Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
G-Clouds Architecture and Security (fragment of course materials)
Clouds security (responsibility and information relations)
1. ЗАЩИТА ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ
СИСТЕМЕ, РАЗМЕЩЕННОЙ В ОБЛАКЕ:
распределение ответственности между участниками
информационных отношений
Вячеслав Аксёнов
Enterprise Security Architect
2. Почему это актуально
Закон РБ от 07.05.2021 г. № 99-З
«О защите персональных данных»
Положение о порядке технической и криптографической защиты информации в информационных системах,
предназначенных для обработки информации, распространение и (или) предоставление которой ограничено
Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 №195)
Кодекс РБ об административных
правонарушениях
Статья 23.7. Нарушение законодательства о
защите персональных данных
Уголовный Кодекс РБ
Статья 203-2. Несоблюдение мер
обеспечения защиты персональных
данных
14. При проектировании СЗИ ИС, функционирование которой предполагается на базе ИС другого собственника (владельца), имеющей аттестованную СЗИ, может быть
предусмотрено применение требований, реализованных в СЗИ ИС этого собственника (владельца). Такие требования применяются в соответствии с договором на оказание
соответствующих услуг.
Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для
обработки информации, распространение и (или) предоставление которой ограничено
Приказ ОАЦ от 20.02.2020 № 66 (в редакции приказа от 12.11.2021 №195)
Мероприятия, предусмотренные в абзацах втором–девятом пункта 8 настоящего Положения, могут не проводиться при выполнении в совокупности следующих условий:
аттестация системы защиты информации информационной системы, создаваемой на базе информационной системы специализированной организации, проводится
этой специализированной организацией;
в системе защиты информации информационной системы специализированной организации, аттестованной в установленном порядке, реализованы требования по
защите информации аттестуемой системы защиты информации.
3. Какую ответственность распределять
Реализация комплекса мероприятий по технической и
криптографической ЗИ
Эксплуатация информационной системы с применением
системы защиты информации
Проектирование, создание и аттестация СЗИ ИС Потребителя
Применение требований, реализованных в СЗИ ИС Поставщика
4. Проектирование, создание и аттестация
Категорирование
информации
Классификация ИС Анализ структуры ИС
Разработка/доработка
политики ИБ
Разработка
технического задания
на создание СЗИ
Определение
требований к
средствам ЗИ,
подлежащим закупке
Разработка
документа «Общая
схема СЗИ»
Ввод в действие СЗИ:
закупка, монтаж,
пусконаладочные
работы
Разработка
(корректировка)
документации на
систему ЗИ
Подготовка исходных
данных для
проведения
аттестации
Разработка
программы и
методики аттестации
Проведение
аттестации системы
защиты информации
Оформление
технического отчета и
протокола испытаний
Оформление
аттестата
соответствия
5. Проектирование СЗИ
Для разработки ТЗ Поставщик предоставляет
требования из числа реализованных в аттестованной в установленном порядке СЗИ ИС другого
собственника (владельца) – если функционирование ИС, для которой осуществляется
проектирование СЗИ, предполагается на базе ИС другого собственника (владельца) в соответствии
с пунктом 14 настоящего Положения.
Такие требования применяются в соответствии с договором на оказание соответствующих услуг.
Для разработки Общей схемы СЗИ Поставщик предоставляет сведения
места размещения средств вычислительной техники, сетевого оборудования, системного и
прикладного программного обеспечения, средств технической и криптографической ЗИ;
физические границы информационной системы.
6. Rout - Использование маршрутизатора (коммутатора
маршрутизирующего)
FW - Использование межсетевого экрана.
Proxy / WAF - Использование межсетевого экрана,
функционирующего на канальном, сетевом и
прикладном уровнях .
IDS - Обеспечение обнаружения и предотвращения
вторжений в информационной системе.
AV EP - Обеспечение защиты средств
вычислительной техники от вредоносных программ.
AV NET - Обеспечение в реальном масштабе
времени автоматической проверки пакетов сетевого
трафика и файлов данных, передаваемых по сети, и
обезвреживание обнаруженных вредоносных
программ.
AV MAIL - Обеспечение в реальном масштабе
времени автоматической проверки файлов данных,
передаваемых по почтовым протоколам, и
обезвреживание обнаруженных вредоносных
программ.
VPN - Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного
шифрования).
Pre-crypt - Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования).
IC - Обеспечение контроля целостности данных в информационной системе (средства контроля целостности).
LM - Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности.
IDM - Обеспечение централизованного управления учетными записями пользователей информационной системы.
AM - Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования.
Перечень требований к системе защиты информации, подлежащих включению в техническое задание - Приложение 3 к Положению о порядке технической и криптографической
защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено
(в редакции приказа ОАЦ 12.11.2021 № 195)
Использование средств ЗИ
Класс
ИС
FW IDS AV EP IC LM
DLP
3-дсп
3-юл
3-бг
3-спец
3-ин
IDM AM
AV
NET
AV
MAIL
Rout
Proxy /
WAF
Pre-
crypt
VPN
Поставщик услуг
Потребитель
7. Распределение ответственности за
обеспечение ЗИ*
Наименование требования Поставщик Потребитель
2.2 Обеспечение контроля за
работоспособностью, параметрами настройки
и правильностью функционирования средств
вычислительной техники, сетевого
оборудования, системного программного
обеспечения и средств защиты информации
В отношении:
- виртуальной
инфраструктуры IaaS
- сетевого оборудования
- дополнительных
сервисов
В отношении:
- ПЭВМ
администраторов
- общесистемного ПО
- программных
средств защиты
информации
6.1 Обеспечение защиты от агрессивного
использования ресурсов виртуальной
инфраструктуры потребителями услуг
В отношении
виртуальной
инфраструктуры IaaS
-
7.10 Обеспечение защиты средств
вычислительной техники от вредоносных
программ
В отношении:
- СВТ виртуальной
инфраструктуры IaaS
- ПЭВМ
администраторов IaaS
В отношении:
- ПЭВМ
администраторов
- виртуальных машин
IaaS
Защита данных в информационной
системе
Защита среды виртуализации
Защищенный доступ (VPN)
Система обнаружения и
предотвращения вторжений (IDS/IPS)
Межсетевые экраны (FW)
Маршрутизаторы (Rout)
Потоковый антивирус (AV)
Физическая безопасность
Поставщик услуг
Потребитель
*Такие требования применяются в соответствии с договором на оказание соответствующих услуг.
8. Реализация требований ЗИ*
*Такие требования применяются в соответствии с договором на оказание соответствующих услуг.
Требование Орг. меры Техн. меры Средства ЗИ
6.1 Обеспечение защиты от агрессивного использования ресурсов
виртуальной инфраструктуры потребителями услуг
- IaaS: встроенные
функции гипервизора
IaaS: VMware vSphere
6.5 Обеспечение резервирования сетевого оборудования по схеме
N+1
- IaaS: Кластер сетевого
оборудования
-
7.6 Обеспечение резервирования информации, подлежащей
резервированию
ЛПА потребителя,
регламентирующие
резервирование
Встроенные функции
объектов ИС (СУБД)
IaaS: VMware vSphere;
BaaS: Veeam
Backup&Replication.
7.13 Обеспечение управления внешними информационными
потоками (маршрутизация) между информационными системами.
Использование маршрутизатора (коммутатора маршрутизирующего)
- - IaaS: Сетевое
оборудование; VMware
NSX
7.14 Обеспечение ограничений входящего и исходящего трафика
(фильтрация) информационной системы только необходимыми
соединениями. Использование межсетевого экрана,
функционирующего на канальном, и (или) сетевом, и (или)
транспортном, и (или) сеансовом, и (или) прикладном уровнях
- - IaaS: NGFW; VMware NSX.
9. Аттестация СЗИ
8. Аттестация предусматривает комплексную оценку СЗИ в реальных условиях эксплуатации ИС и включает:
Мероприятия, предусмотренные в абзацах 2–9 пункта 8 настоящего Положения, могут не проводиться при
выполнении в совокупности следующих условий:
аттестация СЗИ ИС, создаваемой на базе ИС специализированной организации, проводится этой специализированной организацией;
в СЗИ ИС специализированной организации, аттестованной в установленном порядке, реализованы требования по ЗИ аттестуемой СЗИ.
1. Разработку
программы и
методики
аттестации
2. Установление
соответствия
реального состава и
структуры объектов
ИС общей схеме СЗИ
3. Проверку
правильности
отнесения ИС к
классу типовых ИС,
выбора и
применения средств
ЗИ
4. Анализ разработанной
документации на СЗИ
собственника (владельца) ИС
на предмет ее соответствия
требованиям
законодательства об
информации,
информатизации и ЗИ
5. Ознакомление с
документацией о
распределении
функций персонала
по организации и
обеспечению ЗИ
6. Проведение испытаний
системы защиты информации
на предмет выполнения
установленных
законодательством
требований по защите
информации
7. Внешнюю и внутреннюю
проверку отсутствия либо
невозможности использования
нарушителем свойств
программных, программно-
аппаратных и аппаратных
средств…… (уязвимостей)
8. Оформление
технического отчета и
протокола испытаний
9. Оформление
аттестата
соответствия
10. Дополнительно
Закон Республики Беларусь от 7
мая 2021 г. № 99-З «О защите
персональных данных»
Приказ Оперативно-
аналитического центра при
Президенте Республики Беларусь
от 12 ноября 2021 г. № 194 "Об
обучении по вопросам защиты
персональных данных“
Приказ Оперативно-
аналитического центра при
Президенте Республики Беларусь
от 12 ноября 2021 г. № 195 "О
технической и криптографической
защите персональных данных“
Ссылка для скачивания
Ссылка для скачивания