close

Вход

Забыли?

вход по аккаунту

?

реализация на практике основных мероприятий фстэк по - Крок

код для вставкиСкачать
РЕАЛИЗАЦИЯ НА ПРАКТИКЕ ОСНОВНЫХ
МЕРОПРИЯТИЙ ФСТЭК ПО ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ: КОМПРОМИСС
БИЗНЕСА И ЗАКОНА
Евгений Чугунов
ЭКСПЕРТ
ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
КОМПАНИИ КРОК
СОДЕРЖАНИЕ
• В первую очередь
• Контроль и надзор
• Общий план мероприятий
• Модель
д
уугроз,
р , основа компромисса
р
• Аспекты сертификации средств защиты
• Аттестация ИСПДн
• Состав системы защиты персональных данных
В ПЕРВУЮ ОЧЕРЕДЬ
• Уведомление
д
регулятора
р
у
р ((РОСКОМНАДЗОР)
Д
)
– Например, автоматизированная обработка ПДн
БЫВШИХ сотрудников, соискателей и пр.
• Соглашения с сотрудниками
– Например, расширенный перечень (о машине, о
загран. паспорте, соц. программы и т.д.))
• Соглашения с клиентами
• Создание
С
П
Положения об
б обработке
б б
П
Персональных
данных
• Внедрение процедур взаимодействия с субъектами
ПДн
КОНТРОЛЬ И НАДЗОР
Роскомнадзор
• Защита
З
прав субъектов
б
ПД
ПДн
• Контроль и надзор за соблюдением ФЗ-152
ФСТЭК
•
•
Техническая защиты информации
Надзор за соблюдением тех. требований
ФСБ
•
•
Криптографическая защита информации
Контроль использования СКЗИ
ПРОВЕРКИ ФСТЭК
Надзор за соблюдением
технических требований
•
Проверка лицензиатов по ТЗКИ
(плановые, неплановые)
•
Проверка ключевых систем (плановые, неплановые)
•
Проверка Операторов ПДн — административный
регламент отсутствует
!!! Порядок проведения проверок с 2010 года изменен:
щ
прав
р юридических
р д
лиц
ци
294-ФЗ «О защите
индивидуальных предпринимателей …..»
ПЛАН МЕРОПРИЯТИЙ КРОК
Этап 1. Проведение аудита
Этап 2. Разработка модели угроз для ИСПДн.
Классификация ИСПДн
Этап 3. Создание нормативно-методической базы
Этап 4. Техническое проектирование СЗПДн
Этап 5. Сертификация средств защиты
Этап 6. Внедрение СЗПДн
Этап 7. Получение лицензии на ТЗКИ
Этап 8. Проведение аттестации ИСПДн
МОДЕЛЬ УГРОЗ
УГРОЗ.
ОСНОВА КОМПРОМИССА
• Основа классификации специальных ИСПДн
• В случае использования СКЗИ должна учесть
требования ФСБ
• Основа компромисса
р
– Только актуальные системы угрозы
– Основа выбора способов защиты,
защиты
предусмотренных для соответствующего класса
информационных систем
Постановление 781 п. 12 б)
МОДЕЛЬ УГРОЗ
УГРОЗ. МЕТОДИКА РАБОТ
•
Анализ всех эксплуатируемых ИС и хранилища данных,
выявление где присутствуют и обрабатываются ПДн
выявление,
•
Определение границ ИСПДн и порядка обработки ПДн
•
Анализ имеющихся средств защиты ПДн
А
ПД
и реализованных мер
•
Определение уровеня защищенности ИСПДн
•
Построение модели нарушителя (учет требований ФСБ)
•
Проведение идентификации и оценки актуальных угроз ПДн
•
Расчет возможного ущерба субъектам ПДн
•
Ф
Формирование
перечня компенсирующих мер и средств
•
Согласование документа со ФСТЭК
АЛГОРИТМ КЛАССИФИКАЦИИ КРОК
К1
Анализ
ИСПДн
Типовая
?
Нет
Да
Построение
Модели
угроз
К2
Ущерб
?
К3
Анализ
характер
истик
?
К1
К2
+
К3
К4
Контр. меры из
К
Модели
К4
ОПРЕДЕЛЕНИЕ УЩЕРБА СУБЪЕКТУ
• Непосредственный ущерб субъекту
• Опосредованный ущерб субъекту
• Определение шкалы и величины ущерба
• Значительный негативный ущерб субъекту: ущерб
жизни и здоровью
• Негативный ущерб: материальный
и/или значительный моральный ущерб
• Незначительный уущерб:
р моральный
р
вред
р
СЕРТИФИКАЦИЯ СЗИ
• СЗИ сертифицируются
ф
на соответствие требованиям
б
по безопасности информации (п. 3.3)
• Сертификация ПО ИСПДн на отсутствие НДВ (п. 4.2)
• Сертификация СЗИ в подсистеме обеспечения
целостности для К1 (п. 4.2.4 в, п. 4.2.7 г, п. 4.2.10 в)
• Сертификация СКЗИ (п. 4.2.7 в)
• Сертификация СЗИ (навесных и встроенных в ИСПДн)
на отсутствие
у
НДВ ((п. 4.3))
СЕРТИФИКАЦИЯ СЗИ
• ТЗ может содержать (п.
(п 3
3.8)
8) обоснование невозможности
или нецелесообразности сертификации
• ТЗ формируется с учетом модели угроз
• http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
− Оператор по согласованию с ФСТЭК России может принимать
решение о применении СЗИ в ИСПДн без мероприятий
по оценке отсутствия НДВ
ПОЛУЧЕНИЕ ЛИЦЕНЗИИ
• В
Вне зависимости от работ
б по защите
ПДН
• Подготовка пакета НДМ
• Подготовка выделенного помещения
и АРМ
• Выполнение аттестации помещения
и АС
• Подготовка и направление
р
уведомления во ФСТЭК
ПРОВЕДЕНИЕ АТТЕСТАЦИИ ИСПДН
ФСТЭК
K2
К1
K3*
K3
•
Отсутствует порядок
аттестации для ИСПДн
КРОК
•
Используем
существующую практику
•
Выдаем аттестаты соответствия
Аттестация ИСПДн
* для К3 сертификация (аттестация ) ФСТЭК добровольна
СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ. ПРОЕКТ
Ч внедряется в рамках СЗПДн?
Что
СЗПД ?
Подсистема управления доступом
Подсистема регистрации и учета
Подсистема обеспечения целостности
Подсистема антивирусной
ру
защиты
Подсистема контроля защищенности
Подсистема криптографической защиты
Подсистема обнаружения вторжений
Акустическая защита
ПЭМИН
Только К1
Только К1
К1 и К2
БАЗОВЫЕ СИСТЕМЫ ЗАЩИТЫ
Сертифицированные системы доверенной загрузки
и контроля целостности
Сертифицированные средства
межсетевого экранирования, сегментация ИСПДн
Сертифицированные средства обнаружения и
предотвращения вторжений
й ((сетевых атак))
Сертифицированные средства и системы
антивирусной
й защиты
Сертифицированные средства контроля
защищенности
РАСШИРЕННЫЕ СИСТЕМЫ ЗАЩИТЫ
• Сертифицированные ОС,
ОС СУБД
и приложения по требованиям
безопасности
• Сертификация средств защиты
по ур
уровню отсутствия
у
НДВ
Д
• Сертифицированные ФСБ средства
криптографической защиты
РЕДКИЕ СИСТЕМЫ ЗАЩИТЫ
• ПЭМИН: обеспечение необходимой
контролируемой зоны, использование
генераторов электромагнитных помех
• Акустическая защита помещений:
организационные мероприятия, звукоизоляция,
использование зашумления
• Сертифицированные по уровню отсутствия НДВ
компоненты ИСПДн
ИСПД
ЗАЩИТА ВНЕШНИХ КАНАЛОВ СВЯЗИ
Почему не ФСТЭК?
• Угроза: перехват ПДн во внешних каналах связи
• Мероприятия ФСТЭК не могут минимизировать
угрозу
• Использование сертифицированных СКЗИ
– Разработка модели нарушителя ФСБ
– Выбор соответствующего СКЗИ
– Реализация мероприятий по защите СКЗИ от НСД
и ПЭМИН
СТРАТЕГИЯ ЗАЩИТЫ ПДН
«Центральная» ИСПДн
Ex: Биллинг
П
Платежная
система
ИСПДн
Специальная
Ex: ERP, CRM
Дочерние
Общества
Дочернее
До
ер ее
Общество
Пользователи
ПДн
СПАСИБО ЗА ВНИМАНИЕ!
Евгений Чугунов
ЭКСПЕРТ ПО
ИНФОРМАЦИОННОЙ
Ц
БЕЗОПАСНОСТИ
КОМПАНИИ КРОК
Тел: (495) 974 2274
E-mail: echugunov@croc.ru
ПРИМЕР СХЕМЫ ЗАЩИТЫ ИСПДН
Документ
Категория
Экономика
Просмотров
43
Размер файла
769 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа