SlideShare a Scribd company logo

Строим вместе безопасную СЭД

Download as PPT, PDF
ИнтерТраст
ИнтерТраст

"CompanyMedia" строим открыто. Бизнес-завтрак 28 июня 2012 "Строим вместе безопасную СЭД".

1 of 16
«CompanyMedia» строим открыто! Строим вместе безопасную СЭД Москва, 28 июня 2012 г. Горностаев Владимир, ктн, Директор центра компетенции ЭДО и защиты информации ИнтерТраст +7 (495) 956-7928, vgornostaev@intertrust.ru © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Термины и определения Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций ГОСТ 34.003-90 Автоматизированные системы. Термины и определения Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств ФЗ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств Федеральный закон от 27.07.2012 г. № 152-ФЗ «О персональных данных» Система электронного документооборота (СЭД) Программное обеспечение © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
«Простая» СЭД озы Уг р СЗ СЗ СЭД СЗИ Информация Ц Д (данные) К 1 2 3 4 © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Информационная безопасность Защищаемые свойства информации Конфиденциальность Доступ к информации только авторизованных пользователей Доступность Целостность Доступ к информации и Достоверность и связанных с ней активам полнота информации и авторизованных методов ее обработки пользователей по мере необходимости
СЭД СЭД – организационно-техническая система, представляющая собой совокупность программного, аппаратного, организационного и информационного обеспечения, реализующая электронный документооборот Безопасность СЭД – состояние защищенности СЭД от внутренних и внешних угроз, которое обеспечивается оператором СЭД в соответствии с требованиями законодательства, нормативных актов или обладателя информации, обрабатываемой в СЭД Система обеспечения безопасности СЭД – система мер организационного, финансового, технического и иного характера, по выявлению угроз безопасности, предотвращению и нейтрализации их реализации, пресечению, локализации и отражению, а также ликвидации последствий реализации угроз Безопасность ПО •технологии и используемые средства при создании ПО; •наличие механизмов защиты.
Общая модель безопасности Объект Работники Информация Средства и Физические Интеллектуальная Защиты (РМ) системы обработки поля собственность Уязвимости Объективные, субъективные и случайные Модель нарушителя Исходят от субъектов, технических средств, стихийных источников Угрозы Внешние, внутренние, естественные, искусственные, случайные и преднамеренные Модель Источники Субъекты, материальные объекты или явления различной природы угроз угроз (физической, химической, биологической…) Допустимые, критические, катастрофические Риски Ничтожный, умеренный, серьезный, критический Оценка Ущерб Материальный. Нематериальный. рисков (убытки) Ничтожный, умеренный, серьезный, критический Требования Исключить воздействие факторов или к защите снизить их воздействие до допустимого ущерба Затраты Предотвращение, снижение, ликвидация воздействия факторов и угроз. Методы Правовые, морально-этические, технологические. организационные, защиты физические, аппаратные и программные, технические Ущерб Требования к ПЗИ СЭД Система безопасности © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Строим вместе Регуляторы Разработчики Заказчики ПО, СКЗИ СВТ СЭД - ПО СЭД - АС ИСПДн Аппаратные средства НПА ЛВС, УЦ, СРК … ЛНА Система безопасности Сертификация по требованиям ФСТЭК Сертификация, Аттестация безопасности Контроль встраивания ФСБ Контроль встраивания СКЗИ СКЗИ НСД – 5 класс Требования СВТ НДВ – 4 уровень, 1Г 1 класс Требования к ИСПДн © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Защита информации в «CompanyMedia» АС 1Г ИСПд 1 кл. «CompanyMedia» должна соответствовать требованиям безопасности информации: отсутствие недекларированных возможностей - по 4 уровню; защищенность от НСД к информации – по 5 классу мандатный доступ – по 4 классу Подсистема ЗИ от НСД Обеспечения целостности Управления Регистрации Крипто- доступом и учета программных графическая информации средств © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Система ЭДО СМ 3.х СЭД ПЗИ УЦ Locker 3.х TSP, Microsoft Crypto API 2.0 OCSP СКЗИ © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Управление доступом Субъекты Объекты Полномочия СЭД - ПО СЭД - АС ИСПДн Уровень приложения Уровень БД Уровень документа Уровень полей документа (реквизита) Мандатный доступ Классификация ПРД Диспетчер © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Идентификация, аутентификация, авторизация СЭД - ПО СЭД - АС ИСПДн Уровень приложения ……. Уровень полей документа (реквизита) REST: http, https Базовая SSO аутентификация … eToken Аутентификация с использованием сертификатов © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Учет и регистрация СЭД - ПО СЭД - АС СЭД - ИСПДн Регистрация событий в приложении Параметры регистрации, настройка Передача во внешние системы © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Конфиденциальность СЭД - ПО СЭД - АС СЭД - ИСПДн Разграничение прав доступа Шифрование в рамках приложения © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Электронный документ 63-ФЗ от 6 апреля 2011 г. Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Статья 6. Условия признания ЭД, подписанных ЭП 2.Информация в электронной форме, подписанная квалифицированной ЭП, признается ЭД, 2. Информация в электронной форме, подписанная простой ЭП или неквалифицированной ЭП, признается ЭД, в случаях, а). установленных ФЗ, принимаемыми в соответствии с ними НПА б). соглашением между участниками электронного взаимодействия.
Целостность ЭД СМ 4.х СЭД РМ-LN РМ-web РМ-iPad Citrix ПЗИ Locker 4.х УЦ Locker-Citrix Locker-LN Locker-web iLocker TSP, OCSP Microsoft Crypto API 2.0 API СКЗИ (КриптоПро CSP) © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Средства электронной подписи 63-ФЗ от 6 апреля 2011 г. Статья 12 2. При создании электронной подписи средства электронной подписи должны: 1) показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает; 3. При проверке электронной подписи средства электронной подписи должны: 1) показывать содержание электронного документа, подписанного электронной подписью; СМ х.х СМ х.х СКЗИ СКЗИ

Recommended

защита информации 11 класс
защита информации 11 классзащита информации 11 класс
защита информации 11 классuset
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Александр Лысяк
 
Концепция. Security Awareness Programm
Концепция. Security Awareness ProgrammКонцепция. Security Awareness Programm
Концепция. Security Awareness ProgrammGeorgiy Kuznetsov
 
презентация на тему «защита информации»
презентация на тему «защита информации»презентация на тему «защита информации»
презентация на тему «защита информации»Yanatr
 
Мастер класс по моделированию угроз
Мастер класс по моделированию угрозМастер класс по моделированию угроз
Мастер класс по моделированию угрозAleksey Lukatskiy
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulationsAleksey Lukatskiy
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнSecurity Code Ltd.
 
Мобильный доступ
Мобильный доступМобильный доступ
Мобильный доступАлексей Волков
 

Recommended

защита информации 11 класс
защита информации 11 классзащита информации 11 класс
защита информации 11 классuset
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Александр Лысяк
 
Концепция. Security Awareness Programm
Концепция. Security Awareness ProgrammКонцепция. Security Awareness Programm
Концепция. Security Awareness ProgrammGeorgiy Kuznetsov
 
презентация на тему «защита информации»
презентация на тему «защита информации»презентация на тему «защита информации»
презентация на тему «защита информации»Yanatr
 
Мастер класс по моделированию угроз
Мастер класс по моделированию угрозМастер класс по моделированию угроз
Мастер класс по моделированию угрозAleksey Lukatskiy
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulationsAleksey Lukatskiy
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнSecurity Code Ltd.
 
Мобильный доступ
Мобильный доступМобильный доступ
Мобильный доступАлексей Волков
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяАлександр Лысяк
 
Threat Modeling (Part 4)
Threat Modeling (Part 4)Threat Modeling (Part 4)
Threat Modeling (Part 4)Aleksey Lukatskiy
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияAndrey Kondratenko
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartizationAleksey Lukatskiy
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...NAUMEN. Информационные системы управления растущим бизнесом
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыAleksey Lukatskiy
 
Threat Modeling (Part 1)
Threat Modeling (Part 1)Threat Modeling (Part 1)
Threat Modeling (Part 1)Aleksey Lukatskiy
 
презентация по теме информационная безопасность
презентация по теме информационная безопасностьпрезентация по теме информационная безопасность
презентация по теме информационная безопасностьОля Гольцева
 
Effective collaboration
Effective collaborationEffective collaboration
Effective collaborationИнтерТраст
 
Case example
Case exampleCase example
Case exampleИнтерТраст
 
Персонализация контента в системах электронного документооборота. В.Ипатов
Персонализация контента в системах электронного документооборота. В.ИпатовПерсонализация контента в системах электронного документооборота. В.Ипатов
Персонализация контента в системах электронного документооборота. В.ИпатовИнтерТраст
 
Мобильные рабочие места в СЭД для руководителя и бизнес-специалиста
Мобильные рабочие места в СЭД для руководителя и бизнес-специалистаМобильные рабочие места в СЭД для руководителя и бизнес-специалиста
Мобильные рабочие места в СЭД для руководителя и бизнес-специалистаИнтерТраст
 
CompanyMedia - Строим открыто
CompanyMedia - Строим открытоCompanyMedia - Строим открыто
CompanyMedia - Строим открытоИнтерТраст
 
Внедрение системы электронного документооборота CompanyMedia в Райффайзенбанке
Внедрение системы электронного документооборота CompanyMedia в РайффайзенбанкеВнедрение системы электронного документооборота CompanyMedia в Райффайзенбанке
Внедрение системы электронного документооборота CompanyMedia в РайффайзенбанкеИнтерТраст
 
Горизонты СЭД
Горизонты СЭДГоризонты СЭД
Горизонты СЭДИнтерТраст
 
Мобильные приложения как инструмент продуктивности
Мобильные приложения как инструмент продуктивностиМобильные приложения как инструмент продуктивности
Мобильные приложения как инструмент продуктивностиИнтерТраст
 

More Related Content

What's hot

пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяАлександр Лысяк
 
ИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияAndrey Kondratenko
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartizationAleksey Lukatskiy
 
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыAleksey Lukatskiy
 
презентация по теме информационная безопасность
презентация по теме информационная безопасностьпрезентация по теме информационная безопасность
презентация по теме информационная безопасностьОля Гольцева
 

What's hot (14)

пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
 
Threat Modeling (Part 4)
Threat Modeling (Part 4)Threat Modeling (Part 4)
Threat Modeling (Part 4)
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
 
ИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решения
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктуры
 
Threat Modeling (Part 1)
Threat Modeling (Part 1)Threat Modeling (Part 1)
Threat Modeling (Part 1)
 
презентация по теме информационная безопасность
презентация по теме информационная безопасностьпрезентация по теме информационная безопасность
презентация по теме информационная безопасность
 

Viewers also liked

Персонализация контента в системах электронного документооборота. В.Ипатов
Персонализация контента в системах электронного документооборота. В.ИпатовПерсонализация контента в системах электронного документооборота. В.Ипатов
Персонализация контента в системах электронного документооборота. В.ИпатовИнтерТраст
 
Мобильные рабочие места в СЭД для руководителя и бизнес-специалиста
Мобильные рабочие места в СЭД для руководителя и бизнес-специалистаМобильные рабочие места в СЭД для руководителя и бизнес-специалиста
Мобильные рабочие места в СЭД для руководителя и бизнес-специалистаИнтерТраст
 
CompanyMedia - Строим открыто
CompanyMedia - Строим открытоCompanyMedia - Строим открыто
CompanyMedia - Строим открытоИнтерТраст
 
Внедрение системы электронного документооборота CompanyMedia в Райффайзенбанке
Внедрение системы электронного документооборота CompanyMedia в РайффайзенбанкеВнедрение системы электронного документооборота CompanyMedia в Райффайзенбанке
Внедрение системы электронного документооборота CompanyMedia в РайффайзенбанкеИнтерТраст
 
Мобильные приложения как инструмент продуктивности
Мобильные приложения как инструмент продуктивностиМобильные приложения как инструмент продуктивности
Мобильные приложения как инструмент продуктивностиИнтерТраст
 
Дистанционное централизованное управление корпоративными мобильными устройствами
Дистанционное централизованное управление корпоративными мобильными устройствамиДистанционное централизованное управление корпоративными мобильными устройствами
Дистанционное централизованное управление корпоративными мобильными устройствамиИнтерТраст
 
Архитектура CompanyMedia next
Архитектура CompanyMedia nextАрхитектура CompanyMedia next
Архитектура CompanyMedia nextИнтерТраст
 
СЭД, которой можно доверять
СЭД, которой можно доверятьСЭД, которой можно доверять
СЭД, которой можно доверятьИнтерТраст
 
А.Антонов, СЭД в пензенской области
А.Антонов, СЭД в пензенской областиА.Антонов, СЭД в пензенской области
А.Антонов, СЭД в пензенской областиИнтерТраст
 
презентация Ibm юникредит 19032013
презентация Ibm юникредит 19032013презентация Ibm юникредит 19032013
презентация Ibm юникредит 19032013ИнтерТраст
 
н.скворцова, сэд в мсп банке
н.скворцова, сэд в мсп банкен.скворцова, сэд в мсп банке
н.скворцова, сэд в мсп банкеИнтерТраст
 

Viewers also liked (19)

Effective collaboration
Effective collaborationEffective collaboration
Effective collaboration
 
Case example
Case exampleCase example
Case example
 
Персонализация контента в системах электронного документооборота. В.Ипатов
Персонализация контента в системах электронного документооборота. В.ИпатовПерсонализация контента в системах электронного документооборота. В.Ипатов
Персонализация контента в системах электронного документооборота. В.Ипатов
 
Мобильные рабочие места в СЭД для руководителя и бизнес-специалиста
Мобильные рабочие места в СЭД для руководителя и бизнес-специалистаМобильные рабочие места в СЭД для руководителя и бизнес-специалиста
Мобильные рабочие места в СЭД для руководителя и бизнес-специалиста
 
CompanyMedia - Строим открыто
CompanyMedia - Строим открытоCompanyMedia - Строим открыто
CompanyMedia - Строим открыто
 
Внедрение системы электронного документооборота CompanyMedia в Райффайзенбанке
Внедрение системы электронного документооборота CompanyMedia в РайффайзенбанкеВнедрение системы электронного документооборота CompanyMedia в Райффайзенбанке
Внедрение системы электронного документооборота CompanyMedia в Райффайзенбанке
 
Горизонты СЭД
Горизонты СЭДГоризонты СЭД
Горизонты СЭД
 
Мобильные приложения как инструмент продуктивности
Мобильные приложения как инструмент продуктивностиМобильные приложения как инструмент продуктивности
Мобильные приложения как инструмент продуктивности
 
Дистанционное централизованное управление корпоративными мобильными устройствами
Дистанционное централизованное управление корпоративными мобильными устройствамиДистанционное централизованное управление корпоративными мобильными устройствами
Дистанционное централизованное управление корпоративными мобильными устройствами
 
Constructor
ConstructorConstructor
Constructor
 
Архитектура CompanyMedia next
Архитектура CompanyMedia nextАрхитектура CompanyMedia next
Архитектура CompanyMedia next
 
FutureHistory
FutureHistoryFutureHistory
FutureHistory
 
СЭД, которой можно доверять
СЭД, которой можно доверятьСЭД, которой можно доверять
СЭД, которой можно доверять
 
CMNext
CMNextCMNext
CMNext
 
CM4BlackBerry
CM4BlackBerryCM4BlackBerry
CM4BlackBerry
 
CM4iDocs
CM4iDocsCM4iDocs
CM4iDocs
 
А.Антонов, СЭД в пензенской области
А.Антонов, СЭД в пензенской областиА.Антонов, СЭД в пензенской области
А.Антонов, СЭД в пензенской области
 
презентация Ibm юникредит 19032013
презентация Ibm юникредит 19032013презентация Ibm юникредит 19032013
презентация Ibm юникредит 19032013
 
н.скворцова, сэд в мсп банке
н.скворцова, сэд в мсп банкен.скворцова, сэд в мсп банке
н.скворцова, сэд в мсп банке
 

Similar to Строим вместе безопасную СЭД

Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...Expolink
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"Expolink
 
Центр информационной безопасности
Центр информационной безопасностиЦентр информационной безопасности
Центр информационной безопасностиjet_information_security
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностиIvan Simanov
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...Expolink
 
Введение в информационную безопасность
Введение в информационную безопасностьВведение в информационную безопасность
Введение в информационную безопасностьMichael Rakutko
 
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"Expolink
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)Softline
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Проблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользованияПроблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользованияAlexander Dorofeev
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurementAleksey Lukatskiy
 
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...Expolink
 
Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...Security Code Ltd.
 
Инфотекс: Web Security Gateway
Инфотекс: Web Security GatewayИнфотекс: Web Security Gateway
Инфотекс: Web Security GatewayPositive Hack Days
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Cisco Russia
 
внутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalвнутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalPositive Hack Days
 

Similar to Строим вместе безопасную СЭД (20)

Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
 
Центр информационной безопасности
Центр информационной безопасностиЦентр информационной безопасности
Центр информационной безопасности
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасности
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
 
Введение в информационную безопасность
Введение в информационную безопасностьВведение в информационную безопасность
Введение в информационную безопасность
 
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
СЛУЖБА УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА(IRM)
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
 
Проблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользованияПроблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользования
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurement
 
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
 
Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...Построение архитектуры информационной безопасности, соответствующей современн...
Построение архитектуры информационной безопасности, соответствующей современн...
 
Инфотекс: Web Security Gateway
Инфотекс: Web Security GatewayИнфотекс: Web Security Gateway
Инфотекс: Web Security Gateway
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
 
внутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalвнутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_final
 

More from ИнтерТраст

CompanyMedia для Руководителя высшего звена
CompanyMedia для Руководителя высшего звенаCompanyMedia для Руководителя высшего звена
CompanyMedia для Руководителя высшего звенаИнтерТраст
 
ACM - простой инструмент для решения сложных задач
ACM - простой инструмент для решения сложных задачACM - простой инструмент для решения сложных задач
ACM - простой инструмент для решения сложных задачИнтерТраст
 
Использование мобильных устройств руководителями. Опыт Банка ВТБ
Использование мобильных устройств руководителями. Опыт Банка ВТБИспользование мобильных устройств руководителями. Опыт Банка ВТБ
Использование мобильных устройств руководителями. Опыт Банка ВТБИнтерТраст
 
"ЕСМ-система как средство повышения эффективности руководителей..."
"ЕСМ-система как средство повышения эффективности руководителей..." "ЕСМ-система как средство повышения эффективности руководителей..."
"ЕСМ-система как средство повышения эффективности руководителей..." ИнтерТраст
 
новые возможности систем управления корпоративным контентом
новые возможности систем управления корпоративным контентомновые возможности систем управления корпоративным контентом
новые возможности систем управления корпоративным контентомИнтерТраст
 
Защищенный юридически значимый электронный документооборот: в чем преимуществ...
Защищенный юридически значимый электронный документооборот: в чем преимуществ...Защищенный юридически значимый электронный документооборот: в чем преимуществ...
Защищенный юридически значимый электронный документооборот: в чем преимуществ...ИнтерТраст
 
CompanyMedia4You - Нити управления
CompanyMedia4You - Нити управленияCompanyMedia4You - Нити управления
CompanyMedia4You - Нити управленияИнтерТраст
 
Бизнес-завтрак "Строим вместе безопасную СЭД"
Бизнес-завтрак "Строим вместе безопасную СЭД"Бизнес-завтрак "Строим вместе безопасную СЭД"
Бизнес-завтрак "Строим вместе безопасную СЭД"ИнтерТраст
 

More from ИнтерТраст (10)

CompanyMedia для Руководителя высшего звена
CompanyMedia для Руководителя высшего звенаCompanyMedia для Руководителя высшего звена
CompanyMedia для Руководителя высшего звена
 
ACM - простой инструмент для решения сложных задач
ACM - простой инструмент для решения сложных задачACM - простой инструмент для решения сложных задач
ACM - простой инструмент для решения сложных задач
 
Использование мобильных устройств руководителями. Опыт Банка ВТБ
Использование мобильных устройств руководителями. Опыт Банка ВТБИспользование мобильных устройств руководителями. Опыт Банка ВТБ
Использование мобильных устройств руководителями. Опыт Банка ВТБ
 
"ЕСМ-система как средство повышения эффективности руководителей..."
"ЕСМ-система как средство повышения эффективности руководителей..." "ЕСМ-система как средство повышения эффективности руководителей..."
"ЕСМ-система как средство повышения эффективности руководителей..."
 
новые возможности систем управления корпоративным контентом
новые возможности систем управления корпоративным контентомновые возможности систем управления корпоративным контентом
новые возможности систем управления корпоративным контентом
 
Защищенный юридически значимый электронный документооборот: в чем преимуществ...
Защищенный юридически значимый электронный документооборот: в чем преимуществ...Защищенный юридически значимый электронный документооборот: в чем преимуществ...
Защищенный юридически значимый электронный документооборот: в чем преимуществ...
 
CompanyMedia4You - Нити управления
CompanyMedia4You - Нити управленияCompanyMedia4You - Нити управления
CompanyMedia4You - Нити управления
 
Бизнес-завтрак "Строим вместе безопасную СЭД"
Бизнес-завтрак "Строим вместе безопасную СЭД"Бизнес-завтрак "Строим вместе безопасную СЭД"
Бизнес-завтрак "Строим вместе безопасную СЭД"
 
ECM problems
ECM problemsECM problems
ECM problems
 
WhyNotECM
WhyNotECMWhyNotECM
WhyNotECM
 

Строим вместе безопасную СЭД

  • 1. «CompanyMedia» строим открыто! Строим вместе безопасную СЭД Москва, 28 июня 2012 г. Горностаев Владимир, ктн, Директор центра компетенции ЭДО и защиты информации ИнтерТраст +7 (495) 956-7928, vgornostaev@intertrust.ru © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
  • 2. Термины и определения Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций ГОСТ 34.003-90 Автоматизированные системы. Термины и определения Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств ФЗ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств Федеральный закон от 27.07.2012 г. № 152-ФЗ «О персональных данных» Система электронного документооборота (СЭД) Программное обеспечение © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
  • 3. «Простая» СЭД озы Уг р СЗ СЗ СЭД СЗИ Информация Ц Д (данные) К 1 2 3 4 © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
  • 4. Информационная безопасность Защищаемые свойства информации Конфиденциальность Доступ к информации только авторизованных пользователей Доступность Целостность Доступ к информации и Достоверность и связанных с ней активам полнота информации и авторизованных методов ее обработки пользователей по мере необходимости
  • 5. СЭД СЭД – организационно-техническая система, представляющая собой совокупность программного, аппаратного, организационного и информационного обеспечения, реализующая электронный документооборот Безопасность СЭД – состояние защищенности СЭД от внутренних и внешних угроз, которое обеспечивается оператором СЭД в соответствии с требованиями законодательства, нормативных актов или обладателя информации, обрабатываемой в СЭД Система обеспечения безопасности СЭД – система мер организационного, финансового, технического и иного характера, по выявлению угроз безопасности, предотвращению и нейтрализации их реализации, пресечению, локализации и отражению, а также ликвидации последствий реализации угроз Безопасность ПО •технологии и используемые средства при создании ПО; •наличие механизмов защиты.
  • 6. Общая модель безопасности Объект Работники Информация Средства и Физические Интеллектуальная Защиты (РМ) системы обработки поля собственность Уязвимости Объективные, субъективные и случайные Модель нарушителя Исходят от субъектов, технических средств, стихийных источников Угрозы Внешние, внутренние, естественные, искусственные, случайные и преднамеренные Модель Источники Субъекты, материальные объекты или явления различной природы угроз угроз (физической, химической, биологической…) Допустимые, критические, катастрофические Риски Ничтожный, умеренный, серьезный, критический Оценка Ущерб Материальный. Нематериальный. рисков (убытки) Ничтожный, умеренный, серьезный, критический Требования Исключить воздействие факторов или к защите снизить их воздействие до допустимого ущерба Затраты Предотвращение, снижение, ликвидация воздействия факторов и угроз. Методы Правовые, морально-этические, технологические. организационные, защиты физические, аппаратные и программные, технические Ущерб Требования к ПЗИ СЭД Система безопасности © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
  • 7. Строим вместе Регуляторы Разработчики Заказчики ПО, СКЗИ СВТ СЭД - ПО СЭД - АС ИСПДн Аппаратные средства НПА ЛВС, УЦ, СРК … ЛНА Система безопасности Сертификация по требованиям ФСТЭК Сертификация, Аттестация безопасности Контроль встраивания ФСБ Контроль встраивания СКЗИ СКЗИ НСД – 5 класс Требования СВТ НДВ – 4 уровень, 1Г 1 класс Требования к ИСПДн © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
  • 8. Защита информации в «CompanyMedia» АС 1Г ИСПд 1 кл. «CompanyMedia» должна соответствовать требованиям безопасности информации: отсутствие недекларированных возможностей - по 4 уровню; защищенность от НСД к информации – по 5 классу мандатный доступ – по 4 классу Подсистема ЗИ от НСД Обеспечения целостности Управления Регистрации Крипто- доступом и учета программных графическая информации средств © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
  • 9. Система ЭДО СМ 3.х СЭД ПЗИ УЦ Locker 3.х TSP, Microsoft Crypto API 2.0 OCSP СКЗИ © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
  • 10. Управление доступом Субъекты Объекты Полномочия СЭД - ПО СЭД - АС ИСПДн Уровень приложения Уровень БД Уровень документа Уровень полей документа (реквизита) Мандатный доступ Классификация ПРД Диспетчер © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
  • 11. Идентификация, аутентификация, авторизация СЭД - ПО СЭД - АС ИСПДн Уровень приложения ……. Уровень полей документа (реквизита) REST: http, https Базовая SSO аутентификация … eToken Аутентификация с использованием сертификатов © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
  • 12. Учет и регистрация СЭД - ПО СЭД - АС СЭД - ИСПДн Регистрация событий в приложении Параметры регистрации, настройка Передача во внешние системы © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
  • 13. Конфиденциальность СЭД - ПО СЭД - АС СЭД - ИСПДн Разграничение прав доступа Шифрование в рамках приложения © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
  • 14. Электронный документ 63-ФЗ от 6 апреля 2011 г. Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Статья 6. Условия признания ЭД, подписанных ЭП 2.Информация в электронной форме, подписанная квалифицированной ЭП, признается ЭД, 2. Информация в электронной форме, подписанная простой ЭП или неквалифицированной ЭП, признается ЭД, в случаях, а). установленных ФЗ, принимаемыми в соответствии с ними НПА б). соглашением между участниками электронного взаимодействия.
  • 15. Целостность ЭД СМ 4.х СЭД РМ-LN РМ-web РМ-iPad Citrix ПЗИ Locker 4.х УЦ Locker-Citrix Locker-LN Locker-web iLocker TSP, OCSP Microsoft Crypto API 2.0 API СКЗИ (КриптоПро CSP) © В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
  • 16. Средства электронной подписи 63-ФЗ от 6 апреля 2011 г. Статья 12 2. При создании электронной подписи средства электронной подписи должны: 1) показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает; 3. При проверке электронной подписи средства электронной подписи должны: 1) показывать содержание электронного документа, подписанного электронной подписью; СМ х.х СМ х.х СКЗИ СКЗИ