Инфраструктура электронного государства с учетом требований законодательства РФ в области защиты информации и персональных данных Титов Максим Руководитель отдела маркетинга, CAN Инфофорум, июнь 2007г.
Нормативные акты о защите информации и о персональных данных Закон 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации» Закон 152-ФЗ от 27 июля 2006 года «О персональных данных» Постановление Правительства 504 от 15 августа 2006 года «О лицензировании деятельности по технической защите конфиденциальной информации» Постановление Правительства 532 от 31 августа 2006 года «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» Указ Президента РФ 611 от 12 мая 2004 года «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» (в редакции от 3 марта 2006 г.)
Цели законодательства о защите информации и о персональных данных Совершенствование нормативной базы в соответствии с реалиями использования информационных технологий Необходимость регулирования отношений при применении информационно-телекоммуникационных сетей Необходимость исполнения Российской Федерацией положений международных договоров и общепринятых международных норм и принципов Создание гарантий и правовых механизмов защиты прав на личную тайну и неприкосновенность частной жизни при сборе и использовании персональных данных Создание баланса решений от разных поставщиков и решение вопросов совместимости
Основные принципы ФЗ «Об информации, ИТ и о ЗИ» Ограничения доступа к информации – только федеральным законом Обеспечение безопасности РФ при создании ИС и защите информации Открытость информации о деятельности госорганов Достоверность информации и своевременность ее предоставления Недопустимость установления преимуществ использования одних ИТ над другими
Основные принципы ФЗ «О персональных данных» Работа с персональными данными должна производиться с соблюдением мер конфиденциальности и защиты Субъект персональных данных самостоятельно решает вопрос передачи кому-либо своих персональных данных Согласие на передачу оформляется документально Субъект персональных данных имеет полное право на доступ к своим персональным данным Государство создает Уполномоченный орган по защите прав субъектов персональных данных
Общие требования к технической части системы инфраструктуры Комплексное обеспечение безопасности: безопасность периметра, удаленных пользователей, каналов передачи данных, ресурсов внутренней сети Реализация анализа трафика до уровня приложений в компонентах системы Возможность интеграции с существующими службами каталога, подсистемами антивирусной защиты, системами обнаружения сетевых вторжений Централизованное управление всеми компонентами подсистемы: настройка компонентов подсистемы из одной точки, централизованное хранение и обработка информации о событиях, оперативное оповещение
Требования к системам защиты информации для государственных учреждений Наличие сертификатов уполномоченных органов на компоненты системы и\или всю систему в целом Российские алгоритмы шифрования при передаче данных по каналам связи Наличие полного комплекта организационно-распорядительной документации
Многоуровневая модель обеспечения безопасности Защита рабочих станций пользователей. Защищенное подключение рабочих станций и их соответствие требованиям принятой политики безопасности Защита каналов передачи данных. Защита (шифрование) передаваемых по каналам связи данных Защита точек подключения локальной сети к сетям общего пользования. Подключение локальных сетей к сетям общего пользования с применением межсетевых экранов и VPN шлюзов Защита транспортной сети. Применение систем обнаружения вторжений, экранирование сегментов сети, анализ аномалий трафика и принудительное применение политик безопасности. Nortel Layered Defense Model
Основа телекоммуникационных сетей электронного правительства Маршрутизирующие коммутаторы Nortel ERS-5510, обеспечивающие высокую пропускную способность локальных сетей (до 160 ГБит/сек) Криптомаршрутизаторы Nortel VPN Router (Contivity) серий 1100 и 1750 с модулем СКЗИ с поддержкой сертифицированного российского криптоалгоритма ГОСТ (Nortel VPN Router GOST) Межсетевые экраны Nortel Switched Firewall 5111 и 6616 Сенсоры обнаружения вторжений Nortel TPS 2150 и 2170 Программное обеспечение мониторинга сети Nortel Enterprise NMS
Используется в проектах АИС «Учет авиа» Федеральный банк данных о проданных авиабилетах и пассажирах воздушного транспорта. Обеспечит правоохранительные органы и специальные службы достоверной информацией о пассажирах авиатранспорта для заблаговременного выявления и предотвращения актов терроризма и противоправных действий. Федеральный информационный центр Федеральный центр управления межведомственным информационным обменом и доступом к данным государственных информационных систем. Предназначен для организации эффективного межведомственного взаимодействия. АИС ОСАГО Учет автотранспортных средств в автоматизированной информационной системе обеспечения обязательного страхования автогражданской ответственности.
Спасибо за внимание!