Скачать презентацию компании АО РАМЭК-ВС Компетенции компании РАМЭК в Скачать презентацию компании АО РАМЭК-ВС Компетенции компании РАМЭК в

d469a393ccf361d4b68288a1b6daa1b7.ppt

  • Количество слайдов: 33

Презентация компании АО «РАМЭК-ВС Компетенции компании РАМЭК в области технической защиты государственной тайны, конфиденциальной Презентация компании АО «РАМЭК-ВС Компетенции компании РАМЭК в области технической защиты государственной тайны, конфиденциальной информации и персональных данных

Компетенции компании РАМЭК в области технической защиты государственной тайны, конфиденциальной информации и персональных данных Компетенции компании РАМЭК в области технической защиты государственной тайны, конфиденциальной информации и персональных данных

О чем пойдет речь в данной презентации? üОбзор компетенций компании РАМЭК-ВС в области защиты О чем пойдет речь в данной презентации? üОбзор компетенций компании РАМЭК-ВС в области защиты информации üНеобходимость обеспечения защиты информации – законодательная и нормативнометодическая база в области защиты конфиденциальной информации и персональных данных ü Контролирующие органы и ответственность за нарушения обработки конфиденциальной информации и ПДн ü Привлечение организаций – лицензиатов к выполнению работ по обеспечению защиты информации üКлассификация информационных систем с точки зрения безопасности обрабатываемой информации ü Последовательность действий по обеспечению защиты информации, структура затрат на создание системы защиты информации üПорядок реализации требований к системе защиты информации в рамках компетенций компании РАМЭК

Основные положения Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных Основные положения Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Государственные информационные системы - создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. К конфиденциальной информации (сведения ограниченного доступа, не составляющие гостайну) относится: судебная тайна, служебная тайна, профессиональная тайна, коммерческая тайна. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Компетенции компании РАМЭК в области защиты информации Наличие широкого опыта работ по защите государственной Компетенции компании РАМЭК в области защиты информации Наличие широкого опыта работ по защите государственной тайны, конфиденциальной информации и ПДН: ü силовые структуры РФ ü государственные организации, органы исполнительной власти ü образовательные учреждения ü медицинские учреждения ü коммерческие организации Выполнение всего спектра услуг в области обеспечения защиты информации: ü аудит состояния информационной безопасности Заказчика ü проектирование и создание автоматизированных систем в защищенном исполнении ü подбор, поставка, настройка и установка аппаратных и программных средств защиты информации ü аттестация объектов информатизации ü консалтинг по вопросам информационной безопасности ü сертификация автоматизированных систем, средств и комплексов защиты информации ü экспертная оценка предприятий и организаций, на предмет лицензирования в МО РФ, консультирование предприятий по вопросам лицензирования в рамках существующего законодательства РФ ü специальные исследования и спецпроверка оборудования

Защищаемые сведения для разных видов информации: гостайна Государственная тайна –защищаемые государством сведения в области Защищаемые сведения для разных видов информации: гостайна Государственная тайна –защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации Основной документ, регламентирующий защиту гостайны – закон РФ от 21. 07. 1993 N 5485 -1 (ред. от 08. 03. 2015) «О государственной тайне» Виды информации, относимой к гостайне, согласно ст. 5 данного ФЗ: ü сведения в военной области; ü сведения в области экономики, науки и техники; ü сведения в области внешней политики и экономики; ü сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

Защищаемые сведения для разных видов информации: информация, не содержащая сведений, относящихся к гостайне Профессиональная Защищаемые сведения для разных видов информации: информация, не содержащая сведений, относящихся к гостайне Профессиональная тайна ü ü врачебная тайна нотариальная тайна страхования другие категории профессиональной тайны Коммерческая тайна ü режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду Судебная тайна ü тайна следствия ü тайна судопроизводства ü тайна сведений о защищаемых лицах ü конфиденциальность сведений, ставших известными гражданам входе оперативно-розыскной деятельности ü прочие категории

Защищаемые сведения для разных видов информации: информация, не содержащая сведений, относящихся к гостайне Служебная Защищаемые сведения для разных видов информации: информация, не содержащая сведений, относящихся к гостайне Служебная тайна ü сведения о физических и юридических лицах, которые становятся известными различным должностным лицам по роду их служебной деятельности, однако в силу своего особого характера не могут свободно распространяться; ü несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью Персональные данные ü любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Законодательная база Необходимость обеспечения защиты: ü персональных данных - Ф. З. № 152 -ФЗ Законодательная база Необходимость обеспечения защиты: ü персональных данных - Ф. З. № 152 -ФЗ от 08 июля 2006 года «О персональных данных» (ст. 7, cт. 18. 1 ч. 1, ст. 19 ч. 1) ü конфиденциальной информации - Ф. З. N 149 -ФЗ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации» (ст. 9 часть 2, ст. 9 часть 4, ст. 16 часть 4) Федеральный закон № 149 -ФЗ «Об информации, информационных технологиях и о защите информации» : ü ст. 16, часть 1, 4: обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить защиту обрабатываемой информации путем принятия правовых, организационных и технических мер ü ст. 16, часть 5: требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий

Законодательная база Федеральный закон РФ 27 июля 2006 г. N 149 -ФЗ «Об информации, Законодательная база Федеральный закон РФ 27 июля 2006 г. N 149 -ФЗ «Об информации, информационных технологиях и о защите информации» Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) от 30. 08. 2002 г. (документ ДСП), продолжает действовать в части, не противоречащей новому Приказу ФСТЭК России № 17 Руководящие документы ФСТЭК России Приказ ФСТЭК России от 12. 02. 2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах Методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» , утв. 11. 02. 2014 г. Руководящие документы ФСБ России

Законодательная база Иерархия законодательной и нормативно-методических документов, регламентирующих защиту ПДн Федеральный закон РФ от Законодательная база Иерархия законодательной и нормативно-методических документов, регламентирующих защиту ПДн Федеральный закон РФ от 27 июля 2006 г. № 152 -ФЗ «О персональных данных» в редакции от 21. 07. 2014 г. Постановление Правительства РФ от 01. 11. 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

Законодательная база Документы ФСТЭК России «Базовая модель угроз безопасности ПДн при их обработке в Законодательная база Документы ФСТЭК России «Базовая модель угроз безопасности ПДн при их обработке в информационных системах персональных данных» «Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах персональных данных» Приказ ФСТЭК России № 21 от 18. 02. 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Документы ФСБ России «Методические рекомендации по обеспечению с помощью криптографических средств безопасности ПДн при обработке в информационных системах персональных данных с использованием автоматизации» «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств , предназначенных для защиты информации, не содержащих сведений составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» .

Меры ответственности Контролирующие органы Роскомнадзор Государственный контроль достаточности принятых мер по обеспечению безопасности ПДн Меры ответственности Контролирующие органы Роскомнадзор Государственный контроль достаточности принятых мер по обеспечению безопасности ПДн ФСТЭК ФСБ Оператор * Разработка методов и способов защиты информации в автоматизированных системах в защищенном исполнении, а также в информационных системах ПДн в пределах полномочий Обеспечение безопасности информации ограниченного доступа при ее обработке путем выполнения требований системы защиты. *Выполнение требований может быть поручено уполномоченному лицу, имеющему разрешительные документы на этот вид деятельности Лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Необходимость привлечения лицензиата Федеральный закон РФ от 04. 05. 2011 N 99 -ФЗ Необходимость привлечения лицензиата Федеральный закон РФ от 04. 05. 2011 N 99 -ФЗ "О лицензировании отдельных видов деятельности" Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств» (утверждено постановлением Правительства РФ от 16 апреля 2012 г. № 313) Положение о лицензировании деятельности по технической защите конфиденциальной информации» , утверждено постановлением Правительства РФ от 3 февраля 2012 г. № 79 + сложность и определенная специфика работ по созданию систем защиты информации АС/ИСПДн Необходимость привлечения организации-лицензиата к выполнению комплекса работ по созданию системы защиты информации АС/ИСПДн

Требования к лицензиату ü лицензии ФСТЭК России ü лицензии ФСБ России ü наличие специалистов Требования к лицензиату ü лицензии ФСТЭК России ü лицензии ФСБ России ü наличие специалистов имеющих профильное образование или прошедших обучение (повышение квалификации) ü наличие необходимой нормативно-методической и руководящей документации ü наличие необходимого материально-технического обеспечения ü рекомендуемое условие: наличие у организации исполнителя опыта выполнения работ Компания РАМЭК обладает всеми необходимыми лицензиями и компетенциями!

Классификация АС Производится на основе ряда определяющих признаков Классификация АС Производится на основе ряда определяющих признаков

Классификация ИСПДн Выделяется 4 уровня защищенности ПДн – от УЗ 4 до УЗ 1 Классификация ИСПДн Выделяется 4 уровня защищенности ПДн – от УЗ 4 до УЗ 1 в порядке возрастания требований к объему мер защиты. Установление уровня защищенности производится на основе ряда определяющих признаков:

Этапы создания системы защиты конфедециальной информации/ПДн 1 Аудит автоматизированной системы, анализ соответствия нормативным требованиям Этапы создания системы защиты конфедециальной информации/ПДн 1 Аудит автоматизированной системы, анализ соответствия нормативным требованиям 2 Разработка 3 4 требований безопасности АС/ИСПДн Разработка системы защиты конфиденциальной информации/ПДн Внедрение проектных решений Опытная эксплуатация, 5 испытание (аттестация) системы защиты информации 6 Сервисное обслуживание системы защиты информации • Отчет об обследовании (концепция) • Аналитическое обоснование необходимости создания системы защиты • Техническое задание на проектирование системы защиты АС/ИСПДн • Технический проект системы защиты • Рабочая документация • Действующая система защиты информации • Заключение о соответствии (аттестат) • Оперативное восстановление системы • периодический контроль защищенности

Этапы создания системы защиты конфедециальной информации/ПДн - аудит (предпроектное обследование системы) В рамках предпроектного Этапы создания системы защиты конфедециальной информации/ПДн - аудит (предпроектное обследование системы) В рамках предпроектного обследования (аудита) системы проводятся следующие мероприятия: Ø уточняется необходимость обработки защищаемой информации, определяется перечень информации, подлежащей защите; Ø определяются характеристики АС/ИСПДн, такие как: - условия расположения ИСПДн относительно границ контролируемой зоны; - физические, функциональные и технологические связи между компонентами АС/ИСПДн; - определяется состав общесистемных и программных средств АС/ИСПДн; - определяются режимы обработки ПДн в ИСПДн; - уточняются степень участия персонала в обработке ПДн и характер его взаимодействия; - уточняется класс (уровень защищенности) АС/ПДн;

Этапы создания системы защиты конфедециальной информации/ПДн - аудит (предпроектное обследование системы) Ø проводится анализ Этапы создания системы защиты конфедециальной информации/ПДн - аудит (предпроектное обследование системы) Ø проводится анализ существующей организационно-распорядительной документации по вопросам обеспечения безопасности информации, техническому обеспечению безопасности обрабатываемой в АС/ИСПДн; Ø проводится анализ по информации, обрабатываемой в АС/ИСПДн. Результатом работ на этапе предпроектного обследования (аудита) являются следующие документы: Ø Отчет о предпроектном обследовании АС/ИСПДн;

Этапы создания системы защиты конфедециальной информации/ПДн - разработка требований безопасности В рамках разработки требований Этапы создания системы защиты конфедециальной информации/ПДн - разработка требований безопасности В рамках разработки требований безопасности АС/ИСПДн осуществляется: Ø Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности целостности, доступности) информации (конфиденциальности,

Этапы создания системы защиты конфедециальной информации/ПДн - разработка требований безопасности Ø Определение требований к Этапы создания системы защиты конфедециальной информации/ПДн - разработка требований безопасности Ø Определение требований к системе защиты информации информационной системы. Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы, угроз безопасности информации, включенных в модель угроз безопасности информации и совокупности требований законодательства РФ, предъявляемых к АС/ИСПДн соответственно. Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы. Результатом работ на данном этапе являются следующие документы: Ø Модуль угроз и модель нарушителя безопасности информации АС/ИСПДн; Ø Техническое задание на создание системы защиты АС/ИСПДн

Этапы создания системы защиты конфедециальной информации/ПДн - разработка системы защиты АС/ИСПДн (проектирование) В рамках Этапы создания системы защиты конфедециальной информации/ПДн - разработка системы защиты АС/ИСПДн (проектирование) В рамках разработки (проектирования) системы защиты АС/ИСПДн производится: Ø Разработка технических решений на основе данных, полученных на этапе предпроектного обследования информационной системы (аудита) и требований к системе защиты. Ø Выбор средств защиты информации и других технических средств (серверное, вспомогательное оборудование и т. п. ) для использования в составе системы защиты. Ø Апробация разработанных технических решений в ходе стендовых испытаний.

Этапы создания системы защиты конфедециальной информации/ПДн - разработка системы защиты АС/ИСПДн (проектирование) Ø Результатом Этапы создания системы защиты конфедециальной информации/ПДн - разработка системы защиты АС/ИСПДн (проектирование) Ø Результатом работ на этапе проектирования системы защиты являются следующие документы: - Технический проект на создание СЗПДн, включающий в себя: • Пояснительную записку; • Схему структурную комплекса технических средств; • Спецификацию оборудования; • др. документы. - пакет организационно-распорядительных документов по вопросам обеспечения безопасности информации

Этапы создания системы защиты конфедециальной информации/ПДн - внедрение проектных решений В рамках этапа внедрения Этапы создания системы защиты конфедециальной информации/ПДн - внедрение проектных решений В рамках этапа внедрения проектных решений производится: Ø Поставка, монтаж, установка и настройка необходимого оборудования, общесистемного программного обеспечения и средств защиты информации, предусмотренных техническим проектом по созданию СЗПДн. Перечень основных внедряемых типовых комплексов Ср. ЗИ: § Комплекс защиты от несанкционированного доступа; § Комплекс антивирусной защиты информации; § Комплекс обеспечения безопасности межсетевого взаимодействия; § Комплекс анализа защищенности; § Комплекс защиты от утечки конфиденциальной информации; § Комплекс управления ИБ и мониторинга событий безопасности. Ø Внедрение организационных мер защиты информации (осуществляется как правило, Заказчиком)

Этапы создания системы защиты конфедециальной информации/ПДн - опытная эксплуатация, испытания и аттестация системы защиты Этапы создания системы защиты конфедециальной информации/ПДн - опытная эксплуатация, испытания и аттестация системы защиты информации В рамках этапа опытной эксплуатации, испытаний и аттестации системы защиты информации производится: Ø Предварительные испытания системы защиты информации Ø Опытная эксплуатация системы защиты информации информационной системы. Включает проверку функционирования системы защиты информации информационной системы, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации системы защиты информации информационной системы. Ø Приемочные испытания. Включают проверку выполнения требований к системе защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.

Этапы создания системы защиты конфедециальной информации/ПДн - опытная эксплуатация, испытания и аттестация системы защиты Этапы создания системы защиты конфедециальной информации/ПДн - опытная эксплуатация, испытания и аттестация системы защиты информации Ø Аттестация информационной системы. Организуется обладателем информации (заказчиком) или оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате информации которых подтверждается информационной соответствие системы требованиям защиты безопасности информации. Аттестация информационной системы проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в информационной системе. По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний. Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации

Реализация требований к системе защиты АС Перечень организационных мероприятий: § Проводящиеся в случае изменения Реализация требований к системе защиты АС Перечень организационных мероприятий: § Проводящиеся в случае изменения характеристик: ü сбор и анализ исходных данных АС ü определение перечня сведений конфиденциального характера и ПДн ü аналитическое обоснование необходимости создания системы защиты АС ü определение актуальных угроз безопасности ü классификация АС ü разработка организационно-распорядительной документации (приказы, изменения в инструкции, положение по защите конфиденциальной информации и др. ) § Проводящиеся на постоянной основе: ü физическая охрана в помещениях АС ü ведение журналов учета (допуска к работе, съемных носителей и др. ) ü обучение сотрудников

Реализация требований к системе защиты АС Перечень технических мероприятий: § Защита от НСД, подсистемы: Реализация требований к системе защиты АС Перечень технических мероприятий: § Защита от НСД, подсистемы: ü ü регистрация и учет ü обеспечение целостности ü обеспечение безопасного межсетевого взаимодействия ü криптографическая защита ü § управление доступом антивирусная защита Защита от утечки по ТК: ü создание активных электромагнитных помех ü звукоизоляция ограждающих конструкций (при речевой обработке защищаемой информации) ü исключение просмотра информации (видовой утечки информации)

МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ТЕХНИЧЕСКОГО УРОВНЯ Мероприятия технического уровня реализуются за счет следующих МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ТЕХНИЧЕСКОГО УРОВНЯ Мероприятия технического уровня реализуются за счет следующих групп мер: Ø Идентификация и аутентификация Ø Управление доступом Ø Ограничение программной среды Ø Защита машинных носителей информации Ø Регистрация событий безопасности Ø Антивирусная защита Ø Обнаружение (предотвращение) вторжений Ø Контроль (анализ) защищенности информации Ø Целостность информационной системы и информации Ø Доступность информации. Ø Защита среды виртуализации Ø Защита технических средств Ø Защита информационной системы, ее средств, систем связи и передачи данных. Ø Защита от утечек конфиденциальной информации

Реализация требований к системе защиты АС Обобщенная схема реализации системы защиты Реализация требований к системе защиты АС Обобщенная схема реализации системы защиты

Факторы, влияющие на стоимость системы защиты Характеристики АС/ИСПДн Виды и категории информации Угрозы безопасности Факторы, влияющие на стоимость системы защиты Характеристики АС/ИСПДн Виды и категории информации Угрозы безопасности информации Архитектура АС/ИСПДн Масштаб АС/ИСПДн Требования к АС/ИСПДн Стоимость системы защиты АС/ИСПДн Оборудование 50 % Сбор и анализ исходных данных 12 % Проектирование 17 % Испытания 7 % Установка и настройка средств ЗИ 14 %

Офисы компании Санкт-Петербург Москва Санкт-Петербург, 5 -й Верхний переулок, д. 1 лит. А Волгоградский Офисы компании Санкт-Петербург Москва Санкт-Петербург, 5 -й Верхний переулок, д. 1 лит. А Волгоградский пр. , д. 2 Тел. /факс: (495) 221 -17 -18 Тел. /факс: (812) 740 -38 -38 Волков Дмитрий Валерьевич, начальник отдела комплексных систем безопасности ДИБ, (495) 221 -17 -18 * доб. 2605 33