Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Актуальные вопросы защиты информации для государственных оранов

3,288 views

Published on

Презентация с выступления на одной региональной комиссии по защите информации
sborisov.blogspot.ru

Published in: Education
  • Be the first to comment

  • Be the first to like this

Актуальные вопросы защиты информации для государственных оранов

  1. 1. Актуальные вопросы защиты информации в государственных органах
  2. 2. Докладчик Актуальные вопросы защиты информации Сергей Борисов Заместитель генерального директора по ИБ ООО «Информационные системы и аутсорсинг» ГК Росинтеграция Эксперт, блогер по ИБ s.borisov@krasnodar.pro https://docshell.ru/ https://sborisov.blogspot.ru/ Участие в совершенствовании законодательства и НПА регуляторов Участие в проверках по привлечению ФСБ России Участие в проверках качестве эксперта по привлечению Заказчика
  3. 3. “Классические” нормативно-правовые акты области защиты информации
  4. 4. Требования по защите ИСПДн Актуальные вопросы защиты информации Федеральный закон №152 «О персональных данных» от 27.07.2006 Постановление Правительства РФ № 1119 от 01.10.2012 Постановление Правительства РФ от 21.03.2012 г. № 211 Приказ ФСТЭК России № 21 от 18.02.2013 Приказ ФСБ России от 10.07.2014 № 378
  5. 5. Требования по защите ГИС Актуальные вопросы защиты информации Федеральный закон № 149 от 27.07.2006 Постановление Правительства РФ от 06.07.2015 N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации" Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
  6. 6. Требования ФСБ России при эксплуатации СКЗИ Актуальные вопросы защиты информации 1) Приказ ФСБ от 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» 4) «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015) 3) «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средствкриптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152 2) Приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»
  7. 7. Новости законодательства в области защиты информации
  8. 8. Доктрина ИБ РФ (утверждена Указом Президента РФ № 646 от 5 декабря 2016 г.) Организационную основу системы обеспечения информационной безопасности составляют: … органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, органы судебной власти, принимающие в соответствии с законодательством Российской Федерации участие в решении задач по обеспечению информационной безопасности. Участниками системы обеспечения информационной безопасности являются: … организации и граждане, которые в соответствии с законодательством Российской Федерации участвуют в решении задач по обеспечению информационной безопасности. Актуальные вопросы защиты информации
  9. 9. Доктрина ИБ РФ 35. Задачами государственных органов в рамках деятельности по обеспечению информационной безопасности являются: • обеспечение защиты прав и законных интересов граждан и организаций в информационной сфере • оценка состояния информационной безопасности, прогнозирование и обнаружение информационных угроз, определение приоритетных направлений их предотвращения и ликвидации последствий их проявления • планирование, осуществление и оценка эффективности комплекса мер по обеспечению информационной безопасности • организация деятельности и координация взаимодействия сил обеспечения информационной безопасности, совершенствование их правового, организационного, оперативно-разыскного, разведывательного, контрразведывательного, научно-технического, информационно- аналитического, кадрового и экономического обеспечения • выработка и реализация мер государственной поддержки организаций, осуществляющих деятельность по разработке, производству и эксплуатации средств обеспечения информационной безопасности, по оказанию услуг в области обеспечения информационной безопасности, а также организаций, осуществляющих образовательную деятельность в данной области Актуальные вопросы защиты информации
  10. 10. Российский государственный сегмент сети Интернет или RSNet Положение о российском государственном сегменте информационно-телекоммуникационной сети "Интернет", утверждено приказом ФСО РФ №443 от 7 сентября 2016 г. Порядок подключения информационных систем и информационно-телекоммуникационных сетей к информационно-телекоммуникационной сети "Интернет" и размещения (публикации) в ней информации через российский государственный сегмент информационно-телекоммуникационной сети “Интернет”, утверждено Указом Президента Российской Федерации от 22 мая 2015 г. N 260 Подключить до 31 декабря 2017 г. Актуальные вопросы защиты информации
  11. 11. Государственная система обнаружения и предотвращения атак Актуальные вопросы защиты информации проект Методических рекомендаций по созданию ведомственных и корпоративных центров ГосСОПКА, 2016 г. Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации утверждена Президентом Российской Федерации 12 декабря 2014 г. № К 1274 Указ Президента Российской Федерации от 15 января 2013 г. N 31с г. Москва "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
  12. 12. Государственная система обнаружения и предотвращения атак Актуальные вопросы защиты информации Главный и региональные центры Системы Ведомственные центры Системы Корпоративные центры Системы Создает и эксплуатирует: ФСБ Р Создает и эксплуатирует: орган государственной власти или Лицензиат Создает и эксплуатирует: Госкорпорация, оператор связи или Лицензиат ГосСОПКА Информационные ресурсы: - Органов государственной власти РФ - Органов госвласти субъектов РФ - ФСБ Р Информационные ресурсы данного органа государственной власти РФ Информационные ресурсы данной организации Информационные ресурсы иных организаций и учреждений
  13. 13. Требования ФСТЭК России приказом ФСТЭК России от 9 февраля 2016 г. N 9 утверждены Требования к межсетевым экранам • с 1 декабря 2016 г. разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать Требованиям • С 1 декабря 2016 г. сертификация, а также инспекционный контроль серийного производства межсетевых экранов будут осуществляться только на соответствие Требованиям. • Межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям Актуальные вопросы защиты информации
  14. 14. Требования ФСТЭК России приказом ФСТЭК России от 19 августа 2016 г. N 119 утверждены Требования безопасности информации к операционным системам • с 1 июня 2017 г. разрабатываемые и производимые операционные системы, используемые для защиты информации, должны соответствовать Требованиям. • с 1 июня 2017 г. сертификация, а также инспекционный контроль серийного производства операционных систем будут осуществляться только на соответствие Требованиям. Актуальные вопросы защиты информации
  15. 15. Постановление правительства №399 Постановление Правительства РФ от 6 мая 2016 г. № 399 “Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса” Актуальные вопросы защиты информации
  16. 16. Новое. Постановление правительства №399 • Определить лиц, ответственных за защиту информации • Обеспечить регулярное повышение квалификации этих лиц • Очное или удаленное • Периодичность – достаточная с учетом нарастания угроз ИБ и необходимости совершенствования методов их нейтрализации (рекомендуем 3 года) • Тематика и программа повышения квалификации – согласована с ФСТЭК России Актуальные вопросы защиты информации
  17. 17. Профессиональные стандарты в области ИБ
  18. 18. В 2016 г. утверждены проф. стандарты http://profstandart.rosmintrud.ru /nationalnews/61485/ Актуальные вопросы защиты информации
  19. 19. В 2016 г. утверждены проф. стандарты Актуальные вопросы защиты информации
  20. 20. В 2016 г. утверждены проф. стандарты Актуальные вопросы защиты информации
  21. 21. Постановление правительства №584 Постановление Правительства Российской Федерации от 27.06.2016 № 584 "Об особенностях применения профессиональных стандартов в части требований, обязательных для применения государственными внебюджетными фондами Российской Федерации, государственными или муниципальными учреждениями, государственными или муниципальными унитарными предприятиями, а также государственными корпорациями, государственными компаниями …. Актуальные вопросы защиты информации
  22. 22. Постановление правительства №584 Разработать план применения проф. стандартов (ПС) • Определить список ПС подлежащих применению – в том числе ИБ • Провести анализ квалификации сотрудников и определить потребность в обучении • Этапы применения ПС Реализацию плана завершить не позднее 1 января 2020 г. Актуальные вопросы защиты информации
  23. 23. 3 важных законопроекта
  24. 24. Постановление правительства №584 • Законопроект "О безопасности критической информационной инфраструктуры Российской Федерации“ • Законопроект “Об установлении требований о защите информации в информационных системах, используемых органами государственной власти” • Законопроект О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных) Актуальные вопросы защиты информации
  25. 25. Нарушения и недостатки ИБ выявленные при проверках органов государственного контроля или в рамках выполнения работ
  26. 26. Проводился анализ следующих материалов: • Протоколы ОРМ • Представления об устранении нарушений • Протоколы об административном нарушении • Определения о рассмотрении дел об административном нарушении По организациям: • Управления ЗАГС • МФЦ • Учреждения здравоохранения • Учреждения образования • Райгазы • Почтовые и курьерские организации Проверки ФСБ России на юге в 2016 Актуальные вопросы защиты информации
  27. 27. Типовые нарушения • Не классифицированы (не установлены уровни защищенности) информационные системы персональных данных • Не разработана Модель угроз ПДн • Не ведется учет машинных носителей информации • Не определен список лиц, допущенных к работе в ИСПДн • Не назначен ответственный за обеспечение безопасности ПДн • Не оснащены средствами защиты информации (далее – СЗИ) все автоматизированные рабочие места (далее – АРМ) участвующие в обработке ПДн • СЗИ имеют просроченный сертификат соответствия Актуальные вопросы защиты информации
  28. 28. Типовые нарушения • Спецпомещение, в котором осуществляется обработка ПДн с применением средств криптографической защиты информации (далее – СКЗИ), не оборудовано устройством опечатывания, сигнализирующее о несанкционированном вскрытии • Не разработаны правила доступа в спецпомещение • Не утвержден список лиц, допущенных в спецпомещение • Окна спецпомещения не оборудованы железными решетками или средствами охранной сигнализации Актуальные вопросы защиты информации
  29. 29. Типовые нарушения • Не разработана Модель нарушителя • Отсутствует список пользователей, допущенных к работе с СКЗИ • Отсутствует заключение, подтверждающее специальную подготовку пользователей • Отсутствует техническая и эксплуатационная документация к СКЗИ, либо данная документация не зарегистрирована в журналах учета • Не опломбирован системный блок, на котором установлено СКЗИ Актуальные вопросы защиты информации
  30. 30. Статистика проверок Роскомнадзора Актуальные вопросы защиты информации
  31. 31. Основные нарушения, выявленные Роскомнадзор-ом в 2015 и 2016 году Актуальные вопросы защиты информации
  32. 32. Типичные проблемы ИБ За последний год при работе с организациями в Южном федеральном округе был выявлен ряд проблем, типичных для подавляющего большинства организаций независимо от формы собственности: • низкий уровень осведомленности сотрудников по вопросам информационной безопасности • отсутствие лиц, ответственных за направление информационной безопасности, а в случае их наличия – низкий уровень квалификации • отсутствие реализации организационных мер по защите информации • неактуальная нормативно-распорядительной документации в области защиты информации • отсутствие комплексной реализации мер информационной безопасности в ИТ- решениях Актуальные вопросы защиты информации
  33. 33. Типичные проблемы ИБ • отсутствие унифицированной информационной инфраструктуры • отсутствие сертифицированных средств защиты информации и шифровальных (криптографических) средств защиты информации и эксплуатационной документации к ним • отсутствие аттестованных по требованиям безопасности информации информационных систем и защищаемых помещений, даже если таковые предусмотрены требованиями действующего законодательства • отсутствие заключений по результатам ежегодного контроля защищенности объектов информатизации на соответствие требованиям безопасности • отсутствие аттестованных по требованиям безопасности информации выделенных помещений, даже если таковые предусмотрены требованиями действующего законодательства Актуальные вопросы защиты информации
  34. 34. Инциденты гос. органов в 2016 г. • заражение критических компонентов ИС вирусами - шифровальщиками • заражение технических средств и включение их в бот сети для проведение атак на другие организации • атаки на отказ в обслуживании (DDoS) из внешних сетей • использование ресурсов гос. органа в личных целях • атаки на систему клиент-банк Актуальные вопросы защиты информации
  35. 35. Рекомендации и лучшие практики
  36. 36. Общий порядок проведения работ по защите информации Актуальные вопросы защиты информации Обследование ИС, процессов обработки информации, категорирование, классификация, определение требований к компонентам разных категорий Установка СЗИ, выполнение мероприятий в соответствии с разработанной документацией Разработка документации, в части организации обработки и защиты информации Обработка информации, эксплуатация ИС, СЗИ, анализ защищенности
  37. 37. Этап сбора информации о имеющихся ИС и защищаемой информации • Регулярно обновлять информацию (работа не должна быть разовой) • Собирать сводную и ключевую информацию с подведомственных учреждений • Не забывать про объекты имеющие срок действия (аттестаты, сертификаты, лицензии, дипломы и т.п.) • Выявлять и создавать типовые сегменты Актуальные вопросы защиты информации
  38. 38. Этап разработки документации • Учитывать регулярные изменения законодательства • Учитывать регулярные изменения в организации • Учитывать изменения в системе защиты • Простые и понятные пользователям документы • Единообразные документы в рамках ведомства • Использовать системы автоматизации подготовки и поддержания в актуальном виде документации и свидетельств выполнения мероприятий Актуальные вопросы защиты информации
  39. 39. Этап внедрения СЗИ • Создавать ведомственные и региональные защищенные сети • Для типовых сегментов использовать типовые СЗИ, аттестовать типовые сегменты только 1 раз • Подключаться к центрам мониторинга ИБ и реагирования на инциденты ИБ • Отправлять на обучение лиц ответственных за ИБ Актуальные вопросы защиты информации
  40. 40. Этап эксплуатации ИС • Осуществлять централизованный контроль подведомственных учреждений • Поддерживать меры защиты в актуальном состоянии • Осуществлять выборочный контроль защищенности подведомственных учреждений • Координировать силы ИБ с использованием ГосСОПКА, корпоративных центров мониторинга, совместно расследовать инциденты ИБ Актуальные вопросы защиты информации
  41. 41. Система автоматизации DocShell Актуальные вопросы защиты информации Специализированные для отдельных компаний Общие Новые разработки Управление ИБ
  42. 42. Вопросы Актуальные вопросы защиты информации s.borisov@krasnodar.pro https://docshell.ru/ https://sborisov.blogspot.ru/

×