Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

10 лучших практик иб для гос

7,457 views

Published on

10 лучших практик по ИБ от sborisov.blogspot.ru

Published in: Education
  • Be the first to comment

10 лучших практик иб для гос

  1. 1. Организация обработки и защиты ПДн в государственных информационных системах
  2. 2. Докладчик Борисов Сергей В. Заместитель генерального директора по ИБ ООО «РосИнтеграция» Эксперт, блогер по ИБ Контактная информация:  https://sborisov.blogspot.ru  https://twitter.com/sb0risov  s.borisov@krasnodar.pro
  3. 3. Причины чтобы заниматься защитой информации в государственном учреждении Инцидент связанный с разглашением персональных данных или с целостностью данных в ИС может привести к ущербу для субъекта ПДн Нарушение работы ИС, средств передачи информации, систем связи может привести к невозможности выполнения учреждения своей основной функции Нарушение требований законодательства РФ в области защиты персональных данных может повлечь административную, уголовную ответственность, изъятие СЗИ или отзыв лицензии
  4. 4. Регуляторы Роскомнадзор Федеральная служба безопасности (ФСБ России) Федеральная служба по техническому и экспортному контролю (ФСТЭК России)
  5. 5. Основные нарушения, выявленные Роскомнадзор-ом в 2015 году
  6. 6. Законодательство в области обработки и защиты ПДн в ГИС Федеральный закон N 149 от 27.07.2006 г. Федеральный закон №152 «О персональных данных» от 27.07.2006 г. Постановление Правительства № 1119 от 01.10.12 г. Приказ ФСТЭК России № 21 от 18.02.2013 г. Приказ ФСТЭК России № 17 от 11.02.2013 г. Приказ ФСБ России от 10.07.2014 № 378 Приказ ФАПСИ РФ № 152 от 13.06.2001
  7. 7. Проблемы выполнения законодательства в области обработки и защиты ПДн Требования определены в большом количестве НПА Нет рекомендованных шаблонов Ежеквартальные изменения в нормативной базе Отсутствие выделенных специалистов по защите информации в организации Необходимость постоянно прилагать усилия для поддержания мероприятий
  8. 8. 10 лучших практик при организации обработки и защиты ПДн в ГИС
  9. 9. Лучшая практика 1. Совместить определенные этапы организации обработки и защиты ПДн Разработка ОРД, в части обработки ПДн Корректировка процессов обработки ПДн и выполнение мероприятий Обследование ИС, процессов обработки ПДн Формирование требований к защите информации, содержащейся в ИС Разработка системы защиты информации ИС Внедрение системы защиты информации ИС Аттестация информационной системы Обработка ПДн, эксплуатация ИС и системы защиты информации
  10. 10. Лучшая практика 2. Ответственность за организацию обработки ПДн  Руководитель / заместитель руководителя учреждения или  Руководитель подразделения, в наибольшей степени участвующего в обработке ПДн
  11. 11. Лучшая практика 3. Использовать системы автоматизации организационных мероприятий по защите информации
  12. 12. С использованием средств автоматизации организовать контроль за регулярным выполнением мероприятий в подведомственных учреждениях Дочерняя компания или подведомственное учреждение (обычный аккаунт): - сбор данных - подготовка и утверждение документов - выполнение мероприятий Головная организация (мастер- аккаунт): - просмотр данных и документов - контроль выполнения мероприятий DocShell: - онлайн сервис - оказание тех. поддержки - экспертиза документов - анализ законодательства и требований регуляторов
  13. 13. Лучшая практика 4. Использовать СЗИ от российских производителей. Защита на уровне сети Подсистемы СЗПДн / типы СЗИ Подсистема криптографической защиты информации / Криптошлюз АПКШ Континент от Кода Безопасности Vipnet Custom от Инфотекс С-терра CSP VPN Gate от С-терра СиЭсПи Подсистема межсетевого экранирования / Межсетевой экран АПКШ Континент от Кода Безопасности Vipnet Custom от Инфотекс С-терра CSP VPN Gate от С-терра СиЭсПи Подсистема обнаружения вторжений / СОВ Континент-ДА от Кода Безопасности VipNet IDS от Инфотекс Форпост от РНТ Подсистема анализа защищенности / Сканер защищенности XSpider от Positive Technologies Ревизор сети от РНТ
  14. 14. Лучшая практика 4. Использовать СЗИ от российских производителей. Защита на уровне узла ИСПДн Подсистемы СЗПДн / типы СЗИ Подсистема защиты от НСД SecretNet от КБ Dallas Lock от Конфидент Аккорд-АМДЗ от ОКБ САПР Подсистема межсетевого экранирования / Персональный межсетевой экран SSEP, SN Studio или Континент-АП от Кода Безопасности ViPNet PF или ViPNet Client от Инфотекс С-терра Клиент от С-терра СиЭсПи Подсистема обнаружения вторжений / Персональное СОВ SSEP или SN Studio от Кода Безопасности Антивирусная защита SSEP или SN Studio от Кода Безопасности DrWeb / Nod32 Антивирус Касперского Средство защиты виртуализации vGate от Кода Безопасности Аккорд-В
  15. 15. Лучшая практика 5. Создавать ведомственные защищенные сети В дальнейшем будут использоваться для многих задач ПО ViPNet Client 3.x СЗИ от НСД Dallas Lock 8.0-К / C ПАК «Соболь 3.0» ПО ViPNet Administrator Средство анализа защищенности PT Xspider 7.8 Условные обозначения ViPNet Coordinatoor HW 1000 / 100 Средство антивирусной защиты АРМ пользователей ИСПДн АРМ администратора ИБ АРМ администратора сети VipNet Выделенный защищенный сегмент сети для пользователей ИСПДн, находящийся за МЭ VipNet Coordinator Серверы ИСПДн Межсетевой экран уровня приложений PT application firewall МИАЦ Защищенная сеть Минздрав Учреждение здравоохранения АРМ Администратора сети VipNet Учреждение здравоохранения ЦОД ОАО «Ростелеком» Серверы ИСПДн в ЦОД VipNet Coordinator HW1000 И VipNet IDS 1000
  16. 16. Лучшая практика 6. В распределенных информационных системах выделять типовые сегменты  Типовые сегменты – если применяются схожие процессы обработки ПДн и меры защиты информации  Аттестация только одного из множества типовых сегментов
  17. 17. Лучшая практика 7. Внедрять средства защиты информации силами обученных специалистов  Отправлять на обучение своих специалистов  Привлекать к выполнению работ обученных специалистов лицензиата Примеры курсов:  Secret Net. Применение. K005, К005А – от 3 до 6 дней  Security Studio Endpoint Protection. Администрирование. – 3 дня  Континент. Администрирование. К007, К007А – от 3 до 5 дней  ViPNet. Администрирование. INF012007 – 5 дней  Комплексные курсы по ТЗКИ, ИБ – 10 дней
  18. 18. Лучшая практика 8. Использовать СЗИ только с действующей технической поддержкой Информация которую ФСТЭК России постоянно упоминает:  Без технической поддержки на СЗИ вы не будете получать обновления безопасности  Без обновлений СЗИ содержит уязвимости – не может обеспечивать выполнение своих функций в полной мере Применение средств защиты информации без действующей технической поддержки не соответствует требованиям законодательства РФ
  19. 19. Лучшая практика 9. Привлекать к выполнению работ только организации, обладающие необходимыми лицензиями Лицензия ФСТЭК обязательна в случаях:  Анализа угроз и проектирования системы защиты  Установки и настройки СЗИ  Аттестации ИС Лицензия ФСБ обязательна в случаях:  Поставки СКЗИ  Установки и настройки СКЗИ  Обслуживания СКЗИ
  20. 20. Лучшая практика 10. Культура эксплуатации ИС в соответствии с законодательством Требуемое мероприятие Периодичность Утверждение перечня лиц, обрабатывающих ПДн без использования средств автоматизации Еженедельно Утверждение перечня лиц обрабатывающих ПДн в ИСПДн Еженедельно Корректировка документов в области обработки ПДн при изменении законодательства Ежеквартально Корректировка уведомления РКН Ежеквартально Корректировка оценки возможного вреда при изменениях в перечне субъектов ПДн и составе ПДн Раз в полгода Ознакомление сотрудников с изменениями внутренних документов в области обработки ПДн. Ознакомление сотрудников с основными изменениями положений законодательства Ежеквартально Учет помещений и хранилищ носителей ПДн Еженедельно Учет помещений с к СКЗИ. Утверждение перечня лиц, имеющих право доступа в помещения с СКЗИ Раз в 2 недели Учет СКЗИ, документации Еженедельно Учет лиц, допущенных к работе с СКЗИ Еженедельно Обучение лиц, использующих криптосредства, работе с ними Еженедельно
  21. 21. Спасибо за внимание! www.rosint.net Сергей Борисов Контактная информация: https://sborisov.blogspot.ru https://twitter.com/sb0risov s.borisov@krasnodar.pro

×