Технологии и продукты Microsoft в обеспечении ИБ Лекция 20. Организационно-правовые аспекты защиты информации. - презентация

1 Технологии и продукты Microsoft в обеспечении ИБ Лекция 20. Организационно-правовые аспекты защиты информации

2 Высшая школа экономики Цели Познакомиться с законодательными и правовыми основами защиты информации Рассмотреть основные положения «Закона о персональных данных» Изучить принципы разработки политики безопасности Проанализировать причины инициативы Microsoft по предоставлению ФСБ и другим заинтересованным государственным организациям доступа к исходному коду своих продуктов

3 Высшая школа экономики Критерии оценки безопасности Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности Требования действующего российского законодательства (РД ФСТЭК, СТР-К, ГОСТы) Требования отраслевых стандартов (СТО БР ИББС 1.0, базовый уровень информационной безопасности операторов связи) Рекомендации международных стандартов (ISO 17799, OCTAVE) Рекомендации компаний-производителей программного и аппаратного обеспечения (Microsoft, Oracle, Cisco и т.д.)

4 Высшая школа экономики Нормативно-правовое обеспечение информационной безопасности Политика ИБ Частные политики информационной безопасности Регламенты информационной безопасности Инструкции информационной безопасности

5 Высшая школа экономики Что такое Политика ИБ? Политика информационной безопасности – официально принятая система взглядов на цели, задачи, основные принципы и направления деятельности в области защиты от возможных угроз одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности

6 Высшая школа экономики Цели Политики ИБ определение и ввод в операционное управление основных принципов, политик, стандартов, директив Политики безопасности определение приоритетов развития Компании в области обеспечения ИБ обеспечение осведомленности и координация деятельности сотрудников Компании в областях, имеющих влияние на ИБ

7 Высшая школа экономики Основные разделы Политики цели и задачи Политики безопасности общие сведения об активах модели угроз и нарушителей высокоуровневые требования ИБ санкции и последствия нарушений политики определение общих ролей и обязанностей, связанных с обеспечением ИБ перечень частных политик ИБ положения по контролю реализации политики ИБ ответственность за реализацию и поддержку документа условия пересмотра документа.

8 Высшая школа экономики Особенности создания Политики учитывается текущее состояние и ближайшие перспективы развития АС учитываются цели, задачи и правовые основы создания и эксплуатации АС учитываются режимы функционирования данной системы производится анализ рисков информационной безопасности для ресурсов АС Компании

9 Высшая школа экономики Нормативно-правовая основа Политики

10 Высшая школа экономики ФЗ «О персональных данных» Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных

11 Высшая школа экономики Работа с персональными данными должна производиться с соблюдением мер конфиденциальности и защиты Субъект персональных данных самостоятельно решает вопрос передачи кому-либо своих персональных данных Согласие на передачу оформляется документально Субъект персональных данных имеет полное право на доступ к своим персональным данным Государство создает Уполномоченный орган по защите прав субъектов персональных данных ФЗ «О персональных данных»

12 Высшая школа экономики Оператор обязан принимать организационные и технические меры, для защиты ПД от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке Федеральные органы в области обеспечения безопасности (ФСБ России, ФСТЭК России) осуществляют контроль и надзор Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность Меры по обеспечению безопасности персональных данных

13 Высшая школа экономики Аттестация АС на требования ФСТЭК «Аттестат соответствия» подтверждает, что объект соответствует требованиям стандартов, утвержденных ФСТЭК России. Дает право обработки информации с уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия» Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от НСД, в том числе от компьютерных вирусов, от утечки за счет побочных электpомагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электpомагнитное и pадиационное воздействие), от утечки или воздействия на нее за счет специальных устpойств, встpоенных в объекты инфоpматизации. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

14 Высшая школа экономики Актуальность создания политики безопасности Разработка Политики безопасности является необходимым шагом на пути внедрения полноценной системы управления информационной безопасности компании

15 Высшая школа экономики Комплексная защита информации

16 Высшая школа экономики Комплексная защита информации

17 Высшая школа экономики Организационная политика обеспечения ИБ меры организационного характера, регламентирующие: процессы функционирования системы обработки данных, использование ее ресурсов, обучение сотрудников, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации Организационные (административные) меры защиты

18 Высшая школа экономики Регламенты в области ИБ Регламент резервного копирования информации Регламент расследования инцидентов в области информационной безопасности Регламент проведения аудита информационной безопасности Регламент управления документами в области ИБ

19 Высшая школа экономики Инструкции по безопасности Инструкция администратору безопасности Инструкция пользователю по обеспечению информационной безопасности

20 Высшая школа экономики Документационное обеспечение Уровень предприятия Политика безопасности Положение о конфиденциальности Перечень конфиденциальной информации Уровень подразделения Трудовые соглашения, определяющие ответственность сотрудников Должностные инструкции Уровень информационной системы Регламенты использования корпоративной информационной системы Регламенты предоставления доступа к конфиденциальной информации

21 Высшая школа экономики Меры по реализации политики ИБ Организационные меры – создание и изменение Регламентов Правил Инструкций и пр. Программно-технические меры - внедрение Антивирусной защиты Системы контроля доступа Подсистемы анализа уязвимостей и пр. Мероприятия по кадровому обеспечению Специализированные программы обучения Интранет-порталы Рассылка новостей

22 Высшая школа экономики Пример: нормативная основа создания защищённого документооборота Регламент работы Удостоверяющего центра Должностная Инструкции администратора Удостоверяющего центра Инструкция пользователю по работе с ключевым носителем информации

23 Высшая школа экономики Government Security Program (GSP) Программа, в рамках которой организациям, участвующим в государственных проектах по совершенствованию защищенных информационных систем, предоставляет доступ к исходным кодам продуктов Майкрософт.

24 Высшая школа экономики Предоставление исходных кодов Россия - первая страна в мире, подписавшая с Microsoft Соглашение GSP ( в 2002 г. - между Майкрософт и ФГУП НТЦ «Атлас», действует по н.вр.) Доступ к исходным кодам продуктов Microsoft ФСБ ФСТЭК Министерству обороны Министерству атомной промышленности другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.

25 Высшая школа экономики Сертифицированный в ФСБ продукт Обычный лицензионный продукт Microsoft Дополнительный «Service Pack Rus» для этого продукта Содержит криптопровайдеры компании Крипто- Про, позволяющие зашифровывать информацию и подписывать документы электронной цифровой подписью с использованием российских криптографических алгоритмов.

26 Высшая школа экономики Текущие результаты сертификации Windows XP Professional / Vista Windows Server 2003 /R2 Office 2003/2007 Professional ISA Server 2006 линейка антивирусных продуктов Forefront Forefront для Exchange Server, Forefront для SharePoint Server Forefront Client Exchange Server 2007 Office SharePoint Server 2007 BizTalk Server 2006 R2

27 Высшая школа экономики Использованные источники Сердюк В.А. Комплексный подход к защите компании от угроз информационной безопасности // Презентация, ДиалогНаука, 2008 Сердюк В.А. Система управления информационной безопасностью // Презентация, ДиалогНаука, 2008 Сердюк В.А. Политика информационной безопасности // Презентация, ДиалогНаука, 2008 Сердюк В.А. Новое в защите от взлома корпоративных систем. М.: Техносфера, fault.mspx fault.mspx

28 Спасибо за внимание!