Embed Size (px)
Citation preview
Докладчик: Начальник отдела ЗИ Корнев Дмитрий
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Защита персональных данных – это комплекс мероприятий, позволяющий выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан. Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
www.belinfonalog.ru
Безопасность информации – состояние защищенности информации, при котором обеспечиваются её конфиденциальность, целостность и доступность Конфиденциальность - свойство информации, ограничивающее доступность для неуполномоченных лиц. Целостность – неизменность информации в процессе ее передачи или хранения. Доступность - свойство информации, определяющее возможность её получения и использования по требованию уполномоченных лиц.
www.belinfonalog.ru
ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ (ФСБ) ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ (РОСКОМНАДЗОР) ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ФСТЭК РОССИИ)
www.belinfonalog.ru
Неосведомленность
Отсутствие подготовленных
кадров
Отсутствие финансирования
ОТСУТСТВИЕ:
- ответственных лиц
- организационно-распорядительных документов
- проектно-технической документации
- системы защиты информации
www.belinfonalog.ru
В соответствии со статьей 24 закона № 152-ФЗ «О персональных данных» определена гражданская, уголовная, административная, дисциплинарная ответственность. Уголовный кодекс – ст. 137, 140, 272 (Неприкосновенность частной жизни, отказ предоставления документов, неправомерный доступ к охраняемой законом информации). Предусмотренные наказания: штраф до 200 тыс. руб., лишение свободы до 2х лет, лишение права занимать определенную должность.
Кодекс Российской Федерации об административных правонарушениях ст. 13.11, 13.14, 19.7 нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), непредставление сведений в государственный орган. Предусмотренные наказания: штрафы до 20 тыс.руб.
www.belinfonalog.ru
Защита персональных данных – это комплекс мероприятий:
Организационные меры (ПП 1119, ПП 211) Классификация, признающая актуальность угроз, не связанных с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. Как следствие, минимально возможный уровень защищенности = 3, только при условии количества субъектов ПДн, меньшим 100 000.
Технические меры для 3-го уровня защищенности (Приказ ФСТЭК России №21): Создание комплексной системы защиты информации, обеспечивающей:
- защиту каналов связи; - защиту автоматизированного рабочего места со стороны внешних злоумышленников,
в т.ч. через Интернет; - защиту от несанкционированного доступа автоматизированные рабочие места; - антивирусную защиту; - анализ защищенности ИСПДн; - защиту виртуальной среды (в случае использования технологий виртуализации).
www.belinfonalog.ru
Цель: принять необходимые меры, для того, чтобы злоумышленник не имел возможности воспользоваться перехваченной информацией Реализация: использование комплекса криптографических средств и средств межсетевого экранирования на базе технологий ViPNet согласно Концепции по обеспечению защиты информации (Приказ Департамента здравоохранения и социальной защиты населения Белгородской области от 03.07.2014 г. №1503): - Программно-аппаратные комплексы ViPNet Cioordinator HW-1000
- Программные комплексы ViPNet Coordinator (КС2), ViPNet Client (КС2)
Соответствуют всем требованиям контролирующих органов (ФСТЭК, ФСБ) к средствам криптографической защиты и межсетевого экранирования.
www.belinfonalog.ru
www.belinfonalog.ru
Незащищеннаясеть
ViPNetCoordinatorКС2/ HW1000
ViPNetClient
ЛВС
Режим 1
Маршрутизатор,Модем,Роутер
АРМ
СерверМИС
АРМ
ЛПУ
“Белый”IP
Шифрованный (защищенный) трафик
Не защищенный трафик
Обозначения:
Рекомендуемый режим подключения
www.belinfonalog.ru
Незащищеннаясеть
ViPNetCoordinatorКС2/ HW1000
ViPNetClient
ЛВС
Режим 2
Маршрутизатор,Модем,Роутер c “Белым” IP
АРМ
СерверМИС
АРМ
ЛПУ
Переназначение порта UDP 55777
Обозначения:
Шифрованный (защищенный) трафик
Не защищенный трафик
Обозначения:
Незащищеннаясеть
Сегмент 1. Центр обработки данных
Шифрованный (защищенный) трафик
Не защищенный трафик
ViPNetCoordinatorКС2/ HW1000
МаршрутизаторHP F-1000
ViPNetClient
ViPNetAdministrator
Сегмент 4Администрирование
Серверы ЦОД
ТФОМС,Организации мед.
страхования
ЛВС
Сегмент 2.Крупное ЛПУ
Общедоступныесервисы
ViPNetCoordinator Failover(HW 1000 Х2)
Сегмент 2.ЛПУ
Маршрутизатор,Модем,Роутер
АРМ
ViPNetClient
ЛВС
СервисыЕПГУ, ФЭР
Сегмент 3.Частные ЛПУ ViPNet
Client
ЛВС
ViPNetClient
ViPNetCoordinatorКС2/ HW1000
Организации, участвующие в
администрировании информационных
систем
Объекты, не имеющие доступ к ЦОД
СерверМИС
СерверМИС
ViPNetClient
АРМ
АРМ
АРМ
АРМ
Пользователиоткрытых сервисов
ViPNetClient
АРМ
Ограничение физического доступа путем организации: - охранных мероприятий технических средств ИСПДн, - использования системы видеонаблюдения и мониторинга за линиями коммуникаций внутри
учреждения Использование программных средств защиты информации от несанкционированного доступа, таких как Secret Net, Dallas lock реализуют следующие меры: Идентификация и аутентификация - управление доступом; - защита машинных носителей персональных данных; - регистрация событий безопасности; - обеспечение целостности информационной системы и персональных данных; Защита среды виртуализации обеспечивается специальными средствами защиты, например, vGate
www.belinfonalog.ru
Антивирусные средства – специализированное программное обеспечение, противодействующее заражению компьютера вредоносным кодом путем использования баз данных и анализа поведения. Сертифицированные антивирусные средства: - Антивирус Касперского Endpoint Security - Антивирус DrWeb Анализ защищенности – всестороннее тестирование защищенности системы для обнаружения уязвимостей и проверки эффективности используемых мер защиты информации Средства анализа защищенности: - xSpider - RedCheck - Сканер-ВС
www.belinfonalog.ru
Для оценки соответствия ИСПДн необходимо провести аттестацию по требованиям безопасности информации, которая включает следующие мероприятия: Контроль защищенности объектов информатизации, в том числе: - подготовка ИС к оценке соответствия требованиям безопасности; - разработка программы-методики аттестационных испытаний ИС. Аттестация объектов информатизации (ИСПДн) по требованиям безопасности информации, в том числе: - аттестационные испытания подсистемы защиты информации от НСД; - аттестационные испытания подсистемы антивирусной защиты информации; - аттестационные испытания подсистемы межсетевого экранирования; - составление заключения по результатам аттестационных испытаний ИС; - оформление документации о проведении испытаний средств защиты информации
по установленной методике испытаний средства защиты информации; - оформление, регистрация и выдача «Аттестата соответствия». Аттестат соответствия выдается на 3 года.
www.belinfonalog.ru
Начальник отдела ЗИ АНО «Белинфоналог» Корнев Дмитрий +7(4722)232-702 [email protected]
www.belinfonalog.ru
