Embed Size (px)
Citation preview
www.platformix.ru
Вставьте картинку
Platformix
Прозоров Андрей
Эксперт по информационной безопасности
2013-03-14
Практические аспекты построениясистемы защиты персональных данных: что делать с новыми требованиями?
Часть 1
Platformix
О регламенте
1. Планируется 3 блока презентаций:◦ Актуальность темы ПДн, что нового?◦ Как выполнить требования? Советы и рекомендации◦ Краткий обзор решений партнеров
2. Вопросы можно по ходу, но длинные дискуссии перенесем на конец дня или на перерывы
3. Все презентации и прочие материалы выложим на сайт, ссылку пришлем в конце следующей недели
4. Сотовые телефоны и возможность выйти
5. Чай, кофе
2
Platformix 3
Platformix
Почему решили провести семинар?
1. Произошли существенные изменения в нормативной базе ПДн
2. Усилилось внимания регуляторов и СМИ к теме ПДн
3. Мы накопили много уникального опыта, которым хотим поделиться
4. Нам интересны потребности и проблемы наших Заказчиков
4
Platformix
А зачем заниматься защитой ПДн?
Снижение рисков выставления штрафов и других санкций регуляторов
Повышение доверия клиентов, сотрудников и партнеров
Повышение общего уровня ИБ
5
Platformix
Да, тема ПДн интересна, НО…
Platformix
Да, тема ПДн интересна, НО…
● к нам не придут и штрафов не боимся…
● что будет если еще подождать…
● у нас другие приоритеты и задачи…
● законодательство слишком часто меняется…
● уже все сделали…● не хватает знаний…● не понятно, что делать…● не понятно с чего начать…● нет денег, жалко денег…● не знаем у кого спросить
совета
7
Platformix
А сейчас о том, что изменилось…
8
Platformix
●152-ФЗ ст.19.2 2) Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн.
●152-ФЗ ст.19.3. Правительство РФ с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн устанавливает:◦ 1) уровни защищенности ПДн при их обработке в
ИСПДн в зависимости от угроз безопасности этих данных
◦ 2) требования к защите ПДн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн Федеральный закон от
27.07.2006 N 152-ФЗ(ред. от 25.07.2011)"О персональных данных"
9
Platformix
Что изменилось за последнее время?
1. Постановление Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн»(ПП1119)
2. Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения установленных Правительством РФ требований к защите ПДн, для каждого из уровней защищенности ПДн(SOISO draft, 12-2012 – 02-2013)
3. Разъяснения РКН по вопросам, касающимся обработки ПДн работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве (14.12.2012 http://www.rsoc.ru/news/rsoc/news17877.htm)
10
Platformix
Что в последней версии SOISO?
● Исправлены ошибки и неточности● Существенно пересмотрены перечень и содержание
мер защиты ● Пересмотрена процедура выбора мер
11
Platformix
Что еще ожидаем? (основное)
●ФСТЭК России◦Требования о защите информации, не составляющей ГТ,
содержащейся в государственных ИС («СТР-К»)◦Модель угроз◦ ??? DLP, доверенная загрузка, 2х факторная
аутентификация, безопасность виртуализации, беспроводного и удаленного доступа
●РКН◦Методические рекомендации по обезличиванию ПДн◦Список стран с адекватной защитой ПДн◦ ??? Разъяснения по биометрии
●ФСБ России◦Требования по СКЗИ для ИСПДн
●ПП◦О гос. контроле и надзоре за соответствием обработки
ПДн требованиям 152-ФЗ
12
Platformix
ПП1119 И SOISO(ПОДРОБНЕЕ)
13
Platformix
Что изменили/уточнили ПП1119 и SOISO
I. Состав нормативной базы (ПП1119)
II. Подход к классификации ИСПДн (ПП1119)
III. Перечень базовых мер защиты (по ПП1119 и SOISO)
IV. Дополнительные меры для угроз 1 и 2 типа (НДВ) (SOISO)
V. Порядок выбора мер защиты (SOISO)
VI. Соответствие классов сертифицированных СЗИ и уровней защищенности ПДн (SOISO)
VII. Возможность аутсорсинга ИБ (ПП1119 и SOISO)
14
Platformix
I. Изменение нормативной базы
ПП1119: «Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн»
«Подвешенный» статус:●Приказ ФСТЭК России № 55, ФСБ России №86, Мининформсвязи Российской Федерации № 20 от 13.02.2008 «Об утверждении Порядка проведения классификации ИСПДн» ●Приказ ФСТЭК России № 58 «Об утверждении Положения о методах и способах защиты информации в ИСПДн»●«Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДН» от 14 февраля 2008 года (ФСТЭК России).●«Методические рекомендации…» и «Типовые требования…» по использованию СКЗИ для обеспечения безопасности ПДн
Постановления 687 и 512, а также Базовая модель угроз остаются
15
Platformix
II. Классификация ИСПДн
Были «Классы ИСПДн»●Категория ПДн и количество субъектов ПДн●Типовая ИСПДн или Специальная ИСПДн●…
Стали «Уровни защищенности ПДн при их обработке в ИС»●Тип и количество субъектов ПДн
◦ ПДн более чем 100000 субъектов, не являющихся сотрудниками оператора
◦ ПДн сотрудников оператора или ПДн менее чем 100000 субъектов, не являющихся сотрудниками оператора
●Тип ИСПДн (ИСПДн-С, ИСПДн-Б, ИСПДн-О, ИСПДн-И)●Тип актуальных угроз:
◦ АУ1 – актуальны угрозы НДВ в системном ПО◦ АУ2 – актуальны угрозы НДВ в прикладном ПО◦ АУ3 – не актуальны угрозы НДВ
16
Platformix
II. Уровни защищенности ПДн (ПП 1119)
ИСПДн-Сспециальные
ИСПДн-Ббиометрические
ИСПДн-Ииные
ИСПДн-Ообщедоступные
ПДн сотрудников оператора или ПДн менее чем 100 000 субъектов, не являющихся сотрудниками оператора
АУ 3 типа(без НДВ) 3 3 4 4
АУ 2 типа(НДВ ПО) 2 2 3 3АУ 1 типа(НДВ ОС) 1 1 1 2
ПДн более чем 100 000 субъектов, не являющихся сотрудниками оператора
АУ 3 типа(без НДВ) 2 3 3 4
АУ 2 типа(НДВ ПО) 1 2 2 2АУ 1 типа(НДВ ОС) 1 1 1 2
17
Platformix
III. Требования по защите ПДн (ПП1119)Требования 1 2 3 4
1.Контроль доступа в помещенияОрганизация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
+ + + +
2.Безопасность носителейОбеспечение сохранности носителей ПДн
+ + + +
3.Перечень лиц, допущенных к обработке ПДнУтверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей
+ + + +
4.«Сертифицированные» СЗИИспользование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз
+ + + +
5.Назначение ответственного за безопасность ПДнНазначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИС
+ + + -
6.Контроль доступа к эл.журналу доступаОбеспечение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей
+ + - -
7.Автоматическая регистрация в эл.журнале доступаАвтоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИС
+ - - -
8.Создание структурного подразделенияСоздание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИС, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности
+ - - -
9.Регулярный контроль за выполнением требованийСамостоятельно или с привлечением лицензиата по ТЗКИ. Не реже 1 раза в 3 года
+ + + +
18
Platformix
III. Перечень базовых мер защиты (SOISO)
Много новых и уточненных требований (СЗИ, настройки элементов ИТ, процедуры и документы).
Новые акценты:◦Контроль (анализ) защищенности (см. АНЗ)◦Защита среды виртуализации (см. ЗСВ)◦Защита беспроводных соединений (см. УПД.14, ЗИС.3,20)◦Регистрация и анализ событий ИБ (см. РСБ)◦Управление инцидентами для 1 и 2 уровней (см. ИНЦ)◦Регламентация и учет использования мобильных тех.средств (УПД.15, +ИАФ.2)◦Управление конфигурациями и изменениями для 1-3 уровней (см. УКФ) ◦DLP есть, но не входит в базовые меры (см. ОЦЛ 5)◦Защита от утечки по тех.каналам (кроме видовой) НЕ ВХОДИТ в базовые меры (ЗТС.1)◦Учет машинных носителей, а не маркирование (ЗНИ 1,2)
15 групп69 / 109 мер
15 групп69 / 109 мер
19
Platformix
Контроль (анализ) защищенности (АНЗ)
Меры 4 3 2 1АНЗ.1 Выявление, анализ и устранение уязвимостей
информационной системы + + +
АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
+ + + +
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
+ + +
АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации
+ + +
АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе
+ +
SOISO (draft)20
Platformix
Дополнительные требования к 1-2 уровням
●Обеспечение доверенной загрузки (см. УПД.17)●Управление установкой ПО (см. ОПС.2)●Учет и управление машинными носителями (см. ЗНИ.1,2)●Обнаружение вторжений (см. СОВ)●Управление инцидентами (см. ИНЦ)●…●Дополнительные меры по защите от НДВ (см. п.11)
SOISO (draft)
21
Platformix
IV. Меры по защите от НДВ
Если актуальны угрозы 1 и 2 класса, то дополнительно МОГУТ применяться:●проверка кода системного и (или) прикладного ПО на отсутствие недекларированных возможностей с использованием автоматизированных средств (автоматизированная проверка кода)●проверка кода системного и (или) прикладного ПО на отсутствие недекларированных возможностей без использования автоматизированных средств (ручная проверка кода)●тестирование информационной системы на проникновения (пентесты)●использование в информационной системе системного и (или) прикладного ПО, разработанного с использованием методов защищенного программирования
SOISO (draft)
22
Platformix
Классификация ИСПДн + МУ -> Требования
V. Процедура выбора мер
МУ (тип угроз) -> Оценка уровня защищенности ПДн -> Базовый набор мер -> Адаптация мер (+/-) ->
МУ-> Уточнение* перечня -> Дополнение требований**
(иные правовые акты)
*При невозможности (в том числе экономической) реализации отдельных выбранных мер… могут разрабатываться иные (компенсирующие) меры, обеспечивающие нейтрализацию актуальных угроз безопасности ПДн ** Иные правовые акты(SOISO draft)
Было:
Стало:
23
Platformix
VI. Сертифицированные СЗИ
1 2 3 4
СВТ 5+ 5+ 5+ 6+
IDS 4+ 4+ 4+ / 5+ 5+АВЗ 4+ 4+ 4+ / 5+ 5+
МСЭ 3+ / 4+ 3+ / 4+ 3+ / 4+ 5
НДВ 4+ 4+- / 4+, если
АУ2-
SOISO (draft)
24
Platformix
VII. Аутсорсинг ИБ●ПП 1119 п.17.
Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ.
(+аналог в п.6 SOISO)
●SOISO п.4.
Безопасность ПДн при их обработке в информационной системе обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора.
Для выполнения работ по обеспечению безопасности ПДн при их обработке в информационных системах в соответствии с законодательством РФ могут привлекаться на договорной основе юридические лица или индивидуальные предприниматели, имеющие лицензию на деятельность по ТЗКИ.
25
Platformix
ИТОГО
26
Platformix
o Актуальные меры и «лучшие практики»
o Гибкость в выборе мер
o Снижение требований для «сложных» ИСПДн (К1 и К2)
o Логичное разделение ИСПДн по типам обрабатываемых ПДн
o Сложности с АУ1 и АУ2
o Существенное изменение сложившихся подходов (классификация, меры, сертификация)
o Слишком много требований, неудачная формулировка и компоновка
