«Опыт и проблемы реализации защиты конфиденциальной информации предприятия» Никиреев Сергей Викторович Начальник службы защиты информации ООО ИЦ «ВЫБОР» Телефон: (4812)
Пример утечки информацииПример утечки информации Лидер Новичок Покупатель Партнёр - перевозчик Поставщики Продукция Энергоресурсы Продукция Энергоресурсы Продукция Узкие места Инсайдерская информация: - Информация о поставщиках, -Информация о перевозчиках, - Информация о схеме сбыта. Договор с перевозчиками заканчивается в текущем году! Объект воздействия 1
Полезность информацииПолезность информации «... полезность информации определяется возможностью ее использовать для достижения какой-либо цели. Из полипотентности [информации] следует, что для чего-нибудь полезной может быть любая информация, хотя это далеко не всегда очевидно». В.И. Корогодин, В.Л. Корогодина « Информация как основа жизни. Полезность и истинность информации». 2
Безопасность предприятия (организации) Экономическая безопасность Физическая безопасность Пожарная безопасность Экологическая безопасность Информационная безопасность Техническая защита информации МЕСТОИНФОРМАЦИОННОЙБЕЗОПАСНОСТИВ ОБЩЕЙСИСТЕМЕБЕЗОПАСНОСТИПРЕДПРИЯТИЯ МЕСТО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБЩЕЙ СИСТЕМЕ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ Угрозы безопасности 3
Цели системы защиты информации предприятия предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение угроз безопасности личности, предприятия, общества, государства; предотвращение несанкционированных действий по уничтожению, модификации, копированию и блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение, конфиденциальности документированной информации в соответствии с законодательством. 4
Составные части информационной безопасности Аудит защищаемой системы – Анализ обрабатываемой в системе информации и информационных потоков – Анализ модели нарушителя, его интересов и потенциальных угроз – Анализ непреднамеренных нарушений информационной безопасности Технические мероприятия – Использование защищенного оборудования – Использование защищенного программного обеспечения – Построение защищенных кабельных систем – Переход на защищённые системы связи – Использование системы мониторинга Организационные мероприятия – Разработка и внедрение правовых основ информационной безопасности – Воспитательные и психологические мероприятия – Оптимизация технологических процессов – Определение минимально-необходимых привилегий в АС 5
Организационные мероприятияОрганизационные мероприятия Разработка организационных и методических документов по защите информации. Проведение инструкторско-методических занятий с персоналом предприятия. Внесение изменения в форму типового трудового договора (О соблюдении режима конфиденциальности). Введение практики инструктажей по защите информации всех новых сотрудников. Перераспределение функции управления доступом в АС предприятия между техническим персоналом и специалистами по защите информации. Введение жесткое разграничение прав доступа к ресурсам АС на основе матрицы доступа. 6
СТРУКТУРАНОРМАТИВНЫХПРАВОВЫХАКТОВРФ ВОБЛАСТИЗАЩИТЫИНФОРМАЦИИ СТРУКТУРА НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ РФ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ Нормативную правовую базу образуют документы, регулирующие правовые отношения в области защиты информации. Эту базу составляют документы федерального уровня, к которым относятся: федеральные законы; указы президента Российской Федерации; постановления правительства Российской Федерации; Нормативную техническую базу образуют документы, непосредственно определяющие организационные и технические требования по защите информации, порядок их выполнения и контроля эффективности принимаемых мер защиты. К этим документам относятся: национальные стандарты Российской Федерации. требования и рекомендации по защите информации; нормативные и методические документы, определяющие критерии эффективности защиты информации и порядок их контроля. 7
Конфиденциальная информацияКонфиденциальная информация Персональные данные. Тайна следствия и судопроизводства. Служебная тайна. Налоговая тайна. Профессиональная тайна (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.п.). Коммерческая тайна. Банковская тайна. Сведения о сущности изобретения. 8
После завершения работ по внедрению системы защиты при необходимости проводится аттестация (одна из существующих форм подтверждения соответствия ИСПДн, но не являющаяся строго обязательной) или декларирование соответствия требованиям безопасности информации. Аттестация состоит из: Разработки программы и методики аттестационных испытаний (декларирования); Проведения аттестационных испытаний (декларирования) объекта информатизации; Оформления, регистрации и выдачи «Аттестата соответствия» (декларации соответствия). Аттестат (декларация) соответствия требованиям безопасности информации. Этот документ подтверждает, что проведен необходимый комплекс работ, данные защищены. Для проверяющих этот документ послужит весомым аргументом в пользу того, что требования Закона о персональных данных в рамках компании выполнены должным образом. ЧТО НА ВЫХОДЕ? ОЦЕНКАСООТВЕТСТВИЯИСПДнОЦЕНКА СООТВЕТСТВИЯ ИСПДн ТРЕБОВАНИЯМБЕЗОПАСНОСТИИНФОРМАЦИИТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 9
Спасибозавнимание.Спасибо за внимание. Какие будут вопросы ? Никиреев Сергей Викторович Начальник службы защиты информации ООО ИЦ «ВЫБОР» Телефон: (4812)