Безопасность электронного документооборота в локальных и облачных инфраструктурах Емельянников Михаил Юрьевич, Управляющий партнер
2 Мир с точки зрения законодателей
3 Реальный мир (упрощенная версия)
4 СЭД – информационная система персональных данных (справочники, почта, документы) СЭД в государственном или муниципальном органе – государственная или муниципальная система в СЭД, вполне возможно, есть документы, содержащие служебную (ДСП) или коммерческую тайну Особенности СЭД
5 При сборе персональных данных, в том числе посредством ИТКС «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч.1 ст.6 настоящего ФЗ Закон о территориальности баз данных россиян
6 Технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации Закон о территориальности ГИС и МИС
7 Обязанности заказчика Постановление Правительства года Приказ ФСТЭК 17 Определить тип угроз безопасности персональных данных; Установить уровень защищенности персональных данных; Выбрать средства защиты информации для системы защиты персональных данных. Классифицировать информационную систему по требованиям защиты информации; Определить угрозы безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработать на их основе модель угроз безопасности информации; Определить требования к системе защиты информации информационной системы.
8 Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. Оператор информационной системы
9 Обладатель информации, оператор информационной системы в случаях, установленных законодательством, обязаны обеспечить: 1) предотвращение НСД; 2) своевременное обнаружение фактов НСД; 3) предупреждение неблагоприятных последствий нарушения порядка доступа; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие НСД; 6) постоянный контроль за обеспечением уровня защищенности информации. Безопасность при аутсорсинге: общие требования
10 Доступ персонала дата-центра и облачного провайдера к обрабатываемым данным – это передача данных для обработки, поручение на их обработку или что-то другое? Классификация ИС, определение уровня защищенности, моделирование угроз и построение системы защиты – как выполнить требования законодательства? Согласие субъекта на обработку – надо ли получать и, если да, то как? Возникающие проблемы
11 Персонал провайдера не имеет доступа к информации клиента и принимает меры по предотвращению физического доступа любых лиц к оборудованию и данным клиента (закреплено в договоре). Это - значит, что нет и поручения обработки. Возникающие проблемы
12 Постановление Правительства от «Об утверждении требований к защите персональных данных при их обработке в ИСПДн» 3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Безопасность при аутсорсинге: персональные данные
13 Безопасность при аутсорсинге: ГИСы и МИСы Приказ ФСТЭК 2013 года 17 Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора, обеспечивает защиту информации в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации. В договоре должна быть предусмотрена обязанность уполномоченного лица обеспечивать защиту информации, являющейся государственным информационным ресурсом, в соответствии с настоящими Требованиями.
14 Но заказчик не может смоделировать актуальные угрозы для ЦОДа или облачной инфраструктуры и выбрать средства защиты, используемые на сетевом уровне! НИКОГДА! Ключевая проблема
15 определить тип актуальных угроз, максимальный класс ИС (уровень защищенности) для дата-центра или облака; построить частную модель актуальных угроз для дата-центра или облака (защищенного сегмента); реализовать систему защиты в дата- центре или облаке; помочь заказчику с реализацией мер защиты на клиентской стороне; получить лицензии ФСТЭК и ФСБ. Что может и должен сделать провайдер
16 Для обеспечения защиты информации, содержащейся в ИС, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации… Для обеспечения защиты информации, содержащейся в ИС, проводятся следующие мероприятия: … аттестация ИС по требованиям защиты информации и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации аттестованной ИС; Сертификация и аттестация
17 «О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений» (проект) При формировании Каталога услуг в части типовых услуг, в него подлежат включению только услуги по предоставлению сертифицированных в установленном порядке [ФСБ и ФСТЭК] средств защиты информации. Оказание услуг облачных вычислений органам государственной власти, органам местного самоуправления, органам управления внебюджетных фондов вправе осуществлять только российские юридические лица, облачная инфраструктура которых находится на территории Российской Федерации, соответствующие обязательным требованиям. Что нас ждет в облаках
18 идентификация, аутентификация и авторизация пользователей СЭД; эффективное разграничение доступа к хранимой, обрабатываемой и передаваемой в системе информации, предотвращение несанкционированного доступа к ней; криптографическая защита (шифрование) информации, передаваемой по открытым (незащищенным) каналам хранение на рабочих станциях пользователей и серверах, включенных в СЭД, документов, содержащих сведения ограниченного доступа или на специально учтенных машинных носителях, или в зашифрованном виде; реализация механизма электронной подписи (ЭП). Требования к информационной безопасности СЭД
19 возможность подписи документа ЭП пользователя с использованием пользовательского интерфейса клиентской компоненты СЭД, установленной на рабочем месте пользователя; возможность проверки ЭП документа с использованием пользовательского интерфейса клиентской компоненты СЭД, установленной на рабочем месте пользователя; возможность заверения (согласования) документа, резолюций и отметок об исполнении ЭП пользователя; возможность он-лайн проверки статуса сертификатов ЭП; возможность простановки штампа времени в результат подписи. Реализуемые в СЭД функции электронной подписи
20 Если услышанного сегодня недостаточно
Емельянников Михаил Юрьевич Управляющий партнер +7 (495) Спасибо! Вопросы?