ТРИ СТАНДАРТА. ЕДИНСТВО И БОРЬБА ПРОТИВОПОЛОЖНОСТЕЙ (Триединство требований) © ОАО «ЭЛВИС-ПЛЮС», 2010 г., Сергей ВИХОРЕВ, Роман КОБЦЕВ ОАО «ЭЛВИС-ПЛЮС» 2011 год
© Авторские права защищаются в соответствии с законодательством Российской Федерации При использовании ссылка на первоисточник обязательна
ВНИМАНИЕ! В этой презентации не будет детального анализа требований, предъявляемых различными стандартами. Они, как правило, достаточно схожи и будут рассмотрены в последующих выступлениях. Целью этого выступления является необходимость разъяснения того факта, что не надо строить три разные системы защиты, надо строить одну и она будет справедлива для всех требований.
ВОПРОСЫ ПРЕЗЕНТАЦИИ
Триединство нормативных документов Краткий анализ нормативных документов Основные факторы единства требований Краткие выводы Инструкции к исполнению
ПРОЛОГ С целью выполнения в организациях БС РФ требований ФЗ «О персональных данных», ЦБ РФ при участии АРБ и Ассоциации «Россия» разработал отраслевые документы по приведению деятельности организаций БС РФ в соответствие с требованиями законодательства в области персональных данных. «Письмо шести» от /3148 В комплект отраслевых документов входят: СТО БР ИББС (Общие положения) СТО БР ИББС (Методика оценки) РС БР ИББС-2.3 (Требования по защите ПДн) РС БР ИББС-2.4 (Частная модель угроз) Но есть и другие требования, которые необходимо выполнить для защиты ПДн. Что делать? Как поступать?
PCI DSS Комплекс документов Банка России 2010г. СТО БР ИББС-1.0 СТО БР ИББС-1.2 РС БР ИББС-2.3 РС БР ИББС-2.4 Комплект документов по ФЗ-152 Приказ ФСТЭК России 58, ФЗ-125, Постановление 781, Постановление 681 ПДн КРАТКИЙ АНАЛИЗ КРАТКИЙ АНАЛИЗ Триединство требований В разных нормативах имеются требования по защите информации, но все они защищают еще и ПДн
СХОЖЕСТЬ И РАЗЛИЧИЕ СХОЖЕСТЬ И РАЗЛИЧИЕ Что защищаем (область применения) Наиболее широкая область применения у документов ЦБ РФ Комплекс документов ЦБ РФ Банковские платежные технологические процессы (банковская тайна) 2.Банковские информационные технологические процессы (коммерческая тайна, банковская тайна) 3.Информационные системы обработки персональных данных (банковская тайна, персональные данные) Комплект нормативов, в развитие ФЗ Информационные системы обработки персональных данных (персональные данные) Стандарт PCI DSS 1.Сетевую инфраструктуру, в которой циркулируют данные о держателях карт, критичные аутентификационные данные (персональные данные, банковская тайна)
СХОЖЕСТЬ И РАЗЛИЧИЕ СХОЖЕСТЬ И РАЗЛИЧИЕ Правовой статус Все документы имеют разный правовой статус. Наиболее высокий статус имеют требования ФЗ-152 Комплекс документов ЦБ РФ-2010 Отраслевой стандарт Комплект нормативов, в развитие ФЗ-152 Законодательный акт Стандарт PCI DSSМеждународный стандарт
СХОЖЕСТЬ И РАЗЛИЧИЕ СХОЖЕСТЬ И РАЗЛИЧИЕ Обязательность исполнения Все документы по разному обязательны к исполнению. Ясно одно: Требования ФЗ-152 надо исполнять! Комплекс документов ЦБ РФ-2010 Добровольный Комплект нормативов, в развитие ФЗ-152 Принудительный Стандарт PCI DSS Добровольно-принудительный
СХОЖЕСТЬ И РАЗЛИЧИЕ СХОЖЕСТЬ И РАЗЛИЧИЕ «Суровость» санкций Наиболее «суровые» санкции со стороны международных платежных ситем, хотя и наш КоАП не слаб. Комплекс документов ЦБ РФ-2010 Не предусмотрены Комплект нормативов, в развитие ФЗ-152 Административные штрафы (до руб.), административная приостановка деятельности на 90 дней Стандарт PCI DSS Штрафные санкции от платежной системы (до $ ), отключение от платежной системы Visa
СХОЖЕСТЬ И РАЗЛИЧИЕ СХОЖЕСТЬ И РАЗЛИЧИЕ Направленность требований Во всех нормативах присутствуют конкретные технические требования по защите ПДн Комплекс документов ЦБ РФ-2010 Организационные (общие), технические конкретно для ПДн Комплект нормативов, в развитие ФЗ-152 Организационные и технические конкретно для ПДн Стандарт PCI DSS В основном технические конкретно для ПДн на пластиковых картах
СХОЖЕСТЬ И РАЗЛИЧИЕ СХОЖЕСТЬ И РАЗЛИЧИЕ Способ подтверждения соответствия Наиболее сложная процедура – по стандарту ЦБ РФ, Наиболее затратная процедура – по стандарту PCI DSS СТО БР ИББС-1.0 РС БР ИББС Оценка соответствия, организацией с опытом аудита ИБ (ABISS) 2.Самооценка собственными силами Пр. ФСТЭК 58 1.Проверка готовности СЗИ к использованию с составлением заключения о возможности их эксплуатации (организации, имеющие лицензию на ТЗКИ) Стандарт PCI DSS 1.Аудит, выполняемый QSA-аудитором 2.Сканирование от сертифицированного поставщика услуг (ASV) 3.Самооценка с заполнением опросного листа
Все три норматива признают, что защита должна объединять организационные и технические меры. «… Оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для защиты ПДн» ФЗ-152, ст. 19, ч.1 «… Требования по обеспечению ПДн в общем случае реализуются комплексом организационных, технологических, технических и программных мер…» РС БР ИББС , п ВАЖНОЕ ЗАМЕЧАНИЕ ВАЖНОЕ ЗАМЕЧАНИЕ I фактор единства «… Должна быть разработана, опубликована и распространена поддерживаемая в актуальном состоянии политика безопасности. Политика безопасности должна учитывать все требования стандарта » PCI DSS, п. 12.1
Процедура моделирования угроз (оценки рисков) лежит в основе выбора требований к системе защиты ПДн «… Мероприятия по обеспечению безопасности ПДн при их обработке в ИС включают в себя … определение угроз безопасности ПДн при их обработке, формирование на их основе модели угроз…» Постановление Правительства РФ от г. 781, п.12.а «… Модели угроз и нарушителей должны быть основным инструментом организации БС РФ при развертывании, поддержании и совершенствовании СОИБ…» РС БР ИББС , п. 6.1 ВАЖНОЕ ЗАМЕЧАНИЕ ВАЖНОЕ ЗАМЕЧАНИЕ II фактор единства «… Политика безопасности должна описывать ежегодно выполняемый процесс идентификации угроз, уязвимостей и результатов их реализации, в рамках формальной оценки рисков…» PCI DSS, п
КРАТКИЙ АНАЛИЗ ТРЕБОВАНИЙ КРАТКИЙ АНАЛИЗ ТРЕБОВАНИЙ Состав предъявляемых технических требований СТО БР ИББС-1.0 РС БР ИББС Функции идентификации и аутентификации субъектов 2.Функции регистрации и учета 3.Функции разграничения доступа и защиты от НСД 4.Функции обеспечения целостности и безопасности ПО и СЗИ 5.Функции межсетевого экранирования 6.Функции антивирусной защиты 7.Функции шифрования (СКЗИ) Пр. ФСТЭК 58 1.Функции управления доступом (идентификация, аутентификация) 2.Функции регистрации и учета 3.Функции обеспечения целостности СЗИ 4.Функции анализа защищенности и обнаружения вторжений 5.Функции межсетевого экранирования 6.Функции антивирусной защиты 7.Функции шифрования Стандарт PCI DSS 1.Функции идентификации и аутентификации субъектов 2.Функции регистрации и контроля 3.Функции разграничения доступа 4.Функции обеспечения безопасности ПО 5.Функции межсетевого экранирования 6.Функции антивирусной защиты 7.Функции шифрования
СТО БР ИББС-1.0 РС БР ИББС-2.3 Технические требования полностью совпадают с требованиями Пр. ФСТЭК 58 Пр. ФСТЭК 58 Технические требования полностью совпадают с требованиями РС БР ИББС-2.3 Стандарт PCI DSS Технические требования во многом совпадают с требованиями СТО БР ИББС-1.0, но ограничены в применении только пластиковыми картами СХОЖЕСТЬ И РАЗЛИЧИЕ СХОЖЕСТЬ И РАЗЛИЧИЕ III фактор единства Таким образом, выполнив технические требования хотя бы по одному стандарту, можно с уверенностью сказать. Что они будут выполнены и для остальных стандартов
«Одним махом семерых побивахом!» Исходя из анализа, приведенного в Приложении к Рекомендациям Центрального Банка России РС БР ИББС , видно, что выполнение этих рекомендаций гарантирует соответствие Вашей системы обеспечения информационной безопасности требованиям международных стандартов ISO/IEC и ISO/IEC В случае, если Комплекс БР ИББС вводится в организации БС РФ официально (решением) и система обеспечения информационной безопасности организации соответствует СТО БР ИББС-1.0, гарантировано, что и защита ПДн соответствует требованиям Регуляторов. ВАЖНОЕ ЗАМЕЧАНИЕ ВАЖНОЕ ЗАМЕЧАНИЕ Дополнительные преимущества для организаций БС РФ
Принять решение о введении Комплекса БР ИББС Уведомить ЦБ РФ о принятом решении Привести систему в соответствие СТО БР ИББС-1,0 Выполнить рекомендации РС БР ИББС-2.3 Провести оценку соответствия требованиям СТО БР ИББС-1,0 Документ о подтверждении соответствия направить Регуляторам И все это надо сделать не позже 1 июля 2011 года ПРИВЕДЕНИЕ В СООТВЕТСТВИЕ ОРГАНИЗАЦИЙ БС РФ ПРИВЕДЕНИЕ В СООТВЕТСТВИЕ ОРГАНИЗАЦИЙ БС РФ Последовательность действий «Письмо шести» от г. 23/3/3148
Спасибо за внимание ! , МОСКВА, Зеленоград, Центральный проспект, 11 тел , факс