1 / 33

Комплексная безопасность Цена своей работы

Комплексная безопасность Цена своей работы. Миф 1. Вступление закона в силу отложено. Отложено вступление в силу только одной части одной статьи – все остальные положения действуют!

carolyn-ray
Télécharger la présentation

Комплексная безопасность Цена своей работы

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Комплексная безопасностьЦена своей работы

  2. Миф 1. Вступление закона в силу отложено Отложено вступление в силу только одной части одной статьи – все остальные положения действуют! После вступления в силу Федерального закона (26.01.2007) обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с Федеральным законом. Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 16 июля 2011 года.

  3. Обязанности оператора ФЗ «О персональных данных»—Статья 19. Меры по обеспечению безопасности персональных данных при их обработке. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем. ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781

  4. Требования ФЗ «О персональных данных»Условия обработки ПДн (ст. 6) • Обработка ПДн может осуществляться оператором с согласия субъектов ПДн, за исключением случаев, предусмотренных частью 2 настоящей статьи 6. • Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. • 3. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

  5. Обработка персональных данных — действия (операции) с персональными данными, включая: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Понятийный аппаратФедеральный закон № 152-ФЗ «О персональных данных»

  6. Меры по защите ПДн • Мероприятия по защите ПДн должны сочетать реализациюправовых, организационных и технических мер защиты. • Правовые: • распределение полномочий между субъектами; • нормативно-правовой контроль использования ПДн; • установление ответственности за нарушения; • правовая регламентация порядка сбора, использования, предоставления и уничтожения ПДн. • Организационно-административные: • формирование системы управления ПДн; • регламентация деятельности персонала по использованию ПДн; • регламентация порядка взаимодействия пользователей и администраторов ИС; • контроль над деятельностью персонала. • Технические • системы защиты от вредоносных программ и средства защиты от вторжений; • идентификация и аутентификация пользователей; • разграничение и контроль доступа к ПДн; • обеспечение целостности ПДн; • регистрация событий безопасности; • защита каналов передачи ПДн. Все мероприятия одинаково значимы, а невыполнение одних сводит на нет результаты реализации других.

  7. Классификация ИСПДн • Категория обрабатываемых в информационной системе персональных данных. • Объем обрабатываемых персональных данных. • Заданные оператором характеристики безопасности персональных данных. • Структура информационной системы. • Наличие подключений информационной системы к сетям связи общего пользования. • Режим обработки персональных данных. • Режим разграничения прав доступа пользователей информационной системы. • Местонахождение технических средств ИС.

  8. Приказ 55/86/20Таблица классификации В случае выделения в составе информационной системы подсистем, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем

  9. Документация системы защиты (СЗПДн) • Уведомление об обработке ПДн. • Положение о порядке обработки ПДн. • Положение о подразделении, осуществляющем функции по организации защиты ПДн. • Приказ о назначении ответственных лиц по работе с ПДн. • Должностные регламенты лиц, осуществляющих обработку ПДн. • Типовые формы документов, содержащих ПДн. • Договоры с субъектами ПДн, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных. • Приказы об утверждении мест хранения материальных носителей ПДн. • Письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма). • Справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка ПДн. • Журналы (реестры, книги), содержащие ПДн, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях. • Заключения экспертизы (сертификаты) ФСБ России, ФСТЭК России на СЗИ. • Приказ о создании комиссии и акты проведения классификации ИСПДн. • Акты об уничтожении ПДн субъекта(ов) (в случае достижения цели обработки). • Планы мероприятий по защите ПДн и внутренних проверок состояния защиты ПДн.

  10. Документация системы защиты (СЗПДн) • Журналы (книги) учета обращений граждан (субъектов ПДн). • Журнал учета проверок (Приказ Минэкономразвития России №141 от 30.4.2009). • Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн. • Модель угроз безопасности персональных данных. • Акт классификации ИСПДн. • Требования по обеспечению безопасности ПДн при их обработке в ИСПДн. • Описание системы защиты персональных данных. • Перечень применяемых средств защиты информации. • Заключение о возможности эксплуатации средств защиты информации (разрабатывается по результатам проверки готовности к использованию СЗИ, аналог приемо-сдаточной документация на СЗИ). • Правила пользования средствами защиты информации, предназначенными для обеспечения безопасности персональных данных. • Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации. • Список лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей (утверждается оператором или уполномоченным лицом). • Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн.

  11. Порядок организации защиты персональных данных в ИСПДн • Назначить ответственного за проведение необходимых мероприятий • Изучить нормативную базу • При недостатке ресурсов для самостоятельной разработки — найти специализированную компанию • Провести обследование ИС с целью оценки текущего состояния ИБ и определения необходимых ИД для создания СЗПДн. • Провести классификацию ИСПДн (цели, состав, объем, наличие документов). • Разработать организационно-распорядительную документацию, включая модель угроз безопасности ПДн. • Обосновать требования по обеспечению безопасности ПДн и спроектировать систему защиты ПДн, включая выбор целесообразных способов (мер и средств) защиты ПДн. • Организовать и провести работы по созданию системы защиты персональных данных (СЗПДн), включая разработку документов по организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн. • Провести обучение ответственных лиц и сотрудников правилам работы с СЗИ (для получения лицензий ФСБ и ФСТЭК • Провести оценку соответствия ИСПДн требованиям. • Ввести в строй систему защиты и оформить результаты испытаний. • Организовать контроль соблюдения использования СЗИ и обеспечить управление обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты, включая учет применяемых СЗИ и носителей ПДн и учет лиц, допущенных к работе с ПДн. • Постановление Правительства РФ от 17.11.2007 № 781

  12. Построение моделей актуальных угроз и потенциального нарушителя Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 Итог работы — документ «Модель угроз и нарушителей»

  13. Внедрение защитных мер в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; ж) учет лиц, допущенных к работе с персональными данными в информационной системе; ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 Итог работы — документы «Приказы по компании», «Акты приемки работ»…

  14. Положение о методах и способах защиты информации в ИСПДнСпособы защиты от НСД в сетях 3-го класса • Методы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учёта, обеспечения целостности и безопасного межсетевого взаимодействия: • проверка подлинности пользователя при входе в систему; • регистрация и учет: • регистрация входа/выхода пользователя в/из системы; • учет всех защищаемых носителей информации; • обеспечение целостности: • программных средств системы защиты и программной среды; • физическая охрана технических средств и носителей информации; • разграничение и контроль доступа в помещения; • периодическое тестирование функций системы защиты при изменении программной среды и пользователей информационной системы; • наличие средств восстановления системы защиты персональных данных; • обеспечение безопасного межсетевого взаимодействия достигается путем применения межсетевых экранов, обеспечивающих фильтрацию на сетевом уровне для каждого сетевого пакета, идентификацию и аутентификацию администратора, контроль целостности, восстановление свойств после сбоев и отказов При разделении информационной системы при помощи межсетевых экранов на отдельные части системы для указанных частей системы может устанавливаться более низкий класс, чем для информационной системы в целом.

  15. Положение о методах и способах защиты информации в ИСПДнСпособы защиты от НСД в сетях 2-го класса • Методы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учёта, обеспечения целостности и безопасного межсетевого взаимодействия в многопользовательских сетях (дополнительно к требованиям для 3-го класса): • обеспечение безопасного межсетевого взаимодействия достигается путем применения межсетевых экранов, обеспечивающих фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов, фильтрацию с учетом любых значимых полей сетевых пакетов, регистрацию и учет фильтруемых пакетов, аудит действий администратора.

  16. Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей: Гном-3, ГШ-1000, ГШ-1000К, ГШ-2500, Октава-РС1, Гром-ЗИ-4Б МП-2, МП-3, МП-5, ЛФС-10-1Ф… Средства защиты носителей информации на бумажной, магнитной, магнитоопрической и иной основе: eToken PRO 64K и eToken NG-OTP, Secret Disk 4… Средства защиты речевой информации: Барон, ЛГШ-402(403), SEL SP-21B1 Баррикада, Шорох-2, Соната-АВ, Шторм-105… Интернет Используемые в информационной системе информационные технологии 1. Защищенные ОС: Red Hat Enterprise Linux, QNX, МСВС 3.0... 2. Системы обнаружения вторжений и компьютерных атак: ФОРПОСТ, Proventia Network… 3. Шлюзы безопасности: CSP VPN Gate, CSP RVPN… Шифровальные (криптографические) средства защиты информации Защита от программно-технических воздействий на технические средства обработки персональных данных 1. Антивирусные средства: Dr.Web 2. Программное обеспечение, сертифицированное на отсутствие НДВ. Средства защиты информации от несанкционированного доступа: Блокхост-сеть, Аккорд-Рубеж, Аккорд-NT/2000, Secret Net 5.0, Соболь, Dallas Lock 7.0, Лабиринт-М, Страж NT Средства защиты информации Межсетевые экраны Cisco, Z-2, WatchGuard Firebox…

  17. Подсистемы, требуемые к созданию согласно 152ФЗ Организационно-технические меры и средства защиты Технические меры защиты Программные средства ОС • Резервное копирование • Изолирование участков оперативной памяти • Уничтожение остаточных данных • Контроль целостности данных и программ • Смена паролей • Ограничения на использование сетевых сервисов, служб, сетевых протоколов, сценариев Дополнительные программные средства Средства защиты от ПМВ Другие средствазащиты • Средства блокирования исследования, модификации и несанкционированного запуска • Средства предупреждения пользователей о выполнении опасных действий • Программные средства администрирования (разграничения полномочий, регистрации и контроля) • Программные средства идентификации и аутентификации • Программные средства резервного копирования Криптографи-ческие средства • Абонентского шифрования • Пакетного шифрования • Шифрования паролей • Стеганографии • ЭЦП • VPN-технологии • Средства контроля целостности • Средства обнаружения вредоносных программ • Средства тестирования • Утилиты для восстановления информации • Средства тестирования сетей и программ • Средства обнаружения атак • Межсетевые экраны

  18. Когда применять криптографию? • В системах, где АРМ или ЛВС объединены средствами связи, необходимость криптографической защиты возникает при передаче информации в среду, в которой она может оказаться доступной нарушителю (незащищенные от НСД средства хранения информации, каналы связи). • В системах, в которых в соответствии с моделью угроз возможно наличие инсайдера, а безопасность хранения и обработки не может быть гарантированно обеспечена другими средствами, решение о необходимости защиты ПДн с использованием криптографических средств принимается оператором.

  19. Положение о методах и способах защиты информации в ИСПДн Методы и способы технической защиты • Защита от НСД, включая обеспечение целостности и управление доступом. • Использование сертифицированных средств, в том числе ОС. • Антивирусная защита и межсетевое экранирование. • Защита от информационных атак. • Защита от утечек по техническим каналам (только К1 и K2). • Защита от утечек аудио- и видеоинформации (только К1). • Криптографическая защита ПДн в процессе их хранения и передачи по сети (только К1). • Средства контроля и анализа защищенности. • Средства резервирования. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы…(п. 1.4Приказа ФСТЭК № 58 )

  20. Методы и способы технической защитыТребования по антивирусной защите • Согласно закону требуется обеспечить: • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам; • предотвращение внедрения в информационные системы вредоносных программ; • использование средств антивирусной защиты при взаимодействии с сетью Интернет; • централизованное управление системой защиты персональных данных информационной системы.

  21. Методы и способы технической защитыСредства антивирусной защиты Централизованная антивирусная защита • рабочих станций (Windows/Linux/Mac); • серверов(Windows/Unix/Mac); • каналов передачи данных (почта, шлюз сети Интернет) для почтовых серверов.

  22. Антивирусная защита, соответствующая требованиям закона о персональных данных, должна включать защиту всех узлов локальной сети: рабочих станций; файловых и терминальных серверов; шлюзов сети Интернет; почтовых серверов. Использование демилитаризованной зоны и средств проверки почтового трафика на уровне SMTP-шлюза повышает уровень защиты. Интернет Методы и способы технической защитыСпособы организации антивирусной защиты Вирусы Шлюз сети интернет Межсетевой экран SMTP-шлюз

  23. Методы и способы технической защитыКриптографическая защита Прозрачное шифрование любого необходимого раздела – в том числе системного. Шифрование съемных носителей. Поддержка работы в различных операционных системах. Многопользовательская работа. Для применения в сетях 1-го уровня — наличие сертификатов ФСТЭК и заключения ФСБ.

  24. Состояние системы защиты компаний По данным http://emag.iis.ru/arc/infosoc/emag.nsf/BPA/0f11ed11fc6564ecc3257157004babee

  25. Dr.Web Home Security Suite

  26. Выбранный уровень защиты • Файловый антивирус и антируткит Вирус не пройдет?

  27. Требования закона о защите персональных данных • Частично выполнено: • требование в частиантивирусной защиты отдельных рабочих станций и серверов • Не выполнено: • требование наличия антивирусной защиты отдельных рабочих станций и серверов имеющих выход в интернет • защиты от несанкционированного доступа

  28. Пути проникновения современных вирусов Электронная почта Системы мгновенного обмена сообщениями Социальные сети Уязвимости популярного ПО и ОС Сменные носители Почтовый сервер Коммутатор Рабочие станции и файловые серверы

  29. Количество новых угроз Ежедневно в вирусные базы компании «Доктор Веб» добавляется порядка двухсот новых записей - процедур, каждая из которых может определять куда больше одного вируса.

  30. Выбранный уровень защиты домашнего или рабочего компьютера • Файловый антивирус и антируткит • Проверка интернет-трафика до его получения любыми программами (Веб-антивирус) • Ограничение использования сменных дисков (Офисный контроль) • Ограничение доступа к потенциально вредоносным сайтам (Офисный контроль) • Исключение попадания вирусов с помощью спам-рассылок (Антиспам) • Увеличение скорости работы программ • Отсутствие спама в почтовом ящике Вирус не пройдет?

  31. Требования закона о защите персональных данных • Полностью выполнено: • требование в частиантивирусной защиты отдельных рабочих станций и серверов • защиты от несанкционированного доступа • Не выполнено: • требование наличия защиты каналов выхода в интернет • требование наличия средств централизованного управления

  32. Выбранный уровень защиты Внимание! • Dr.Web Desktop Security Suite (базовая лицензия Комплексная защита) исключает возможность попадания вирусов на защищаемый компьютер и их активацию. • Современный мир пронизан цифровыми технологиями. Пользователи могут работать не только на работе, но и дома, хранить данные на файловых серверах компании – и на серверах сети Интернет. Использовать свои флеш-диски – и переданные им знакомыми и коллегами по работе.

  33. Каждый решает сам На одной стороне весов - экономия, на другой - гарантия стабильной работы. Каждый должен выбрать сам!

More Related