1 / 41

Соответствие требованиям российских нормативных документов по защите информации

Соответствие требованиям российских нормативных документов по защите информации. Андрей Иванов. Microsoft Россия. Павел Смирнов. Крипто-Про. IS 304. Содержание. Требования регуляторов Защита конфиденциальной информации при передаче Виртуальные частные сети ( VPN)

penelope-newton
Télécharger la présentation

Соответствие требованиям российских нормативных документов по защите информации

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Соответствие требованиям российских нормативных документов по защите информации Андрей Иванов Microsoft Россия Павел Смирнов Крипто-Про IS 304

  2. Содержание • Требования регуляторов • Защита конфиденциальной информации при передаче • Виртуальные частные сети (VPN) • Изоляция серверов и доменов • Защищённый удалённый доступ к ресурсам и приложениям • Защита конфиденциальной информации при хранении • Выводы

  3. Перечень сведений конфиденциального характераУказ Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера" • Персональные данные • Коммерческая тайна • Служебная тайна • Банковская тайна • Налоговая тайна • Профессиональная тайна (предварительного следствия, судопроизводства, страхования, врачебная…) • Иная тайна (усыновления, исповеди…)

  4. Структура информации, чья защита регламентируется нормативными документами

  5. ФЗ ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ (27 июля 2006 года N 149-ФЗ) Статья 9. Ограничение доступа к информации • … • 3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне. • 4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение. • … • 9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

  6. Руководящие документы • Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации • Руководящий документ автоматизированные системы (РД АС) защита от несанкционированного доступа к информации классификация автоматизированных систем и требования по защите информации • Руководящий документсредства вычислительной техники(РД СВТ) защита от несанкционированного доступа к информациипоказатели защищенности от несанкционированного доступа к информации • Руководящий документ (РД НДВ)Защита от несанкционированного доступа к информации Часть 1Программное обеспечение средств защиты информацииКлассификация по уровню контроля отсутствия недекларированных возможностей

  7. Основные типы информации, защищаемые с помощью СКЗИ

  8. Положение о сертификации средств защиты информацииУтверждено постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608(с изменениями и дополнениями от 23 апреля 1996 г. № 509; от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808) • Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. • Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. • Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации. (В редакции постановлений Правительства Российской Федерации от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808)

  9. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) • Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее – информацияконфиденциальногохарактера) • Шифровальные (криптографические) средства защиты информации конфиденциального характера в настоящем Положении именуются средствами криптографической защиты информации (далее – СКЗИ). К СКЗИ относятся: * • а) средства шифрования • б) средства имитозащиты • в) средства электронной цифровой подписи • г) средства кодирования • д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации); • е) ключевые документы (независимо от вида носителя ключевой информации).

  10. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)(продолжение) • Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях: • при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации (далее – государственныеорганы); • при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее – организации, выполняющиегосударственныезаказы); • Для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российской Федерации.

  11. Указпрезидента российской федерациио мерах по обеспечению информационнойбезопасности российской федерации при использованииинформационно-телекоммуникационных сетеймеждународного информационного обмена(в ред. Указа Президента РФ от 21.10.2008 N 1510) • В целях обеспечения информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей, позволяющих осуществлять передачу информации через государственную границу Российской Федерации, в том числе при использовании международной компьютерной сети "Интернет", постановляю: • 1. Установить, что: … б) при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте "а" настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники

  12. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИпо обеспечению с помощью криптосредствбезопасности персональных данных при их обработкев информационных системах персональных данныхс использованием средств автоматизации • Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства. • В случае отсутствия готовых сертифицированных криптосредств, функционально пригодных для обеспечения безопасности персональных данных при их обработке в конкретной информационной системе, на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной системы с участием оператора и предполагаемого разработчика криптосредства готовится обоснование целесообразности разработки нового типа криптосредства и определяются требования к его функциональным свойствам. • Разработка нового типа криптосредства осуществляется в соответствии с Положением ПКЗ-2005.

  13. Сертифицированные СКЗИ Используются • Для защиты государственной тайны любого уровня • При защите ПДн с использованием криптографических средств • При защите конфиденциальной и общедоступной информации в государственных структурах • …

  14. Сценарии

  15. Внутренний Web-сервер Exchange Внешний Web-сервер DMZ Пользователь Внутренняя сеть Интернет SharePoint Active Directory VPN: Удалённый доступ к сети предприятия Client-to-site L2TP + IPSec

  16. Внутренний Web-узел Exchange Внешний Web-сервер Пользователь Филиал DMZ EMS Внутренняя сеть Интернет SharePoint Active Directory Пользователь Головной офис VPN: Объединение филиалов в единую сеть Site-to-site L2TP + IPSec

  17. Возможности IPSec • Защита передаваемых данных • Аутентификация сторон и защита целостности – AH • Защита конфиденциальности, целостности и аутентификация – ESP • Способы выработки сеансовых ключей и аутентификации сторонв КриптоПроIPSec • Предварительно распределённый ключ • Сертификат открытого ключа

  18. Изоляция серверов и доменов (SDI) Изоляция серверов Защищает выделенные особо ценные серверы и данные Изоляция доменов Защищает управляемые компьютеры от неуправляемых

  19. Контроллер домена Сеть предприятия Доверенный сервер с ресурсами Сервер с важной информацией X Неуправляемый компьютер X Изоляция серверов Компьютер бухгалтера Управляемый компьютер Управляемый компьютер Недоверенный сегмент Изоляция домена Сегментация на основе политики

  20. UAG предоставляет безопасный удаленный доступ из любой точки мира к любым бизнес-приложениям, повышая эффективность работы пользователей, не снижая общего уровня безопасности

  21. Архитектура Forefront UAG Корпоративная сеть Exchange CRM SharePoint IIS based IBM, SAP, Oracle Мобильные устройства HTTPS / HTTP Интернет-киоски Terminal / Remote Desktop Services Layer3 VPN HTTPS (443) Интернет Не-web Бизнес-партнеры AD, ADFS, RADIUS, LDAP…. NPS, ILM Мобильные сотрудники

  22. Внутренний Web-сервер Exchange Внешний Web-сервер DMZ Пользователь Внутренняя сеть Интернет SharePoint Active Directory Публикация с помощью Forefront TMG SSL/TLS

  23. Совместная работа UAG и ADFS Adatum Account Forest Trey Research Resource Forest Федеративные отношения • adfsresource.treyresearch.net UAG ADFS KCD CRM • adfsuag.treyresearch.net

  24. Что нужно для соответствия требованиям • ADFS 2.0 • UAG SP1 (конец этого года) • КриптоПроCSP • КриптоПроSharpei

  25. Что такое EFS? • E - Encrypting • F - File • S - System

  26. Ключевые факты о EFS • Шифрование на уровне файловой системы • Данные файла зашифрованы на симметричном ключе (FEK), который защищён с применением асимметричного ключа • Возможно назначение уполномоченного агента для восстановления файлов • Данные файла не защищены при передаче по сети

  27. Как работает EFS RPC Процессы пользователя Службы Windows Пользователь RPC CreateFile Ядро Windows NTFS Файлы

  28. Формат зашифрованного файла

  29. Дополнительные возможности КриптоПроEFS • Используются российские криптографические алгоритмы, реализованные в сертифицированном СКЗИ КриптоПроCSP • Богатый выбор ключевых носителей • Контроль целостности зашифрованных файлов

  30. Список продуктов, имеющих сертификат ФСТЭК • Все продукты Майкрософт сертифицированы «как есть», без изменений, и могут быть использованы для построения автоматизированных систем уровня защищенности 1Г: • Windows 7 Pro, Ent, Ult* • Windows Server 2008 и R2* (Std, Ent, DataCenter) • Windows XP Professional русская версия • Windows Vista русская версия • Windows Server 2003 и R2 (Standard и Enterprise) русские версии • SQL Server 2000 и SQL Server 2005 (Standard и Enterprise) русские версии • Office 2003 и 2007 Standard, Professional, Plus русские версии • ISA Server 2006 (Standard) русская версия • Антивирусные продукты Forefront (Client, для Exchange и для SharePoint) – русские версии * - Соответствие закону о ПД (до 2 класса включительно)указано непосредственно в сертификате

  31. Список продуктов, имеющих сертификат ФСТЭК (продолжение) • Exchange Server 2007* • BizTalk Server 2006 R2* • SharePoint Server 2007* • SQL Server 2008 (Standard, Enterprise) ** • System Center Operation Manager2007 ** • System Center Configuration Manager 2007 R2** • System Center Data Protection Manager2007 ** • System Center Virtual Machine Manager 2008** * - на сайте ФСТЭК помечены, как соответствующие Закону о ПД (до 2 класса включительно) ** - на сайте ФСТЭК помечены, как соответствующие Закону о ПД (до 3 класса включительно)

  32. Сертификация в ФСБ • Сертифицированы: • Windows XPProfessional • Windows Server 2003Enterprise • SharePoint Server 2007 Каждый сертифицированный продукт включает в себя, кроме продукта Майкрософт, соответствующий продукту «Secure Pack Rus» • Работы и планы: • SQL Server 2008 – работы закончены, идет экспертиза • Майкрософт будет сертифицировать все продукты для построения защищенного документооборота в органах государственной власти, удовлетворяющего требованиям ФСБ

  33. Как купить сертифицированный продукт • Сертифицированный продукт отличается от лицензионного • Каждый экземпляр сертифицированного продукта имеет пакет документов государственного образца о том, что данный продукт является сертифицированным, включая голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов. • Он дороже, так как включает в себя подписку на получение сертифицированных обновлений с защищенного специализированного сайта • За покупкой надо обращаться в ООО «Сертифицированные информационные системы»генеральный директор Сергей Груданов sg@c-i-s.ru – они владельцы сертификатов, работают только через партнеров

  34. Выводы • В ряде случаев для защиты информации требуется использование сертифицированного ПО • У Майкрософт уже есть платформасертифицированных по российским требованиям продуктов • Майкрософт продолжает сертификацию продуктов • Продукты компании Крипто-Про обеспечивают соответствие требованиям ФСБ к используемым при хранении и передаче информации криптосредствам

  35. Ресурсы • Дополнительные сессии по теме • DC 202: Построение систем защищенного взаимодействия(16:00-17:00, Синий Конгресс-зал) • CT 306: Реализация доступа для удаленных пользователей на базе Windows 7 DirectAccess и Forefront UAG (17:30-18:30, Зона интерактивных сессий) • Блоги • http://blogs.technet.com/mamykin • http://blogs.technet.com/securityrus

  36. Официальные курсы и сертификация Microsoft • Более 300 официальных курсов Microsoft доступно в России. • Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft • под руководством опытного сертифицированного инструктора Microsoft • интенсивное обучение с акцентом на практику • более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы) • Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя . • Microsoft предлагает гибкую систему сертификаций. • Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning 40 57 % % Доказательство № 75 Доказательство № 119 • рекрутеров считают сертификацию сотрудников одним из критериев для повышения в должности • сертифицированных специалистов считают, что сертификация помогла им получить работу или повышение

  37. Специальные предложения • Сертификационный пакет со вторым шансом • Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком. • Сэкономьте 15% на сертификации вашей ИТ-команды • Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками. • Microsoft Certified Career Conference • Первая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г. • Сессии по технологиям и построению карьеры • Скидка 50% для сертифицированных специалистов Microsoft и студентов • Бесплатная подписка на TechNet для слушателей официальных курсов • Некоторые курсы по SharePoint, Windows 7; WindowsServer 2008; SQL Server 2008 • Детали: www.microsoft.com/rus/learning С 22 ноября 2010 г. – подписка TechNet бесплатно для слушателей курсов. Количество ограничено!

  38. Обратная связь Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала Спасибо!

  39. Вопросы • IS 304 • Андрей Иванов, MBA • Microsoft • Павел Смирнов, к.т.н. • Крипто-Про • Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада

More Related