Центр безопасности информации Процедуры аттестации и сертификации и их взаимосвязь в свете реализации требований 152 ФЗ
Варианты оценки соответствия ИСПДн различных классов требованиям безопасности ПДн ИСПДн 1 и 2 классов ИСПДн 3 класса ИСПДн 4 класса обязательная сертификация (аттестация) по требованиям безопасности информации декларирование соответствия требованиям безопасности информации оценка соответствия проводится по решению оператора Какие уровни сертификации СВТ необходимы для каких ИСПДн? Что будет, если аттестацию не пройти?
Система защиты ИСПДн Интернет Средства предотвращения утечки информации по техническим каналам Средства предотвращения утечки информации по техническим каналам Средства защиты носителей информации Средства защиты носителей информации Межсетевые экраны Шлюзы безопасности Межсетевые экраны Шлюзы безопасности Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей Шифровальные (криптографические) средства защиты информации Шифровальные (криптографические) средства защиты информации Средства предотвращения несанкционированного доступа к информации: 1. Защищенные ОС: 2. Специализированные средства ЗИ Средства предотвращения несанкционированного доступа к информации: 1. Защищенные ОС: 2. Специализированные средства ЗИ Средства защиты речевой информации Средства защиты речевой информации Используемые в информационной системе информационные технологии. Используемые в информационной системе информационные технологии. Средства предотвращения программно- технических воздействий на технические средства обработки персональных данных 1.Антивирусные средства 2. Программное обеспечение, сертифицированное на отсутствие НДВ. 3. Системы обнаружения вторжений и компьютерных атак Средства предотвращения программно- технических воздействий на технические средства обработки персональных данных 1.Антивирусные средства 2. Программное обеспечение, сертифицированное на отсутствие НДВ. 3. Системы обнаружения вторжений и компьютерных атак Что делать, если используются несертифицированные продукты и их замена невозможна?
Большой объём и специальные категории ПДн Высокие требования по безопасности ПДн Пути уменьшения сложности решаемой задачи: Декомпозиция (в разрезе ИС и объектов) Раздельная классификация Модель угрозтолько необходимые требования по ЗИ Что делать, если используются несертифицированные продукты и их замена невозможна?
Модель угроз – основа для уточнения требований Что делать, если используются несертифицированные продукты и их замена невозможна?
Требования к СЗИ Определение облика системы защиты ИСПДн и оценка ее соответствия ИСПДн Классификация ИСПДн Модель угроз Требования к системе защиты ИСПДн Требования по стойкости механизмов защиты Требования доверия У Г Р О З Ы Аттестация Средство защиты 1 Средство защиты 2 Средство защиты N Оргмеры Аттестация Сертификация Функциональные требования Насколько сертифицированное оборудование и ПО помогает пройти аттестацию?
Типовое решение по защите ПДн Состав решения: -сертифицированная платформа (ОС, СУБД); -сертифицированное прикладное ПО, со встроенными механизмами защиты; -организационные мероприятия для объекта информатизации; -комплект эксплуатационных и организационно-распорядительных документов Эффект: -гарантированное выполнение всех требований по защите ПДн на множестве типовых объектов -легкость в модернизации ранее созданных ИСПДн -сокращение сроков и стоимости внедрения в большое количество ИСПДн
Аттестация по требованиям безопасности ПДн Кто проводит Основание Этап Документ Аттестационный центр Программа и методика аттестационных испытаний Ввод в эксплуатацию, аттестационные испытания Аттестат соответствия и Заключение по результатам аттестационных испытаний ИСПДн Как проходит процедура аттестации?
ФОРМАЛЬНЫЙ ПОРЯДОК ПРОВЕДЕНИЯ ИСПЫТАНИЙ ИСПДн Как проходит процедура аттестации? Что должен подготовить оператор системы?
Полнота реализации требования по защите информации Режим обработки информации в ИСПДн ОднопользовательскийМногопользовательский Права доступа пользователей РавныеРазные Класс ИСПДн К3К2К1К3К2К1К3К2К1 Система управления доступом Реализация требований РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» Обеспечение безопасности межсетевого взаимодействия Распределенная ИСПДн Применение межсетевых экранов Подключение к СОП Подсистема регистрации и учета Реализация требований РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» Регистрация запросов пользователей на получение ПДн и фактов их предоставления в электронном журнале, защита данных регистрации Подсистема обеспечения целостности Реализация требований РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» Возможность незамедлительного восстановления ПДн Резервное копирование ПДн на отчуждаемые носители Как проходит процедура аттестации? Что должен подготовить оператор системы?
Режим обработки информации в ИСПДн ОднопользовательскийМногопользовательский Права доступа пользователей РавныеРазные Класс ИСПДн К3К2К1К3К2К1К3К2К1 Контроль отсутствия НДВ Соответствующий уровень контроля отсутствия НДВ программного обеспечения, используемого в ИСПДн (средств защиты, в том числе встроенных в общесистемное и прикладное ПО Подсистема антивирусной защиты Антивирусное ПО должно быть сертифицировано по требованиям соответствующего уровня контроля НДВ, а также на соответствие ТУ с требованиям и не ниже соответствующего класса ИСПДн Подсистема обнаружения вторжений Применение систем обнаружения вторжений Своевременное обнаружение фактов НСД к ПДн Недопущение воздействия на технические средства автоматизированной обработки ПДн Подсистема мониторинга Постоянный контроль за обеспечением уровня защищенности ПДн Защита ПДн от утечки по техническим каналам По действующим документам По действующим документам Полнота реализации требования по защите информации Как проходит процедура аттестации? Что должен подготовить оператор системы?
Полнота реализации мероприятия по обеспечению безопасности ПДн: определение угроз безопасности ПДн, формирование модели угроз; классификация ИСПДн; разработка системы защиты ПДн; разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн; установка средств защиты ПДН; организация охраны и физической защиты помещений ИСПДн; ввод в эксплуатацию системы защиты ПДн, включая оценку соответствия ИСПДн требованиям безопасности информации; назначение должностных лиц, ответственных за обеспечение безопасности ПДн, их обучение; допуск лиц к работе с ПДн; контроль за соблюдением условий использования СЗИ, проведение разбирательств по фактам нарушений; разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений. Как проходит процедура аттестации? Что должен подготовить оператор системы?
Наличие организационно-распорядительных документов по вопросам обеспечения безопасности ПДн в ИСПДн Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн. Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации. Руководство администратора безопасности информации в ИСПДн. Модель угроз. Акт классификации ИСПДн. Технический паспорт на ИСПДн. Разрешительная система доступа. Как проходит процедура аттестации? Что должен подготовить оператор системы?
Использование сертифицированных средств защиты информации Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия (ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ от 17 ноября 2007 г. N 781) Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации – СЗИ, в том числе и встроенных в общесистемное и прикладное программное обеспечение – ПО), должен быть обеспечен соответствующий уровень контроля отсутствия в нем НДВ (ФСТЭК РОССИИ. ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ) Какие уровни сертификации СВТ необходимы для каких ИСПДн?
Сертификация СЗИ Выбор параметров сертификации: система сертификации требования – РД (СВТ, МЭ), ЗБ, ТУ, РД НДВ схема – единичный образец, партия, производство испытательная лаборатория Выбор параметров сертификации: система сертификации требования – РД (СВТ, МЭ), ЗБ, ТУ, РД НДВ схема – единичный образец, партия, производство испытательная лаборатория Подача заявки на сертификацию Приложение: ТУ или ЗБ Подача заявки на сертификацию Приложение: ТУ или ЗБ Заключение договора с ИЛ Подготовка объекта сертификации и документации Подготовка партии продукции Подготовка производства продукции Отбор образца (Акт отбора образца) Разработка программы и методики испытаний Согласование с ОС Проведение испытаний образца продукции Контроль и маркировка партии продукции Проверка производства продукции Оформление отчетных документов Экспертиза результатов испытаний Выдача решения на сертификацию Назначение органа по сертификации Выдача сертификата Внесение изменений в сертифицированную продукцию Инспекционный контроль сертифицированной продукции Разработчик, производитель Испытательная лаборатория Федеральный ОС ОС Получение сертификата Какие сертификации бывают, и чем они отличаются? Правда ли, что сертифицированное ПО нельзя обновлять? О чем молчат поставщики сертифицированных продуктов? Что реально сертифицированные продукты дают организации?