Проблема обеспечения безопасности при размещении информационных систем органов власти в коммерческих дата-центрах и облачной инфраструктуре Емельянников.

Презентация:



Advertisements
Похожие презентации
Безопасность электронного документооборота в локальных и облачных инфраструктурах Емельянников Михаил Юрьевич, Управляющий партнер.
Advertisements

ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ.
Администрация Тамбовской области 29 ноября Тамбов 2012 Выполнение законодательства Российской Федерации в области защиты персональных данных в органах.
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
Отнесение информационных систем к государственным и закрепление их статуса Михаил Борисович Замшев заместитель директора БУ ВО «ЦИТ» Научно-практическая.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Ханты-Мансийский автономный округ – Югра Организация системы межведомственного электронного взаимодействия (СМЭВ) 1 Межведомственное взаимодействие органов.
СЕМИНАР « Проблемы перевода государственных и муниципальных услуг в электронный вид » 17 мая 2011 г.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Декабрь 2011 года Правовые основы предоставления муниципальных услуг: новеллы регулирования Волошкин Иван Геннадьевич, ведущий специалист.
1 Статья 3. Основные понятия, используемые в настоящем Федеральном законе Статья 3. Основные понятия, используемые в настоящем Федеральном законе Персональные.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.
Требования и методы защиты персональных данных ООО "МКЦ "АСТА-информ", (351) ,
Некоторые аспекты создания и эксплуатации СКУД в свете закона РФ «О персональных данных». ООО «НИЦ «ФОРС» 2010г.
1 ОРГАНИЗАЦИЯ В МУНИЦИПАЛЬНОМ ОБРАЗОВАНИИ РАБОТЫ ПО ОПТИМИЗАЦИИ ПРЕДОСТАВЛЕНИЯ МУНИЦИПАЛЬНЫХ УСЛУГ В ЭЛЕКТРОННОЙ ФОРМЕ: НОРМАТИВНОЕ РЕГУЛИРОВАНИЕ, РАЗГРАНИЧЕНИЕ.
Нормативно-правовые требования при организации межведомственного взаимодействия Ульяновск
Информационная безопасность вуза. Организация работ по защите информации при построении единого информационного пространства кандидат технических наук,
ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА НАТАЛИЯ НИКОЛАЕВНА ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА.
Транксрипт:

Проблема обеспечения безопасности при размещении информационных систем органов власти в коммерческих дата-центрах и облачной инфраструктуре Емельянников Михаил Юрьевич, Управляющий партнер Эффективный документооборот в органах власти и местного самоуправления

2 Определимся с понятиями государственные информационные системы – федеральные ИС и региональные ИС, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов; муниципальные информационные системы – ИС, созданные на основании решения органа местного самоуправления.

3 Регистрация государственных информационных систем Постановление Правительства РФ от «О порядке ввода в эксплуатацию отдельных государственных информационных систем» Постановлением утверждено «Положение о регистрации федеральных государственных информационных систем». До ввода в эксплуатацию федеральной ГИС, которая предназначена для использования при осуществлении государственных функций и (или) предоставления государственных услуг, федеральный орган исполнительной власти обязан: принять правовой акт о порядке и сроках ввода в эксплуатацию федеральной ГИС; зарегистрировать федеральную ГИС в реестре федеральных ГИС.

4 Реестр ГИС (325 систем нa )

5 Факторы влияния Требования к государственным (муниципальным) информационным системам. Требования к информационным системам персональных данных. [в перспективе] Требования к защите служебной тайны органов власти.

6 Требования к ГИС (МИС). Межведомственное взаимодействие Постановление Правительства РФ от «О единой системе межведомственного электронного взаимодействия» Приказ Минкомсвязи от «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия»

7 Требования к информационной безопасности СМЭВ Необходимо обеспечить защиту информации от НСД, ее искажения и блокирования (ПП 697). Подсистема информационной безопасности каждой информационной системы, подключаемой к системе взаимодействия, должна обеспечивать установленные законодательством РФ уровни защищенности информации, обрабатываемой в этой системе (Приказ Минкомсвязи 190). При передаче данных необходимо использовать протоколы TLS, SSL и IPSec (Приказ Минкомсвязи 190).

8 Требования к ГИС (МИС). Безопасность ИСОП Постановление Правительства РФ от «Об особенностях подключения федеральных государственных информационных систем к информационно- телекоммуникационным сетям» Приказ ФСБ 416, ФСТЭК 489 от «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования» Приказ Минкомсвязи от «Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»

9 Требования к информационной безопасности ИСОП Постановление Правительства от Операторы федеральных государственных информационных систем, созданных или используемых в целях реализации полномочий федеральных органов исполнительной власти, при подключении ИСОП к информационно- телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, обязаны обеспечить: защиту информации, содержащейся в ИСОП, от уничтожения, изменения и блокирования доступа к ней; использование при подключении ИСОП к информационно-телекоммуникационным сетям СЗИ, прошедших оценку соответствия (в том числе в установленных случаях сертификацию);

10 Требования о защите информации, содержащейся в ИСОП Приказ ФСБ 416, ФСТЭК 489 от При создании и эксплуатации ИСОП должны выполняться следующие требования: использование сертифицированных СЗИ; использование антивирусных средств; использование обнаружения компьютерных атак; использование средств межсетевого экранирования; обеспечение защиты от воздействий на технические и программные средства; осуществление регистрации действий обслуживающего персонала; осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России.

11 Требования к ГИС (МИС). Обеспечение защиты информации Приказ ФСТЭК России от «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Требования являются обязательными при обработке информации в ГИС, функционирующих на территории РФ, а также в муниципальных ИС, если иное не установлено законодательством РФ о местном самоуправлении.

12 Требования к ГИС (МИС). Защита персональных данных Ст. 19 Федерального закона от ФЗ «О персональных данных» Постановление Правительства РФ от «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Приказ ФСТЭК России от «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Нормативно-методические документы ФСБ России по использованию криптографических средств для защиты персональных данных

13 Требования к защите персональных данных Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от … неправомерных действий. Безопасность ПДн при их обработке в ИС обеспечивает оператор этой системы, который обрабатывает ПДн, или лицо, осуществляющее обработку ПДн по поручению оператора на основании заключаемого с этим лицом договора. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, построение частной модели актуальных угроз и выбор СЗИ производятся оператором. Оператор должен определить уровень защищенности персональных данных.

14 Перенести ГИС или МИС в дата-центр? Можно! Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора, обеспечивает защиту информации в соответствии с законодательством РФ…В договоре должна быть предусмотрена обязанность уполномоченного лица обеспечивать защиту информации, являющейся государственным информационным ресурсом, в соответствии с настоящими Требованиями.

15 Но не забудьте! Для обеспечения защиты информации, содержащейся в ИС: обладателем информации проводится классификация ИС по требованиям защиты информации; применяются СЗИ, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности; проводится аттестация ИС по требованиям защиты информации.

16 Как решить эти проблемы Органу власти: классифицировать ИС, определить тип актуальных угроз и уровень безопасности ПДн; построить частную модель актуальных угроз (для своей части ИС); реализовать систему защиты на своей части ИС и аттестовать ее; включить требования безопасности в договор (государственный контракт) с провайдером, разделив ответственность.

17 Как решить эти проблемы Провайдеру услуги: определить тип актуальных угроз, максимальный класс ИС и уровень защищенности для ЦОДа; построить частную модель актуальных угроз ЦОДу (для защищенного сегмента); реализовать систему защиты на серверной стороне и аттестовать ИС; помочь клиенту с реализацией мер защиты на клиентской стороне; получить лицензии ФСТЭК и ФСБ.

18 Решение на законодательном уровне

19 Что предлагается в законопроекте оказание услуг облачных вычислений органам государственной власти, органам местного самоуправления, … вправе осуществлять только российские юридические лица, облачная инфраструктура которых находится на территории РФ, соответствующие обязательным требованиям, установленным законом; вводится понятие гарантирующего поставщика услуг облачных вычислений; поставщики услуг облачных вычислений должны иметь лицензии ФСБ и ФСТЭК и не менее двух ЦОД, прошедших государственную аттестацию.

20 А тем временем… Государственная программа РФ «Информационное общество ( годы)» Утверждена распоряжением Правительства РФ от р В рамках мероприятия по развитию электронного правительства реализуются следующие меры: … создание национальной платформы «облачных вычислений»; …

Емельянников Михаил Юрьевич Управляющий партнер +7 (916) Спасибо! Вопросы? Эффективный документооборот в органах власти и местного самоуправления