ЗАО «КАЛУГА АСТРАЛ»
«Особенности реализации проектов по защите персональных данных и конфиденциальной информации» Мезенцев Николай Игоревич Начальник отдела информационной безопасности ЗАО «КАЛУГА АСТРАЛ»
Проблема утечки информации Самые дорогие утечки 2011гг. Medicaid – $ В США похищены личные данные клиентов медцентра т.к. Сотрудник медицинского центра пересылал персональные данные клиентов на личный почтовый ящик. Bank of America – $ Один из сотрудников Bank of America, имевший доступ к конфиденциальной информации клиентов банка, скопировал эти данные и передал их злоумышленникам ОАО «Завод «Сарансккабель» руб Б ывший менеджер, ООО «Торговый дом «Севкабель- Саранск», пользуясь приобретёнными во время работы в ООО «Севкабель-Саранск» связями, находил покупателей на информацию о ценовой политике предприятия.
Общая динамика числа утечек за гг.
Соотношение случайных и умышленных утечек
Каналы утечки информации
Типовые каналы утечки информации Веб (включая веб-почту, форумы, блоги, социальные сети, ftp) Электронная почта Печать Средства мгновенного обмена сообщениями (ICQ, Skype, MSN и.т.д) Файлообменные сети Сменные носители (флеш-диски, карты памяти, CD/DVD) Прочие интерфейсы (Bluetooth, Wi- Fi, инфракрасный порт) Статистика каналов утечек: HTTP: 43% 16% Networked Printer: 11% Endpoint: 10% Internal Mail: 5% Webmail: 3% IM: 1% Other: 12% Статистика каналов утечек: HTTP: 43% 16% Networked Printer: 11% Endpoint: 10% Internal Mail: 5% Webmail: 3% IM: 1% Other: 12%
Комплексный анализ ИС, инструментальные исследования, анализ уязвимостей, построение схем информационных потоков и бизнес-процессов, определение значимых угроз. анализ рисков утечки информации и требований к системе ИБ. Разработка модели угроз Комплексный анализ ИС, инструментальные исследования, анализ уязвимостей, построение схем информационных потоков и бизнес-процессов, определение значимых угроз. анализ рисков утечки информации и требований к системе ИБ. Разработка модели угроз Разработка комплексных рекомендаций по защите. Разработка ТЗ по созданию системы защиты. Разработка нормативной документации. Проведение оценки соответствия системы требованиям по безопасности информации Внедрение системы защиты, ввод системы в эксплуатацию Внедрение системы защиты, ввод системы в эксплуатацию Сопровождение системы в процессе эксплуатации Сопровождение системы в процессе эксплуатации Подход к реализации проектов по защите
Стадии реализации 1. Предпроектная стадия 2. Стадия создания и ввода в действие 3. Стадия оценки соответствия Предпроектное обследование ИСПДн, определение уровня защищенности, разработка Модели угроз, Технического задания на систему защиты, ОРД Внедрение системы защиты, её опытная эксплуатация и приемо- сдаточные испытания Оценка соответствия ИСПДн требованиям безопасности информации, сопровождение системы защиты Стадии реализации проекта
КАК ЗАЩИТИТЬ ПДн Мероприятия предпроектной стадии создания СЗПДн Устанавливается необходимость обработки ПДн в ИСПДн Определяется перечень ПДн, подлежащих защите от НСД Определяются условия расположения ИСПДн относительно границ контролируемой зоны (КЗ) Определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент, физические, функциональные и технологические связи Определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, системное и прикладное ПО Определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах, определяется класс ИСПДн Уточняется степень участия персонала в обработке ПДн Определяются (уточняются) угрозы безопасности ПДн, обусловленные конкретными условиями функционирования (разработка частной модели угроз) Определяется уровень защищенности ИСПДн
МИНИМИЗАЦИЯ ЗАТРАТ –максимальное использование возможностей уже имеющихся в ИС СЗИ, а также возможностей ОС и прикладного ПО, сертифицированных или имеющих перспективы сертификации в системах сертификации ФСТЭК России или ФСБ России; – принятие дополнительных мер, позволяющих снизить требования к части ИСПДн или сегментам сети, где такие ИСПДн расположены; – сокращение количества персонала (АРМ), обрабатывающих ПДн, разделение функций, снижающих возможность одновременной обработки ПДн из разных систем; – обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т.п.); – организация терминального доступа к ИСПДн; – исключение части ПДн, хранение их на бумажных или иных носителях вне ИСПДн;
Ввод в эксплуатацию Выполнение генерации (инсталляции) пакета прикладных программ в комплексе с программными средствами защиты информации Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки ПДн Приемосдаточные испытания средств защиты информации по результатам опытной эксплуатации Рекомендации по организации охраны и физической защиты помещений для обработкиИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации Мероприятия стадии ввода в действие СЗПДн
Оценка соответствия Разработка программы и методики испытаний системы защиты Оценка мероприятий по защите от несанкционированного доступа Оценка мероприятий по защите информации от утечки по техническим каналам Подготовка Заключения по результатам испытаний и Аттестата соответствия Мероприятия стадии оценки соответствия требованиям по безопасности
Начальник отдела информационной безопасности ЗАО «Калуга Астрал» Мезенцев Николай Игоревич доб СПАСИБО ЗА ВНИМАНИЕ!