Embed Size (px)
Citation preview
Организация обработки и защиты
ПДн в государственных
информационных системах
Докладчик
Борисов Сергей В.
Заместитель генерального директора по ИБ ООО «РосИнтеграция»
Эксперт, блогер по ИБ
Контактная информация:
https://sborisov.blogspot.ru
https://twitter.com/sb0risov
Причины чтобы заниматься защитой
информации в государственном учреждении
Инцидент связанный с разглашением персональных данных или с целостностью данных в ИС может привести к ущербу для субъекта
ПДн
Нарушение работы ИС, средств передачи информации, систем связи может привести к невозможности выполнения учреждения
своей основной функции
Нарушение требований законодательства РФ в области защиты персональных данных может повлечь административную,
уголовную ответственность, изъятие СЗИ или отзыв лицензии
Регуляторы
Роскомнадзор
Федеральная служба безопасности (ФСБ России)
Федеральная служба по техническому и экспортному контролю
(ФСТЭК России)
Основные нарушения, выявленные
Роскомнадзор-ом в 2015 году
Законодательство в области
обработки и защиты ПДн в ГИС
Федеральный закон N 149 от 27.07.2006 г.
Федеральный закон №152 «О персональных данных» от 27.07.2006 г.
Постановление Правительства № 1119 от 01.10.12 г.
Приказ ФСТЭК России № 21 от 18.02.2013 г.
Приказ ФСТЭК России № 17 от 11.02.2013 г.
Приказ ФСБ России от 10.07.2014 № 378
Приказ ФАПСИ РФ № 152 от 13.06.2001
Проблемы выполнения законодательства
в области обработки и защиты ПДн
Требования определены в большом количестве НПА
Нет рекомендованных шаблонов
Ежеквартальные изменения в нормативной базе
Отсутствие выделенных специалистов по защите информации в организации
Необходимость постоянно прилагать усилия для поддержания мероприятий
10 лучших практик при
организации обработки и
защиты ПДн в ГИС
Лучшая практика 1. Совместить определенные
этапы организации обработки и защиты ПДн
Разработка ОРД, в части
обработки ПДн
Корректировка процессов
обработки ПДн
и выполнение мероприятий
Обследование ИС, процессов обработки ПДн
Формирование требований к защите информации, содержащейся в ИС
Разработка системы защиты информации ИС
Внедрение системы защиты
информации ИС
Аттестация информационной системы
Обработка ПДн, эксплуатация ИС и системы защиты информации
Лучшая практика 2. Ответственность
за организацию обработки ПДн
Руководитель / заместитель руководителя учреждения
или
Руководитель подразделения, в наибольшей степени участвующего в обработке ПДн
Лучшая практика 3. Использовать
системы автоматизации
организационных мероприятий по
защите информации
С использованием средств автоматизации
организовать контроль за регулярным выполнением
мероприятий в подведомственных учреждениях
Дочерняя компания или
подведомственное учреждение
(обычный аккаунт):
- сбор данных- подготовка и утверждение
документов- выполнение мероприятий
Головная организация (мастер-
аккаунт):
- просмотр данных и документов- контроль выполнения мероприятий
DocShell:
- онлайн сервис- оказание тех. поддержки- экспертиза документов- анализ законодательства и
требований регуляторов
Лучшая практика 4. Использовать СЗИ от
российских производителей.
Защита на уровне сети
Подсистемы СЗПДн / типы
СЗИ
Подсистема
криптографической защиты
информации / Криптошлюз
АПКШ Континент от
Кода Безопасности
Vipnet Custom
от Инфотекс
С-терра CSP VPN Gate
от С-терра СиЭсПи
Подсистема межсетевого
экранирования /
Межсетевой экран
АПКШ Континент от
Кода Безопасности
Vipnet Custom
от Инфотекс
С-терра CSP VPN Gate
от С-терра СиЭсПи
Подсистема обнаружения
вторжений /
СОВ
Континент-ДА
от Кода Безопасности
VipNet IDS
от Инфотекс
Форпост
от РНТ
Подсистема анализа
защищенности /
Сканер защищенности
XSpider от Positive
Technologies
Ревизор сети от РНТ
Лучшая практика 4. Использовать СЗИ от
российских производителей.
Защита на уровне узла ИСПДн
Подсистемы СЗПДн / типы СЗИ
Подсистема защиты от НСД SecretNet
от КБ
Dallas Lock от
Конфидент
Аккорд-АМДЗ
от ОКБ САПР
Подсистема межсетевого
экранирования / Персональный
межсетевой экран
SSEP, SN Studio или
Континент-АП
от Кода
Безопасности
ViPNet PF
или ViPNet Client
от Инфотекс
С-терра Клиент
от С-терра СиЭсПи
Подсистема обнаружения
вторжений / Персональное
СОВ
SSEP или SN Studio
от Кода
Безопасности
Антивирусная защита SSEP или SN Studio
от Кода
Безопасности
DrWeb
/ Nod32
Антивирус
Касперского
Средство защиты
виртуализации
vGate от Кода
Безопасности
Аккорд-В
Лучшая практика 5. Создавать ведомственные
защищенные сети
В дальнейшем будут использоваться для многих задач
ПО ViPNet Client 3.x
СЗИ от НСД Dallas Lock 8.0-К / C
ПАК «Соболь 3.0»
ПО ViPNet Administrator
Средство анализа защищенности PT Xspider 7.8
Условные обозначения
ViPNet Coordinatoor HW 1000 / 100
Средство антивирусной защиты
АРМ пользователей ИСПДн
АРМ администратора ИБ
АРМ администратора сети VipNet
Выделенный защищенный сегмент
сети для пользователей ИСПДн, находящийся за МЭ VipNet Coordinator
Серверы ИСПДн
Межсетевой экран уровня приложений PT application firewall
МИАЦ
Защищенная сеть Минздрав
Учреждение здравоохранения
АРМ Администратора
сети VipNet
Учреждение здравоохранения
ЦОД ОАО «Ростелеком»
Серверы ИСПДн в ЦОД
VipNet Coordinator HW1000 И VipNet IDS 1000
Лучшая практика 6. В распределенных
информационных системах выделять
типовые сегменты
Типовые сегменты – если применяются схожие
процессы обработки ПДн и меры защиты информации
Аттестация только одного из множества типовых
сегментов
Лучшая практика 7. Внедрять средства
защиты информации силами обученных
специалистов
Отправлять на обучение своих специалистов
Привлекать к выполнению работ обученных специалистов лицензиата
Примеры курсов:
Secret Net. Применение. K005, К005А – от 3 до 6 дней
Security Studio Endpoint Protection. Администрирование. – 3 дня
Континент. Администрирование. К007, К007А – от 3 до 5 дней
ViPNet. Администрирование. INF012007 – 5 дней
Комплексные курсы по ТЗКИ, ИБ – 10 дней
Лучшая практика 8. Использовать СЗИ
только с действующей технической
поддержкой
Информация которую ФСТЭК России постоянно упоминает:
Без технической поддержки на СЗИ вы не будете
получать обновления безопасности
Без обновлений СЗИ содержит уязвимости – не может
обеспечивать выполнение своих функций в полной мере
Применение средств защиты информации без действующей
технической поддержки не соответствует требованиям
законодательства РФ
Лучшая практика 9. Привлекать к выполнению
работ только организации, обладающие
необходимыми лицензиями
Лицензия ФСТЭК обязательна в случаях:
Анализа угроз и проектирования системы защиты
Установки и настройки СЗИ
Аттестации ИС
Лицензия ФСБ обязательна в случаях:
Поставки СКЗИ
Установки и настройки СКЗИ
Обслуживания СКЗИ
Лучшая практика 10. Культура эксплуатации
ИС в соответствии с законодательством
Требуемое мероприятие Периодичность
Утверждение перечня лиц, обрабатывающих ПДн без использования средств автоматизации Еженедельно
Утверждение перечня лиц обрабатывающих ПДн в ИСПДн Еженедельно
Корректировка документов в области обработки ПДн при изменении законодательства Ежеквартально
Корректировка уведомления РКН Ежеквартально
Корректировка оценки возможного вреда при изменениях в перечне субъектов ПДн и составе
ПДн
Раз в полгода
Ознакомление сотрудников с изменениями внутренних документов в области обработки ПДн.
Ознакомление сотрудников с основными изменениями положений законодательства
Ежеквартально
Учет помещений и хранилищ носителей ПДн Еженедельно
Учет помещений с к СКЗИ. Утверждение перечня лиц, имеющих право доступа в помещения с
СКЗИ
Раз в 2 недели
Учет СКЗИ, документации Еженедельно
Учет лиц, допущенных к работе с СКЗИ Еженедельно
Обучение лиц, использующих криптосредства, работе с ними Еженедельно
Спасибо за внимание!www.rosint.net
Сергей Борисов
Контактная информация:
https://sborisov.blogspot.ru
https://twitter.com/sb0risov
