Практический опыт реализации требований по защите персональных данных Сидак А.А. Директор Департамента систем информационной безопасности Центр безопасности. - презентация

1 Практический опыт реализации требований по защите персональных данных Сидак А.А. Директор Департамента систем информационной безопасности Центр безопасности информации

2 Нормативная база по защите ПДн Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Постановление правительства РФ от г Порядок проведения классификации информационных систем персональных данных Приказы ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. 55/86/20 Нормативные документы ФСТЭК России Нормативные документы ФСБ России Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах ПДн Рекомендации обеспечению безопасности ПДн при их обработке в информационных системах ПДн Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах ПДн Базовая модель угроз безопасности ПДн при их обработке в информационных системах ПДн Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке ИСПДн с использованием средств автоматизации Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств …в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн

3 Система защиты ИСПДн Интернет Средства предотвращения утечки информации по техническим каналам Средства предотвращения утечки информации по техническим каналам Средства предотвращения программно- технических воздействий на технические средства обработки персональных данных 1.Антивирусные средства: DrWed, Антивирус Касперского… 2. Программное обеспечение, сертифицированное на отсутствие НДВ. 3. Системы обнаружения вторжений и компьютерных атак: ФОРПОСТ, Proventia Network… Средства предотвращения программно- технических воздействий на технические средства обработки персональных данных 1.Антивирусные средства: DrWed, Антивирус Касперского… 2. Программное обеспечение, сертифицированное на отсутствие НДВ. 3. Системы обнаружения вторжений и компьютерных атак: ФОРПОСТ, Proventia Network… Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей: Гном-3, ГШ-1000, ГШ-1000К, ГШ-2500, Октава-РС1, Гром-ЗИ-4Б МП-2, МП-3, МП-5, ЛФС-10-1Ф… Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей: Гном-3, ГШ-1000, ГШ-1000К, ГШ-2500, Октава-РС1, Гром-ЗИ-4Б МП-2, МП-3, МП-5, ЛФС-10-1Ф… Средства защиты носителей информации на бумажной, магнитной, магнитоопрической и иной основе: eToken PRO 64K и eToken NG-OTP, Secret Disk 4… Средства защиты носителей информации на бумажной, магнитной, магнитоопрической и иной основе: eToken PRO 64K и eToken NG-OTP, Secret Disk 4… Средства защиты речевой информации: Барон, ЛГШ-402(403), SEL SP-21B1 Баррикада, Шорох-2, Соната-АВ, Шторм-105… Средства защиты речевой информации: Барон, ЛГШ-402(403), SEL SP-21B1 Баррикада, Шорох-2, Соната-АВ, Шторм-105… Средства предотвращения несанкционированного доступа к информации: 1. Защищенные ОС: Red Hat Enterprise Linux, QNX, МСВС Блокхост-сеть, Аккорд-Рубеж, Аккорд-NT/2000, Secret Net 5.0, Соболь, Dallas Lock 7.0, Лабиринт-М, Страж NT Средства предотвращения несанкционированного доступа к информации: 1. Защищенные ОС: Red Hat Enterprise Linux, QNX, МСВС Блокхост-сеть, Аккорд-Рубеж, Аккорд-NT/2000, Secret Net 5.0, Соболь, Dallas Lock 7.0, Лабиринт-М, Страж NT Используемые в информационной системе информационные технологии. Используемые в информационной системе информационные технологии. Межсетевые экраны Шлюзы безопасности: Cisco, Z-2, WatchGuard Firebox… CSP VPN Gate, CSP RVPN… Межсетевые экраны Шлюзы безопасности: Cisco, Z-2, WatchGuard Firebox… CSP VPN Gate, CSP RVPN… Шифровальные (криптографические) средства защиты информации Шифровальные (криптографические) средства защиты информации

4 Преемственность требований Базирование на требованиях апробированных документов: -РД АС; -РД СВТ -РД МЭ -РД НДВ -СТР-К Учет уровня развития средств и способов ЗИ: -контроль защищенности -антивирусная защита -расширенные требования по управлению доступом, регистрации, сигнализации о нарушениях защиты.

5 Классы типовых информационных систем ПДн : класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн; класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн; класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн; класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн Порядок проведения классификации информационных систем персональных данных Основные особенности Объем ПДн Категория ПДн 321 Категория 4 К4К4К4 Категория 3 К3К3К2 Категория 2 К3К2К1 Категория 1 К1К1К1

6 Модель угроз – основа для уточнения требований

7 Встраивание механизмов защиты ПДн в прикладное ПО Область автоматизации: бухгалтерия, кадры и др. широко распространенные задачи. Встраиваемые функции: -управление доступом к ПДн -регистрация доступа к ПДн -учет создаваемых записей ПДн -сигнализация нарушения защиты ПДн -контроль целостности встроенных средств защиты ПДн Эффект: -возможность полного контроля ПДн на уровне полей, записей и любых других форм хранения ПДн -сопровождение единым разработчиком -сертификационная поддержка (исходные тексты и документация) -возможность построения комплексного решения -возможность широкого тиражирования -унификация многочисленных ИСПДн

8 Разработка комплексного решения по защите ПДн Состав решения: -сертифицированная платформа (ОС, СУБД); -сертифицированное прикладное ПО, со встроенными механизмами защиты; -изложение организационных мероприятий для объекта информатизации; -комплект эксплуатационных и организационно-распорядительных документов Эффект: -гарантированное выполнение всех требований по защите ПДн на множестве типовых объектов -обеспечение возможности использования для тиражирования решения партнерской сети основных разработчиков типового прикладного ПО -легкость в модернизации ранее созданных ИСПДн -сокращение сроков и стоимости внедрения в большое количество ИСПДн

9 Спасибо за внимание !