СЗПДн как первый шаг к комплексной системе ИБ

Главный инженер департамента системной интеграции ООО «УЦСБ» Николай Домуховский

www.USSC.ru 1

Содержание

• Как мы строим СЗПДн?

• Почему так строить не стоит?

• А как можно строить?

www.USSC.ru 2

Как мы строим СЗПДн

www.USSC.ru 3

Босс, мы нарушаем требования 152-ФЗ. Нам надо строить

систему защиты ПДн, иначе нам грозят

реальные штрафы!

Хорошо, сколько мне это будет стоить?

С чем мы начинаем работу над СЗПДн

• Бизнес: «это просто

обязательные траты»

• Служба ИТ: «это

просто

дополнительная

головная боль»

• Служба ИБ: «это не

дает нам заниматься

реальными делами»

www.USSC.ru 4

Сделайте это:

• Как можно дешевле

• С минимальным

влиянием на

существующие

системы

• Максимально

быстро

СЗПДн – обязательная программа

1. Классификация ИСПДн

2. Разработка ЧМУ (включая модель

нарушителя)

3. Определение уровня защищенности

4. Проектирование СЗПДн

5. Ввод в действие

6. Аттестация

7. Постоянная Эксплуатация

www.USSC.ru 5

Организационные меры 1. Приказы о назначении (ответственных за защиту ПДн, за СКЗИ,

администратора ИБ ИСПДн) 2. Приказ об утверждении списка лиц, которым необходим доступ к ПДн

для выполнения служебных (трудовых) обязанностей 3. Положение о защите ПДн 4. Положение по организации и проведению работ по обеспечению

безопасности ПДн при их обработке в ИСПДн 5. Положение по организации контроля эффективности защиты

информации в компании 6. Положение об организации режима безопасности помещений, где

осуществляется работа с ПДн 7. Положение о порядке хранения и уничтожения носителей ПДн 8. Регламент разграничения прав доступа 9. План внутренних проверок состояния защиты ПДн 10. ДИ персонала в части обеспечения безопасности ПДн 11. Акты классификации ИСПДн 12. Журнал учета средств защиты информации (СрЗИ) 13. Акты классификации ИСПДн

www.USSC.ru 6

Типовой перечень – есть готовые шаблоны!

Технические меры

www.USSC.ru 7

Система защиты персональных данных

Антивирусная

защита

Защита

межсетевого

взаимодействия

Анализ

защищенности

Управление

доступом

Регистрация и

учет

Контроль

целостности

Криптографичес

кая защита

Поставим СрЗИ от НСД с соответствующим сертификатом

Возьмем СКЗИ с соответствующим сертификатом (и подешевле, и

поменьше)

А что в VPN шлюзе нет МЭ? Что там у вас подешевле? А, ну это мы уже используем!

Экономия!

Итоговая схема

www.USSC.ru 8

Содержание

• Как мы строим СЗПДн?

• Почему так строить не стоит?

• А как можно строить?

www.USSC.ru 9

Организационные меры - реальность

www.USSC.ru 10

• Шаблон универсален – значит…

• Кроме документов есть записи – а их надо вести постоянно

• Документы не только должны быть – их должны знать и выполнять

• Документ – это не только 3-4 кг высококачественной бумаги, но и формализация части бизнес процессов организации

он не подходит никому

Итоговая схема (немного позже)

www.USSC.ru 11

СрЗИ от НСД конфликтовало с прикладным ПО серверов и рабочих станций и пришлось его удалить

МЭ VPN шлюза не позволял нормально реализовать работу нового кластера серверов

ИСПДн, пришлось его убрать

После того, как истекли сроки действия сертификатов VPN клиентов пришлось перейти на схему с общим секретом

Никто не выделил средств на продление лицензии

И тут приходит проверка (плановая)

www.USSC.ru 12

• Оказывается в документах уже не те даты, фамилии и т.п. – надо актуализировать

• Никто не вел журналы – надо чем-то заполнять • Система по факту отключена – надо по новой ее

запускать

А не за это ли мы платили нашему подрядчику

Содержание

• Как мы строим СЗПДн?

• Почему так строить не стоит?

• А как можно нужно строить?

www.USSC.ru 13

Комплексное обеспечение ИБ

www.USSC.ru 14

Защита ПДн

Защита банковской тайны

Защита КВОЗащита

коммерческой тайны

Непрерывность бизнеса

Комплексность – решаем ряд разноплановых задач в рамках единой концепции

Комплексное обеспечение ИБ

www.USSC.ru 15

Равнопрочность Достаточность

Комплексное обеспечение ИБ

www.USSC.ru 16

Адекватность требованиям:

• Законодательным

• Отраслевым

• Корпоративным:

– Техническая политики

– Требования по надежности системы

– Требования к документированию

– Интеграция со смежными системами

– …

Безопасность для бизнеса, а не наоборот

СЗПДн как первый шаг к построению КСИБ

1. Анализ и оптимизация бизнес процессов, связанных с обработкой ПДн

2. Разработка концепции КСИБ

3. Разработка ЧМУ (включая модель нарушителя)

4. Определение уровня защищенности

5. Эскизное проектирование КСИБ

6. Проектирование СЗПДн

7. Ввод в действие

8. Аттестация

9. Постоянная Эксплуатация и послегарантийное сопровождение

www.USSC.ru 17

СЗПДн как первый шаг к построению КСИБ

www.USSC.ru 18

Централизованное управление и мониторинг

Непрерывность функционирования

Управление информационной безопасностью

Управление

соответствием

Управление

рисками

Управление

докумениацией

Жизненный цикл КСИБ

www.USSC.ru 19

Безопасность – это процесс, а не продукт (Б. Шнайер)

Проектирование

Улучшение,

подготовка,

планирование

Ввод в действие,

модернизация

Управ-

ление

Постоянная

эксплуатация

Моделирование, подбор

решений

Разработка

пакета ОРД

Инсталляция

Обучение

Разработка

архитектуры

Разработка проектной

документации

Подготовка

к аттестации,

сертификации

Техническое

обслуживание

Консалтинг

Аудит

Текущий

ремонт

СЗПДн как первый шаг к комплексной системе ИБ

Спасибо за внимание!

Николай Домуховский

Главный инженер департамента системной интеграции

18.09.2012 www.USSC.ru 20

ООО «УЦСБ» 620026, Екатеринбург, ул. Красноармейская, д.78Б, оф.902 Тел.: +7 (343) 379-98-34 Факс: +7 (343) 264-19-53 info@ussc.ru www.USSC.ru