1 / 21

Емельянников Михаил Юрьевич, Управляющий партнер

Проблема обеспечения безопасности при размещении информационных систем органов власти в коммерческих дата-центрах и облачной инфраструктуре. Емельянников Михаил Юрьевич, Управляющий партнер. Эффективный документооборот в органах власти и местного самоуправления. Определимся с понятиями.

krysta
Télécharger la présentation

Емельянников Михаил Юрьевич, Управляющий партнер

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Проблема обеспечения безопасности при размещении информационных систем органов власти в коммерческих дата-центрах и облачной инфраструктуре Емельянников Михаил Юрьевич, Управляющий партнер Эффективный документооборот в органах власти и местного самоуправления

  2. Определимся с понятиями государственные информационные системы – федеральные ИС и региональные ИС, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов; муниципальные информационные системы – ИС, созданные на основании решения органа местного самоуправления.

  3. Регистрация государственных информационных систем Постановление Правительства РФ от 10.09.2009 № 723 «О порядке ввода в эксплуатацию отдельных государственных информационных систем» Постановлением утверждено «Положение о регистрации федеральных государственных информационных систем». До ввода в эксплуатацию федеральной ГИС, которая предназначена для использования при осуществлении государственных функций и (или) предоставления государственных услуг, федеральный орган исполнительной власти обязан: принять правовой акт о порядке и сроках ввода в эксплуатацию федеральной ГИС; зарегистрировать федеральную ГИС в реестре федеральных ГИС.

  4. Реестр ГИС (325 систем нa 01.06.2014)

  5. Факторы влияния • Требования к государственным (муниципальным) информационным системам. • Требования к информационным системам персональных данных. • [в перспективе]Требования к защите служебной тайны органов власти.

  6. Требования к ГИС (МИС).Межведомственное взаимодействие Постановление Правительства РФ от 08.09.2010 № 697 «О единой системе межведомственного электронного взаимодействия» Приказ Минкомсвязи от 27.12.2010 № 190 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия»

  7. Требования к информационной безопасности СМЭВ Необходимо обеспечить защиту информации от НСД, ее искажения и блокирования (ПП № 697). Подсистема информационной безопасности каждой информационной системы, подключаемой к системе взаимодействия, должна обеспечивать установленные законодательством РФ уровни защищенности информации, обрабатываемой в этой системе (Приказ Минкомсвязи № 190). При передаче данных необходимо использовать протоколы TLS , SSL и IPSec(Приказ Минкомсвязи № 190).

  8. Требования к ГИС (МИС).Безопасность ИСОП Постановление Правительства РФ от 18.05.2009 № 424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям» Приказ ФСБ № 416, ФСТЭК № 489 от 31.08.2010 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования» Приказ Минкомсвязи от 25.08.2009 № 104 «Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»

  9. Требования к информационной безопасности ИСОП Постановление Правительства от 18.05.2009 № 424 Операторы федеральных государственных информационных систем, созданных или используемых в целях реализации полномочий федеральных органов исполнительной власти, при подключении ИСОП к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, обязаны обеспечить: защиту информации, содержащейся в ИСОП, от уничтожения, изменения и блокирования доступа к ней; использование при подключении ИСОП к информационно-телекоммуникационным сетям СЗИ, прошедших оценку соответствия (в том числе в установленных случаях сертификацию);

  10. Требования о защите информации, содержащейся в ИСОП Приказ ФСБ № 416, ФСТЭК № 489 от 31.08.2010 При создании и эксплуатации ИСОП должны выполняться следующие требования: использование сертифицированных СЗИ; использование антивирусных средств; использование обнаружения компьютерных атак; использование средств межсетевого экранирования; обеспечение защиты от воздействий на технические и программные средства; осуществление регистрации действий обслуживающего персонала; осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России.

  11. Требования к ГИС (МИС).Обеспечение защиты информации Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Требования являются обязательными при обработке информации в ГИС, функционирующих на территории РФ, а также в муниципальных ИС, если иное не установлено законодательством РФ о местном самоуправлении.

  12. Требования к ГИС (МИС).Защита персональных данных • Ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» • Нормативно-методические документы ФСБ России по использованию криптографических средств для защиты персональных данных

  13. Требования к защите персональных данных • Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от … неправомерных действий. • Безопасность ПДн при их обработке в ИС обеспечивает оператор этой системы, который обрабатывает ПДн, или лицо, осуществляющее обработку ПДн по поручению оператора на основании заключаемого с этим лицом договора. • Определение типа угроз безопасности персональных данных, актуальных для информационной системы, построение частной модели актуальных угроз и выбор СЗИ производятся оператором. • Оператор должен определить уровень защищенности персональных данных.

  14. Перенести ГИС или МИС в дата-центр?Можно! Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора, обеспечивает защиту информации в соответствии с законодательством РФ…В договоре должна быть предусмотрена обязанность уполномоченного лица обеспечивать защиту информации, являющейся государственным информационным ресурсом, в соответствии с настоящими Требованиями.

  15. Но не забудьте! Для обеспечения защиты информации, содержащейся в ИС: обладателем информации проводится классификация ИС по требованиям защиты информации; применяются СЗИ, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности; проводится аттестация ИС по требованиям защиты информации.

  16. Как решить эти проблемы Органу власти: классифицировать ИС, определить тип актуальных угроз и уровень безопасности ПДн; построить частную модель актуальных угроз (для своей части ИС); реализовать систему защиты на своей части ИС и аттестовать ее; включить требования безопасности в договор (государственный контракт) с провайдером, разделив ответственность.

  17. Как решить эти проблемы Провайдеру услуги: определить тип актуальных угроз, максимальный класс ИС и уровень защищенности для ЦОДа; построить частную модель актуальных угроз ЦОДу (для защищенного сегмента); реализовать систему защиты на серверной стороне и аттестовать ИС; помочь клиенту с реализацией мер защиты на клиентской стороне; • получить лицензии ФСТЭК и ФСБ.

  18. Решение на законодательном уровне

  19. Что предлагается в законопроекте оказание услуг облачных вычислений органам государственной власти, органам местного самоуправления, … вправе осуществлять только российские юридические лица, облачная инфраструктура которых находится на территории РФ, соответствующие обязательным требованиям, установленным законом; вводится понятие гарантирующего поставщика услуг облачных вычислений; поставщики услуг облачных вычислений должны иметь лицензии ФСБ и ФСТЭК и не менее двух ЦОД, прошедших государственную аттестацию.

  20. А тем временем… Государственная программа РФ «Информационное общество (2011 - 2020 годы)» Утверждена распоряжением Правительства РФ от 20.10.2010 № 1815-р В рамках мероприятия по развитию электронного правительства реализуются следующие меры: … создание национальной платформы «облачных вычислений»; …

  21. Спасибо! Вопросы? Емельянников Михаил Юрьевич Управляющий партнер +7 (916) 659 3474 mezp11@gmail.com Эффективный документооборот в органах власти и местного самоуправления

More Related