СОЗДАНИЕ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В

ЗАЩИЩЕННОМ ИСПОЛНЕНИИ

Учебный центр Softline

Вячеслав Аксёнов | itsec.by

НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ

2/91

1. Конституция

2. Указы/Декреты Президента

3. Кодексы

4. Законы

5. Постановления Совета

Министров

6. Приказы ОАЦ

Закон Республики Беларусь

от 10 января 2000 г. №361-З

«О нормативных правовых

актах Республики Беларусь»

Статья 10

Иерархия

ТНПА РБ(> 100)

Методы и средства

безопасности

Требования и средства защиты

информации от НСД

Защита информации

Системы менеджмента информационной

безопасности

Критерии оценки безопасности ИТ

Обеспечение информационной безопасности банков

КВОИ

Информационные технологии

Информационные технологии и безопасность

ГОСТ ISO 19011-2013

УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА

PLAN

Роли, ответственность, компетентность.

Объем программы

Риски программы

Процедуры Ресурсы

Установление целей программы аудита

Установление программы аудита

DO

Цель, область применения, критерии для каждого аудита.

Выбор методов аудита Назначение

руководителя команды по аудиту (ответственный)

Менеджмент выходных данных

Менеджмент записей

Внедрение программы аудита

CHECK

Мониторинг программы аудита

ACT

Анализ и улучшение программы аудита

Компетентность и оценивание

аудиторов

Проведение аудита

Стадии создания систем

ГОСТ 34.601-90

Информационная

технология. Комплекс

стандартов на

автоматизированные

системы.

Автоматизированные

системы. Стадии создания

Формирование требований

Разработка концепции Техническое задание

Сопровождение Вывод из эксплуатации Эскизный проект

Технических проектРабочая документацияВвод в действие

ГОСТ Р 51583-2014

ISO/IEC/IEEE 15288:2015

ГОСТ Р ИСО/МЭК 15288-2005

Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62

Жизненный цикл СЗИ

Проектирование СЗИ

Формирование требований к СЗИ

Формирование требований к ИС

Разработка концепции АС

Техническое задание

Создание СЗИ

Разработка задания по безопасности

Проектирование (разработка) СЗИ

Эскизный проект

Технический проект

Рабочая документация

Внедрение СЗИ (без аттестации)

Ввод в действие ИС (без приемки в промышленную

эксплуатацию)

Аттестация СЗИ

Эксплуатация СЗИ

Вы

вод

из

эксп

луат

аци

и

Сопровождение СЗИ

Сопровождение ИС

ГОСТ 34.601-90

Управление проектом

СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ

ОБСЛЕДОВАНИЕ ИС (СЗИ ИС)Формирование требований к СЗИ

Чек-листы

Анкеты-опросники

Отчет по результатам обследования

Проектирование СЗИ

Классификация объектов

информатизации

Одна

контролируемая

зона (КЗ)

Несколько КЗ +

соединение

каналами

передачи

Каналы

передачи

выходят за

пределы КЗ

Общедоступная информация А3 Б3 В3

Информация, распространение и (или)

предоставление которой ограничено А2 Б2 В2

Государственные секреты А1 Б1

СТБ 34.101.30-2007

Проектирование СЗИ

Определение перечня защищаемых

активов*

Конфиденциаль

ностьЦелостность Доступность Подлинность Сохранность

Линии связи / СПД

Аппаратное обеспечение

Программное обеспечение

. . . . . . . . . ? ? ? ? ?

Данные

* Матрица требований, предъявляемых к защищаемым активам (пример формы представления)

РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯФормирование требований к СЗИ

Система защиты информации.

Техническое задание

Проектирование СЗИ

Тех. задание / Задание по безопасности

ГОСТ 34.602-89 СТБ 34.101.1-2014 СТБ 34.101.2-2014 СТБ 34.101.3-2014

Техническое задание на создание СЗИ

1. Общие сведения2. Назначение и цели

создания СЗИ

3. Характеристика объекта защиты

4. Требования к СЗИ

5. Состав и содержание работ по

созданию СЗИ

6. Порядок контроля и приемки

7. Требования к составу и содержанию работ по подготовке к вводу СЗИ в действие

8. Требования к документированию

9. Источники разработки

10. Перечень принятых сокращений

Задание по безопасности на ИС

1. Введение в описание ЗБ

2. Описание объекта

3. Среда безопасности объекта

4. Задачи безопасности

5. Требования безопасности

Для объекта

Функциональные

Гарантийные

Для среды6. Общая

спецификация

8. Обоснование7. Требования

соответствия ПЗ

ПРОЕКТ. РАБОЧАЯ ДОКУМЕНТАЦИЯРазработка (проектирование) СЗИ

Система защиты информации. Эскизный проект.

Система защиты информации. Технический проект.

Система защиты информации. Рабочая документация.

ЗАДАНИЕ ПО БЕЗОПАСНОСТИРазработка (проектирование) СЗИ

Автоматизированная информационная система.

Задание по безопасности.

ПОЛИТИКА ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИВнедрение (создание) СЗИ

Автоматизированная информационная система.

Система защиты информации.

Политика информационной безопасности.

ЛОКАЛЬНЫЕ НПА ОРГАНИЗАЦИИ

Внедрение (создание) СЗИ

Регламент использования объектов информационной системы и их управления

(администрирования).

Регламент резервирования и уничтожения информации.

Регламент защиты от вредоносного программного обеспечения. Порядок выявления угроз, которые могут

привести к сбоям, нарушению

функционирования информационной системы.

Порядок реагирования на инциденты

информационной безопасности.

Порядок контроля (мониторинга) за

функционированием информационной

системы.

КОМПЛЕКТ ДОКУМЕНТОВ В

СООТВЕТСТВИИ С УГО

Внедрение (создание) СЗИ

Базовый проект.

Использование системы управления

конфигурацией.

Описание архитектуры безопасности.

Анализ уязвимостей.

Подготовительные процедуры.

Покрытие управлением конфигурации

частей объекта оценки.

Процедуры поставки.

Руководство пользователя.

Функциональная спецификация

реализации безопасности.

ОПЫТНАЯ ЭКСПЛУАТАЦИЯ

Внедрение (создание) СЗИ

Журнал опытной эксплуатации.

План-график устранения недостатков по

результатам опытной эксплуатации (при

необходимости).

Документ «Тестирование».

ПРИЕМОЧНЫЕ ИСПЫТАНИЯ СЗИВнедрение (создание) СЗИ

Программа и методика приемочных испытаний.

Протокол приемочных испытаний.

Акт приемочных испытаний.

ПРОВЕДЕНИЕ АТТЕСТАЦИИ

Аттестация СЗИ

анализ исходных данных;

разработка программы аттестации;

предварительное ознакомление с ИС и СЗИ;

проведение обследования ИС и СЗИ;

проверка правильности отнесения ИС к классу тип. ОИ, выбора и СрЗИ;

анализ орг.структуры, состава и структуры комплекса ТС и ПО ИС, информационных потоков,

состава и структуры комплекса ТС и ПО СЗИ;

анализ разработанной документации и ее соответствие требованиям законодательства;

проверка подготовки кадров и распределения ответственности персонала за организацию и

обеспечение ИБ;

проведение испытаний СЗИ на предмет выполнения установленных требований безопасности;

оформление протоколов испытаний и заключения по результатам проверок;

оформление аттестата соответствия.

ул. Мележа, 5/2, офис 1103

220113, г. Минск, Беларусь

+375 17 2161866, educ@softline.by

Спасибо за внимание!

Учебный центр Softline

http://edu.softline.by