Слайд 1 - Центр безопасности

реклама
НОРМАТИВНО-ПРАВОВОЕ РЕГУЛИРОВАНИЕ
ОБЕСПЕЧЕНИЯ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ В
ИНФОРМАЦИОННОЙ СФЕРЕ:
ИЗМЕНЕНИЯ И НАПРАВЛЕНИЯ РАЗВИТИЯ
Барановский Олег Константинович
Государственное предприятие «НИИ ТЗИ»
Минск, Республика Беларусь
Вопросы национальной безопасности в
информационной сфере
Основные угрозы:
нарушение функционирования критически важных объектов
информатизации;
недостаточная эффективность информационного
обеспечения государственного управления;
недостаточные масштабы и уровень внедрения передовых
информационно-коммуникационных технологий;
снижение или потеря конкурентоспособности отечественных
информационно-коммуникационных технологий,
информационных ресурсов и национального контента.
Приоритетным направлением является совершенствование нормативной
правовой базы обеспечения информационной безопасности и завершение
формирования комплексной государственной системы обеспечения
информационной безопасности.
Изменения базового законодательства
Указ Президента Республики Беларусь от 16 апреля 2013 г. №
196 «О некоторых мерах по совершенствованию защиты
информации»
Постановление Совета Министров Республики Беларусь
от 15.05.2013 № 375 «Об утверждении технического
регламента Республики Беларусь «Информационные
технологии. Средства защиты информации.
Информационная безопасность» (ТР 2013/027/BY)»
Развитие нормативной правовой базы
Во исполнение требований Указа №196 введен в действие ряд положений
приказами Оперативно-аналитического центра при Президенте Республики
Беларусь от 26 августа 2013 г. № 60 и от 30 августа 2013 г. № 62:
- Положение о порядке проведения государственной экспертизы средств
технической и криптографической защиты информации;
- Положение о порядке технической защиты информации в
информационных системах, предназначенных для обработки информации,
распространение и (или) предоставление которой ограничено, не
отнесенной к государственным секретам;
- Положение о порядке криптографической защиты информации в
государственных информационных системах, информационных системах,
предназначенных для обработки информации, распространение и (или)
предоставление которой ограничено, не отнесенной к государственным
секретам, и на критически важных объектах информатизации;
- Положение о порядке аттестации систем защиты информации
информационных систем, предназначенных для обработки информации,
распространение и (или) предоставление которой ограничено, не
отнесенной к государственным секретам.
Развитие базы ТНПА
2014 год:
34.101.1-20ХХ (ISO/IEC 15408-1:2009) Информационные технологии и безопасность.
Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая
модель
34.101.2-20ХХ (ISO/IEC 15408-2:2008) Информационные технологии и безопасность.
Критерии оценки безопасности информационных технологий. Часть 2. Функциональные
требования безопасности
34.101.3-20ХХ (ISO/IEC 15408-3:2008) Информационные технологии и безопасность.
Критерии оценки безопасности информационных технологий. Часть 3. Гарантийные
требования безопасности
2015 год:
СТБ ISO/IEC TR 19791-20ХХ Информационные технологии. Методы и средства
обеспечения безопасности. Оценка безопасности автоматизированных систем
СТБ 34.101.5-20ХХ (ISO/IEC 18045:2008) Информационные технологии и безопасность.
Методология оценки безопасности информационных технологий
СТБ ISO/IEC TR 15446-20ХХ Информационные технологии и безопасность. Руководство
по проектированию профилей защиты и заданий по безопасности
Пересмотр базы ТНПА
СТБ 34.101.11-2009 Информационные технологии и безопасность. Критерии оценки
безопасности информационных технологий. Профиль защиты операционной системы
сервера для использования в доверенной зоне корпоративной сети
СТБ 34.101.13-2009 Информационные технологии и безопасность. Критерии оценки
безопасности информационных технологий. Профиль защиты операционной системы
сервера для использования в демилитаризованной зоне корпоративной сети
СТБ 34.101.14-2009 Информационные технологии и безопасность. Критерии оценки
безопасности информационных технологий. Профиль защиты программных средств
маршрутизатора для использования в демилитаризованной зоне корпоративной сети
СТБ 34.101.16-2009 Информационные технологии и безопасность. Критерии оценки
безопасности информационных технологий. Профиль защиты программных средств
коммутатора для использования в доверенной зоне корпоративной сети
СТБ 34.101.35-2011 Информационные технологии. Методы и средства безопасности.
Объекты информатизации. Профиль защиты класса Б3
СТБ 34.101.36-2011 Информационные технологии. Методы и средства безопасности.
Объекты информатизации. Профиль защиты класса А2
СТБ 34.101.37-2011 Информационные технологии. Методы и средства безопасности.
Профиль защиты программных средств. Системы управления сайта
Уточнение требований по обеспечению
безопасности КВОИ
Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 17
июля 2013 г. № 47 «Об утверждении технического кодекса установившейся практики»
ТКП 483-2013 (01019) Информационные технологии и безопасность. Безопасная
эксплуатация и надежное функционирование критически важных объектов
информатизации. Общие требования
СТБ П 34.101.52 2012 Информационные технологии. Методы и средства безопасности.
Критически важные объекты информатизации. Классификация
СТБ П 34.101.53-2012 Информационные технологии. Методы и средства безопасности.
Профиль защиты критически важных объектов информатизации класса А1-у
СТБ П 34.101.54-2012 Информационные технологии. Методы и средства безопасности.
Профиль защиты критически важных объектов информатизации класса А2-у
СТБ П 34.101.55-2012 Информационные технологии. Методы и средства безопасности.
Профиль защиты критически важных объектов информатизации класса Б1-у
СТБ П 34.101.56-2012 Информационные технологии. Методы и средства безопасности.
Профиль защиты критически важных объектов информатизации класса Б2-у
СТБ П 34.101.57-2012 Информационные технологии. Методы и средства безопасности.
Профиль защиты критически важных объектов информатизации класса В1-у
СТБ П 34.101.58-2012 Информационные технологии. Методы и средства безопасности.
Профиль защиты критически важных объектов информатизации класса В2-у
СТБ П 34.101.59-2012 Информационные технологии и безопасность. Задание по
безопасности. Методические указания по разработке
Развитие базы ТНПА
2014 год:
СТБ ISO/IEC 27003-20ХХ Информационные технологии. Методы обеспечения
безопасности. Руководство по созданию системы менеджмента информационной
безопасности
СТБ ISO/IEC 27004-20ХХ Информационные технологии. Методы обеспечения
безопасности. Измерения в области информационной безопасности
СТБ ISO/IEC 27006-20ХХ Информационные технологии. Методы и средства обеспечения
безопасности. Требования к органам, обеспечивающим аудит и сертификацию систем
менеджмента информационной безопасности
2015 год:
СТБ ISO/IEC 27011-20ХХ Информационные технологии. Методы обеспечения
безопасности. Руководство по менеджменту информационной безопасности для
организаций телекоммуникационной отрасли на основе ISO/IEC 27002
СТБ ISO/IEC 27035-20ХХ Информационные технологии. Методы обеспечения
безопасности. Менеджмент инцидентов в области информационной безопасности
СТБ 34.101.70-20ХХ Информационные технологии. Методы и средства безопасности.
Методика оценки риска информационной безопасности в информационных системах
Разработка требований к средствам защиты
информации
- Системы обнаружения и предотвращения утечек информации
- Системы обнаружения и предотвращения вторжений
- Межсетевые экраны (системы управления информационными потоками)
- Системы сбора и обработки данных событий информационной
безопасности
- Системы поиска уязвимостей в продуктах информационных технологий и
информационных системах
- Системы контроля защищенности информационных систем
Барановский Олег Константинович
Государственное предприятие «НИИ ТЗИ»
Минск, Республика Беларусь
Скачать