Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

сзпдн первый шаг к ксиб

291 views

Published on

  • Be the first to comment

  • Be the first to like this

сзпдн первый шаг к ксиб

  1. 1. СЗПДн как первый шаг к комплексной системе ИБГлавный инженер департамента системной интеграции ООО «УЦСБ»Николай Домуховский www.USSC.ru 1
  2. 2. Содержание• Как «мы» строим СЗПДн?• Почему так строить не стоит?• А как можно строить? www.USSC.ru 2
  3. 3. Как «мы» строим СЗПДн Босс, мы нарушаем требования 152-ФЗ.Хорошо, сколько мне Нам надо строить это будет стоить?систему защиты ПДн, иначе нам грозят реальные штрафы! www.USSC.ru 3
  4. 4. С чем же начинается работа над СЗПДн• Бизнес: «это просто Сделайте это: обязательные траты» • Как можно дешевле• Служба ИТ: «это просто • С минимальным дополнительная влиянием на головная боль» существующие• Служба ИБ: «это не системы дает нам заниматься • Максимально реальными делами» быстро www.USSC.ru 4
  5. 5. СЗПДн – обязательная программа1. Классификация ИСПДн2. Разработка ЧМУ (включая модель нарушителя)3. Определение уровня защищенности4. Проектирование СЗПДн5. Ввод в действие6. Аттестация7. Постоянная Эксплуатация www.USSC.ru 5
  6. 6. Организационные меры1. Приказы о назначении (ответственных за защиту ПДн, за СКЗИ, администратора ИБ ИСПДн)2. Приказ об утверждении списка лиц, которым необходим доступ к ПДн для выполнения служебных (трудовых) обязанностей3. Положение о защите ПДн4. Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн – Типовой перечень5. Положение по организации контроля эффективности защиты есть готовые шаблоны! информации в компании6. Положение об организации режима безопасности помещений, где осуществляется работа с ПДн7. Положение о порядке хранения и уничтожения носителей ПДн8. Регламент разграничения прав доступа9. План внутренних проверок состояния защиты ПДн10. ДИ персонала в части обеспечения безопасности ПДн11. Акты классификации ИСПДн12. Журнал учета средств защиты информации (СрЗИ)13. Акты классификации ИСПДн www.USSC.ru 6
  7. 7. Технические меры Возьмем СКЗИ с соответствующим Поставим СрЗИ от НСД с Система защиты персональных данныхподешевле, и сертификатом (и соответствующим сертификатом поменьше)Управление Регистрация и Контроль Криптографичес доступом учет целостности кая защита Защита Анализ Антивирусная межсетевого защищенности защита взаимодействия А, ну это мы уже используем! А что в VPN шлюзе нет Что там у вас подешевле? МЭ? Экономия! www.USSC.ru 7
  8. 8. Итоговая схема www.USSC.ru 8
  9. 9. Содержание• Как «мы» строим СЗПДн?• Почему так строить не стоит?• А как можно строить? www.USSC.ru 9
  10. 10. Организационные меры - реальность• Шаблон универсален – значит… он не подходит никому• Кроме документов есть записи – а их надо вести постоянно• Документы не только должны быть – их должны знать и выполнять• Документ – это не только 3-4 кг высококачественной бумаги, но и формализация части бизнес процессов организации www.USSC.ru 10
  11. 11. Итоговая VPN клиентов VPN шлюзаперейти кластера серверов После того, как истекли сроки действия не позволял нормально сертификатов МЭ схема (немного позже) реализовать работу нового пришлось на схему с общим секретом ИСПДн, пришлось его убратьСрЗИ от НСД конфликтовало с прикладным ПО Никто не выделил средств на продлениесерверов и рабочих станций и пришлось его лицензииудалить www.USSC.ru 11
  12. 12. И тут приходит проверка (плановая)• Оказывается в документах уже не те даты, фамилии и т.п. – надо актуализировать• Никто не вел журналы – надо чем-то заполнять• Система по факту отключена – надо по новой ее запускатьА не за это ли мы платили нашему подрядчику www.USSC.ru 12
  13. 13. Содержание• Как «мы» строим СЗПДн?• Почему так строить не стоит?• А как можно нужно строить? www.USSC.ru 13
  14. 14. Комплексное обеспечение ИБ Защита банковской тайны Защита ПДн Непрерывность бизнеса Защита коммерческой Защита КВО тайныКомплексность – решаем ряд разноплановых задач в рамкахединой концепции www.USSC.ru 14
  15. 15. Комплексное обеспечение ИБРавнопрочность Достаточность www.USSC.ru 15
  16. 16. Комплексное обеспечение ИБАдекватность требованиям:• Законодательным Безопасность для бизнеса, а не• Отраслевым наоборот• Корпоративным: – Техническая политики – Требования по надежности системы – Требования к документированию – Интеграция со смежными системами –… www.USSC.ru 16
  17. 17. СЗПДн как первый шаг к построению КСИБ1. Анализ и оптимизация бизнес процессов, связанных с обработкой ПДн2. Разработка концепции КСИБ3. Разработка ЧМУ (включая модель нарушителя)4. Определение уровня защищенности5. Эскизное проектирование КСИБ6. Проектирование СЗПДн7. Ввод в действие8. Аттестация9. Постоянная Эксплуатация и послегарантийное сопровождение www.USSC.ru 17
  18. 18. СЗПДн как первый шаг к построению КСИБ Управление информационной безопасностью Управление Управление Управлениесоответствием рисками докумениацией Централизованное управление и мониторинг Непрерывность функционирования www.USSC.ru 18
  19. 19. Жизненный цикл КСИББезопасность – это процесс, а не продукт (Б. Шнайер) Моделирование, подбор решений Разработка архитектуры Аудит Улучшение, подготовка, Проектирование планирование Разработка проектной Консалтинг документации Управ- ление Обучение Текущий ремонт Разработка пакета ОРД Постоянная Ввод в действие, эксплуатация модернизация Техническое обслуживание Инсталляция Подготовка к аттестации, www.USSC.ru сертификации 19
  20. 20. СЗПДн как первый шаг к комплексной системе ИБ Спасибо за внимание!Николай ДомуховскийГлавный инженер департамента системной интеграцииООО «УЦСБ»620026, Екатеринбург, ул. Красноармейская, д.78Б, оф.902Тел.: +7 (343) 379-98-34Факс: +7 (343) 264-19-53info@ussc.ruwww.USSC.ru29.10.2012 www.USSC.ru 20

×