ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА Антивирусные РЕШЕНИЯ Антивирусные РЕШЕНИЯ План обеспечения соответствия как механизм. - презентация

1 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА Антивирусные РЕШЕНИЯ Антивирусные РЕШЕНИЯ План обеспечения соответствия как механизм снижения рисков оператора ПДН План обеспечения соответствия как механизм снижения рисков оператора ПДН Сергей Золотухин Антивирусные решения Сергей Золотухин Антивирусные решения 7 апреля 2010

2 О компании «Антивирусные решения» Компания работает с 1998 года, и является одной из ведущих компаний на российском рынке ИБ Направления деятельности компании: Создание систем информационной безопасности Внедрение инфраструктурных решений Аудит и консалтинг в области ИТ и ИБ Поставка программного обеспечения Сопровождение решений Техническая поддержка

3 Болевые точки проекта ПДн Несформированная правовая база Сложности при классификации систем Неоднозначность требований к системе защиты Отсутствие критериев оценки Отсутствие гарантий

4 IT-Решения vs Защита ПДн Антивирусная защита Антиспам URL-фильтрация IDS/IPS Firewall _ Разграничение доступа Контроль доступа Утечки информации Резервное копирование Управление безопасностью Управление рисками Сопровождение и поддержка Виртуализация Антивирусная защита Обнаружение вторжений Межсетевое экранирование Управление доступом Регистрация и учет Обеспечение целостности Управление защитой Периодический анализ защищенности системного и прикладного ПО _ сертификация ПО на отсутствие НДВ мероприятия по защите от утечки за счет ПЭМИН защита акустической информации защита видовой информации А много ли различий? Современные требования к ИБ

5 Пример: технологии Microsoft Мероприятия по защите ПДн реализуются в рамках подсистем: 1. управления доступом – AD 2. межсетевого экранирования ISA Server 3. регистрации и учета AD 4. обеспечения целостности DPM 5. криптографической защиты RMS 6. антивирусной защиты Forefront 7. обнаружения вторжений ISA Server

6 Задачи Проекта ПДн Определить системы персданных, технологию их обработки и средства защиты Выработать концепцию защиты (на основе модели угроз и данных аудита) Спланировать, что нужно добавить к имеющимся средствам защиты для реализации концепции Определить необходимые организационные действия и требования к документам Утвердить «План обеспечения соответствия»

7 Этап первый и последний… Цели: Формирование «объекта защиты» Модель угроз, класс системы Выбор оптимального варианта Понимание «цены вопроса» Результаты: Концепция системы защиты Рекомендации по подсистемам План действий по обеспечению соответствия Определение бюджетов будущих периодов

8 Дальнейшие шаги Техническое проектирование Приобретение средств защиты Внедрение решений Оценка соответствия целесообразно проводить в соответствии с «Планом обеспечения соответствия» в рамках текущей деятельности Организации

9 Перечень документов 1. Отчет об обследовании - документ, описывающий системы обработки персональных данных организации, а также фиксирующий состав и состояние средств обеспечения безопасности на момент проведения аудита 2. Концепция обеспечения соответствия – документ содержит оценку состояния системы защиты, ее соответствие требованиям законодательства, предварительную модель угроз и модель нарушителя, основные принципы обеспечения соответствия 3. План действий - документ описывает необходимые организационные и технические мероприятия для приведения информационной системы в соответствие с требованиями законодательства и подготовки к аттестации, а также оценочную стоимость работ и продуктов 4. Проект «Положения о Персональных данных» - документ устанавливает режим Персональных данных в организации, регламентирует доступ сотрудников к данным и описывает мероприятия по защите конфиденциальной информации 5. Проект Акта классификации информационной системы персональных данных 6. Проект Уведомления в Роскомнадзор

10 Результат Построение современной системы ИБ – снижение рисков утечки данных, возникновения претензий субъектов и регуляторов Разработка оргдокументов на самом раннем этапе - снижение рисков претензий со стороны регуляторов и субъектов Планирование действий и утверждение соответствующих бюджетов для обеспечения требований ФЗ – Снижение рисков «не построить систему вовремя» плюс Своевременная корректировка Плана при необходимости

11 О взаимодействии Единое понимание целей и задач Совместная работа (рабочая группа) Ориентация на конкретный результат Поддержка на всех стадиях проекта

12 Спасибо за внимание! Сергей Золотухин Антивирусные решения Сергей Золотухин Антивирусные решения