Embed Size (px)
Citation preview
Все об основных требованиях по информационной безопасности к бизнесуЛагутин Максим, специалист по информационной безопасности
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
КАКИЕ ТРЕБОВАНИЯ РАССМОТРИМ?
1. Требования обработки и защиты персональных данных (152-ФЗ)
2. Требования 27001 3. Требования PCI DSS 4. Требования к непрерывности работы
ИТ-систем (DRP)
www.sitesecure | +7 (499) 372-06-45 | [email protected]
DRP
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
152-ФЗ
Для кого: для юридических лиц, государственных и муниципальных органов и учреждений, ИП
Технические требования: обеспечить безопасность ИС, в которых обрабатываются персональные данные согласно установленных требований (Приказ ФСТЭК №21 и №17), подготовить техническую документацию
Организационные и иные требования: - назначение ответственных лиц - подготовка пакета внутренних документов, регламентирующих обработку и защиту персональных данных
- соблюдение прав физических лиц (субъектов персональных данных - подача уведомления об обработке персональных данных в Роскомнадзор - локализация баз персональных данных
www.sitesecure | +7 (499) 372-06-45 | [email protected]
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
Риски: штрафы, блокировка сайта, приостановка деятельности, запрет занимать руководящие должности, невозможность работать с определенным пулом клиентов
Бюджет реализации требований: технические меры - от 300.000 рублей до … организационные меры - от 10.000 рублей до …
Сроки реализации:технические меры - от 3 до 6 месяцев организационные меры - от 1 до 3 месяцев
Полезные материалы:перечень необходимых документов - http://b-152.ru/docs ТОП-10 ошибок при выполнении требований закона - http://b-152.ru/TOP-10_oshibok_operatorov_PDn.pdf
www.sitesecure | +7 (499) 372-06-45 | [email protected]
152-ФЗ: К ЧЕМУ ГОТОВИТЬСЯ
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
Для кого: для организаций, работающих со средним и крупным российским и иностранным бизнесом
Требования: обеспечить должный уровень обеспечения информация безопасности и управления процессами, а именно: - определить зону влияния - назначить роли - описать процессы обеспечения информационной безопасности; - описать процессы и методику управления информационной безопасностью;
- внедрить техническую защиту (опционально) - задокументировать все проделанное - пройти сертификацию
www.sitesecure | +7 (499) 372-06-45 | [email protected]
ISO 27001
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
Риски: невозможность работать с определенным пулом клиентов
Бюджет реализации требований: реализация требований - от 200.000 рублей до … сертификация - от 240.000 рублей до 15.000 $
Сроки реализации:реализация требований - от 1 до 6 месяцев сертификация - 1 месяц
Полезные материалы:перечень документов для соответствия ISO 27001 - http://www.slideshare.net/AndreyProzorov/27001-2013 информация по сертификации (BSI) - http://www.bsigroup.com/ru-RU/
www.sitesecure | +7 (499) 372-06-45 | [email protected]
ISO 27001: К ЧЕМУ ГОТОВИТЬСЯ
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
Для кого: для организаций, желающих напрямую принимать оплаты с банковских карт
Требования: реализация технических и организационных требований (12 основных)
Требования по подтверждению соответствия различаются в зависимости от количества транзакций в год: - ежегодный аудит, выполняемый QSA-аудитором - ежегодная самооценка соответствия с заполнением опросного листа
(SAQ) - ежеквартальное ASV-сканирование
www.sitesecure | +7 (499) 372-06-45 | [email protected]
PCI DSS
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
Риски: невозможность напрямую осуществлять работу с банковскими картами
Бюджет реализации требований: технические и орг.требования - … ежегодный аудит QSA-аудитором - от 2.000 $ до 10.000 $ ежеквартальный аудит ASV - от 100$ до …
Сроки реализации:тех. и орг. требования - от 1 до 6 месяцев сертификация - от 2 недель до 4 месяцев ежеквартальный аудит - до 2 недель
Полезные материалы:сайт PCI DSS со списками QSA-аудиторов и ASV - https://www.pcisecuritystandards.org/
www.sitesecure | +7 (499) 372-06-45 | [email protected]
PCI DSS: К ЧЕМУ ГОТОВИТЬСЯ
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
Для кого: для организаций, у которые гарантируют SLA или у которых есть критические для ведения бизнеса информационные системы
Требования: Обеспечить высокую скорость реагирования и восстановления доступности и работоспособности информационных систем.
- определение ожидаемых показателей реализации плана (MTPD, RTO, RPO) - определение границ информационной системы - разработка процессы резервного копирования, реагирования на инциденты и восстановления работоспособности информационных систем
- Назначение ответственных лиц - реализация резервной технической инфраструктуры - организация ежегодного внешнего и внутреннего аудитов плана аварийного восстановления
www.sitesecure | +7 (499) 372-06-45 | [email protected]
DRP
DRP
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
Риски: невозможность гарантировать SLA клиентам и невыполнение требований головной компании (контрагентов)
Бюджет реализации требований: разработка DRP - от 100.000 рублей до … резервная инфраструктура - … ежегодный внешний аудит - от 20.000 до …
Сроки реализации:разработка DRP - от 1 до 3 месяцев резервная инфраструктура - от 2 недель до 6 месяцев ежегодный внешний аудит - до 1 дня до 2 недель
www.sitesecure | +7 (499) 372-06-45 | [email protected]
DRP
DRP: К ЧЕМУ ГОТОВИТЬСЯ
Николай Крысенков, зам. ИТ-директора российского Lacoste
www.b-152.ru | +7 (499) 372-06-52 | [email protected] | +7 (499) 372-06-45 | [email protected]
СПЕЦИАЛЬНЫЙ ГОСТЬ
Разработать план аварийного восстановления критической информационной системы 1С
Срок на реализацию задачи - 1.5 месяца
Источник требований: головной офис во Франции
www.b-152.ru | +7 (499) 372-06-52 | [email protected] | +7 (499) 372-06-45 | [email protected]
ЗАДАЧА
www.b-152.ru | +7 (499) 372-06-52 | [email protected] | +7 (499) 372-06-45 | [email protected]
КРИТИЧЕСКАЯ ИНФОРМАЦИОННАЯ СИСТЕМА
www.b-152.ru | +7 (499) 372-06-52 | [email protected] | +7 (499) 372-06-45 | [email protected]
ИНФРАСТРУКТУРА ИНФОРМАЦИОННОЙ СИСТЕМЫ
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
1. провели обследование информационной системы
www.sitesecure | +7 (499) 372-06-45 | [email protected]
ПРОВЕДЕННАЯ РАБОТА
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
1. провели обследование информационной системы 2. определили основные показатели плана – MTPD, RTO, RPO
www.sitesecure | +7 (499) 372-06-45 | [email protected]
ПРОВЕДЕННАЯ РАБОТА
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
1. провели обследование информационной системы 2. определили основные показатели плана – MTPD, RTO, RPO 3. распределили роли плана аварийного восстановления
www.sitesecure | +7 (499) 372-06-45 | [email protected]
ПРОВЕДЕННАЯ РАБОТА
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
1. провели обследование информационной системы 2. определили основные показатели плана – MTPD, RTO, RPO 3. распределили роли плана аварийного восстановления 4. выявили границы информационной системы
www.sitesecure | +7 (499) 372-06-45 | [email protected]
ПРОВЕДЕННАЯ РАБОТА
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
1. провели обследование информационной системы 2. определили основные показатели плана – MTPD, RTO, RPO 3. распределили роли плана аварийного восстановления 4. выявили границы информационной системы 5. детализировали элементы информационной системы, отказ которых
приведет к недоступности системы
www.sitesecure | +7 (499) 372-06-45 | [email protected]
ПРОВЕДЕННАЯ РАБОТА
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
1. провели обследование информационной системы 2. определили основные показатели плана – MTPD, RTO, RPO 3. распределили роли плана аварийного восстановления 4. выявили границы информационной системы 5. детализировали элементы информационной системы, отказ которых
приведет к недоступности системы 6. разделили зоны ответственности по элементам системы
www.sitesecure | +7 (499) 372-06-45 | [email protected]
ПРОВЕДЕННАЯ РАБОТА
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
1. провели обследование информационной системы 2. определили основные показатели плана – MTPD, RTO, RPO 3. распределили роли плана аварийного восстановления 4. выявили границы информационной системы 5. детализировали элементы информационной системы, отказ которых
приведет к недоступности системы 6. разделили зоны ответственности по элементам системы 7. описали резервную инфраструктуру и элементы
www.sitesecure | +7 (499) 372-06-45 | [email protected]
ПРОВЕДЕННАЯ РАБОТА
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
1. провели обследование информационной системы 2. определили основные показатели плана – MTPD, RTO, RPO 3. распределили роли плана аварийного восстановления 4. выявили границы информационной системы 5. детализировали элементы информационной системы, отказ которых
приведет к недоступности системы 6. разделили зоны ответственности по элементам системы 7. описали резервную инфраструктуру и элементы 8. разработали процедуры резервного копирования
www.sitesecure | +7 (499) 372-06-45 | [email protected]
ПРОВЕДЕННАЯ РАБОТА
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
1. провели обследование информационной системы 2. определили основные показатели плана – MTPD, RTO, RPO 3. распределили роли плана аварийного восстановления 4. выявили границы информационной системы 5. детализировали элементы информационной системы, отказ которых
приведет к недоступности системы 6. разделили зоны ответственности по элементам системы 7. описали резервную инфраструктуру и элементы 8. разработали процедуры резервного копирования 9. прописали сценарии аварийного восстановления системы при
выходе из строя каждого элемента ИС и процессы анализа инцидентов
www.sitesecure | +7 (499) 372-06-45 | [email protected]
ПРОВЕДЕННАЯ РАБОТА
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
1. провели обследование информационной системы 2. определили основные показатели плана – MTPD, RTO, RPO 3. распределили роли плана аварийного восстановления 4. выявили границы информационной системы 5. детализировали элементы информационной системы, отказ которых
приведет к недоступности системы 6. разделили зоны ответственности по элементам системы 7. описали резервную инфраструктуру и элементы 8. разработали процедуры резервного копирования 9. прописали сценарии аварийного восстановления системы при
выходе из строя каждого элемента ИС и процессы анализа инцидентов
10.описали процедуру тестирования и пересмотра настоящего плана
www.sitesecure | +7 (499) 372-06-45 | [email protected]
ПРОВЕДЕННАЯ РАБОТА
www.b-152.ru | +7 (499) 372-06-52 | [email protected] | +7 (499) 372-06-45 | [email protected]
В ИТОГЕ: РЕЗЕРВНАЯ ИНФРАСТРУКТУРА
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
- в качестве программного обеспечения для резервного копирования было выбрано решение компании Acronis
- выявлено отсутствие дублирующих элементов ИС для аварийного восстановления в случае отказа основных
- 1С настроена таким образом, чтобы клиентские версии в точках продаж могут долгое время накапливать данные в случае отсутствия соединения с сервером.
- реализация процедуры восстановления в точках продаж делегирована на внешнего подрядчика по ИТ-аутсорсингу
В ИТОГЕ: ЧАСТНОСТИ
www.sitesecure | +7 (499) 372-06-45 | [email protected]
www.b-152.ru | +7 (499) 372-06-52 | [email protected]
Проект реализован за 1 календарный месяц.
Стоимость проекта менее 1 млн. рублей
На выходе получили документ в 40 страниц с описанием всех процедур, ролей и форм.
ИТОГ
www.sitesecure | +7 (499) 372-06-45 | [email protected]
www.sitesecure | +7 (499) 372-06-45 | [email protected]
СПАСИБО ЗА ВНИМАНИЕ
Максим Лагутин
SiteSecure | B-152
8 (926) 125-44-53
