого экрана. Proxy / WAF - Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях. IDS - Обеспечение обнаружения и предотвращения вторжений в информационной системе.
Перечень требований к СЗИ Приложение 3 к Положению… AV EP - Обеспечение защиты средств вычислительной техники от вредоносных программ. AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ. AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ. VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного шифрования). Pre-crypt - Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования). IC - Обеспечение контроля целостности данных в информационной системе (средства контроля целостности). DLP - Использование системы обнаружения и предотвращения утечек информации из информационной системы. LM - Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности. IDM - Обеспечение централизованного управления учетными записями пользователей информационной системы. AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования. Класс ИС FW IDS AV EP IC LM DLP 3-дсп 3-юл 3-бг 3-спец 3-ин IDM AM AV NET AV MAIL Rout Proxy / WAF Pre- crypt VPN Rout - Использование маршрутизатора (коммутатора маршрутизирующего) FW - Использование межсетевого экрана. Proxy / WAF - Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях. IDS - Обеспечение обнаружения и предотвращения вторжений в информационной системе.
Класс ИС FW IDS AV EP LM 3-юл 3-ин IDM AM AV NET AV MAIL Rout Proxy / WAF VPN Распределение ответственности требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого собственника (владельца) Поставщик Потребитель Наименование требования Поставщик Потребитель 2.2 Обеспечение контроля за работоспособностью, параметрами настройки и правильностью функционирования средств вычислительной техники, сетевого оборудования, системного программного обеспечения и средств защиты информации В отношении: - виртуальной инфраструктуры IaaS - сетевого оборудования - дополнительных сервисов В отношении: - ПК администраторов - общесистемного ПО - программных средств защиты информации 6.1 Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг В отношении виртуальной инфраструктуры IaaS - 7.10 Обеспечение защиты средств вычислительной техники от вредоносных программ В отношении: - СВТ виртуальной инфраструктуры IaaS - ПК администраторов IaaS В отношении: - ПК администраторов - виртуальных машин
• резервирования и уничтожения информации; • защиты от вредоносного программного обеспечения; • использования съемных носителей информации; • использования электронной почты; • обновления средств защиты информации; • осуществления контроля (мониторинга) за функционированием информационной системы и системы защиты информации; • реагирования на события информационной безопасности и ликвидации их последствий; • управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению. Регламенты Перечень документации на СЗИ Функции Должностные лица и подразделения Должность 1 Должность 2 Должность 3 Функция №1 О И Функция №2 Р И И Функция № N Обозначения: О – ответственный за выполнение; У – участвует в выполнении; И – информируется Р – принимает решение, утверждает.
Техническое задание Результат 5_ТЗ на СЗИ ИС ЭП.docx
Общая схема СЗИ Общая схема системы защиты информации должна содержать: ❑ наименование информационной системы ❑ класс типовых информационных систем ❑ места размещения средств вычислительной техники, сетевого оборудования, системного и прикладного программного обеспечения, средств технической и криптографической защиты информации ❑ физические границы информационной системы ❑ внешние и внутренние информационные потоки и протоколы обмена защищаемой информацией
Общая схема СЗИ Результат 6_Общая схема СЗИ ИС ЭП.docx Требование Орг. меры Техн. меры Средства ЗИ 6.1 Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг - IaaS: встроенные функции гипервизора IaaS: VMware vSphere 6.5 Обеспечение резервирования сетевого оборудования по схеме N+1 - IaaS: Кластер сетевого оборудования - 7.6 Обеспечение резервирования информации, подлежащей резервированию ЛПА потребителя, регламентирующи е резервирование Встроенные функции объектов ИС (СУБД) IaaS: VMware vSphere; BaaS: Veeam Backup&Replication. 7.13 Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. - - IaaS: Сетевое оборудование; VMware NSX
Дальнейшие шаги: Этап 2. Создание СЗИ. Этап 3. Аттестация СЗИ комплекс организационно-технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации. На этапе создания системы защиты информации осуществляются: ❑ внедрение средств технической и криптографической защиты информации, проверка их работоспособности и совместимости с другими объектами информационной системы; ❑ разработка (корректировка) документации на систему защиты информации по перечню, определенному в техническом задании; ❑ реализация организационных мер по защите информации.
Руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации. (п.15) Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о технической и криптографической защите информации
Дополнительно Вкладки: − Введение - Назначение инструмента и используемые сокращения. − Руководство по заполнению - Рекомендации по заполнению таблиц. − Проект создания СЗИ - Отслеживание статуса реализации комплекса мероприятий по проектированию, созданию и аттестации СЗИ. − Реализация требований ТЗ - Отслеживание статуса реализации требований технического задания на создание СЗИ. − Сводная информация - Сводная информация о реализации проекта. Проект СЗИ_v.1.0.xlsx
Дополнительно Все шаблоны документов будут размещены на сайте конференции https://itg.by/
Дополнительно https://www.youtube.com/watch?v=dijG GSn6JYQ&t=1s https://www.slideshare.net/Viacheslav Aksionov/personal-data-protection- presentation-beer-winter-2021 Facebook Belarusian InfoSecurity Community Telegram Belarusian InfoSec Community itsec.by Telegram itsec.by Авторские курсы
СПАСИБО ЗА ВНИМАНИЕ! Вячеслав Аксёнов, Enterprise Security Architect

More Related Content

PDF
Проектирование_СЗИ_персональных_данных_практикум.pdf
trenders
 
PDF
Information Security Presentation (B.E.E.R 2021)
Вячеслав Аксёнов
 
PDF
Аксёнов_Опыт построения СЗИ.pdf
trenders
 
PDF
Проектирование СЗИ.pdf
trenders
 
PDF
Clouds security (responsibility and information relations)
Вячеслав Аксёнов
 
PPT
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
SQALab
 
PDF
Создание автоматизированных систем в защищенном исполнении
Вячеслав Аксёнов
 
PDF
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Вячеслав Аксёнов
 
Проектирование_СЗИ_персональных_данных_практикум.pdf
trenders
 
Information Security Presentation (B.E.E.R 2021)
Вячеслав Аксёнов
 
Аксёнов_Опыт построения СЗИ.pdf
trenders
 
Проектирование СЗИ.pdf
trenders
 
Clouds security (responsibility and information relations)
Вячеслав Аксёнов
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
SQALab
 
Создание автоматизированных систем в защищенном исполнении
Вячеслав Аксёнов
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Вячеслав Аксёнов
 

Similar to Information security systems development (20)

PPT
Оценка защищенности информационных систем, использующих средства криптографич...
SQALab
 
PDF
Текущее состояние и тенденции развития НПА по ИБ
Cisco Russia
 
PDF
Современные средства обеспечения кибербезопасности АСУ ТП
Alexander Dorofeev
 
PDF
Information Security Legislations (BY)
Вячеслав Аксёнов
 
PDF
Стадии создания АС в ЗИ (РБ).pdf
trenders
 
PDF
Attestation of personal data protection systems
Вячеслав Аксёнов
 
PDF
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Вячеслав Аксёнов
 
PPTX
Проблемы при подключении к сетям общего пользования
Alexander Dorofeev
 
PDF
требования по иб фстэк (госис, пдн, асу тп) V.1.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Защита ГИС
Алексей Кураленко
 
PDF
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
trenders
 
PDF
Требования по иб фстэк (госис, пдн, асу тп) V.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Информационная безопасность
Datamodel
 
PDF
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
 
PPTX
Обеспечение информационной безопасности систем, внедряемых в рамках ИТ-проектов
Max Shalomovich
 
PDF
Обеспечение защиты информации на стадиях жизненного цикла ИС
SelectedPresentations
 
PDF
методические рекомендации для гис
AKlimchuk
 
PPTX
Стадии жизненного цикла информационных систем и выполнение требований законод...
ActiveCloud
 
DOCX
Безопасность в Интернете
Matevosyan Artur
 
PPTX
Жизненный цикл СЗИ или с чего начать?
Александр Лысяк
 
Оценка защищенности информационных систем, использующих средства криптографич...
SQALab
 
Текущее состояние и тенденции развития НПА по ИБ
Cisco Russia
 
Современные средства обеспечения кибербезопасности АСУ ТП
Alexander Dorofeev
 
Information Security Legislations (BY)
Вячеслав Аксёнов
 
Стадии создания АС в ЗИ (РБ).pdf
trenders
 
Attestation of personal data protection systems
Вячеслав Аксёнов
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Вячеслав Аксёнов
 
Проблемы при подключении к сетям общего пользования
Alexander Dorofeev
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита ГИС
Алексей Кураленко
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
trenders
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Информационная безопасность
Datamodel
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
 
Обеспечение информационной безопасности систем, внедряемых в рамках ИТ-проектов
Max Shalomovich
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
SelectedPresentations
 
методические рекомендации для гис
AKlimchuk
 
Стадии жизненного цикла информационных систем и выполнение требований законод...
ActiveCloud
 
Безопасность в Интернете
Matevosyan Artur
 
Жизненный цикл СЗИ или с чего начать?
Александр Лысяк
 
Ad

More from Вячеслав Аксёнов (19)

PDF
Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Вячеслав Аксёнов
 
PDF
Aksionov_CyberSecurity Training Courses_2023.pdf
Вячеслав Аксёнов
 
PDF
CIS Critical Security Controls аудит, внедрение, автоматизация
Вячеслав Аксёнов
 
PDF
Information security risk management presentation
Вячеслав Аксёнов
 
PDF
Information Security Audit (Course)
Вячеслав Аксёнов
 
PDF
Построение архитектуры безопасности предприятия
Вячеслав Аксёнов
 
PDF
ISMS audit and implementation
Вячеслав Аксёнов
 
PDF
Техническая защита персональных данных в Беларуси (Версия 2)
Вячеслав Аксёнов
 
PDF
Техническая защита персональных данных в Беларуси
Вячеслав Аксёнов
 
PDF
Information Security Presentation (B.E.E.R - 2019)
Вячеслав Аксёнов
 
PDF
Legislation and Responsibility (VMUG Presentation)
Вячеслав Аксёнов
 
PDF
Legislation and Responsibility (VMUG #7 Belarus)
Вячеслав Аксёнов
 
PDF
Risks of non-compliance with regulatory requirements
Вячеслав Аксёнов
 
PDF
Управление информационной безопасностью
Вячеслав Аксёнов
 
PDF
G-Clouds Architecture and Security (fragment of course materials)
Вячеслав Аксёнов
 
PDF
Cloud security risk management (fragment of course materials)
Вячеслав Аксёнов
 
PDF
Курс: Аудит информационной безопасности (Information Security Audit Course)
Вячеслав Аксёнов
 
PPTX
Курс: Оценка и управление рисками информационной безопасности в организации
Вячеслав Аксёнов
 
PDF
Курс: Основы информационной безопасности.
Вячеслав Аксёнов
 
Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Вячеслав Аксёнов
 
Aksionov_CyberSecurity Training Courses_2023.pdf
Вячеслав Аксёнов
 
CIS Critical Security Controls аудит, внедрение, автоматизация
Вячеслав Аксёнов
 
Information security risk management presentation
Вячеслав Аксёнов
 
Information Security Audit (Course)
Вячеслав Аксёнов
 
Построение архитектуры безопасности предприятия
Вячеслав Аксёнов
 
ISMS audit and implementation
Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси (Версия 2)
Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси
Вячеслав Аксёнов
 
Information Security Presentation (B.E.E.R - 2019)
Вячеслав Аксёнов
 
Legislation and Responsibility (VMUG Presentation)
Вячеслав Аксёнов
 
Legislation and Responsibility (VMUG #7 Belarus)
Вячеслав Аксёнов
 
Risks of non-compliance with regulatory requirements
Вячеслав Аксёнов
 
Управление информационной безопасностью
Вячеслав Аксёнов
 
G-Clouds Architecture and Security (fragment of course materials)
Вячеслав Аксёнов
 
Cloud security risk management (fragment of course materials)
Вячеслав Аксёнов
 
Курс: Аудит информационной безопасности (Information Security Audit Course)
Вячеслав Аксёнов
 
Курс: Оценка и управление рисками информационной безопасности в организации
Вячеслав Аксёнов
 
Курс: Основы информационной безопасности.
Вячеслав Аксёнов
 
Ad

Information security systems development

  • 1. Проектирование системы защиты информации (Мастер-класс) Вячеслав Аксёнов, Enterprise Security Architect BEST ENGINEERING EVENT OF THE REPUBLIC B.E.E.R 2022
  • 2. Рассмотрим на примерах: 1. Реализацию комплекса мероприятий по защите информации. 2. Основные этапы и результаты 3. Как выглядят основные документы проекта (Акт классификации, ТЗ, Общая схема СЗИ) + Дополнительные материалы: шаблоны документов, инструмент для управления проектом.
  • 3. Дано: Информационная система/ресурс: ➢ Сервер электронной почты (1 ВМ - Postfix). Инфраструктура: ➢ IaaS (поставщика услуг). ➢ Офис: обеспечивающая IT-инфраструктура (ПК сотрудников и т.п.). Цель проекта: ➢ Проектирование системы защиты информации информационной системы, размещенной с использованием IaaS. Критерий успеха: ➢ Получение аттестата соответствия.
  • 4. Закон РБ от 10.11.2008 г. № 455-З «Об информации, информатизации и защите информации» Положение о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Положение о технической и криптографической защите информации Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 № 195) Закон РБ от 05.01.2013 г. № 16-З «О коммерческой тайне» Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных» Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено Приказ ОАЦ от 20.02.2020 № 66 О служебной информации ограниченного распространения и информации, составляющей коммерческую тайну Постановление Совета Министров РБ от 12 августа 2014 г. № 783 Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) Постановление Совета Министров РБ 15.05.2013 № 375 (в редакции постановления Совета Министров РБ 12.03.2020 № 145) Перечень государственных стандартов, взаимосвязанных с техническим регламентом Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (TP 2013/027/BY) Приказ ОАЦ от 12.03.2020 № 77 Более 50 актов
  • 5. Основные НПА: Положение о технической и криптографической защите информации (Указ 196 в ред 449) Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (Приказ ОАЦ 66 в ред 195) Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (Приказ ОАЦ 66 в ред 195)
  • 6. Этапы проекта: Категорирование информации и Классификация ИС Анализ структуры ИС Разработка / доработка политики ИБ Разработка технического задания на создание СЗИ Определение требований к средствам ЗИ, подлежащим закупке Разработка документа «Общая схема СЗИ» Ввод в действие СЗИ: закупка, монтаж, пусконаладочные работы Разработка (корректировка) документации на систему ЗИ Разработка программы и методики аттестации Проведение аттестации системы защиты информации Оформление технического отчета и протокола испытаний Оформление аттестата соответствия
  • 7. Категорирование / Классификация Деятельность Результат Назначить комиссию для проведения работ по категорированию информации и отнесению информационной системы к классу типовых информационных систем Приказ по организации Провести категорирование информации, которая будет обрабатываться в информационной системе, в соответствии с законодательством об информации, информатизации и защите информации, а также отнесение информационной системы к классу типовых информационных систем согласно приложению 1 Положение о порядке ТЗИ и КЗИ в ИС – Приказ ОАЦ 66 в ред 195 Акт отнесения информационной системы к классу типовых информационных систем
  • 8. Группа Информация, распространение и (или) предоставление которой ограничено Подгруппа Изолированная Открытая Категория ин спец бг юл дсп ин спец бг юл дсп Класс 4-ин 4-спец 4-бг 4-юл 4-дсп 3-ин 3-спец 3-бг 3-юл 3-дсп изолированная - не имеет подключений к открытым каналам передачи данных; открытая - подключена к открытым каналам передачи данных; ин – персональные данные, за исключением специальных персональных данных; спец – специальные персональные данные, за исключением биометрических и генетических персональных данных; бг – биометрические и генетические персональные данные; юл – информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих гос секреты, и служебной информации ограниченного распространения); дсп – служебная информация ограниченного распространения. Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 (в редакции Приказа 195) Классификация ИС/ИР
  • 9. Группа Информация, распространение и (или) предоставление которой ограничено Подгруппа Изолированная Открытая Категория ин спец бг юл дсп ин спец бг юл дсп Класс 4-ин 4-спец 4-бг 4-юл 4-дсп 3-ин 3-спец 3-бг 3-юл 3-дсп изолированная - не имеет подключений к открытым каналам передачи данных; открытая - подключена к открытым каналам передачи данных; ин – персональные данные, за исключением специальных персональных данных; спец – специальные персональные данные, за исключением биометрических и генетических персональных данных; бг – биометрические и генетические персональные данные; юл – информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих гос секреты, и служебной информации ограниченного распространения); дсп – служебная информация ограниченного распространения. Приложение 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено», утвержденное Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 (в редакции Приказа 195) Классификация ИС/ИР
  • 10. Классификация ИС/ИР результаты 1_Приказ О проведении классификации ИС ЭП.docx 2_Акт классификации ИС ЭП.docx
  • 11. Анализ структуры ИС результаты ЦОД CSP IaaS VM MAIL Пользователь Системный администратор Администратор безопасности FW/IPS/AMP Имя IP VM CPU (ядра) RAM (Gb) SSD (Gb) Tier-1 IP внешние (кол-во) vEDGE NAT ОС bymail ххх.ххх.ххх.ххх 2 2 20 1 (ххх.ххх.ххх.ххх) Debian 10 № Перечень системного и прикладного ПО 1 MAIL-сервер(mail.xyz.by) 1.1 Системное ПО Debian 10 1.2 Прикладное ПО Postfix 3.5.8 1.3 Средства ЗИ Программное изделие «Kaspersky Security 8.0 для Linux Mail Server» Пользователь mail.xyz.by https Системный администратор Администратор безопасности Система управления виртуализацией Bel VPN Client vdc.csp.by/admin www.belgim.by Bel VPN Gate 3_Общее описание ИС ЭП.docx
  • 12. https://www.sans.org/security- resources/policies http://securitypolicy.ru/ Политика ИБ Должна содержать: − цели и принципы ЗИ в организации; − перечень ИС, отнесенных к соотв. классам типовых ИС, перечень СВТ, а также сведения о подразделении ЗИ (должностном лице), ответственном за обеспечение ЗИ − обязанности пользователей ИС; − порядок взаимодействия с иными ИС (в случае предполагаемого взаимодействия). 4_Политика ИБ.docx
  • 13. Техническое задание должно содержать: наименование ИС с указанием присвоенного ей класса типовых ИС; требования к СЗИ в зависимости от используемых технологий и класса типовых ИС на основе перечня согласно приложению 3; сведения об организации взаимодействия с иными ИС (в случае предполагаемого взаимодействия) с учетом требований согласно приложению 4; порядок обезличивания персональных данных (в случае их обработки в информационной системе) с применением методов согласно приложению 5 требования к средствам криптографической защиты информации; перечень документации на систему защиты информации. требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого собственника (владельца) Разрабатывается собственником (владельцем) ИС либо лицензиатом ОАЦ и утверждается собственником (владельцем) ИС. Собственник (владелец) ИС вправе не включать в техническое задание отдельные обязательные требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер Техническое задание
  • 14. Перечень требований к СЗИ, подлежащих включению в ТЗ ❑ Аудит безопасности ❑ Требования по обеспечению защиты данных ❑ Требования по обеспечению идентификации и аутентификации ❑ Требования по защите системы защиты информации информационной системы ❑ Обеспечение криптографической защиты информации ❑ Дополнительные требования по обеспечению защиты информации в виртуальной инфраструктуре ❑ Иные требования Перечень требований к СЗИ Приложение 3 к Положению… Примечания: 1. Обозначения «4-ин» … «3-дсп» соответствуют классам типовых информационных систем. 2. Требования, отмеченные знаком «+», являются обязательными. 3. Требования, отмеченные знаком «+/–», являются рекомендуемыми.
  • 15. Перечень требований к СЗИ Приложение 3 к Положению…
  • 16. Перечень требований к СЗИ Приложение 3 к Положению… AV EP - Обеспечение защиты средств вычислительной техники от вредоносных программ. AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ. AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ. VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного шифрования). Pre-crypt - Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования). IC - Обеспечение контроля целостности данных в информационной системе (средства контроля целостности). DLP - Использование системы обнаружения и предотвращения утечек информации из информационной системы. LM - Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности. IDM - Обеспечение централизованного управления учетными записями пользователей информационной системы. AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования. Класс ИС FW IDS AV EP IC LM DLP 3-дсп 3-юл 3-бг 3-спец 3-ин IDM AM AV NET AV MAIL Rout Proxy / WAF Pre- crypt VPN Rout - Использование маршрутизатора (коммутатора маршрутизирующего) FW - Использование межсетевого экрана. Proxy / WAF - Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях. IDS - Обеспечение обнаружения и предотвращения вторжений в информационной системе.
  • 17. Перечень требований к СЗИ Приложение 3 к Положению… AV EP - Обеспечение защиты средств вычислительной техники от вредоносных программ. AV NET - Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ. AV MAIL - Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ. VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного шифрования). Pre-crypt - Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования). IC - Обеспечение контроля целостности данных в информационной системе (средства контроля целостности). DLP - Использование системы обнаружения и предотвращения утечек информации из информационной системы. LM - Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности. IDM - Обеспечение централизованного управления учетными записями пользователей информационной системы. AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования. Класс ИС FW IDS AV EP IC LM DLP 3-дсп 3-юл 3-бг 3-спец 3-ин IDM AM AV NET AV MAIL Rout Proxy / WAF Pre- crypt VPN Rout - Использование маршрутизатора (коммутатора маршрутизирующего) FW - Использование межсетевого экрана. Proxy / WAF - Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях. IDS - Обеспечение обнаружения и предотвращения вторжений в информационной системе.
  • 18. Класс ИС FW IDS AV EP LM 3-юл 3-ин IDM AM AV NET AV MAIL Rout Proxy / WAF VPN Распределение ответственности требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого собственника (владельца) Поставщик Потребитель Наименование требования Поставщик Потребитель 2.2 Обеспечение контроля за работоспособностью, параметрами настройки и правильностью функционирования средств вычислительной техники, сетевого оборудования, системного программного обеспечения и средств защиты информации В отношении: - виртуальной инфраструктуры IaaS - сетевого оборудования - дополнительных сервисов В отношении: - ПК администраторов - общесистемного ПО - программных средств защиты информации 6.1 Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг В отношении виртуальной инфраструктуры IaaS - 7.10 Обеспечение защиты средств вычислительной техники от вредоносных программ В отношении: - СВТ виртуальной инфраструктуры IaaS - ПК администраторов IaaS В отношении: - ПК администраторов - виртуальных машин
  • 19. • резервирования и уничтожения информации; • защиты от вредоносного программного обеспечения; • использования съемных носителей информации; • использования электронной почты; • обновления средств защиты информации; • осуществления контроля (мониторинга) за функционированием информационной системы и системы защиты информации; • реагирования на события информационной безопасности и ликвидации их последствий; • управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению. Регламенты Перечень документации на СЗИ Функции Должностные лица и подразделения Должность 1 Должность 2 Должность 3 Функция №1 О И Функция №2 Р И И Функция № N Обозначения: О – ответственный за выполнение; У – участвует в выполнении; И – информируется Р – принимает решение, утверждает.
  • 21. Общая схема СЗИ Общая схема системы защиты информации должна содержать: ❑ наименование информационной системы ❑ класс типовых информационных систем ❑ места размещения средств вычислительной техники, сетевого оборудования, системного и прикладного программного обеспечения, средств технической и криптографической защиты информации ❑ физические границы информационной системы ❑ внешние и внутренние информационные потоки и протоколы обмена защищаемой информацией
  • 22. Общая схема СЗИ Результат 6_Общая схема СЗИ ИС ЭП.docx Требование Орг. меры Техн. меры Средства ЗИ 6.1 Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг - IaaS: встроенные функции гипервизора IaaS: VMware vSphere 6.5 Обеспечение резервирования сетевого оборудования по схеме N+1 - IaaS: Кластер сетевого оборудования - 7.6 Обеспечение резервирования информации, подлежащей резервированию ЛПА потребителя, регламентирующи е резервирование Встроенные функции объектов ИС (СУБД) IaaS: VMware vSphere; BaaS: Veeam Backup&Replication. 7.13 Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. - - IaaS: Сетевое оборудование; VMware NSX
  • 23. Дальнейшие шаги: Этап 2. Создание СЗИ. Этап 3. Аттестация СЗИ комплекс организационно-технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации. На этапе создания системы защиты информации осуществляются: ❑ внедрение средств технической и криптографической защиты информации, проверка их работоспособности и совместимости с другими объектами информационной системы; ❑ разработка (корректировка) документации на систему защиты информации по перечню, определенному в техническом задании; ❑ реализация организационных мер по защите информации.
  • 24. Руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации. (п.15) Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449) Положение о технической и криптографической защите информации
  • 25. Дополнительно Вкладки: − Введение - Назначение инструмента и используемые сокращения. − Руководство по заполнению - Рекомендации по заполнению таблиц. − Проект создания СЗИ - Отслеживание статуса реализации комплекса мероприятий по проектированию, созданию и аттестации СЗИ. − Реализация требований ТЗ - Отслеживание статуса реализации требований технического задания на создание СЗИ. − Сводная информация - Сводная информация о реализации проекта. Проект СЗИ_v.1.0.xlsx
  • 26. Дополнительно Все шаблоны документов будут размещены на сайте конференции https://itg.by/
  • 28. СПАСИБО ЗА ВНИМАНИЕ! Вячеслав Аксёнов, Enterprise Security Architect