240 likes | 819 Views
Сидак Алексей Александрович. Особенности применения новых нормативных документов для защиты информационной инфраструктуры железнодорожной отрасли. Alexey Sidak. Features of New Normative Documents Application for Protection of Information Infrastructure of Railway Branch.
E N D
Сидак Алексей Александрович Особенности применения новых нормативных документов для защиты информационной инфраструктуры железнодорожной отрасли AlexeySidak Features of New Normative Documents Application for Protection of Information Infrastructure of Railway Branch
Основные принципы построения нормативной базы Структурно-функциональные характеристики ИС ИР ИР ИР Информационные ресурсы Категории (значимость) Угрозы Уровни (актуальность) Потенциал Нарушители Средства ЗИ
Стандарт ИСО/МЭК 15408 основа для задания требований безопасности к изделиям ИТ Общие критерии, версия. 2.1 РД ФСТЭК России, 2002 ISO 15408:1999 ГОСТ Р ИСО/МЭК 15408-2002 ОК, в. 2.3 ISO 15408:2005 ГОСТ Р ИСО/МЭК 15408-2008 ОК, в. 3.1 ГОСТ Р ИСО/МЭК 15408-1-2012 ISO 15408: 2008, 2009 ГОСТ Р ИСО/МЭК 18045-2013
Новая нормативная база для изделий ИТ • НПА ФСТЭК России «Требования к системам обнаружения вторжений» (Приказ ФСТЭК России от 6.12.2011 №638) • Профили защиты по ГОСТ Р ИСО/МЭК 15408 • НПА ФСТЭК России «Требования к средствам антивирусной защиты» (Приказ ФСТЭК России от 20.03.2012 №28) • Профили защиты по ГОСТ Р ИСО/МЭК 15408
НПА ФСТЭК России «Требования к СОВ» • Типы СОВ • Уровня сети • Уровня узла (хоста) • Классы защиты СОВ • … • четвертый • пятый • шестой ИС • Требования к СОВ • Функциональные • Доверия Профили защиты (по ГОСТ Р ИСО/МЭК 15408) Свидетельства Функциональные и процедурные вопросы обновления БРП регламентированы Задание по безопасности Требования по контролю отсутствия НДВ интегрированы Сертификация Изделие
НПА ФСТЭК России «Требования к средствам антивирусной защиты» • Типы САВЗ • А. Средства централизованного администрирования • Б. САВЗ для серверов ИС • В. САВЗ для АРМ ИС • Г. САВЗ для автономных АРМ ИС • Классы защиты САВЗ • … • четвертый • пятый • шестой • Требования к САВЗ • Функциональные • Доверия Профили защиты (по ГОСТ Р ИСО/МЭК 15408)
Нормативный правовой акт ФСТЭК России «ТРЕБОВАНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ» (утв. Приказом ФСТЭК России 2013 г. №17)
Формирование требований к ЗИ ИС • значимость обрабатываемой информации • масштаб ИС (федеральный, региональный, объектовый) Методический документ Классификация ИС • оценка возможностей нарушителей • анализ возможных уязвимостей • анализ способов реализации угроз • анализ возможных последствий Класс защищен- ности ИС Определение угроз. Разработка модели угроз МУ с угрозами • учет структурно-функциональных х-к ИС • учет иных нормативно-правовых док-тов • (в т.ч. ГОСТ Р ИСО/МЭК 27001) Требования
Меры защиты информации 13 групп мер ЗИ, 113 мер • идентификация и аутентификация субъектов доступа и объектов доступа • управление доступом субъектов доступа к объектам доступа • ограничение программной среды • защита машинных носителей информации • регистрация событий безопасности • антивирусная защита • обнаружение (предотвращение) вторжений • контроль (анализ) защищенности информации • целостность информационной системы и информации • доступность информации • защита среды виртуализации • защита технических средств • защита информационной системы, ее средств и систем связи и передачи данных
Выбор мер защиты информации Класс защищенности ИС Базовый набор мер ЗИ 1 Структурно-функциональные характеристики ИС, ИТ, особенности функционирования Адаптированный базовый набор мер ЗИ 2 Уточненный адаптированный базовый набор мер ЗИ Угрозы БИ, включенные в модель угроз БИ 3 Дополненный уточненный адаптированный базовый набор мер ЗИ Требования иных НПА (в т.ч. по ПДн) 4
Методический документ ФСТЭК России. Меры ЗИ в ГосИС III. Содержание мер ЗИ в ИС 3.1. Идентификация и аутентификация … (ИАФ) ИАФ.1 Идентификация и аутентификация пользователей … Требования к реализации ИАФ.1: … Требования к усилению ИАФ.1: … а) … … Содержание базовой меры ИАФ.1:
Использование компенсирующих мер ЗИ Адекватное блокирование (нейтрализация) угроз 1 Невозможность реализации Угрозы Мера 1 Мера 2 … Мера N Разработка: обоснование применения Разработка компенсирующих мер 2 Мера К Аттестационные испытания: оценка достаточности Мера 1 3 Мера К … Мера N
13 Выявление и анализ уязвимостей
Аттестация ИС Полная технология обработки информации Сегмент 1 Сегмент 1 Сегмент 2.1 Сегмент 2.1 Сегмент 2.2 Сегмент 2.2 Сегмент 3.1 Сегмент 3.1 Сегмент 3.2 Сегмент 3.2 Сегмент 3.3 Сегмент 3.4 • Одинаковые: • классы защищенности • актуальные угрозы • проектные решения Аттестат соответствия Распространение действия аттестата
Сохранение инвестиций Новые требования ЗИ Меры по Приказу №17 Реализованные меры Новые меры Результирующий набор мер
Безопасное использование мобильных устройств Приказ ФСТЭК России 2013 г. №17 Документ ФСТЭК России «Меры защиты …» Порядок использования мобильных технических средств в ОАО «РЖД», 2013 УПД.15 Регламентация и контроль использования в ИС мобильных ТС ЗИС.30 Защита мобильных ТС, применяемых в ИС …
Использование электронных карт Об использовании ЭК в ОАО «РЖД», 2011 Приказ ФСТЭК России 2013 г. №17 ГОСТ Р ИСО/МЭК 15408 ИАФ.1, УПД.2, ЗИС.3, ЗИС.12, ЗИС.13, … Документооборот Технология МЭК АСУ движением поездов Карты Киоски Другие АИТС …
Защита среды виртуализации Документ ФСТЭК России «Меры защиты …» Приказ ФСТЭК России 2013 г. №17 ГОСТ Р ИСО/МЭК 15408 ЗСВ.1-ЗСВ.10 ГОСТ Р … «ЗИ при использовании среды виртуализации» ЦОДы СВТ на других объектах Код безопасности, ОКБ САПР, Trend Micro и др. ГОСТ Р … «Требования по ЗИ, обр. с исп-ем Облачных вычислений» IBM, VMware, Microsoft, др. …
Оценка защищенности Документ ФСТЭК России «Меры защиты …» ГОСТ Р ИСО/МЭК 15408 Приказ ФСТЭК России 2013 г. №17 АНЗ.1, АНЗ.3-АНЗ.5 Система оценки защищенности СВТ на объектах ИИ железнодорожной отрасли Ревизор Сети, MaxPatrolи др. …
Защита от компьютерных атак Указ Президента Российской Федерации от 03.02.2012 г. № 803 «Основные направления гос. политики в области обеспечения безопасности АС управления производственными и технологическими процессами критически важных объектов инфраструктуры РФ». Указ Президента Российской Федерации от 15.01.2013 г. № 31с «О создании гос. системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на ИР РФ». Приказы ФСТЭК России №№ 17, 21 Требования к системам обнаружения вторжений (ФСТЭК России) СОВ (СОА) Требования к средствам обнаружения компьютерных атак (ФСБ России)
Обнаружение компьютерных атак Основные положения Защиты ИИ ОАО «РЖД», 2013 Приказ ФСТЭК России 2013 г. №17 ГОСТ Р ИСО/МЭК 15408 СОВ.1, СОВ.2, ЗИС.27, … ЗДИС/УДИС АИТС СОВ (СОА) ИИ железнодорожной отрасли VipNet IDS МЭ Palo Alto Trend Micro … Публичные ресурсы …
Спасибо за внимание! sidak@cbi-info.ru