Корт С.С., СПбГПУ. Приказ ФСТЭК России от 5.02.2010 58 Отсутствие требований по применению сертифицированных средств защиты Изъятие требований по лицензированию. - презентация

1 Корт С.С., СПбГПУ

2 Приказ ФСТЭК России от Отсутствие требований по применению сертифицированных средств защиты Изъятие требований по лицензированию деятельности шифрование Есть противоречия!!!

3 Сертификация сертификации на соответствие 4 уровню контроля отсутствия НДВ средств защиты информации, используемых в ИСПДн 1 класса прочие средства защиты должны также проходить процедуру оценки соответствия, одной из форм которой является сертификация («на ТУ»)

4 Модификация ПБ и системы защиты Эволюционная Революционная

5 Классификация информационных систем ПД категория персональных данных (1-4) объем персональных данных До субъектов П Дн субъектов ПДн Более субъектов ПДн Категория ПДнКласс системы 4К4 3К3 К2 2К3К2К1 1

6 Минимизация затрат 1) Изменение категории и объема ИСПДн. 2) Структурирование (сегментация и объединение) ИСПДн. Позволяет минимизировать объем ПД в ИСПДн. 3) Выделить обработку и хранение ПД в отдельную комнату 4) Отключить ИСПДн от глобальной сети 5) Минимизация затрат за счет существующих в ПБ решений по защите информации.

7 Изменение категории ПД Обезличивание Перевод в категорию общедоступных данных Отделение данных, позволяющих идентифицировать субъект ПД, от данных, позволяющих получить о нем дополнительную информацию Отказ от сбора части информации

8 Изменение объема ПД Дробление ИС на подсистемы с меньшим объемом Введение понятия «время жизни ПД» Организация архивов без использования средств автоматизации

9 Организационные меры по ЗПД. разработка организационно – распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных перечень мероприятий по защите персональных данных

10 Категория K3 – меры защиты а) управление доступом: идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов – настройка существующих механизмов б) регистрация и учет: регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова – настройка существующих механизмов.

11 Категория K3 – меры защиты в) учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме) – надо реализовать, существуют решения с открытым кодом г) обеспечение целостности программных средств системы ЗПД, обрабатываемой информации, а также неизменность программной среды - – надо реализовать, существуют решения с открытым кодом; архитектурные решения

12 Категория K3 – меры защиты д) физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации надо реализовать; е) периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест- программ, имитирующих попытки несанкционированного доступа – надо реализовать; ж) наличие средств восстановления системы ЗПД, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.

13 Категория K3 – меры защиты д) физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации надо реализовать; е) периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа – надо реализовать; ж) наличие средств восстановления системы ЗПД, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности – надо реализовать;. з) безопасное межсетевое взаимодействие распределенных информационных систем – надо реализовать;

14 Проверить существующие решения на соответствие ЗПД 1) Экранные формы 2) Обработка электронной почты 3) Данные на сайтах