Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн
Варианты оценки соответствия ИСПДн различных классов требованиям безопасности ПДн ИСПДн 1 и 2 классов ИСПДн 3 класса ИСПДн 4 класса обязательная сертификация (аттестация) по требованиям безопасности информации декларирование соответствия требованиям безопасности информации оценка соответствия проводится по решению оператора
Декларирование соответствия требованиям безопасности ПДн Кто проводит Основание Этап Документ Организация, внедряющая СЗПДн Программа и методика приемочных испытаний Ввод в эксплуатацию, приемочные испытания Заключение с выводом о степени соответствия СЗПДн заданным требованиям безопасности ПДн
Аттестация по требованиям безопасности ПДн Кто проводит Основание Этап Документ Аттестационный центр Программа и методика аттестационных испытаний Ввод в эксплуатацию, аттестационные испытания Аттестат соответствия и Заключение по результатам аттестационных испытаний ИСПДн
Особенности аттестация ИСПДн Проводит Несет ответственность Аттестационный центр Оператор ИСПДн
ФОРМАЛЬНЫЙ ПОРЯДОК ПРОВЕДЕНИЯ ИСПЫТАНИЙ ИСПДн
ФАКТИЧЕСКОЕ СОДЕРЖАНИЕ ИСПЫТАНИЙ ИСПДн
Проблемные вопросы аттестации ИСПДн по требованиям безопасности информации
Полнота учета угроз безопасности ПДн Способ реализации Субъект угроз По техническим каналам За счет НСД Нарушитель Внешний Внутренний Программно-аппаратная закладка Вредоносная программа
Определение границ ИСПДн ПДн
Определение информационных ресурсов подлежащих защите в ИСПДн речевая информация; информация, обрабатываемая техническими средствами; информация, представленная в виде электрических сигналов, физических полей; носители информации на бумажной, магнитной, магнитооптической основе.
Классификация ИСПДн на основании характеристик безопасности ПДн Типовые ИСПДн К1 - нарушение заданной характеристики безопасности ПДн может привести к значительным негативным последствиям для субъектов ПДн К2 - нарушение заданной характеристики безопасности ПДн может привести к негативным последствиям для субъектов ПДн К3 - нарушение заданной характеристики безопасности ПДн может привести к незначительным негативным последствиям для субъектов ПДн К4 - нарушение заданной характеристики безопасности ПДн может не приводит к негативным последствиям для субъектов ПДн Специальные ИСПДн На основе модели угроз безопасности
Определение класса для типовой ИСПДн ХНПД \ ХПД 321 категория 4 К4 категория 3 К3 К2 категория 2 К3К2К1 категория 1 К1
Полнота реализации требования по защите информации Режим обработки информации в ИСПДн ОднопользовательскийМногопользовательский Права доступа пользователей РавныеРазные Класс ИСПДн К3К2К1К3К2К1К3К2К1 Система управления доступом Реализация требований РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» Обеспечение безопасности межсетевого взаимодействия Распределенная ИСПДн Применение межсетевых экранов Подключение к СОП Подсистема регистрации и учета Реализация требований РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» Регистрация запросов пользователей на получение ПДн и фактов их предоставления в электронном журнале, защита данных регистрации Подсистема обеспечения целостности Реализация требований РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» Возможность незамедлительного восстановления ПДн Резервное копирование ПДн на отчуждаемые носители
Режим обработки информации в ИСПДн ОднопользовательскийМногопользовательский Права доступа пользователей РавныеРазные Класс ИСПДн К3К2К1К3К2К1К3К2К1 Контроль отсутствия НДВ Соответствующий уровень контроля отсутствия НДВ программного обеспечения, используемого в ИСПДн (средств защиты, в том числе встроенных в общесистемное и прикладное ПО Подсистема антивирусной защиты Антивирусное ПО должно быть сертифицировано по требованиям соответствующего уровня контроля НДВ, а также на соответствие ТУ с требованиям и не ниже соответствующего класса ИСПДн Подсистема обнаружения вторжений Применение систем обнаружения вторжений Своевременное обнаружение фактов НСД к ПДн Недопущение воздействия на технические средства автоматизированной обработки ПДн Подсистема мониторинга Постоянный контроль за обеспечением уровня защищенности ПДн Защита ПДн от утечки по техническим каналам По действующим документам По действующим документам Полнота реализации требования по защите информации
Полнота реализации мероприятия по обеспечению безопасности ПДн: определение угроз безопасности ПДн, формирование модели угроз; классификация ИСПДн; разработка системы защиты ПДн; разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн; установка средств защиты ПДН; организация охраны и физической защиты помещений ИСПДн; ввод в эксплуатацию системы защиты ПДн, включая оценку соответствия ИСПДн требованиям безопасности информации; назначение должностных лиц, ответственных за обеспечение безопасности ПДн, их обучение; допуск лиц к работе с ПДн; контроль за соблюдением условий использования СЗИ, проведение разбирательств по фактам нарушений; разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
Наличие организационно-распорядительных документов по вопросам обеспечения безопасности ПДн в ИСПДн Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн. Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации. Руководство администратора безопасности информации в ИСПДн. Модель угроз. Акт классификации ИСПДн. Технический паспорт на ИСПДн. Разрешительная система доступа.
Пути подготовки ИСПДн к оценке соответствия (аттестации) Частное решение (мероприятия повторяются для каждой ИСПДн) Разработка модели угроз безопасности ПДн Подбор и установка сертифицированных СЗИ, обеспечивающих реализацию требований по защите ПДн для ИСПДн соответствующего класса Оценка соответствия (сертификация) защитных механизмов прикладного ПО, обеспечивающих выполнение требований, нереализованных сертифицированными СЗИ Разработка эксплуатационной документации. Согласование с регуляторами правил использования средств ЗИ Разработка организационных документов Испытания СЗПДн при вводе в эксплуатацию ИСПДн. В заключении вывод о степени соответствия СЗПДн заданным требованиям безопасности ПДн Типовое решение (разрабатывается для типовых ИСПДн) Разработка модели угроз и задания по безопасности, включающего требования по защите ПДн для соответствующего класса ИСПДн Разработка и сертификация на соответствие требованиям безопасности типового проектного решения на СЗПДн (включая необходимые СЗИ, защитные механизмы общесистемного и прикладного ПО, необходимую документацию) Внедрение сертифицированного проектного решения Разработка необходимых организационных документов Испытания СЗПДн при вводе в эксплуатацию ИСПДн. В заключении вывод о степени соответствия СЗПДн заданным требованиям безопасности ПДн