Защита информации в технологических процессах электронного декларирования. Санкт-Петербург, 2010 г. Докладчик: Шарыпов Андрей Юрьевич. - презентация

1 Защита информации в технологических процессах электронного декларирования. Санкт-Петербург, 2010 г. Докладчик: Шарыпов Андрей Юрьевич

2 Несанкционированный доступ Уничтожение Искажение Недоступность 80% происшествий происходит по вине сотрудников Безответственность Корыстные цели Месть Необдуманные действия Интернет – неконтролируемое пространство Шпионаж Вымогательство Терроризм Стихийные бедствия Типы и источники угроз

3 Разработка правил работы с информацией, их последовательная реализация, постоянный мониторинг угроз и приведение правил в соответствие с угрозами. Организация ограниченной зоны работы с информацией. Ограничение и учёт доступа сотрудников в эту зону. Организация и учёт работы с бумажными документами. Организация и учёт оборота машинных носителей информации. Организационные мероприятия

4 Тесно связаны с организационными мероприятиями и являются основой их реализации (доступ в помещение, управление паролями и т. д.) Препятствия физическому доступу Программные средства ограничения доступа Средства защиты от атак по сети Антивирусная защита Устранение уязвимостей программного обеспечения Криптографическая защита информации Резервное копирование Технические средства

5 VPN - защита от перехвата информации при передаче по открытым каналам (Интернет). ЭЦП – контроль целостности и доказательство авторства документа. Криптографическая защита информации

6 Обеспечивают такую же безопасность информации при передаче через незащищённые сети (Интернет), как если бы информация не выходила за пределы локальной сети. Может производиться подключение компьютера к удалённой сети (VPN клиент и VPN сервер) или соединение сетей. Программы на компьютерах с двух сторон VPN работают с обычными данными, а по незащищённой сети (Интернет) информация передаётся в зашифрованном виде. Для подключения клиентов к оператору используется VPN на основе протокола L2TP/IPSec. Клиентская часть встроена в операционную систему Windows и не требует установки дополнительного программного обеспечения. Для организации VPN между оператором и ГНИВЦ используется АПКШ «Континент», сертифицированный ФСТЭК и ФСБ. Реализует VPN между сетями. Виртуальная частная сеть (VPN)

7 ЭЦП гарантирует целостность информации. Документ не шифруется, чтение не требует наличия каких-либо ключей, но любое изменение будет обнаружено при проверке электронной подписи. ЭЦП однозначно определяет авторство документа. Принадлежность подписи подтверждается корневым ведомственным удостоверяющим центром. Наличие независимых ведомственных корневых удостоверяющих центров не позволяет использовать одну ЭЦП для разных типов документов (таможня, налоговые органы, пенсионный фонд и т. д.) Существуют различные математические алгоритмы, реализуемые в ЭЦП. Официально признаются только алгоритмы, закреплённые в ГОСТ. Электронные документы с ЭЦП юридически равны бумажным с обычными подписями и печатями. Скомпрометированная ЭЦП должна быть немедленно отозвана. Электронная цифровая подпись (ЭЦП)

8 ПО «КриптоПро CSP», используемое для работы с ЭЦП, позволяет использовать в качестве носителя ЭЦП как просто сменные дисковые устройства (дискета, флэш-накопители), так и интеллектуальные устройства, например, eToken (USB-ключ), смарт-карты, Touch Memory («Таблетки») и т. д. На сегодняшний день ГНИВЦ ФТС может поставлять ЭЦП на дискетах и eToken. Дискеты медленные и ненадёжные. eToken на сегодняшний день предпочтителен. Носители ЭЦП

9 Изложены в Приказе ФТС 52 от 24 января 2008 г. Установка лицензионных операционных систем, сертифицированных ФСТЭК по требованиям безопасности информации. Установка лицензионных средств антивирусной защиты, сертифицированных ФСТЭК и ФСБ по требованиям безопасности информации. Использование сертифицированных ФСБ средств криптографической защиты информации и ЭЦП, совместимых с системой ведомственных удостоверяющих центров таможенных органов Обеспечение разграничения и контроля доступа должностных лиц Заявителя к ресурсам ИС ЭПС с использованием сертифицированных средств защиты информации (ИС ЭПС должна быть аттестована по требованиям безопасности информации). Включает в себя полный комплекс организационно-технических мероприятий, описанных ранее, включая выделенное помещение, требования по электропитанию, пожарной и охранной сигнализации, сертификации ФСТЭК и ФСБ используемых средств криптозащиты, организации учёта оборота и уничтожения документации и машинных носителей информации. Требования ФТС к ИС ЭПС

10 Стоимость реализации применительно к 1 рабочему месту электронного декларирования – от 500 тыс. до 1 млн. рублей единовременных затрат. Текущие расходы: на выделенное помещение, 1-2 высококвалифицированных сотрудника, обслуживание средств криптозащиты, повторная сертификация по мере окончания сроков действия. Оценка стоимости выполнения требований

11 Мы выполнили все требования руководящих документов (Аттестат соответствия СЗИ.RU.054.B27.026/162/09K от ). Мы защищаем Вашу информацию, когда она обрабатывается у нас. Мы защищаем Вашу информацию при передаче по открытым каналам (Интернет). Мы сделали это максимально удобно для Вас. Обеспечение безопасности оператором

12 Приобрести ПО «КриптоПро CSP». Заключить договор с оператором и получить через него в ГНИВЦ ФТС России ЭЦП. Настроить VPN подключение со стороны клиента. Что осталось сделать Вам

13 Для приобретения ПО «КриптоПро CSP» оставьте заявку на сайте и действуйте по размещённой там же инструкции. Ознакомьтесь со статьями в разделе «Поддержка» - «Вопросы и ответы» на нашем сайте Там Вы найдёте пошаговые инструкции по настройке VPN подключения, установке и настройке КриптоПро CSP и другую полезную информацию. Если Вы не хотите тратить время на установку и настройку, поручите это нам. Как это сделать

14 Спасибо за внимание