ТЕХНИЧЕСКИЕ РЕШЕНИЯ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ Михаил Савельев Генеральный директор SAFELINE ГК «ИНФОРМЗАЩИТА»
Компания основана в 1995 году "Информзащита" – ведущая группа компаний российского рынка информационной безопасности в области разработки защищённых бизнес-систем Выручка компании в 2008 году – около 1,5 миллиарда рублей
Основные направления деятельности Проектирование защищенных информационных систем Консалтинг в области информационной безопасности Поставка, внедрение и поддержка защищенных решений Аттестация объектов информатизации Разработка систем защиты информации Профессиональная подготовка сотрудников служб информационной безопасности
Информзащита сегодня НИП «Информзащита» Учебный центр «Информзащита» Национальный аттестационный центр SafeLine Код Безопасности TrustVerse
Настоящим ФЗ регулируются отношения, связанные с обработкой персональных данных, осуществляемой …государственными органами, муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ от 27 июля 2006 года N 152-ФЗ
Источник: Результаты анкетирования участников Foresters Security Forum EMEA 2007 Практики vs Теоретики
Порядок действий 1Инвентаризация информационных систем, обрабатывающих персональные данные 2Оценка законности обработки персональных данных и наличия согласий субъектов на такую обработку 3Корректировка договоров с субъектами, заключение при необходимости дополнительных соглашений 4Формирование перечней персональных данных 5Определение предельных сроков и условий прекращения обработки персональных данных 6Ограничение доступа работников предприятия и пользователей информационной системы к персональным данным 7Документальное регламентирование работы с персональными данными 8Формирование модели угроз персональным данным 9Классификация информационных систем персональных данных 10Уведомление уполномоченного органа по защите прав субъектов об обработке персональных данных 11Приведение системы защиты персональных данных в соответствие с требованиями регуляторов 12Лицензирование деятельности по технической защите конфиденциальной информации 13Аттестация (сертификация) информационной системы персональных данных 14Эксплуатация информационной системы персональных данных, мониторинг, выявление и реагирования не инциденты информационной безопасности
Под аттестацию попадают ИСПДн: 1, 2 класс - обязательная аттестация; 3 класс – по выбору оператора ИСПДн декларирование соответствия или аттестация;
Чего бояться? 13.11КоАП Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) руб КоАП Нарушение правил защиты информации, а также Использование несертифицированных средств защиты информации, если они подлежат обязательной сертификации, а также Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации руб. + конфискация несертифицированных средств + приостановление деятельности на срок до 90 суток
Чего бояться 19.4КоАП Невыполнение законных требований должностного лица органа, уполномоченного в области экспортного контроля, а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей руб. 19.5КоАП Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства, а также Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля руб. + дисквалификаци я должностного лица до 3-х лет
Какие средства защиты использовать Необходимость применения сертифицированных СЗИ для защиты персональных данных определена Постановлением Правительства 781 (пункт 5) и «Основными мероприятиями…» (пункт 3.3).
Состав СЗИ в ИСПДн Средства защиты информации от несанкционированного доступа (РД СВТ и РД НДВ); Средства межсетевого экранирования (РД МЭ); Средства антивирусной защиты (РД НДВ, ТУ); Средства криптографической защиты информации (по требованиям ФСБ); Системы обнаружения и предотвращения вторжений (РД НДВ, ТУ); Средства от утечки информации по техническим каналам (ФСТЭК).
Формулировка требования 3О2О1О 3М О2МО 1М О 3М Р 2М Р 1М Р SS- АКЦ SS- АК Sn 5.0 Sn 5.1 Вход/выход пользователей в/из систему Идентификация и проверка подлинности субъектов доступа при входе в систему (ОС) ИСПДн по паролю условно- постоянного действия, длиной не менее 6 буквенно-цифровых символов Да НетЕсть Аутентификационная информация субъектов доступа должна быть защищена от НСД нарушителя Да НетЕсть Должны быть реализованы механизмы блокирования терминала субъекта доступа самим субъектом доступа или в случае истечения заданного интервала времени неактивности субъекта доступа. Да НетЕсть Регистрация входа (выхода) субъекта доступа в систему (из системы), либо регистрация загрузки и инициализации ОС и ее программного останова. Регистрация выхода из системы или останова не производится в моменты аппаратурного отключения ИСПДн. В параметрах регистрации указывается дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная). Да Есть В дополнение к предыдущему пункту: в параметрах регистрации должен указываться идентификатор (код или фамилия) субъекта, предъявленные при попытке доступа. Да Есть В дополнение к предыдущему пункту: в параметрах регистрации должен указываться код или пароль, предъявленный при неудачной попытке доступа. Да Нет Есть Соответствия решений требованиям
Защита персональных данных Раздел требований Продукт К1К2К3 СЗИ от НСД Защита среды исполнения Secret Net Security Studio : Агент конфиденциальности Security Studio : Агент контроля целостности Secret Net for VMware Infrastructure SecurityStudio for VMware Infrastructure Защита среды обработки ПД Secret Net for DB SecurityStudio for DB : Конфиденциальность Security Studio for DB: Агент КЦ Аутентификация, КЦ, МДЗ Соболь Межсетевое Экранирование Континент 3.5 (МЭ 3 и АП 3) Континент АП / ПМЭ 3 класса Регламент предоставления доступа КУБ Защита от ПМВ Honey Pot - Обязательные компоненты - Возможные компоненты - можно заменить оргмерами
Х ПД Х ПДН 321 категория 4К4 категория 3К3 К2 категория 2К3К2К1 категория 1К1 Коэффициент ХПДН может принимать следующие значения: - 1 – в ИСПДн одновременно обрабатываются ПДн более чем субъектов ПДн…; - 2 – в ИСПДн одновременно обрабатываются ПДн от до субъектов ПДн; - 3 – остальные случаи Классификация систем
Что сейчас думает ФСТЭК Максимально упрощенная классификация всех систем под 3-й класс Решение по принципу выделенной сети: Континент Secret Net | Security Studio ПМЭ Антивирус Без выхода в интернет
Требования по сертификации средств защиты в ИСПДн 3-й класс 2-й класс
Вариант 1 LAN
Вариант 2
КШ+ЦУС КШ ПУ LAN
Security Studio или Secret Net 5.0 Предотвращение несанкционированного доступа (НСД) к серверам и рабочим станциям сети, построенной на основе следующих операционных систем Windows 2000 (sp4) Windows 2003 (в т.ч. R2) Windows XP (sp1 и выше)
Функциональные возможности Идентификация и аутентификация пользователей Шифрование информации Гарантированное затирание удалённой информации Контроль аппаратной конфигурации Регистрация событий Контроль целостности программ и данных Избирательное и полномочное управление доступом Контроль устройств Замкнутая программная среда Защита от загрузки с внешних носителей Централизованное и оперативное управление Мониторинг и аудит
Версии Secret Net 5.0 Автономный вариант Мобильный вариант Сетевой вариант
Сертификаты Secret Net 5.0 Автономный вариант: Сертификат ФСТЭК по 3 классу защищённости СВТ и 2 уровню контроля НДВ (Государственная тайна, гриф «Совершенно Секретно») Мобильный вариант: Сертификат ФСТЭК 1119 на соответствие Общим Критериям (ОУД3), 4 уровню контроля НДВ и АС 1Г (Конфиденциальная Информация) Сетевой вариант: Сертификат ФСТЭК по 4 классу защищенности СВТ и по 3 уровню контроля НДВ (Государственная тайна, гриф «Секретно»)
АПКШ «Континент» Межсетевой экран Крипто-модуль + = Шлюз
ФСБ Сертификация СКЗИ - Класс КС1 (АПКШ Континент - Класс КС 1 и КС 2 (Континент АП) МСЭ - 4 класс ФСТЭК МСЭ - 3 НДВ - 4 класс Защита только конфиденциальной информации
Linux XP
OC со знакомым интерфейсом ОС совместимая с наиболее распространенной ОС MS Windows Локализация Форматы данных Приложения (частично)!!!!! Сетевая инфраструктура (системы управления сетями типа AD) ОС (и приложения) дешевле чем MS Windows ОС, которая безопаснее (архитектурные особенности, отсутствие пока вредоносного ПО) В чем суть предложения
Достоинства Полностью русскоязычный удобный графический интерфейс, понятный пользователям, работавшим ранее с MS Windows Простая процедура установки ОС, механизмы управление базовыми функциями аппаратного и программного обеспечения м; Сразу после установки пользователь получает не «голую» ОС, а рабочее место, полностью готовое к работе
Номенклатура Desktop Enterprise Security Server Mini
(495) ВОПРОСЫ?