![Page 1: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/1.jpg)
Ведущий специалист по информационной безопасности
СТАДИИ ЖИЗНЕННОГО ЦИКЛА ИНФОРМАЦИОННЫХ СИСТЕМ.
Вячеслав Аксёнов
ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА.
+375 29 861 76 [email protected]
![Page 2: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/2.jpg)
Республика Беларусь (2011-2015 гг.)
2011 - Стандарты серии СТБ ISO/IEC 2700x2011 - Безопасность КВОИ (Указ Президента РБ № 486)2013 - Закон о коммерческой тайне2013 - ТР 2013/027/BY2014 - Стандартизация обеспечение информационной безопасности банков2015 - Приказ ОАЦ № 3 от 16.01.2015.
Тенденции в сфере ЗИ
2/13
![Page 3: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/3.jpg)
Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания
Стадии создания систем
3/13
ГОСТ 34.601-90Формирование
требований Разработка концепции Техническое задание
Сопровождение Вывод из эксплуатации Эскизный проект
Технических проектРабочая документацияВвод в действие
ГОСТ Р 51583-2014
ISO/IEC/IEEE 15288:2015ГОСТ Р ИСО/МЭК 15288-2005
![Page 4: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/4.jpg)
Приказ ОАЦ при Президенте РБ от 30.08.2013 № 62Жизненный цикл СЗИ
4/13
Проектирование СЗИ
Формирование требований к СЗИ
Формирование требований к ИС
Разработка концепции АС
Техническое задание
Создание СЗИ
Разработка задания по безопасности
Проектирование (разработка) СЗИ
Эскизный проект
Технический проект
Рабочая документация
Внедрение СЗИ (без аттестации)Ввод в действие ИС
(без приемки в промышленную эксплуатацию)
Аттестация СЗИ
Эксплуатация СЗИ
Выво
д из
экс
плуа
таци
и
Сопровождение СЗИ
Сопровождение ИС
ГОСТ 34.601-90
![Page 5: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/5.jpg)
Проектирование СЗИ
Законодательство РБ об информации, информатизации и защите информациитермины и определения в области автоматизированных системтермины и определения в области ЗИ
Термины и определения. Стадии
5/13
ПРОЕКТИРОВАНИЕ СЗИ
Определение перечня информации, подлежащей защите
Классификация объекта информатизации
Разработка модели угроз безопасности информации;
Разработка технического задания
Разработка задания по безопасности на ИС
ГОСТ 34.003-90
СТБ ГОСТ Р 50922-2000
![Page 6: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/6.jpg)
Проектирование СЗИ
Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»
Общедоступная
Ограниченного распространения
Служебная
Гос. секреты
Определение перечня информации подлежащей защите
6/13
ИНФОРМАЦИЯ
распространение и (или) предоставление которой
ограниченообщедоступная
персональные данные коммерческая тайна
профессиональная тайна банковская тайна
служебная информация ограниченного
распространениягосударственные секреты
![Page 7: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/7.jpg)
Проектирование СЗИ
Классификация объектов информатизации
7/13
Одна контролируемая
зона (КЗ)
Несколько КЗ + соединение
каналами передачи
Каналы передачи
выходят за пределы КЗ
Общедоступная информация А3 Б3 В3Информация, распространение и (или) предоставление которой ограничено А2 Б2 В2Государственные секреты А1 Б1
СТБ 34.101.30-2007
![Page 8: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/8.jpg)
Проектирование СЗИ
Определение перечня защищаемых активов*
8/13
Конфиденциальность Целостность Доступность Подлинность Сохранность
Линии связи / СПД Аппаратное обеспечение Программное обеспечение . . . . . . . . . ? ? ? ? ?Данные
* Матрица требований, предъявляемых к защищаемым активам (пример формы представления)
СТБ ISO/IEC 27005-2012 СТБ 34.101.61-2013
![Page 9: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/9.jpg)
Проектирование СЗИ
Модель угроз
Угроза
Источник
Метод реализации
Актив
Уязвимость
Вероятность
Ущерб
Моделирование угроз ИБ
9/13
Модель нарушителя
Компетентность / Квалификация
Ресурсы
Мотивация
СТБ ISO 31000-2015 СТБ ISO/IEC 27005-2012 СТБ 34.101.61-2013
http://bdu.fstec.ru/threat
![Page 10: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/10.jpg)
Проектирование СЗИ
Техническое задание:
Модель угроз
Требования к функциям (задачам), выполняемым СЗИ
Состав и содержание работ по созданию СЗИ
Требования к документированию
Тех. задание / Задание по безопасности
10/13
Задание по безопасности:
Модель угроз
Функциональные требования
Гарантийные требования
Общая спецификация
ГОСТ 34.602-89
СТБ 34.101.1-2014СТБ 34.101.2-2014СТБ 34.101.3-2014
http://www.cisecurity.org/critical-controls.cfm
![Page 11: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/11.jpg)
Создание СЗИ
11/13
• Разработка и внедрение организационно-распорядительных документов, определяющих мероприятия по ЗИ
• Внедрение запланированных к исполнению СрЗИ (закупка, монтаж и пуско-наладочные работы средств защиты информации в соответствии с эксплуатационной документацией)
• Предварительные испытания СЗИ• Опытная эксплуатация СЗИ и доработка• Приемочные испытания СЗИ
Создание СЗИ
ГОСТ 34.201-89 ГОСТ 34.603-92 http://benchmarks.cisecurity.org/
![Page 12: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/12.jpg)
Аттестация / Эксплуатация СЗИ
12/13
Аттестация СЗИ
Ввод в действие ИС Эксплуатация Модернизаци
яВывод из
эксплуатации
![Page 13: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/13.jpg)
Подробная информация по вопросам создания СЗИСтадии ЖЦ СЗИ
13/13
http://goo.gl/xboFDM
НПА, ТНПА
Рекомендации
Документация
ЧТО?
ЗАЧЕМ?
ГДЕ ВЗЯТЬ?
![Page 14: Стадии жизненного цикла информационных систем и выполнение требований законодательства](https://reader036.vdocuments.pub/reader036/viewer/2022062503/5876e6661a28ab046d8b611d/html5/thumbnails/14.jpg)
СПАСИБО!
Ведущий специалист по информационной безопасности
Вячеслав Аксёнов
+375 29 861 76 [email protected]