Рачков Михаил группа компаний Стандарт безопасности г. Ярославль Безопасная обработка данных в государственных и муниципальных автоматизированных системах. - презентация

1 Рачков Михаил группа компаний Стандарт безопасности г. Ярославль Безопасная обработка данных в государственных и муниципальных автоматизированных системах ООО Стандарт безопасности г. Ярославль, ул. Угличская, 39В офис 211 тел.: (4852) факс:

2 Государственные и муниципальные автоматизированные системы Автоматизи́рованная систе́ма (АС) система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.системаперсоналакомплексасредств автоматизации деятельностиинформационную технологиюфункций Автоматизи́рованная систе́ма (АС) система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.системаперсоналакомплексасредств автоматизации деятельностиинформационную технологиюфункций Собственниками государственных и муниципальных автоматизированные системы являются государственные и муниципальные учреждения. Обеспечение безопасности в указанных системах производится по правилам, определенным федеральными законами и другими нормативно-правовыми документами. Собственниками государственных и муниципальных автоматизированные системы являются государственные и муниципальные учреждения. Обеспечение безопасности в указанных системах производится по правилам, определенным федеральными законами и другими нормативно-правовыми документами.

3 Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации Информация, ст. 5 п. 2 Общедоступная Информация ограниченного доступа Информация ограниченного доступа – доступ к которой ограничен федеральными законами

4 Общедоступная информация Указ Президента РФ от 17 марта 2008 г. 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно- телекоммуникационных сетей международного информационного обмена в) государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю Задачи обеспечения ЦЕЛОСТНОСТИ+ДОСТУПНОСТИ Задачи обеспечения ЦЕЛОСТНОСТИ+ДОСТУПНОСТИ

5 Информация ограниченного доступа Сведения, составляющие государственную тайну Информация для служебного пользования Персональные данные Коммерческая тайна Ряд рассматриваемых данных, попадает под действие федеральных законов, а следовательно подлежит защите

6 Особенности функционирования рассматриваемых автоматизированных систем Защита данных для служебного пользования регламентируется действием нормативно-правового документа: Специальные требования и рекомендации по технической защите конфиденциальной информации СТР-К

7 Особенности совеременных государственных и муниципальных информационных систем: - Территориально-распределенные - Многопользовательские - Гетерогенные (сложные, состоящие из разнородных компонент)

8 Территориально-распределенные системы * Осуществляется передача данных вне пределов контролируемых зон объектов *Использование методов шифрования данных. В указанных системах только механизмы шифрования государственного стандарта, сертифицированные в установленном порядке ФСБ России

9 Многопользовательские *Обычно, несколько пользователей с разными правами доступа работают с информационной системой *Обычно, информационные системы имеют выход в сеть интернет Необходимо отработать требования руководящих документов ФСТЭК России, которые включают в себя требования: - использование средств межсетевого экранирования - использование средств разграничения доступа к ресурсам - использование систем по регистрации действий пользователей и т.д. *Применяемые средства защиты информации должны быть сертифицированы в установленном порядке ФСБ и ФСТЭК России

10 Гетерогенные * Используются разные сетевые технологии, разные операционные системы, разные аппаратные платформы и т.д. * Для внедрения систем защиты информации, часто требуется довольно долгая проработка технического решения и тщательное проектирование *Достаточно сложно соблюдать все требования руководящих документов по защите информации, поэтому приходится искать золотую середину внедрения СЗИ удовлетворяющую: 1.Владельца системы 2. Пользователей 3.Контролирующие организации

11 Рекомендации по защите автоматизированных систем Сторонние средства защиты информации являются наложенными. Поэтому, при создании системы, необходимо продумывать вместе с разработчиками как можно использовать существующие штатные механизмы защиты Необходимо четко представлять себе технологических процесс обработки информации Необходимо осуществлять анализ и документирование процесса обработки информации Необходимо ограничить количество пользователей системы

12 Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных Для реализации требований по защите персональных данных дополнительно отрабатываются требования нормативных документов:

13 Системы обработки данных персонального характера Своя система классификации (К1, К2, К3, К4) Специальные системы (обеспечение целостности и доступности) наследуют все характеристики обычных систем

14 Системы обработки данных персонального характера Территориально-распределенныеМногопользовательские Модель актуальных угроз, разработанная по требованиям ФСБ России Модель актуальных угроз, разработанная по требованиям ФСТЭК России

15 Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных Основные трудности реализации ФЗ – 152 лежат не в технических плоскостях. Анализ и обоснование существования информационных систем. Регулирующие органы Уполномоченный орган по защите прав субъектов Роскомнадзор Уполномоченный орган по защите прав субъектов Роскомнадзор Уполномоченный орган в части технической защиты информации ФСТЭК Уполномоченный орган в части технической защиты информации ФСТЭК Уполномоченный орган в части защиты информации криптографически ми методами ФСБ Уполномоченный орган в части защиты информации криптографически ми методами ФСБ

16 Рачков Михаил группа компаний Стандарт безопасности город Ярославль Спасибо за внимание ! ООО Стандарт безопасности г. Ярославль, ул. Угличская, 39В офис 211 тел.: (4852) факс: