Безопасность предоставления государственных и муниципальных услуг в сети Интернет Директор МБУ ЦМИРиТ С.Е.Виноградов 20 марта 2014. - презентация

1 Безопасность предоставления государственных и муниципальных услуг в сети Интернет Директор МБУ ЦМИРиТ С.Е.Виноградов 20 марта 2014

2 2 Способы получения услуг 1. Непосредственно в органах государственной власти и местного самоуправления. 2. В многофункциональных центрах (МФЦ). 3. На интернет-порталах государственных ведомств и учреждений. 4. На Едином портале государственных и муниципальных услуг (ЕПГУ) по адресу

3 3 Нормативно-правовая база ЗИ в ИС 1. Нормативные акты РФ (9 документов различных ведомств). 2. Нормативные акты Правительства Вологодской области: Постановление Правительства Вологодской области от «О правилах межведомственного электронного взаимодействия между органами исполнительной государственной власти Вологодской области». 3. Нормативные акты мэрии города Череповца: Постановление мэрии от «Об утверждении Порядка межведомственного информационного взаимодействия при предоставлении муниципальных услуг»; Требования по порядку использования и организации работы со средствами криптографической защиты информации в органах мэрии для защиты информации, не содержащей сведений, составляющих государственную тайну (распоряжение мэрии от р).

4 4 История создания СЗИ для ИС МВиЭУ 2011Начато тестирование ведомственной информационной системы «Е- услуги. Образование» в УО мэрии и школах города. Используется СКЗИ ViPNet Custom в составе: координатор, администратор, клиенты (45 шт. – для АРМ школ и УО мэрии) Развернута защищенная СКЗИ сеть на базе МБУ «ЦМИРиТ» (март- апрель) Установлены на местах (школы, управление образования) СКЗИ ViPNet клиент. Организован защищенный СКЗИ канал связи и межсетевое взаимодействие с оператором СМЭВ регионального уровня (КИТ, г. Вологда). Определен состав сотрудников ОМСУ и структурных подразделений, работающих в СМЭВ. Подготовлена модель угроз, описана модель нарушителей, определена матрица доступа к ресурсам ИС. Рабочие места сотрудников добавлены в структуру защищенной сети МБУ «ЦМИРиТ», обеспечено разграничение доступа с помощью средств межсетевого экранирования. Организован доступ пользователям защищенной сети МБУ «ЦМИРиТ» к СМЭВ посредством ИС ТКМВ РУ.

5 5 История создания СЗИ для ИС МВиЭУ 2012 май- сентябрь Выполнены организационные мероприятия по защите информации, разработаны необходимые документы. Закуплено и установлено ПО обеспечения работы ЭП - СКЗИ Cryptopro JCP - на рабочие места сотрудников. Приобретены ЭП (ОВ и СП), носители ЭП, ключи доступа на портал. Разработаны документы учета криптосредств октябрь- декабрь По требованиям Постановления Правительства РФ 1119: - заново проведена классификация ИС, классификация угроз и определены необходимые уровни защищенности; - переработана частная модель угроз безопасности; - переработаны организационно-распорядительные документы по защите персональных данных. 2013В соответствии с приказом 17 ФСТЭК: - сформированы обновленные требования по защите информации; - заново определен класс защищенности ИС, и их масштаб; - определены требования к СЗИ, переработана модель угроз; - определен новый набор мер ЗИ, уточнен состав средств ЗИ; - частично закуплены средства ЗИ; - недостающие средства ЗИ поставлены в план закупок на 2014 год.

6 6 Требования к СЗИ ИС МВиЭУ Тип ИСРегиональная распределенная Класс ИСК1 Требуемый уровень защищенности ПДн Первый Режим обработки Многопользовательский, с разграничением прав доступа Виды и количество объектов ИС ЦОД – 1 (МБУ «ЦМИРиТ»), ЛВС ОМСУ – 6 Ключевые элементы защиты Специальные ПДн граждан Базы данных подсистем ИС; Каналы связи с РСМЭВ и удаленными пользователями. Связь между объектами По выделенным каналам волоконно-оптических линий связи муниципальной СПД Подключение пользователей Внутри КЗ объекта – проводные линии В пределах МСПД – по выделенным каналам ВОЛС Удаленные пользователи –по каналам связи общего пользования, защищенным СКЗИ класса КС2

7 7 Требования к СЗИ ИС МВиЭУ Реализуемый метод разграничения доступа Смешанный: ролевой (основной) + дискреционный (дополнительно, внутри ролевой группы). Роли: - администратор безопасности (ЦОД), - администратор ИС (ЦОД), - администратор БД (ЦОД), - программист (ЦОД, разработчики), - техник (ЦОД), - пользователь (ОМСУ и подчиненные им структуры). Применяемые меры защиты В соответствии с «Требованиями …», утвержденными приказом ФСТЭК от Применяемые средства защиты Только сертифицированные средства защиты, соответствующие требованиям руководящих документов ФСТЭК и ФСБ Участие персонала в обработке ПДн Обработка продуктивной информации (предоставление услуг) осуществляется исключительно сотрудниками ОМСУ. Персонал МБУ «ЦМИРиТ» осуществляет только технологическое обеспечение функционирования ИС. Требования к взаимодействию с другими ИС ИС осуществляет взаимодействие с РСМЭВ по каналу связи общего пользования (интернет), защищенному СКЗИ класса КС2.

8 8 Структурная схема

9 9 Дальнейшее развитие СЗИ ИС МВиЭУ 2014 Адаптация комплекса мер защиты в ИС МВиЭУ в соответствии с опубликованным г. новым методическим документом ФСТЭК «Меры защиты информации в государственных информационных системах». Приобретение недостающих средств защиты информации. Пересмотр документации по ЗИ. Последую щие годы Аттестация ИС МВиЭУ. Периодическое обследование ИС с целью выявления уязвимостей (с возможной адаптацией в модель угроз) /пен тесты/. Внедрение передовых технологий в области ЗИ. Доукомплектование новых рабочих мест СЗИ и СКЗИ.

10 10 Перечень средств ЗИ для ИС МВиЭУ Средства защиты ИС: межсетевой экран 4(3) класса; средства антивирусной защиты; средства гарантированного уничтожения информации; средства контроля исходного состояния ПО; сетевые средства защиты от НСД; средства доверенной загрузки; средства криптографической защиты информации (для организации связи ИС с региональным оператором СМЭВ и удаленными клиентами). Средства защиты АРМ внутренних пользователей (находящихся в пределах МСПД): средства защиты от НСД; средства антивирусной защиты; средства доверенной загрузки. Дополнительные средства защиты АРМ внешних (удаленных) пользователей (при входе в ИС через Интернет): средства криптографической защиты информации – VPN-клиент – для организации защищенного канала связи.

11 11 Спасибо за внимание Череповец Март 2014