Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
1
Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской Федерации. Денисов Алексей Юрьевич Заместитель начальника отдела по информационной безопасности ФГБУ «Федеральный центр тестирования»
2
Нормативно-правовые акты в сфере защиты персональных данных и информации ограниченного доступа ФЗ 152ФЗ 149 Постановление правительства РФ 1119 Приказ ФСТЭК 17 Технические условия защищенного взаимодействия РИС и ФИС
3
Требования к обеспечению защиты информации ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 31 АВГУСТА 2013 Г. N Федеральная и региональные информационные системы являются государственными информационными системами. ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 31 АВГУСТА 2013 Г. N Федеральная и региональные информационные системы являются государственными информационными системами. ПРИКАЗ ФСТЭК ОТ 11 ФЕВРАЛЯ 2013 Г. N 17 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ. 13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: … аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие. ПРИКАЗ ФСТЭК ОТ 11 ФЕВРАЛЯ 2013 Г. N 17 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ. 13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: … аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие. Аттестация региональных информационных систем по требованиям защиты информации. Технические условия от Подключение региональных информационных систем обеспечения проведения государственной итоговой аттестации к федеральной информационной системе обеспечения проведения государственной итоговой аттестации ФГБУ «Федеральный центр тестирования». Технические условия от Подключение региональных информационных систем обеспечения проведения государственной итоговой аттестации к федеральной информационной системе обеспечения проведения государственной итоговой аттестации ФГБУ «Федеральный центр тестирования».
4
Что реализуется на федеральном уровне? Мероприятия ИБ Аттестация федеральной информационной системы по требованиям защиты информации Технические условия защищенного взаимодействия РИС и ФИС Создание системы мониторинга и анализа защищенности ЗКСПД
5
Уровень информационной безопасности защищенной корпоративной сети передачи данных, ФГБУ «Федеральный центр тестирования» и региональных центров обработки информации Рекомендации Принятие мер Мониторинг технического обеспечения и защищенности
6
Итоги проведенного в 2014 г. мониторинга организации работ в РЦОИ по вопросам обеспечения информационной безопасности Основные недостатки: Недостаточный контроль руководства ответственного за функционирование РИС, в части обеспечения информационной безопасности Объединение защищенного контура РИС с контурами других ИС без применения каких- либо средств защиты Нарушение либо отсутствие парольной политики пользователей системы Отсутствие контроля за действиями пользователей Отсутствие квалифицированных кадров с профильным образованием в области ИБ Отсутствие документации, схем, конфигурации сетевого оборудования и настроек СЗИ
7
Следствия: Программное обеспечение своевременно не обновляется; Контроль защищенности и Мониторинг событий информационной безопасности не проводится; Настройка средств защиты выполнена не в полной мере; Доступ к персональным данным и конфиденциальной информации как изнутри, так и из вне защищаемого контура; Программное обеспечение своевременно не обновляется; Контроль защищенности и Мониторинг событий информационной безопасности не проводится; Настройка средств защиты выполнена не в полной мере; Доступ к персональным данным и конфиденциальной информации как изнутри, так и из вне защищаемого контура; -неправомерный доступ и копирование информации; -несанкционированная модификация и/или удаление информации;
8
Рекомендации: Издать приказы : О назначении ответственного за защиту информации (возлагаются задачи по защите информации и организации обработки ПДн); О назначении администратора безопасности (непосредственно осуществляет действия по техническому обеспечению функционирования СЗИ и организационные действия в соответствии с ОРД); Техническая сторона: Отделить защищенный контур РИС от информационных ресурсов доступных через Интернет; Обеспечить АРМы и Сервер закрытого контура средствами от НСД; Использовать в работе только сертифицированные ФСТЭК и ФСБ программные и программно-аппаратные средства; Ограничить доступ к конфиденциальной информации перечнем сотрудников допущенных к обработке данной информации; Разработать и внедрить политику обновления общесистемного и прикладного ПО, а также средств защиты информации; Завести журнал учета машинных носителей и использовать в работе только их;
9
Схема взаимодействия РЦОИ и ФГБУ «Федеральный центр тестирования»
10
Хранение ключевой информации защищенной корпоративной сети передачи данных ФЦТ РЦОИ Ключевая информация ЗКСПД (файл *.dst) – это ключ от всей информационной системы!
11
Соблюдение баланса возможностей современных информационных технологий и выполнение требований информационной безопасности. ИБИТ Производительность Скорость Удобство Безопасность Конфиденциальность
12
Как контролировать уровень информационной безопасности? Как мы можем узнать о попытках взлома РИС? Как мы можем узнать кто и когда реально получает доступ к РИС? Сколько времени понадобится для полного восстановления данных в случае взлома? Сколько времени понадобится для полного восстановления РИС в случае поломки сервера БД или других серверов?
13
Спасибо за внимание! Денисов Алексей Юрьевич Заместитель начальника отдела по информационной безопасности ФГБУ «Федеральный центр тестирования»
Еще похожие презентации в нашем архиве:
