ЗАО «КАЛУГА АСТРАЛ». «Особенности реализации проектов по защите персональных данных и конфиденциальной информации» Мезенцев Николай Игоревич Начальник.

Презентация:



Advertisements
Похожие презентации
Аудит информационной безопасности. Этапы построения комплексной системы информационной безопасности. Начальник технического отдела ООО « СКБ » Михеев Игорь.
Advertisements

Основные мероприятия по организации обеспечения безопасности персональных данных Выполнила студентка группы 11 инф 112: Анянова Радослава.
Проведение работ по подготовке и проведению аттестации по требованиям безопасности. Классификация ИС ПДн. Основные подходы. Руководитель проектов ЗАО «Калуга.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Так ли страшен черт или в чем риск ? ОАО ЭЛВИС-ПЛЮС ____________________ Москва, 29 сентября 2009 г.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Этапы работ по защите персональных данных, реализованные проекты.Этапы работ по защите персональных данных, реализованные проекты. Руководитель проектов.
Решения в области защиты персональных данных компании ООО «Газинформсервис» Руководитель направления «Защита персональных данных» ООО «Газинформсервис»
Специальность « Организация защиты информации»
Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.
Организация работ по технической защите информационных систем персональных данных Слётова Елена Вячеславовна специалист отдела внедрения систем информационной.
Защита персональных данных в информационных системах 24 ноября 2010 года.
Аттестация по требованиям информационной безопасности Информационных систем персональных данных Попов Игорь Сергеевич Старший консультант ООО «Гелиос Компьютер»
УПРАВЛЕНИЕ ИНФОРМАТИЗАЦИИ ГОРОДА МОСКВЫ Организация работы в органах исполнительной власти города Москвы по защите информационных систем, обрабатывающих.
Требования и методы защиты персональных данных ООО "МКЦ "АСТА-информ", (351) ,
Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи.
Д ипломная работа Федеральное агентство по образованию Тамбовский государственный университет имени Г.Р. Державина Институт открытого образования Кафедра.
Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.
Транксрипт:

ЗАО «КАЛУГА АСТРАЛ»

«Особенности реализации проектов по защите персональных данных и конфиденциальной информации» Мезенцев Николай Игоревич Начальник отдела информационной безопасности ЗАО «КАЛУГА АСТРАЛ»

Проблема утечки информации Самые дорогие утечки 2011гг. Medicaid – $ В США похищены личные данные клиентов медцентра т.к. Сотрудник медицинского центра пересылал персональные данные клиентов на личный почтовый ящик. Bank of America – $ Один из сотрудников Bank of America, имевший доступ к конфиденциальной информации клиентов банка, скопировал эти данные и передал их злоумышленникам ОАО «Завод «Сарансккабель» руб Б ывший менеджер, ООО «Торговый дом «Севкабель- Саранск», пользуясь приобретёнными во время работы в ООО «Севкабель-Саранск» связями, находил покупателей на информацию о ценовой политике предприятия.

Общая динамика числа утечек за гг.

Соотношение случайных и умышленных утечек

Каналы утечки информации

Типовые каналы утечки информации Веб (включая веб-почту, форумы, блоги, социальные сети, ftp) Электронная почта Печать Средства мгновенного обмена сообщениями (ICQ, Skype, MSN и.т.д) Файлообменные сети Сменные носители (флеш-диски, карты памяти, CD/DVD) Прочие интерфейсы (Bluetooth, Wi- Fi, инфракрасный порт) Статистика каналов утечек: HTTP: 43% 16% Networked Printer: 11% Endpoint: 10% Internal Mail: 5% Webmail: 3% IM: 1% Other: 12% Статистика каналов утечек: HTTP: 43% 16% Networked Printer: 11% Endpoint: 10% Internal Mail: 5% Webmail: 3% IM: 1% Other: 12%

Комплексный анализ ИС, инструментальные исследования, анализ уязвимостей, построение схем информационных потоков и бизнес-процессов, определение значимых угроз. анализ рисков утечки информации и требований к системе ИБ. Разработка модели угроз Комплексный анализ ИС, инструментальные исследования, анализ уязвимостей, построение схем информационных потоков и бизнес-процессов, определение значимых угроз. анализ рисков утечки информации и требований к системе ИБ. Разработка модели угроз Разработка комплексных рекомендаций по защите. Разработка ТЗ по созданию системы защиты. Разработка нормативной документации. Проведение оценки соответствия системы требованиям по безопасности информации Внедрение системы защиты, ввод системы в эксплуатацию Внедрение системы защиты, ввод системы в эксплуатацию Сопровождение системы в процессе эксплуатации Сопровождение системы в процессе эксплуатации Подход к реализации проектов по защите

Стадии реализации 1. Предпроектная стадия 2. Стадия создания и ввода в действие 3. Стадия оценки соответствия Предпроектное обследование ИСПДн, определение уровня защищенности, разработка Модели угроз, Технического задания на систему защиты, ОРД Внедрение системы защиты, её опытная эксплуатация и приемо- сдаточные испытания Оценка соответствия ИСПДн требованиям безопасности информации, сопровождение системы защиты Стадии реализации проекта

КАК ЗАЩИТИТЬ ПДн Мероприятия предпроектной стадии создания СЗПДн Устанавливается необходимость обработки ПДн в ИСПДн Определяется перечень ПДн, подлежащих защите от НСД Определяются условия расположения ИСПДн относительно границ контролируемой зоны (КЗ) Определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент, физические, функциональные и технологические связи Определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, системное и прикладное ПО Определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах, определяется класс ИСПДн Уточняется степень участия персонала в обработке ПДн Определяются (уточняются) угрозы безопасности ПДн, обусловленные конкретными условиями функционирования (разработка частной модели угроз) Определяется уровень защищенности ИСПДн

МИНИМИЗАЦИЯ ЗАТРАТ –максимальное использование возможностей уже имеющихся в ИС СЗИ, а также возможностей ОС и прикладного ПО, сертифицированных или имеющих перспективы сертификации в системах сертификации ФСТЭК России или ФСБ России; – принятие дополнительных мер, позволяющих снизить требования к части ИСПДн или сегментам сети, где такие ИСПДн расположены; – сокращение количества персонала (АРМ), обрабатывающих ПДн, разделение функций, снижающих возможность одновременной обработки ПДн из разных систем; – обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т.п.); – организация терминального доступа к ИСПДн; – исключение части ПДн, хранение их на бумажных или иных носителях вне ИСПДн;

Ввод в эксплуатацию Выполнение генерации (инсталляции) пакета прикладных программ в комплексе с программными средствами защиты информации Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки ПДн Приемосдаточные испытания средств защиты информации по результатам опытной эксплуатации Рекомендации по организации охраны и физической защиты помещений для обработкиИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации Мероприятия стадии ввода в действие СЗПДн

Оценка соответствия Разработка программы и методики испытаний системы защиты Оценка мероприятий по защите от несанкционированного доступа Оценка мероприятий по защите информации от утечки по техническим каналам Подготовка Заключения по результатам испытаний и Аттестата соответствия Мероприятия стадии оценки соответствия требованиям по безопасности

Начальник отдела информационной безопасности ЗАО «Калуга Астрал» Мезенцев Николай Игоревич доб СПАСИБО ЗА ВНИМАНИЕ!