Embed Size (px)
Citation preview
КОНТРОЛЬ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ
ЗАКОНОДАТЕЛЬСТВА
Вячеслав Аксёнов
В ДОКЛАДЕ: источники требованийреализация требованийособенности использования средств (в т.ч. open-source) и услуг контроля защищенности.тест на знание средств защиты информации)дополнительные материалы.
Источники требований НПА Республики БеларусьPCI DSSISO/IEC 27001:2013CIS Critical Security Controls…
Приказ ОАЦ №62 41 Выявление уязвимостей информационной системы и оперативное их устранение42 Контроль за установкой обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации43 Контроль за работоспособностью, параметрами настройки и правильностью функционирования программного обеспечения и средств защиты информации44 Контроль за неизменностью состава технических средств, программного обеспечения и средств защиты информации
ISO/IEC 27001:2013 «Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования»
ПРИЛОЖЕНИЕ А
A.8.1.1 Инвентаризация активов A.12.6.1 Контроль технических уязвимостей A.14.2.8 Тестирование защищенности системы A.18.2.1 Независимый анализ информационной безопасности A.18.2.3 Анализ технического соответствия
CIS Critical Security Controls
Payment Card Industry Data Security Standard (PCI DSS)
Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters (2.2, 2.4).
Requirement 6: Develop and maintain secure systems and applications (6.1, 6.2). Requirement 11: Regularly test security systems and processes (11.2, 11.3, 11.5).
CSC 1 Inventory of Authorized and Unauthorized Devices. CSC 2 Inventory of Authorized and Unauthorized Software. CSC 3 Secure Configurations for Hardware and Software on Mobile Devices,
Laptops, Workstations, and Servers. CSC 4 Continuous Vulnerability Assessment and Remediation.
Реализация требований Сертифицированные средства ЗИОблачные сервисы?Open source?Организационные меры)
2012
2010
2014
2016
XSpider 7.7
XSpider 7.8
MaxPatrol 8.0PCS-1
ТР 2013/027/BY
ВОПРОСВОПРОС
2012
2010
2014
2016
XSpider 7.7
XSpider 7.8
MaxPatrol 8.0 PCS-1
ТР 2013/027/BY
Средства контроля защищенности
на рынке РБ
Какие еще есть варианты? Облачные сервисы?Open source?…?
Использование средств контроля защищенности:Указ Президента РБ от 16.04.2013 № 196 «Положение о технической и криптографической ЗИ в РБ». Закон РБ от 10.11.2008 г. № 455-З«Об информации, информатизации и ЗИ».Постановление Сов Мин РБ от 15.05.2013 № 375 «ТР 2013/027/BY». Приказ ОАЦ от 30.08.2013 № 62 «Положение о порядке технической ЗИ в ИС, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам».
Использование услуг (в т.ч. «облачных»):Запрета использовать облачные (как и любые другие) услуги для контроля защищенности в НПА нашей страны - нет. Важную роль играют вопросы:
Доверия вашему поставщику услуг. Управление потоками информации между субъектом и
объектом сканирования (особенно при сканировании с аутентификацией).
Использование open-source:Запрета использовать данные средства в качестве вспомогательных инструментов при проведении внешнего сканирования на стадии эксплуатации системы защиты информации информационной системы - нет. В случае если вы хотите включить данное средство в перечень средств защиты информации на этапе проектирования/создания системы защиты информации, вам необходимо пройти процедуру подтверждения соответствия в форме сертификации.
Дополнительная информация к докладу
СКОРО!
