Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Positive Hack Days. Токаренко. Compliance риски в информационной безопасности

3,697 views

Published on

Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.

Published in: Business
  • Be the first to comment

  • Be the first to like this

Positive Hack Days. Токаренко. Compliance риски в информационной безопасности

  1. 1. Комплаенс-риски в информационной безопасности 19 мая 2011
  2. 2. Классический алгоритм потроения защиты Определяем объект защиты Определяем модель нарушителя Определяем модель угроз Формируем требования по защите информации ………… ..
  3. 3. Руководящий документ Гостехкомиссии России. Концепция защиты СВТ и АС от НСД к информации <ul><li>3. ОСНОВНЫЕ ПРИНЦИПЫ ЗАЩИТЫ </li></ul><ul><li>  </li></ul><ul><li>3.1. Защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации. </li></ul><ul><li>3.2. Защита СВТ обеспечивается комплексом программно-технических средств. </li></ul><ul><li>3.3. Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер. </li></ul><ul><li>3.4. Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. </li></ul><ul><li>3.5. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС). </li></ul>
  4. 4. Руководящий документ Гостехкомиссии России. Концепция защиты СВТ и АС от НСД к информации <ul><li>4. МОДЕЛЬ НАРУШИТЕЛЯ В АС </li></ul><ul><li>4.1. В качестве нарушителя рассматривается субъект , имеющий доступ к работе с штатными средствами АС и СВТ как части АС. </li></ul><ul><li>Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей. </li></ul><ul><li>Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего. </li></ul><ul><li>4.2. </li></ul><ul><li>Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации. </li></ul>
  5. 5. Моделью нарушителя не предусматривается действие нарушителей в составе группы
  6. 6. Модель нарушителя из группы инсайдеров/ секретносителей <ul><li>Нарушитель из числа санкционированно допущенного персонала: </li></ul><ul><ul><li>Нарушитель имеет высокую квалификацию и санкционированно предоставленные полномочия от пользователя до администратора </li></ul></ul><ul><ul><li>Нарушитель может действовать как по собственной инициативе, так и под внешним воздействием (как прямым или через близких лиц, так и путем социоинженерии или иным непрямым воздействием) </li></ul></ul><ul><ul><li>Нарушитель может действовать как самостоятельно, так и в сговоре с другими лицами как внутри, так и вне периметра </li></ul></ul><ul><ul><li>Для связи может использовать как ТСПИ организации, так и личные средства коммуникации </li></ul></ul><ul><ul><li>Автоматизированная система подключена к ССОП </li></ul></ul>
  7. 7. Гос. тайна <ul><li>Статья 21. Допуск должностных лиц и граждан к государственной тайне </li></ul><ul><li>Допуск должностных лиц и граждан к государственной тайне предусматривает: </li></ul><ul><ul><li>согласие на частичные, временные ограничения их прав в соответствии со статьей 24 настоящего Закона; </li></ul></ul><ul><ul><li>письменное согласие на проведение в отношении их полномочными органами проверочных мероприятий ; </li></ul></ul><ul><li>Статья 24. Ограничения прав должностного лица или гражданина, допущенных или ранее допускавшихся к государственной тайне </li></ul><ul><li>Должностное лицо или гражданин, допущенные или ранее допускавшиеся к государственной тайне, могут быть временно ограничены в своих правах . Ограничения могут касаться: </li></ul><ul><ul><li>права на неприкосновенность частной жизни при проведении проверочных мероприятий в период оформления допуска к государственной тайне. </li></ul></ul>
  8. 8. Для информации ограниченного доступа, не составляющей государственную тайну, проверочные мероприятия и ограничения прав не предусмотрены
  9. 9. Закон «О персональных данных» Статья 6 . Условия обработки персональных данных 1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. 2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях: 1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; Статья 10 . Специальные категории персональных данных 3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
  10. 10. Трудовой кодекс <ul><li>Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты </li></ul><ul><li>  </li></ul><ul><li>В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования: </li></ul><ul><li>3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие . Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение ; </li></ul><ul><li>4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни . В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия ; </li></ul>
  11. 11. <ul><li>Раздел IV. СМЕШАННЫЕ ФОРМЫ ДЕТЕКТИВНОЙ </li></ul><ul><li>И ОХРАННОЙ ДЕЯТЕЛЬНОСТИ </li></ul><ul><li>Статья 14. Охранно - сыскные подразделения на предприятиях </li></ul><ul><li>Предприятия независимо от их организационно - правовых форм, расположенные на территории Российской Федерации, вправе учреждать обособленные подразделения для осуществления охранно - сыскной деятельности в интересах собственной безопасности учредителя , с правом открытия текущих и расчетных счетов (далее - службы безопасности). </li></ul><ul><li>Руководители и персонал служб безопасности обязаны руководствоваться требованиями настоящего Закона и действовать на основании своих уставов, согласованных с органами внутренних дел по месту своего учреждения. </li></ul><ul><li>(часть вторая в ред. Федерального закона от 10.01.2003 N 15-ФЗ) </li></ul><ul><li>Службе безопасности запрещается оказывать услуги, не связанные с обеспечением безопасности своего предприятия. </li></ul>Закон о частной детективной и охранной деятельности
  12. 12. Это все спецкатегория ПДн Должо-о-о-о-к!!!
  13. 13. <ul><li>По Базовой модели угроз ФСТЭК определяем, что имеем нарушителя класса А 1.2.5 – А 1.2.8 </li></ul><ul><li>По Методическим рекомендациям ФСБ определяем, что имеем нарушителя Н6 – следовательно класс криптосредств КА1 и уровень защиты АК6 </li></ul><ul><li>Модель нарушителя Н6 рекомендуется согласовать с ФСБ </li></ul><ul><li>Встраивание криптосредств КА1 только под контролем ФСБ </li></ul>Решение документами ФСТЭК не предлагается
  14. 14. <ul><li>Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации </li></ul><ul><li>Как правило , привилегированные пользователи информационной системы исключаются из числа потенциальных нарушителей </li></ul>Инсайдерские риски доверенного персонала Правило не действует для информации ограниченного доступа не составляющую государственную тайну
  15. 15. Инсайдерские риски доверенного персонала <ul><li>Верховный суд Республики Марий Эл 4 сентября 2009 г. осудил к лишению свободы на срок от 3 лет 6 месяцев до 6 лет шестерых йошкаролинцев, среди которых студенты факультета информационной безопасности Межрегионального открытого социального института К.М. и С.А., экономического факультета этого же института П.Р., менеджеры ООО «Продсервисъ» Г.Е. и С.С., а также неработающий В.К. </li></ul>
  16. 16. Актуальность угроз. ← Возможность: НИЗКАЯ Опасность: ОЧЕНЬ ВЫСОКАЯ Угроза: АКТУАЛЬНА! Возможность реализации угрозы Показатель опасности угрозы Низкая Средняя Высокая Низкая неактуальная неактуальная актуальная Средняя неактуальная актуальная актуальная Высокая актуальная актуальная актуальная Очень высокая актуальная актуальная актуальная
  17. 17. Учитывая отсутствие доверенного персонала шифрование информации необходимо производить на разных ключах. Каким образом обеспечивать обмен информацией между пользователями? Каким образом обеспечивать доступ к базе данных?
  18. 18. Режим коммерческой тайны <ul><li>Статья 10. Охрана конфиденциальности информации </li></ul><ul><li>1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя: </li></ul><ul><li>  1) определение перечня информации, составляющей коммерческую тайну; </li></ul><ul><li>  2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; </li></ul><ul><li>3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; </li></ul><ul><li>4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; </li></ul><ul><li>  5) нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа &quot;Коммерческая тайна&quot; с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). </li></ul><ul><li>  2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи. </li></ul>
  19. 19. И какую из них украдут раньше?
  20. 20. Куда клеим бирки с грифом?
  21. 21. КТ в преддоговорной деятельности <ul><li>Сведения могут представлять коммерческую тайну на время преддоговорной деятельности (переговоров). </li></ul>Соответственно получается, что все материалы до окончания переговоров должны быть прогрифованы, а после заключения удачного договора для всех них потребуется потом организовывать процедуру снятия грифа
  22. 22.
  23. 23.
  24. 24. <ul><li>Токаренко Александр Владимирович </li></ul><ul><li>[email_address] </li></ul>

×