SlideShare a Scribd company logo

Вопросы обеспечения соответствия разрабатываемых систем требованиям информационной безопасности

Download as PPT, PDF
SQALab
SQALab

Валерий Козюминский, IBA, Минск, Беларусь

Technology
1 of 17
Вопросы обеспечения соответствия разрабатываемых систем требованиям информационной безопасности Валерий Козюминский, IBA
Вопросы обеспечения соответствия разрабатываемых систем требованиям информационной безопасности Требования законодательства к защите информации в ИС Требования ОК к оценке безопасности систем ИТ Требования ГОСТ к разработке АС Основные проблемы выполнения разработчиком требований безопасности Практические рекомендации по выполнению требований информационной безопасности при создании ИС
Требования законодательства по защите информации ,[object Object],[object Object],[object Object],[object Object],[object Object]
Требования законодательства по защите информации ,[object Object],[object Object],[object Object]
Требования законодательства по защите информации ,[object Object],[object Object],[object Object]
Требования законодательства по защите информации ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Требования законодательства по защите информации ,[object Object],[object Object],[object Object]
Требования ГОСТ к разработке АС (Из ГОСТ 34.601-90) Подготовка объекта к вводу АС в действие. Пусконаладочные работы. Предварительные испытания. Опытная эксплуатация. Приемочные испытания Ввод в действие Разработка рабочей документации на АС и ее части. Разработка ПО Рабочая документация Сопровождение АС Разработка проектных решений на АС и ее части. Разработка документации. Разработка требований на поставку изделий Технический проект Разработка предварительных проектных решений на АС и ее части Эскизный проект Разработка и утверждение ТЗ на АС Техническое задание Изучение объекта, разработка концептуальных вариантов АС, выбор варианта концепции АС Разработка концепции Обследование объекта автоматизации, формирование требований пользователя к АС Формирование требований Содержание Стадия создания АС
Требования ГОСТ к разработке АС ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Требования ОК к оценке безопасности систем ИТ СТБ 34.101.1-2004 (ИСО/МЭК 15408.1-99) Информационная технология. Методы и средства безопасности. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Часть 1. Введение и общая модель ,[object Object],[object Object],[object Object],[object Object],[object Object]
Требования ОК к оценке безопасности систем ИТ УГО1 Функционально тестированный УГО2 Структурно тестированный УГО3 Методически тестированный и проверенный УГО4 Методически спроектированный, тестированный и пересмотренный Базовый уровень доверия Невысокий- умеренный уровень доверия Умеренный уровень доверия Умеренный- высокий уровень доверия ,[object Object],[object Object],УГО5 УГО6 УГО7
Требования ОК к оценке безопасности систем ИТ ,[object Object],[object Object],Задание по безопасности ASE Оценка стойкости средств безопасности Отчет разработчика об анализе уязвимостей AVA_SOF.1 AVA_VLA.1 AVA Доказательство покрытия ПМ и результаты функц. тестирования Протокол оценки ATE_COV.1 ATE_FUN.1 ATE_IND.2 ATE Руководство администратора Руководство пользователя AGD_ADM.1 AGD_USR.1 AGD Неформальная функц. спецификация Описательный проект верхнего уровня Неформальная демонстрация соответствия ADV_FSP.1 ADV_HLD.1 ADV_RCR.1 ADV Процедуры поставки Процедуры установки, генерации и запуска ADO_DEL .1 ADO_IGS .1 ADO Документация по управлению конфигурацией АСМ _CAP.2 АСМ Документация для оценки Компонент ГТБ Класс ГТБ
Требования ОК к оценке безопасности систем ИТ СТБ П 34.101.5-2003 ( CEM-97/017, CEM-99/008 ) Информационные технологии и безопасность ОБЩАЯ МЕТОДОЛОГИЯ ИСПЫТАНИЙ ПРОДУКТОВ И СИСТЕМ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ НА СООТВЕТСТВИЕ УРОВНЯМ ГАРАНТИЙ ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Основные проблемы выполнения требований ИБ Требования законодательства к защите информации в ИС Требования ГОСТ к разработке АС Требования ОК к оценке безопасности систем ИТ Разработка СЗИ: Разработка ЗБ; Оценка ЗБ; Создание СЗИ ИС Аттестация СЗИ: Оценка док. СЗИ; Оценка среды СЗИ; Испытания СЗИ Разработка ТЗ на ИС Технический проект Пояснительная записка к ТП Рабочее Проектирование Рабочая документация АС Ввод в действие Поставка и инсталляция Предварительные испытания Опытная эксплуатация Приемочные испытания Разработка и оценка ЗБ Оценка ИС по УГО2 Представление доказательств соотвествия : Управление конфигурацией Процедуры поставки… Описание архитектуры Функц-ная спецификация Руководящие документы ПМ тестирования СЗИ Результаты тестирования Оценка документации Независим. тестирование Согласование процессов создания ИС и СЗИ Согласование документации на ИС и СЗИ для соответствия ГОСТ и ОК
Вопросы согласования процессов создания ИС и СЗИ ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Стадии создани ИС по ЕСКД ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Разработка ТЗ на ИС Технический проект Пояснительная записка к ТП Рабочее Проектирование Рабочая документация АС Ввод в действие Поставка и инсталляция Предварительные испытания Опытная эксплуатация Приемочные испытания Варианты решения: 1 ) ТЗ - ЧТЗ - ЗБ 2) ПЗ – ЗБ 3) ЗБ (без ОС) – ЗБ ….
Вопросы согласования документации на ИС и СЗИ ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Стадии создания ИС по ГОСТ ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Разработка ТЗ на ИС Технический проект Пояснительная записка к ТП Рабочее Проектирование Рабочая документация АС Ввод в действие Поставка и инсталляция Предварительные испытания Опытная эксплуатация Приемочные испытания Варианты подготовки документации СИБ : 1) в соотв с. ОК 2) в соотв с. ЕСКД 3) Совмещение док. ЕСКД и ОК
СПАСИБО ЗА ВНИМАНИЕ ?????? Вопросы????? E-mail : [email_address]

Recommended

Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trendsTim Parson
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...SQALab
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностьюВячеслав Аксёнов
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systemsВячеслав Аксёнов
 
Приказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения CiscoПриказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения CiscoCisco Russia
 

Recommended

Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trendsTim Parson
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...SQALab
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностьюВячеслав Аксёнов
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systemsВячеслав Аксёнов
 
Приказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения CiscoПриказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения CiscoCisco Russia
 
политика информационной безопасности организации
политика информационной безопасности организацииполитика информационной безопасности организации
политика информационной безопасности организацииtrenders
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Expolink
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТПAleksey Lukatskiy
 
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьспроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьSolar Security
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Вячеслав Аксёнов
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
Построение системы анализа и мониторинга состояния информационной безопасност...
Построение системы анализа и мониторинга состояния информационной безопасност...Построение системы анализа и мониторинга состояния информационной безопасност...
Построение системы анализа и мониторинга состояния информационной безопасност...Компания УЦСБ
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRCКомпания УЦСБ
 
Предложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТППредложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТПКомпания УЦСБ
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...Олег Габов
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПDialogueScience
 
Интеграция приложений
Интеграция приложенийИнтеграция приложений
Интеграция приложенийSQALab
 
Как возникают ловушки заказного тестирования
Как возникают ловушки заказного тестированияКак возникают ловушки заказного тестирования
Как возникают ловушки заказного тестированияSQALab
 
Алексей Кабанов
Алексей КабановАлексей Кабанов
Алексей КабановSQALab
 
Visual Studio Team System 2010
Visual Studio Team System 2010Visual Studio Team System 2010
Visual Studio Team System 2010SQALab
 

More Related Content

What's hot

политика информационной безопасности организации
политика информационной безопасности организацииполитика информационной безопасности организации
политика информационной безопасности организацииtrenders
 
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Expolink
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТПAleksey Lukatskiy
 
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьспроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьSolar Security
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Вячеслав Аксёнов
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
Построение системы анализа и мониторинга состояния информационной безопасност...
Построение системы анализа и мониторинга состояния информационной безопасност...Построение системы анализа и мониторинга состояния информационной безопасност...
Построение системы анализа и мониторинга состояния информационной безопасност...Компания УЦСБ
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
Предложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТППредложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТПКомпания УЦСБ
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...Олег Габов
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПDialogueScience
 

What's hot (18)

политика информационной безопасности организации
политика информационной безопасности организацииполитика информационной безопасности организации
политика информационной безопасности организации
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТП
 
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьспроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
 
Построение системы анализа и мониторинга состояния информационной безопасност...
Построение системы анализа и мониторинга состояния информационной безопасност...Построение системы анализа и мониторинга состояния информационной безопасност...
Построение системы анализа и мониторинга состояния информационной безопасност...
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRC
 
Предложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТППредложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТП
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТП
 

Viewers also liked

Интеграция приложений
Интеграция приложенийИнтеграция приложений
Интеграция приложенийSQALab
 
Как возникают ловушки заказного тестирования
Как возникают ловушки заказного тестированияКак возникают ловушки заказного тестирования
Как возникают ловушки заказного тестированияSQALab
 
Алексей Кабанов
Алексей КабановАлексей Кабанов
Алексей КабановSQALab
 
Visual Studio Team System 2010
Visual Studio Team System 2010Visual Studio Team System 2010
Visual Studio Team System 2010SQALab
 
UTest: краудсорсинг в тестировании
UTest: краудсорсинг в тестированииUTest: краудсорсинг в тестировании
UTest: краудсорсинг в тестированииSQALab
 
Ибрагимова Софья, Васильева Наталья, рецензент Бобриков Александр
Ибрагимова Софья, Васильева Наталья, рецензент Бобриков АлександрИбрагимова Софья, Васильева Наталья, рецензент Бобриков Александр
Ибрагимова Софья, Васильева Наталья, рецензент Бобриков АлександрSQALab
 

Viewers also liked (6)

Интеграция приложений
Интеграция приложенийИнтеграция приложений
Интеграция приложений
 
Как возникают ловушки заказного тестирования
Как возникают ловушки заказного тестированияКак возникают ловушки заказного тестирования
Как возникают ловушки заказного тестирования
 
Алексей Кабанов
Алексей КабановАлексей Кабанов
Алексей Кабанов
 
Visual Studio Team System 2010
Visual Studio Team System 2010Visual Studio Team System 2010
Visual Studio Team System 2010
 
UTest: краудсорсинг в тестировании
UTest: краудсорсинг в тестированииUTest: краудсорсинг в тестировании
UTest: краудсорсинг в тестировании
 
Ибрагимова Софья, Васильева Наталья, рецензент Бобриков Александр
Ибрагимова Софья, Васильева Наталья, рецензент Бобриков АлександрИбрагимова Софья, Васильева Наталья, рецензент Бобриков Александр
Ибрагимова Софья, Васильева Наталья, рецензент Бобриков Александр
 

Similar to Вопросы обеспечения соответствия разрабатываемых систем требованиям информационной безопасности

Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
 
Стадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdfСтадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdftrenders
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
слайды стб.34.101-лекции-новые
слайды стб.34.101-лекции-новыеслайды стб.34.101-лекции-новые
слайды стб.34.101-лекции-новыеtrenders
 
Проектирование СЗИ.pdf
Проектирование СЗИ.pdfПроектирование СЗИ.pdf
Проектирование СЗИ.pdftrenders
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdftrenders
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
разработка технического задания 1
разработка технического задания 1разработка технического задания 1
разработка технического задания 1olalapim10
 
Лекция на тему "Разработка технического задания"
Лекция на тему "Разработка технического задания"Лекция на тему "Разработка технического задания"
Лекция на тему "Разработка технического задания"olalapim10
 
Требования к обеспечению безопасной эксплуатации объектов капитального строит...
Требования к обеспечению безопасной эксплуатации объектов капитального строит...Требования к обеспечению безопасной эксплуатации объектов капитального строит...
Требования к обеспечению безопасной эксплуатации объектов капитального строит...ЦентрПроектЗащита
 
разработка технического задания
разработка технического заданияразработка технического задания
разработка технического заданияolalapim10
 
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России1С-Битрикс
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииBulat Shamsutdinov
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октfinopolis
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...Компания УЦСБ
 

Similar to Вопросы обеспечения соответствия разрабатываемых систем требованиям информационной безопасности (20)

Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
 
Стадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdfСтадии создания АС в ЗИ (РБ).pdf
Стадии создания АС в ЗИ (РБ).pdf
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
слайды стб.34.101-лекции-новые
слайды стб.34.101-лекции-новыеслайды стб.34.101-лекции-новые
слайды стб.34.101-лекции-новые
 
Проектирование СЗИ.pdf
Проектирование СЗИ.pdfПроектирование СЗИ.pdf
Проектирование СЗИ.pdf
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdf
 
Information security systems development
Information security systems developmentInformation security systems development
Information security systems development
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
 
разработка технического задания 1
разработка технического задания 1разработка технического задания 1
разработка технического задания 1
 
Лекция на тему "Разработка технического задания"
Лекция на тему "Разработка технического задания"Лекция на тему "Разработка технического задания"
Лекция на тему "Разработка технического задания"
 
Требования к обеспечению безопасной эксплуатации объектов капитального строит...
Требования к обеспечению безопасной эксплуатации объектов капитального строит...Требования к обеспечению безопасной эксплуатации объектов капитального строит...
Требования к обеспечению безопасной эксплуатации объектов капитального строит...
 
разработка технического задания
разработка технического заданияразработка технического задания
разработка технического задания
 
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информации
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
 

More from SQALab

Готовим стажировку
Готовим стажировкуГотовим стажировку
Готовим стажировкуSQALab
 
Куда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаКуда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаSQALab
 
Оптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиОптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиSQALab
 
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияАвтоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияSQALab
 
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...SQALab
 
Continuous performance testing
Continuous performance testingContinuous performance testing
Continuous performance testingSQALab
 
Конфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженКонфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженSQALab
 
Команда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииКоманда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииSQALab
 
API. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовAPI. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовSQALab
 
Добиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовДобиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовSQALab
 
Делаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsДелаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsSQALab
 
Вредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеВредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеSQALab
 
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииМощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииSQALab
 
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеКак hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеSQALab
 
Стили лидерства и тестирование
Стили лидерства и тестированиеСтили лидерства и тестирование
Стили лидерства и тестированиеSQALab
 
"Давайте не будем про качество"
"Давайте не будем про качество""Давайте не будем про качество"
"Давайте не будем про качество"SQALab
 
Apache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовApache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовSQALab
 
Тестирование геолокационных систем
Тестирование геолокационных системТестирование геолокационных систем
Тестирование геолокационных системSQALab
 
Лидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросЛидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросSQALab
 
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...SQALab
 

More from SQALab (20)

Готовим стажировку
Готовим стажировкуГотовим стажировку
Готовим стажировку
 
Куда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщикаКуда приводят мечты? или Искусство развития тестировщика
Куда приводят мечты? или Искусство развития тестировщика
 
Оптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержкиОптимизация Selenium тестов и ускорение их поддержки
Оптимизация Selenium тестов и ускорение их поддержки
 
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программированияАвтоматизация 0.0: 0 - бюджет, 0 - опыт программирования
Автоматизация 0.0: 0 - бюджет, 0 - опыт программирования
 
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
Нагрузочное тестирование нестандартных протоколов с использованием Citrix и J...
 
Continuous performance testing
Continuous performance testingContinuous performance testing
Continuous performance testing
 
Конфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нуженКонфиги вместо костылей. Pytestconfig и зачем он нужен
Конфиги вместо костылей. Pytestconfig и зачем он нужен
 
Команда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихииКоманда чемпионов в ИТ стихии
Команда чемпионов в ИТ стихии
 
API. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советовAPI. Серебряная пуля в магазине советов
API. Серебряная пуля в магазине советов
 
Добиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестовДобиваемся эффективности каждого из 9000+ UI-тестов
Добиваемся эффективности каждого из 9000+ UI-тестов
 
Делаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIsДелаем автоматизацию проектных KPIs
Делаем автоматизацию проектных KPIs
 
Вредные привычки в тест-менеджменте
Вредные привычки в тест-менеджментеВредные привычки в тест-менеджменте
Вредные привычки в тест-менеджменте
 
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизацииМощь переполняет с JDI 2.0 - новая эра UI автоматизации
Мощь переполняет с JDI 2.0 - новая эра UI автоматизации
 
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качествеКак hh.ru дошли до 500 релизов в квартал без потери в качестве
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
 
Стили лидерства и тестирование
Стили лидерства и тестированиеСтили лидерства и тестирование
Стили лидерства и тестирование
 
"Давайте не будем про качество"
"Давайте не будем про качество""Давайте не будем про качество"
"Давайте не будем про качество"
 
Apache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектовApache.JMeter для .NET-проектов
Apache.JMeter для .NET-проектов
 
Тестирование геолокационных систем
Тестирование геолокационных системТестирование геолокационных систем
Тестирование геолокационных систем
 
Лидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопросЛидер или босс? Вот в чем вопрос
Лидер или босс? Вот в чем вопрос
 
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
От Зефира в коробке к Structure Zephyr или как тест-менеджеру перекроить внут...
 

Вопросы обеспечения соответствия разрабатываемых систем требованиям информационной безопасности

  • 1. Вопросы обеспечения соответствия разрабатываемых систем требованиям информационной безопасности Валерий Козюминский, IBA
  • 2. Вопросы обеспечения соответствия разрабатываемых систем требованиям информационной безопасности Требования законодательства к защите информации в ИС Требования ОК к оценке безопасности систем ИТ Требования ГОСТ к разработке АС Основные проблемы выполнения разработчиком требований безопасности Практические рекомендации по выполнению требований информационной безопасности при создании ИС
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8. Требования ГОСТ к разработке АС (Из ГОСТ 34.601-90) Подготовка объекта к вводу АС в действие. Пусконаладочные работы. Предварительные испытания. Опытная эксплуатация. Приемочные испытания Ввод в действие Разработка рабочей документации на АС и ее части. Разработка ПО Рабочая документация Сопровождение АС Разработка проектных решений на АС и ее части. Разработка документации. Разработка требований на поставку изделий Технический проект Разработка предварительных проектных решений на АС и ее части Эскизный проект Разработка и утверждение ТЗ на АС Техническое задание Изучение объекта, разработка концептуальных вариантов АС, выбор варианта концепции АС Разработка концепции Обследование объекта автоматизации, формирование требований пользователя к АС Формирование требований Содержание Стадия создания АС
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14. Основные проблемы выполнения требований ИБ Требования законодательства к защите информации в ИС Требования ГОСТ к разработке АС Требования ОК к оценке безопасности систем ИТ Разработка СЗИ: Разработка ЗБ; Оценка ЗБ; Создание СЗИ ИС Аттестация СЗИ: Оценка док. СЗИ; Оценка среды СЗИ; Испытания СЗИ Разработка ТЗ на ИС Технический проект Пояснительная записка к ТП Рабочее Проектирование Рабочая документация АС Ввод в действие Поставка и инсталляция Предварительные испытания Опытная эксплуатация Приемочные испытания Разработка и оценка ЗБ Оценка ИС по УГО2 Представление доказательств соотвествия : Управление конфигурацией Процедуры поставки… Описание архитектуры Функц-ная спецификация Руководящие документы ПМ тестирования СЗИ Результаты тестирования Оценка документации Независим. тестирование Согласование процессов создания ИС и СЗИ Согласование документации на ИС и СЗИ для соответствия ГОСТ и ОК
  • 15.
  • 16.
  • 17. СПАСИБО ЗА ВНИМАНИЕ ?????? Вопросы????? E-mail : [email_address]