3. СЕРТИФИКАТЫ И ЛИЦЕНЗИИ
Premier VSSP VMware
Microsoft GOLD Hosting Provider
Oracle Gold Partner
SAP for Business All-in-One in Application
Management and Hosting Services
HP GOLD Partner
ISO/IEC 27001:2013
Uptime Institute Management and Operations
Uptime Institute Tier III Certified (Design)
PCI DSS Standart v. 3.0
ISAE 3402
Лицензия ФСТЭК #0763: На деятельность по разработке и (или)
производству средств защиты конфиденциальности информации
Лицензия ФСТЭК #1279: На деятельность по технической защите
конфиденциальной информации.
Лицензия ФСБ #0011865 на оказание услуг с использованием средств
криптографии
5. ФАКТОРЫ, ОПРЕДЕЛЯЮЩИЕ
УРОВЕНЬ ЗАЩИЩЕННОСТИ ДАННЫХ
Категория
данных
Субъекты
Количество
субъектов
Тип
актуальных
угроз
Сотрудники
Контрагенты
Общедоступные
Специальные
Биометрические
Иные
< 100 000
> 100 000
3 категории угроз
6. ТИПЫ АКТУАЛЬНЫХ УГРОЗ
1. Угрозы, обусловленные недекларируемыми
(недокументированными) возможностями в
системном ПО.
2. Угрозы, обусловленные недекларируемыми
возможностями в прикладном ПО.
3. Угрозы, обусловленные иными факторами.
Категория
данных
Субъекты
Количество
субъектов
ТИПЫ
УГРОЗ
Определение типа угроз не регламентировано.
7. УРОВНИ ЗАЩИЩЕННОСТИ
Категория
данных
Сотрудники
оператора
Количество
субъектов
Тип актуальных угроз
1 2 3
(НДВ* ОС) (НДВ* ПО) (Без НДВ*)
Специальные
Нет > 100 000 УЗ-1 УЗ-1 УЗ-2
Нет < 100 000
УЗ-1 УЗ-2 УЗ-3
Да
Биометрические УЗ-1 УЗ-2 УЗ-3
Иные
Нет > 100 000 УЗ-1 УЗ-2 УЗ-3
Нет < 100 000
УЗ-2 УЗ-3 УЗ-4
Да
Общедоступные
Нет > 100 000 УЗ-2 УЗ-2 УЗ-4
Нет < 100 000
УЗ-2 УЗ-3 УЗ-4
Да
* НДВ – недекларируемые возможности
8. ЗАЩИТА ДАННЫХ ↔
МОДЕЛЬ ИТ-ИНФРАСТРУКТУРЫ
Защита
виртуализации
Межсетевое
экранирование
Защита каналов
связи
Физическая
безопасность
COLOCATION
ОБЛАКО
9. ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ
Многоуровневый контроль доступа
Круглосуточное видеонаблюдение с хранением
видеозаписей
Ограждения
Решения по СКУД на ограждение, стойку, биометрия
Выделенные решения по видеонаблюдению (APC
Netbotz, etc.)
Дополнительно отдельные датчики на открытие
дверей стоек
Сейфовая стойка
10. СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
УРОВЕНЬ ЗАЩИЩЕННОСТИ УЗ-1, УЗ- 2 УЗ-3 УЗ-4
ТИП УГРОЗ 3 1, 2, 3 2 3 3
ПОДКЛЮЧЕНИЕ К ИНТЕРНЕТ нет да - да нет -
Средства вычислительной
техники
5 класс* 6 класс
Система обнаружения
вторжений
4 класс
5
класс
5 класс
Средства антивирусной защиты
Межсетевой экран
4 класс 3 класс
4
класс
Другие средства защиты
информации
Любые технические условия
или задания по безопасности
*Для каждой категории инструментов разработана отдельная классификация ФСТЭК
11. ЗАЩИТА КАНАЛОВ
Защита каналов связи обеспечивается средствами
криптографии
Для использования средств криптографии
необходима лицензия ФСБ
Сетевое оборудование и ПО должны быть
сертифицированы ФСБ
13. УРОВНИ ЗАЩИЩЕННОСТИ
И ТИПЫ ОБЛАКОВ
1 2-3
Private
cloud
Community
cloud
Персональные данные с
уровнем защищенности
#1 могут быть
размещены только в
рамках private cloud;
данные уровней #2 и #3
– в community cloud.
14. COMMUNTY CLOUD ДЛЯ УЗ-2
Пример средств защиты* для построения облачного сервиса
для размещения персональных данных с УЗ-2:
vGate R2
МСЭСКЗИ С-Терра Шлюз для виртуальной среды
Kaspersky Security для виртуальных сред 3.0
Wabbix AdminBastion
Secret Net
StoneGate Firewall
ASA 5585-X (+ IPS)
Acronis Backup & Recovery 11 Advanced Server
* Реестр средств защиты, сертифицированных ФСТЭК.
16. ОБЛАКО-152 КАК СЕРВИС:
ВОЗМОЖНОСТИ АУТСОРСИНГА
Создание и обслуживание инфраструктуры
в соответствии с требованиями ФЗ
Возможность интеграции ваших инструментов ИБ /
оборудования в архитектуру провайдера.
Коммуникация с регуляторами:
подготовка документации
аттестация информационной системы
сопровождение информационной системы
17. ОБЛАКО-152 КАК СЕРВИС:
ЛИЦЕНЗИИ ПРОВАЙДЕРА УСЛУГ
Лицензия ФСТЭК на деятельность по разработке и (или)
производству средств защиты конфиденциальности
информации
Лицензия ФСТЭК на деятельность по технической защите
конфиденциальной информации.
Лицензия ФСБ на использование средств криптографии
Модель угроз
Сертификаты ФСТЭК на используемые средства защиты
информации
Договоры аренды покупки на используемые средства
защиты
20. СЕРТИФИКАЦИЯ СИСТЕМЫ:
АНАЛИЗ И ПРОЕКТИРОВАНИЕ
Сбор общих сведений о составе системы
Сбор сведений о процессах обработки персональных
данных (как с использованием средств автоматизации, так и
без использования таковых) системы
Сбор сведений о составе персональных данных,
планируемых к обработке в системы
Разработка технического задания на создание системы
Разработка технического проекта системы
Разработка рабочей документации на системы
21. СЕРТИФИКАЦИЯ СИСТЕМЫ:
РАЗРАБОТКА ДОКУМЕНТАЦИИ
Документы по результатам этапа #1 (анализ и проектирование):
Перечень персональных данных
Модель угроз безопасности персональным данным
Акт определения уровня защищенности
Согласие субъекта персональных данных
Дополнительные документы:
Политика обработки и защиты персональных данных
Перечень подразделений и лиц, допущенных к обработке данных
Положение об обработке и обеспечении безопасности данных
Регламент реагирования на запросы субъектов персональных данных
Регламент проведения мероприятий по контролю процессов обработки
и системы защиты персональных данных
Комплект приказов
Приказ о внедрении системы защиты персональных данных
Комплект журналов.
22. СЕРТИФИКАЦИЯ СИСТЕМЫ:
ВНЕДРЕНИЕ СИСТЕМЫ ЗАЩИТЫ
Установка и настройка средств защиты
Промежуточное тестирование системы
Опытная эксплуатация
Приемочное тестирование
23. СЕРТИФИКАЦИЯ – ЭТАП #4:
ОЦЕНКА СООТВЕТСТВИЯ СИСТЕМЫ
Разработка программы и методики оценки
Подготовка системы к оценке
Проведение оценки
Оформление результатов оценки
24. СЕРТИФИКАЦИЯ СИСТЕМЫ:
РЕЗУЛЬТАТ
Место в реестре операторов персональных данных
Комплект документов
Технический проект на инфраструктуру
Инфраструктура-152
Аттестат объекта информатизации (системы)
26. ПРОВЕРКИ РЕГУЛЯТОРОВ:
КТО ЧТО ПРОВЕРЯЕТ
ФСТЭК
Общая
организация
защиты
информации
РКН
Инфраструктура
(оборудование и
ПО)
ФСТЭК
Криптография
ФСБ
27. РКН:
ОСНОВНЫЕ ЗАМЕЧАНИЯ
Уведомления об обработке персональных данных в
организации не соответствует фактическому составу
персональных данных.
Жалобы от граждан о неправомерной обработке их
персональных данных
Истечение 3х лет со дня окончания последней
проверки/регистрации юридического лица в качестве
оператора.
28. ФСТЭК:
ОСНОВНЫЕ ЗАМЕЧАНИЯ
Отсутствие требований по технической защите персональных данных в
ТЗ и проектной документации.
Незавершенность классификации системы или ее ошибочность;
Невыполнение работ по анализу угроз ИБ.
Незавершенность разработки необходимого комплекта ОРД.
Отсутствие документов, регламентирующих порядок передачи
персональных данных третьим лицам.
Использование несертифицированных средств защиты информации.
Невыполнение работ по аттестации системы.
Непринятие мер по учету машинных носителей.
Отсутствие в должностных регламентах ответственных лиц за защиту
персональных данных и их полномочий по контролю за выполнением
требований по защите.
Отсутствие достаточного числа квалифицированных специалистов.
29. ФСБ:
ОСНОВНЫЕ ЗАМЕЧАНИЯ
Использование средств криптозащиты, отличающихся от
сертифицированных версий.
Невыполнение отдельных требований по порядку
эксплуатации криптосредств, предусмотренных
технической документацией.
Несовершенство отдельных подготовленных оператором
документов, регламентирующих вопросы обеспечения
безопасности в конкретной организации.
31. ИНФРАСТРУКТУРА-152:
ОСНОВНЫЕ МОМЕНТЫ
1. Определение типа актуальных угроз, от которого напрямую
зависит уровень защищенности и требования к защите
данных, в настоящий момент не регламентировано
2. Облачная инфраструктура может быть построена в
соответствии с требованиями ФЗ к размещению персональных
данных любого уровня защищенности
3. В случае аутсорсинга задач по построению инфраструктуры,
подготовке документации, сертификации и сопровождению
системы важно проверить наличие у провайдеров услуг всех
необходимых лицензий и сертификатов.