Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Снижение рисков и затрат на внедрение защиты информационной системы персональных данных (ИСПДн) путем выноса серверного сегмента в специализированное облако Softline.
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
- Хостинг для операторов персональных данных
- Размещение ИСПДн на облачных вычислительных ресурсах
- Соответствие требованиям Федерального закона № 152-ФЗ от 27.07.2006
- Выполнение требований Постановления Правительства № 1119 от 01.11.2012
- Меры безопасности предусмотренные Приказом ФСТЭК № 21 от 18.02.2013
- Серверы на территории Российской Федерации
- Уровень надежности ЦОД - Tier 3
- Модели предоставления услуг: IaaS, PaaS, SaaS
- Сертифицированные СЗИ, СКЗИ
- Разработка Модели угроз ИСПДн
- Организационно-распорядительная документация
- Разработка проекта на систему защиты ИСПДн
- Аттестация ИСПДн
The document summarizes the creation of a penetration testing laboratory by Thomas Butler for his master's degree project. It describes setting up three virtual machines - an "attack machine" running Backtrack5R3, and two "victim machines", one running Metasploitable and another running Badstore.net. Appendices cover the penetration testing methodology, reconnaissance, scanning, exploitation with Metasploit, and post-exploitation activities. The goal was to create a hands-on environment for practicing penetration testing skills.
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Снижение рисков и затрат на внедрение защиты информационной системы персональных данных (ИСПДн) путем выноса серверного сегмента в специализированное облако Softline.
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
- Хостинг для операторов персональных данных
- Размещение ИСПДн на облачных вычислительных ресурсах
- Соответствие требованиям Федерального закона № 152-ФЗ от 27.07.2006
- Выполнение требований Постановления Правительства № 1119 от 01.11.2012
- Меры безопасности предусмотренные Приказом ФСТЭК № 21 от 18.02.2013
- Серверы на территории Российской Федерации
- Уровень надежности ЦОД - Tier 3
- Модели предоставления услуг: IaaS, PaaS, SaaS
- Сертифицированные СЗИ, СКЗИ
- Разработка Модели угроз ИСПДн
- Организационно-распорядительная документация
- Разработка проекта на систему защиты ИСПДн
- Аттестация ИСПДн
The document summarizes the creation of a penetration testing laboratory by Thomas Butler for his master's degree project. It describes setting up three virtual machines - an "attack machine" running Backtrack5R3, and two "victim machines", one running Metasploitable and another running Badstore.net. Appendices cover the penetration testing methodology, reconnaissance, scanning, exploitation with Metasploit, and post-exploitation activities. The goal was to create a hands-on environment for practicing penetration testing skills.
This document outlines a presentation on creating a penetration testing laboratory for hands-on practice. It describes setting up three virtual machines using free software, including an "attack machine" with Backtrack5R3 and two "victim machines" with vulnerable operating systems. The project consists of seven appendices that document the lab creation, penetration testing methodology, reconnaissance, scanning, exploitation, post-exploitation, and technical terms. The presentation discusses the need for more hands-on training and the challenges of keeping penetration testing skills sharp.
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive functioning. Exercise causes chemical changes in the brain that may help protect against mental illness and improve symptoms.
Study: The Future of VR, AR and Self-Driving CarsLinkedIn
We asked LinkedIn members worldwide about their levels of interest in the latest wave of technology: whether they’re using wearables, and whether they intend to buy self-driving cars and VR headsets as they become available. We asked them too about their attitudes to technology and to the growing role of Artificial Intelligence (AI) in the devices that they use. The answers were fascinating – and in many cases, surprising.
This SlideShare explores the full results of this study, including detailed market-by-market breakdowns of intention levels for each technology – and how attitudes change with age, location and seniority level. If you’re marketing a tech brand – or planning to use VR and wearables to reach a professional audience – then these are insights you won’t want to miss.
Artificial intelligence (AI) is everywhere, promising self-driving cars, medical breakthroughs, and new ways of working. But how do you separate hype from reality? How can your company apply AI to solve real business problems?
Here’s what AI learnings your business should keep in mind for 2017.
Аудит СКЗИ и криптоключей на примере Банкаimbasoft ru
С точки зрения информационной безопасности криптографические ключи являются критически важными данными. Если раньше, чтобы обокрасть компанию, злоумышленникам приходилось проникать на ее территорию, вскрывать помещения и сейфы, то теперь достаточно похитить токен с криптографическим ключом и сделать перевод через систему Интернет Клиент-Банк. Фундаментом обеспечения безопасности с помощью систем криптографической защиты информации (СКЗИ) является поддержание конфиденциальности криптографических ключей.
А как обеспечить конфиденциальность того, о существования чего вы не догадываетесь? Чтобы убрать токен с ключом в сейф, надо знать о существовании токена и сейфа. Как это не парадоксально звучит, очень мало компаний обладают представлением о точном количестве ключевых документов, которыми они пользуются. Это может происходить по целому ряду причин, например, недооценка угроз информационной безопасности, отсутствие налаженных бизнес-процессов, недостаточная квалификация персонала в вопросах безопасности и т.д. Вспоминают про данную задачу обычно уже после инцидентов, таких как например этот.
В данной статье будет описан первый шаг на пути совершенствования защиты информации с помощью криптосредств, а если точнее, то рассмотрим один из подходов к проведению аудита СКЗИ и криптоключей. Повествование будет вестись от лица специалиста по информационной безопасности, при этом будем считать, что работы проводятся с нуля.
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
Доклад: Правовые и технические аспекты защиты персональных данных в электронной коммерции
Форум: Экосистема электронной коммерции
(30 марта 2017, Москва, Шератон Палас)
Реализация требований по защите информации в соответствии с положением Банка ...DialogueScience
В соответствии с положениями Федерального закона «О национальной платежной системе» участники платежных систем обязаны обеспечить защиту информации в соответствии с законодательством Российской Федерации, в том числе при осуществлении денежных переводов, а также провести оценку соответствия. В рамках презентации будут рассмотрены основные изменения, внесенные в требования по защите информации, предъявляемые Банком России к участникам платежных систем, и вступившие в силу с января 2014 года, а также возможные варианты их выполнения.
Создание национальной системы платежных карт с использованием отечественных HSMSelectedPresentations
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1
Банковский фрод
Простов Владимир Михайлович, сотрудник ФСБ России
Источник: http://ural.ib-bank.ru/materials_2015
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Presentation about most popular IoT protocols.
Открытые стандарты в мире IoT.
• Обзор стеков протоколов для IoT
• (MQTT, CoAP, SNMP).
• Применение SNMP в IoT проектах.
• Описание свойств IoT-устройства на примере термостата
Вход по сертификатам и электронная подпись для 1С-БитриксЦифровые технологии
Презентация Егора Кувшинова (Цифровые технологии). VI конференция «Электронная торговля. Информационная безопасность и PKI». г.Казань, 22 – 24 октября 2014 г.
Новые требования законодательства в образовании и соответствие требованиям ре...Цифровые технологии
Презентация Малинина Юрия Витальевича, ректора НОУ «Академия Информационных Систем». V Международная конференция «Электронная торговля. Информационная безопасность и PKI», Республика Марий Эл, г. Йошкар-Ола, 04-06 сентября 2013 г.
Презентация Веселова Михаила Юрьевича, заместителя директора Фонда «Центр инноваций и информационных технологий». V Международная конференция «Электронная торговля. Информационная безопасность и PKI», Республика Марий Эл, г. Йошкар-Ола, 04-06 сентября 2013 г.
Трансграничное доверенное электронное взаимодействие. теория и практикаЦифровые технологии
Презентация Хотченкова Максима Александровича, генерального директора удостоверяющего центра "НУЦ". V Международная конференция «Электронная торговля. Информационная безопасность и PKI», Республика Марий Эл, г. Йошкар-Ола, 04-06 сентября 2013 г.
Рынок электронных услуг, взаимодействие профессиональных организаций с госуда...Цифровые технологии
Презентация Миклашевича Анатолия Вадимовича, исполнительного директора НП "РОСЭУ". V Международная конференция «Электронная торговля. Информационная безопасность и PKI», Республика Марий Эл, г. Йошкар-Ола, 04-06 сентября 2013 г.
Комплексные решения для организации юридически значимого электронного докумен...Цифровые технологии
Презентация Николая Андреева, специалиста по работе с партнерами ООО "Цифровые технологии". V Международная конференция «Электронная торговля. Информационная безопасность и PKI», Республика Марий Эл, г. Йошкар-Ола, 04-06 сентября 2013 г.
Госзакупки: №44-фз о контрактной системе, переход на новые правилаЦифровые технологии
Презентация Димитрова Илии, исполнительного директора АЭТП. V Международная конференция «Электронная торговля. Информационная безопасность и PKI», Республика Марий Эл, г. Йошкар-Ола, 04-06 сентября 2013 г.
Актуальные вопросы обеспечения юридической силы электронных документовЦифровые технологии
Презентация Сабанова Алексея Геннадьевича, заместителя генерального директора компании "Аладдин Р.Д.". V Международная конференция «Электронная торговля. Информационная безопасность и PKI», Республика Марий Эл, г. Йошкар-Ола, 04-06 сентября 2013 г.
Некоторые технологии реализации применения электронной подписиЦифровые технологии
Презентация Маслова Юрия Геннадьевича, коммерческого директора ООО "КРИПТО-ПРО". V Международная конференция «Электронная торговля. Информационная безопасность и PKI», Республика Марий Эл, г. Йошкар-Ола, 04-06 сентября 2013 г.
Решения для бизнеса: криптографические продукты и онлайн сервисыЦифровые технологии
Презентация Чеснокова Сергея Евгеньевича, руководителя проектов ООО «Цифровые технологии». IV Всероссийская конференция по информационной безопасности в сфере электронной торговли «Электронная Россия: торги, документооборот, электронная подпись» Марий Эл, г. Йошкар-Ола, 01-02 ноября 2012 г.
Платформонезависимая методика обеспечения аутентичности в трансграничном элек...Цифровые технологии
Презентация Ермакова Николая Евгеньевича, члена правления международной ассоциации «e-Signature Without Borders». IV Всероссийская конференция по информационной безопасности в сфере электронной торговли «Электронная Россия: торги, документооборот, электронная подпись» Марий Эл, г. Йошкар-Ола, 01-02 ноября 2012 г.
Обеспечение юридической значимости трансграничного пространства доверия – нап...Цифровые технологии
Презентация Щербины Игоря Евгеньевича, советника генерального директора ЗАО «Национальный удостоверяющий центр». IV Всероссийская конференция по информационной безопасности в сфере электронной торговли «Электронная Россия: торги, документооборот, электронная подпись» Марий Эл, г. Йошкар-Ола, 01-02 ноября 2012 г.
Организация обмена электронными юридически значимыми документами между участн...Цифровые технологии
Презентация Миклашевича Анатолия Вадимовича, исполнительного директора НП «РОСЭУ». IV Всероссийская конференция по информационной безопасности в сфере электронной торговли «Электронная Россия: торги, документооборот, электронная подпись» Марий Эл, г. Йошкар-Ола, 01-02 ноября 2012 г.
Анализ законопроекта о федеральной контрактной системе (ФКС)Цифровые технологии
Презентация Белоногова Саввы Юрьевича, генерального директора ЗАО «Аналитический центр». IV Всероссийская конференция по информационной безопасности в сфере электронной торговли «Электронная Россия: торги, документооборот, электронная подпись» Марий Эл, г. Йошкар-Ола, 01-02 ноября 2012 г.
Ключевые носители для систем юридически значимого документооборота что произо...Цифровые технологии
Презентация Горелова Дмитрия Львовича, управляющего партнера ЗАО «Актив-софт». IV Всероссийская конференция по информационной безопасности в сфере электронной торговли «Электронная Россия: торги, документооборот, электронная подпись» Марий Эл, г. Йошкар-Ола, 01-02 ноября 2012 г.
Ключевые носители для систем юридически значимого документооборота что произо...
Обеспечение информационной безопасности ИС «Независимый Регистратор»
1. Макаров Евгений Викторович
Начальник отдела
Департамент обеспечения ИБ
ФГУП НИИ «Восход»
ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ИС «НЕЗАВИСИМЫЙ РЕГИСТРАТОР»
2. 2
Назначение ИС НР
Информационная система «Независимый регистратор» (далее в
докладе – Система, ИС НР) предназначена для
независимого сбора, протоколирования, хранения, контроля и
аудита информации в целях исполнения полномочий
контролирующими и правоохранительными органами:
– в процессах проведения электронных аукционов на электронных
торговых площадках, отобранных в соответствии с требованиями
законодательства Российской Федерации о размещении заказов;
– при совершении юридически значимых действий при размещении
информации о размещении заказов на поставки товаров, выполнение
работ, оказание услуг.
3. Оборудование
ЭЭТТПП N N
3
Архитектура ИС НР
ЦУ ИС НР
Серверы
приложений и
обработки
сообщений
Сервер БД
СХД
VPN
Участники размещения
заказа, работающие
через тонкий клиент
(плагин) с
установленным
модулем контроля
работы ЭТП
Internet
Сеть НР
VPN VPN
Сервер
приложений
ФАС-Контроль
Серверы приложений
и очереди сообщений
ЭТП 1-N ФАС
ЭТП
УМ ИС НР УМ ИС НР
4. 4
Подсистемы ИС НР
Доработанные подсистемы:
подсистема контроля и аудита;
подсистема формирования единой нормативно-справочной базы;
подсистема администрирования;
подсистема информационной безопасности;
подсистема контроля работы электронных площадок;
подсистема интеграции.
Разработанные подсистемы:
подсистема аналитического обеспечения;
подсистема автоматизированного выявления нарушений при выполнении действий
участников электронных аукционов, работы электронных площадок и
государственных заказчиков;
подсистема мониторинга состояния программно-аппаратного комплекса ИС НР;
подсистема обеспечения деятельности правоохранительных органов;
подсистема электронного архива;
подсистема автоматизированного рабочего места контролирующего органа;
подсистема контроля имущественных торгов.
5. 5
Схема взаимодействия подсистем ИС НР
ФАС ЭТП
ПОИБ
АРМ участника
торгов
Подсистема
контроля и
аудита
Подсистема
формирования единой
нормативно-
справочной базы
Подсистема
администрирования
Подсистема
контроля
работы ЭТП
Подсистема Интеграции
ООС
Модуль подсистемы контроля и аудита
Модуль подсисте мы
контроля ра боты ЭТП
6. 6
Особенности ИС НР
ИС НР обладает следующими особенностями с точки зрения
обеспечения ИБ:
Передаваемая информация подписывается отсоединенной
электронной подписью участников Системы.
Сформированные сообщения при передаче содержат открытую и
закрытую части, закрытая часть шифруется с использованием
СКП ЭП ФАС и может быть расшифрована только на стороне ФАС.
ИС НР получает информацию от участников размещения заказа
по открытым каналам связи, от ЭТП – по закрытому каналу.
7. 7
Перечень защищаемой информации
В ИС НР обрабатываются следующие категории информации:
открытая, общедоступная информация:
– информация о ходе торгов, предоставляемая Порталом
государственных закупок;
– статистическая информация о показателях функционирования ИС НР;
– сертификаты открытых ключей, используемых в системе;
информация конфиденциального характера:
– персональные данные УТ (в зашифрованном виде);
– информация, составляющая коммерческую тайну УТ (в
зашифрованном виде);
– аутентифицирующие данные пользователей ИС НР;
– ключевая информация;
– журналы доступа пользователей и внешних ИС к компонентам ИС НР;
– конфигурационные и настроечные данные программно-аппаратных
средств компонентов ИС НР и взаимодействующих с ИС НР систем
(технические параметры).
8. 8
Общая информация о ПОИБ ИС НР
Для осуществления защиты информации в ПОИБ ИС НР
предусмотрены средства:
межсетевого экранирования;
криптографической защиты каналов связи;
обнаружения вторжений;
антивирусной защиты;
защиты от НСД, включая средства защиты от НСД виртуальной
инфраструктуры;
электронной подписи и криптографической защиты информации.
ПОИБ ИС НР развернута на всех объектах ИС НР:
ЦУ ИС НР;
ФАС России;
Электронные торговые площадки.
9. 9
Состав средств ПОИБ ИС НР
Для осуществления защиты информации в ПОИБ ИС НР
предусмотрены средства:
межсетевого экранирования;
криптографической защиты каналов связи;
обнаружения вторжений;
антивирусной защиты;
защиты от НСД, включая средства защиты от НСД виртуальной
инфраструктуры;
электронной подписи и криптографической защиты информации.
ПОИБ ИС НР развернута на всех объектах ИС НР:
ЦУ ИС НР;
ФАС России;
Электронные торговые площадки.
10. 10
Общая схема ПОИБ ИС НР
ЦОД ИС НР
СОВ VPN
ДМЗ СП ИС НР
СХД
МЭ МЭ
ЭТП ФАС России
СП ЭТП VPN СОВ
ИС ЭТП
СОВ VPN СП ФАС
ИС ФАС
ООС
ИС ООС
МЭ
СП ООС
11. 11
Решения в части ПОИБ
Сетевое взаимодействие
ЦУ ИС НР
Плагин
пользователя
Удаленный
модуль ИС НР
Y
Демилитариз
ованная зона
Закрытый
сегмент
Интернет
Межсетевой
экран
Криптошлюз
Обозначения
направлений передачи
информации в ИС НР
Обозначения направлений
инициализации
соединений в ИС НР
Удаленный
модуль ИС НР
Y
12. 12
Решения в части ПОИБ
Криптографическая защита данных (1)
Отправитель получает действительный сертификат долговременной ключевой пары
электронной подписи (ГОСТ Р 34.10-2001) ФАС России.
Выбираются параметры алгоритма симметричного шифрования (режим шифрования, s-box,
алгоритм key meshing, паддинг), описанные в ГОСТ 28147-89, RFC 4357.
Генерируется ключ шифрования контента (далее - CEK) при помощи датчика случайных
чисел (ДСЧ).
Производится шифрование данных при помощи алгоритма ГОСТ 28147-89 с
использованием CEK и выбранных параметров алгоритма.
Генерируется одноразовая сеансовая ключевая пара электронной подписи алгоритма
ГОСТ Р 34.10-2001 с параметрами, указанными в сертификате ключевой пары
получателя.
Для генерации ключа шифрования ключа (KEK) применяет алгоритм VKO GOST R 34.10-
2001 (см. RFC 4357, пункт 5.2).
Формирует структуру GostR3410-KeyTransport (см. RFC4490, пункт 4.2), в которой
включается открытый сеансовый ключ отправителя, параметры шифрования ключевой
информации CEK и собственно данная ключевая информация, упакованная при помощи
алгоритма CryptoPro Key Wrap (см. 4357, пункт 6.3)
Отправитель пересылает получателю структуру GostR3410-KeyTransport и
зашифрованные данные.
13. 13
Решения в части ПОИБ
Криптографическая защита данных (2)
Оператор ФАС России в случае возникновения необходимости получения доступа к
конфиденциальной информации производит следующие действия:
Из структуры GostR3410-KeyTransport получает открытый сеансовый ключ отправителя,
параметры шифрования ключевой информации CEK, UKM. Затем, при помощи
алгоритма VKO GOST R 34.10-2001 определяет KEK. При помощи алгоритма Crypto Pro
Key Unwrap (см. RFC 4357, пункт 6.4) получает CEK и проверяет правильность значения
имитовставки.
Расшифровывает данные, используя полученный CEK.
14. Выводы:
ИС НР соответствует 2 классу защищенности в соответствии с 17
ПОИБ ИС НР обеспечивает непрерывную защиту на протяжении
всего жизненного цикла информации от угроз ПДн,
конфиденциальной информации и специфических угроз,
возникающих в процессе проведения электронных торгов.
Обеспечена юридическая значимость при разборе конфликтных
Конфиденциальная информация о ходе торгов и аукционов
доступна исключительно сотрудникам ФАС России.
ИС НР успешно прошла аттестацию по требованиям ИБ.
Контактная информация:
Приказом ФСТЭК.
Макаров Евгений Викторович
ситуаций.
e.makarov@voskhod.ru & evgeniy.makarov@gmail.com