РЕАЛИЗАЦИЯ НА ПРАКТИКЕ ОСНОВНЫХ МЕРОПРИЯТИЙ ФСТЭК ПО ЗАЩИТЕМЕРОПРИЯТИЙ ФСТЭК ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ: КОМПРОМИСС БИЗНЕСА И ЗАКОНАБИЗНЕСА И ЗАКОНА

Евгений ЧугуновЕвгений ЧугуновЭКСПЕРТ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИБЕЗОПАСНОСТИ КОМПАНИИ КРОК

СОДЕРЖАНИЕ

• В первую очередь

• Контроль и надзор

• Общий план мероприятий

• Модель угроз, основа компромиссад у р , р

• Аспекты сертификации средств защиты

• Аттестация ИСПДнАттестация ИСПДн

• Состав системы защиты персональных данных

В ПЕРВУЮ ОЧЕРЕДЬВ ПЕРВУЮ ОЧЕРЕДЬ• Уведомление регулятора (РОСКОМНАДЗОР)д р у р ( Д )

– Например, автоматизированная обработка ПДнБЫВШИХ сотрудников, соискателей и пр.

• Соглашения с сотрудниками – Например, расширенный перечень (о машине, о

)загран. паспорте, соц. программы и т.д.)• Соглашения с клиентамиС П б б б П• Создание Положения об обработке Персональных данныхВнедрение процедур взаимодействия с субъектами• Внедрение процедур взаимодействия с субъектами ПДн

КОНТРОЛЬ И НАДЗОРКОНТРОЛЬ И НАДЗОР

З б ПДРоскомнадзор• Защита прав субъектов ПДн• Контроль и надзор за соблюдением ФЗ-152

ФСТЭК

• Техническая защиты информацииТехническая защиты информации• Надзор за соблюдением тех. требованийФСБ

• Криптографическая защита информации

ФСБ

• Контроль использования СКЗИ

ПРОВЕРКИ ФСТЭКПРОВЕРКИ ФСТЭК

Надзор за соблюдениемНадзор за соблюдением технических требований• Проверка лицензиатов по ТЗКИ• Проверка лицензиатов по ТЗКИ

(плановые, неплановые)

• Проверка ключевых систем (плановые, неплановые)Проверка ключевых систем (плановые, неплановые)

• Проверка Операторов ПДн — административный регламент отсутствует

!!! Порядок проведения проверок с 2010 года изменен:

294-ФЗ «О защите прав юридических лиц и щ р р д циндивидуальных предпринимателей …..»

ПЛАН МЕРОПРИЯТИЙ КРОКПЛАН МЕРОПРИЯТИЙ КРОКЭтап 1. Проведение аудитаЭтап 2. Разработка модели угроз для ИСПДн. Классификация ИСПДнЭтап 3. Создание нормативно-методической базыЭтап 4. Техническое проектирование СЗПДнЭтап 5. Сертификация средств защитыЭтап 6. Внедрение СЗПДнЭтап 7. Получение лицензии на ТЗКИЭтап 8. Проведение аттестации ИСПДн

МОДЕЛЬ УГРОЗМОДЕЛЬ УГРОЗ. ОСНОВА КОМПРОМИССА• Основа классификации специальных ИСПДн

• В случае использования СКЗИ должна учесть требования ФСБ

• Основа компромиссар

– Только актуальные системы угрозы

Основа выбора способов защиты– Основа выбора способов защиты, предусмотренных для соответствующего класса информационных системинформационных систем

Постановление 781 п. 12 б)

МОДЕЛЬ УГРОЗ МЕТОДИКА РАБОТМОДЕЛЬ УГРОЗ. МЕТОДИКА РАБОТ• Анализ всех эксплуатируемых ИС и хранилища данных,

выявление где присутствуют и обрабатываются ПДнвыявление, где присутствуют и обрабатываются ПДн

• Определение границ ИСПДн и порядка обработки ПДн

А ПД• Анализ имеющихся средств защиты ПДни реализованных мер

• Определение уровеня защищенности ИСПДн• Определение уровеня защищенности ИСПДн

• Построение модели нарушителя (учет требований ФСБ)

• Проведение идентификации и оценки актуальных угроз ПДн• Проведение идентификации и оценки актуальных угроз ПДн

• Расчет возможного ущерба субъектам ПДн

Ф• Формирование перечня компенсирующих мер и средств

• Согласование документа со ФСТЭК

АЛГОРИТМ КЛАССИФИКАЦИИ КРОКАЛГОРИТМ КЛАССИФИКАЦИИ КРОК

К1Анализ ИСПДн

К1

К2

Типовая ?

Построение Модели Ущерб

?

К2Нет

АнализДа

угроз ?К3

характеристик

? К4К?

К1 К2 К3 К4+ Контр. меры из

Модели

ОПРЕДЕЛЕНИЕ УЩЕРБА СУБЪЕКТУОПРЕДЕЛЕНИЕ УЩЕРБА СУБЪЕКТУ• Непосредственный ущерб субъектуНепосредственный ущерб субъекту

• Опосредованный ущерб субъекту

• Определение шкалы и величины ущерба

• Значительный негативный ущерб субъекту: ущерб жизни и здоровью

• Негативный ущерб: материальный и/или значительный моральный ущерб

• Незначительный ущерб: моральный вреду р р р

СЕРТИФИКАЦИЯ СЗИСЕРТИФИКАЦИЯ СЗИ

СЗИ ф б• СЗИ сертифицируются на соответствие требованиям по безопасности информации (п. 3.3)

• Сертификация ПО ИСПДн на отсутствие НДВ (п. 4.2)

• Сертификация СЗИ в подсистеме обеспечения целостности для К1 (п. 4.2.4 в, п. 4.2.7 г, п. 4.2.10 в)

• Сертификация СКЗИ (п. 4.2.7 в)

• Сертификация СЗИ (навесных и встроенных в ИСПДн) на отсутствие НДВ (п. 4.3)у ( )

СЕРТИФИКАЦИЯ СЗИСЕРТИФИКАЦИЯ СЗИ

• ТЗ может содержать (п 3 8) обоснование невозможности• ТЗ может содержать (п. 3.8) обоснование невозможности или нецелесообразности сертификации

ТЗ формируется с учетом модели угроз• ТЗ формируется с учетом модели угроз

• http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls− Оператор по согласованию с ФСТЭК России может принимать

решение о применении СЗИ в ИСПДн без мероприятий по оценке отсутствия НДВпо оценке отсутствия НДВ

ПОЛУЧЕНИЕ ЛИЦЕНЗИИПОЛУЧЕНИЕ ЛИЦЕНЗИИ

В б• Вне зависимости от работ по защите ПДН

• Подготовка пакета НДМ

• Подготовка выделенного помещения и АРМ

• Выполнение аттестации помещения и АС

• Подготовка и направление руведомления во ФСТЭК

ПРОВЕДЕНИЕ АТТЕСТАЦИИ ИСПДНПРОВЕДЕНИЕ АТТЕСТАЦИИ ИСПДН

ФСТЭК

K2 К1ФСТЭК• Отсутствует порядок

аттестации для ИСПДн

K3*

K2 аттестации для ИСПДн

КРОКK3 КРОК• Используем

существующую практику

Аттестация ИСПДн

существующую практику

• Выдаем аттестаты соответствия

* для К3 сертификация (аттестация ) ФСТЭК добровольна

Аттестация ИСПДн

СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХСИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПРОЕКТ

Ч СЗПД ?Что внедряется в рамках СЗПДн?Подсистема управления доступомПодсистема регистрации и учетаПодсистема регистрации и учета Подсистема обеспечения целостностиПодсистема антивирусной защитыруПодсистема контроля защищенностиПодсистема криптографической защиты Только К1Подсистема обнаружения вторженийАкустическая защитаПЭМИН К1 и К2

Только К1ПЭМИН К1 и К2

БАЗОВЫЕ СИСТЕМЫ ЗАЩИТЫБАЗОВЫЕ СИСТЕМЫ ЗАЩИТЫ

Сертифицированные системы доверенной загрузкиСертифицированные системы доверенной загрузки и контроля целостности

Сертифицированные средствамежсетевого экранирования, сегментация ИСПДн

Сертифицированные средства обнаружения и й ( )

Сертифицированные средства и системы й

предотвращения вторжений (сетевых атак)

антивирусной защиты

Сертифицированные средства контроля защищенности

РАСШИРЕННЫЕ СИСТЕМЫ ЗАЩИТЫРАСШИРЕННЫЕ СИСТЕМЫ ЗАЩИТЫ

• Сертифицированные ОС СУБД• Сертифицированные ОС, СУБД и приложения по требованиям безопасностибезопасности

• Сертификация средств защиты по уровню отсутствия НДВур у Д

• Сертифицированные ФСБ средства криптографической защиты

РЕДКИЕ СИСТЕМЫ ЗАЩИТЫРЕДКИЕ СИСТЕМЫ ЗАЩИТЫ

• ПЭМИН: обеспечение необходимойПЭМИН: обеспечение необходимой контролируемой зоны, использование генераторов электромагнитных помех

• Акустическая защита помещений: организационные мероприятия, звукоизоляция, использование зашумления

• Сертифицированные по уровню отсутствия НДВ ИСПДкомпоненты ИСПДн

ЗАЩИТА ВНЕШНИХ КАНАЛОВ СВЯЗИЗАЩИТА ВНЕШНИХ КАНАЛОВ СВЯЗИПочему не ФСТЭК?

• Угроза: перехват ПДн во внешних каналах связи• Мероприятия ФСТЭК не могут минимизировать угрозу

• Использование сертифицированных СКЗИ– Разработка модели нарушителя ФСБ– Выбор соответствующего СКЗИ– Реализация мероприятий по защите СКЗИ от НСД и ПЭМИН

СТРАТЕГИЯ ЗАЩИТЫ ПДНСТРАТЕГИЯ ЗАЩИТЫ ПДН

«Центральная» ИСПДн

До ер ее

Ex: БиллингИСПДнП Дочернее

Общество Пользователи ПДн

ИСПДнСпециальнаяПлатежная система

Ex: ERP, CRM

Дочерние ОбществаОбщества

СПАСИБО ЗА ВНИМАНИЕ!

Евгений ЧугуновЭКСПЕРТ ПО ИНФОРМАЦИОННОЙ ЦБЕЗОПАСНОСТИ КОМПАНИИ КРОКТел: (495) 974 2274E-mail: echugunov@croc.ru

ПРИМЕР СХЕМЫ ЗАЩИТЫ ИСПДНПРИМЕР СХЕМЫ ЗАЩИТЫ ИСПДН