Безопасность электронного документооборота в локальных и облачных инфраструктурах Емельянников Михаил Юрьевич, Управляющий партнер.

Презентация:



Advertisements
Похожие презентации
Проблема обеспечения безопасности при размещении информационных систем органов власти в коммерческих дата-центрах и облачной инфраструктуре Емельянников.
Advertisements

Управление ФСТЭК России по Сибирскому федеральному округу «О требованиях к защите персональных данных при их обработке в информационных системах персональных.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
1 Статья 3. Основные понятия, используемые в настоящем Федеральном законе Статья 3. Основные понятия, используемые в настоящем Федеральном законе Персональные.
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Основные понятия Законодательство в сфере защиты информации.
Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ.
Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Управление Роскомнадзора по Воронежской области ПЕРСОНАЛЬНЫЕ ДАННЫЕ НА САЙТАХ: ТИПИЧНЫЕ НАРУШЕНИЯ ЗАКОНА И КАК ИХ ИЗБЕЖАТЬ Ефремов Алексей Александрович.
ПРАВОВЫЕ НОРМЫ, ОТНОСЯЩИЕСЯ К ИНФОРМАЦИОННОЙ ДЕЯТЕЛЬНОСТИ.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Салихов Ильдар Амирович Управление Роскомнадзора по Республике Башкортостан Главный специалист-эксперт отдела по защите прав субъектов персональных данных.
Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
Информационная безопасность вуза. Организация работ по защите информации при построении единого информационного пространства кандидат технических наук,
Транксрипт:

Безопасность электронного документооборота в локальных и облачных инфраструктурах Емельянников Михаил Юрьевич, Управляющий партнер

2 Мир с точки зрения законодателей

3 Реальный мир (упрощенная версия)

4 СЭД – информационная система персональных данных (справочники, почта, документы) СЭД в государственном или муниципальном органе – государственная или муниципальная система в СЭД, вполне возможно, есть документы, содержащие служебную (ДСП) или коммерческую тайну Особенности СЭД

5 При сборе персональных данных, в том числе посредством ИТКС «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч.1 ст.6 настоящего ФЗ Закон о территориальности баз данных россиян

6 Технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями, должны размещаться на территории Российской Федерации Закон о территориальности ГИС и МИС

7 Обязанности заказчика Постановление Правительства года Приказ ФСТЭК 17 Определить тип угроз безопасности персональных данных; Установить уровень защищенности персональных данных; Выбрать средства защиты информации для системы защиты персональных данных. Классифицировать информационную систему по требованиям защиты информации; Определить угрозы безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработать на их основе модель угроз безопасности информации; Определить требования к системе защиты информации информационной системы.

8 Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. Оператор информационной системы

9 Обладатель информации, оператор информационной системы в случаях, установленных законодательством, обязаны обеспечить: 1) предотвращение НСД; 2) своевременное обнаружение фактов НСД; 3) предупреждение неблагоприятных последствий нарушения порядка доступа; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие НСД; 6) постоянный контроль за обеспечением уровня защищенности информации. Безопасность при аутсорсинге: общие требования

10 Доступ персонала дата-центра и облачного провайдера к обрабатываемым данным – это передача данных для обработки, поручение на их обработку или что-то другое? Классификация ИС, определение уровня защищенности, моделирование угроз и построение системы защиты – как выполнить требования законодательства? Согласие субъекта на обработку – надо ли получать и, если да, то как? Возникающие проблемы

11 Персонал провайдера не имеет доступа к информации клиента и принимает меры по предотвращению физического доступа любых лиц к оборудованию и данным клиента (закреплено в договоре). Это - значит, что нет и поручения обработки. Возникающие проблемы

12 Постановление Правительства от «Об утверждении требований к защите персональных данных при их обработке в ИСПДн» 3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Безопасность при аутсорсинге: персональные данные

13 Безопасность при аутсорсинге: ГИСы и МИСы Приказ ФСТЭК 2013 года 17 Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора, обеспечивает защиту информации в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации. В договоре должна быть предусмотрена обязанность уполномоченного лица обеспечивать защиту информации, являющейся государственным информационным ресурсом, в соответствии с настоящими Требованиями.

14 Но заказчик не может смоделировать актуальные угрозы для ЦОДа или облачной инфраструктуры и выбрать средства защиты, используемые на сетевом уровне! НИКОГДА! Ключевая проблема

15 определить тип актуальных угроз, максимальный класс ИС (уровень защищенности) для дата-центра или облака; построить частную модель актуальных угроз для дата-центра или облака (защищенного сегмента); реализовать систему защиты в дата- центре или облаке; помочь заказчику с реализацией мер защиты на клиентской стороне; получить лицензии ФСТЭК и ФСБ. Что может и должен сделать провайдер

16 Для обеспечения защиты информации, содержащейся в ИС, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации… Для обеспечения защиты информации, содержащейся в ИС, проводятся следующие мероприятия: … аттестация ИС по требованиям защиты информации и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации аттестованной ИС; Сертификация и аттестация

17 «О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений» (проект) При формировании Каталога услуг в части типовых услуг, в него подлежат включению только услуги по предоставлению сертифицированных в установленном порядке [ФСБ и ФСТЭК] средств защиты информации. Оказание услуг облачных вычислений органам государственной власти, органам местного самоуправления, органам управления внебюджетных фондов вправе осуществлять только российские юридические лица, облачная инфраструктура которых находится на территории Российской Федерации, соответствующие обязательным требованиям. Что нас ждет в облаках

18 идентификация, аутентификация и авторизация пользователей СЭД; эффективное разграничение доступа к хранимой, обрабатываемой и передаваемой в системе информации, предотвращение несанкционированного доступа к ней; криптографическая защита (шифрование) информации, передаваемой по открытым (незащищенным) каналам хранение на рабочих станциях пользователей и серверах, включенных в СЭД, документов, содержащих сведения ограниченного доступа или на специально учтенных машинных носителях, или в зашифрованном виде; реализация механизма электронной подписи (ЭП). Требования к информационной безопасности СЭД

19 возможность подписи документа ЭП пользователя с использованием пользовательского интерфейса клиентской компоненты СЭД, установленной на рабочем месте пользователя; возможность проверки ЭП документа с использованием пользовательского интерфейса клиентской компоненты СЭД, установленной на рабочем месте пользователя; возможность заверения (согласования) документа, резолюций и отметок об исполнении ЭП пользователя; возможность он-лайн проверки статуса сертификатов ЭП; возможность простановки штампа времени в результат подписи. Реализуемые в СЭД функции электронной подписи

20 Если услышанного сегодня недостаточно

Емельянников Михаил Юрьевич Управляющий партнер +7 (495) Спасибо! Вопросы?