1. «Комплексные системы защиты: тренды и
драйверы. Кадры решают!?»
Чугунов Евгений Игоревич
CISSP, CISA, PCI QSA
Москва, 2013

2. 21 2 3 4 5 6
Аудит на соответствие
152-ФЗ
Внедрение комплекта
документации в
соответствии с ПП 211
Проектирование и
внедрение подсистем
информационной
безопасности
Аутсорсинг деятельности
по поддержанию
соответствия
Направления деятельности
• Изменение и модернизация требований регуляторов
в области безопасности конфиденциальной
информации.
• Защита прав и свобод субъектов персональных
данных
• Виртуализация автоматизированных систем и уход в
«облака»
• Активизация атак, направленных на вывод из строя
интернет ресурсов (DDoS)
• Общий тренд на сокращение персонала в госсекторе
НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ
И ТРЕНДЫ, ВРЕМЯ ТЕКУЩЕЕ

3. 1 2 3 4 5 6
НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ

4. 41 2 3 4 5 6
НОРМАТИВНАЯ БАЗА
Приказ ФСТЭК России «Об утверждении состава и
содержания организационных и технических мер по
обеспечению безопасности персональных данных при
их обработке в информационных системах
персональных данных»
Приказ ФСТЭК России «Об утверждении требований о
защите информации, не составляющей
государственную тайну, содержащейся в
государственных информационных системах»
 «Об утверждении требований к защите
персональных данных при их обработке в
информационных системах персональных данных»
Постановление Правительства РФ от 01 ноября
2012 г. №1119г.
Находятся на согласовании в Минюсте

5. 51 2 3 4 5 6
РЕЗУЛЬТАТ ИЗУЧЕНИЯ
Осуществляется исходя из актуальности угроз и
необходимости обеспечения требуемого уровня
защищенности
Для ПДн, обрабатываемых в государственных
информационных системах выполнение требований
о защите информации является обязательным
Меры по обеспечению безопасности
персональных данных в государственных
информационных системах принимаются в
соответствии с требованиями о защите информации,
не содержащей государственную тайну,
содержащейся в государственных информационных
системах, устанавливаемыми ФСТЭК России
Выбор методов и средств

6. 61 2 3 4 5 6
ОСНОВНЫЕ МЕРОПРИЯТИЯ ДЛЯ ГИС
• Формирование требований к системе защиты
информации информационной системы;
• Разработка системы защиты информации
информационной системы;
• Реализация системы защиты информации
информационной системы;
• Аттестация информационной системы на
соответствие требованиям о защите информации и
ввод ее в действие;
• Эксплуатация системы защиты информации
информационной системы;
• Защита информации при выводе из эксплуатации
информационной системы или после окончания
обработки информации

7. 71 2 3 4 5 6
КАТЕГОРИИ МЕР ЗАЩИТЫ
• обеспечение доверенной загрузки (ДЗГ);
• идентификация и аутентификация субъектов доступа
и объектов доступа (ИАФ);
• управление доступом субъектов доступа к объектам
доступа (УПД);
• ограничение программной среды(ОПС);
• защита машинных носителей информации (ЗНИ);
• регистрация событий безопасности (РСБ);
• обеспечение целостности информационной системы
и информации (ОЦЛ);
• защита среды виртуализации (ЗСВ);
• защита технических средств (ЗТС);
• защита информационной системы, ее средств и
систем связи и передачи данных (ЗИС).
10 видов (категорий) применяемых мер
защиты

8. 81 2 3 4 5 6
Определение перечня применяемых
мер защиты:
1. Определение базового набора;
2. Адаптация базового набора с учетом
характеристик ИС (ИСПДн),
особенностей ее функционирования;
3. Уточнение адаптированного набора
посредством выбора доп.мер с учетом
актуальных угроз и требований иных
НРД в области ЗИ;
Базовые меры
Адаптация набора
базовых мер
Уточнение
адаптированного
набора
Комп.
меры
ОПРЕДЕЛЕНИЕ ПЕРЕЧНЯ МЕР

9. 91 2 3 4 5 6
УЗ ПДн 1 К1
УЗ ПДн 2 не ниже К2
УЗ ПДн 3 не ниже К3
УЗ ПДн 4 К4 и выше
Уровень
значимости
информации
Масштаб информационной системы
Федеральный Региональный Объектовый
УЗ 1 К1 К1 К2
УЗ 2 К1 К2 К3
УЗ 3 К2 К3 К3
УЗ 4 К2 К3 К4
Определение класса защищенности ИС:
Соответствие уровней защищенности ПДн классам защищенности ИС:
ОПРЕДЕЛЕНИЕ КЛАССА ЗАЩИЩЕННОСТИ

10. 101 2 3 4 5 6
Оценка соответствия используемых/предполагаемых к использованию СЗИ
– только в форме обязательной сертификации !!! (п. 12 Приказа)
Использование СЗИ для обеспечения класса защищенности ИС:
для К3 и К4 - СЗИ 5 класса (5 класс защищенности СВТ);
для К2 и К1 – СЗИ 4 класса (5 класс защищенности СВТ)
СЗИ, уже сертифицированные для использования в отношении ИСПДн:
Применительно к классу ИСПДн Применительно к классу защищенности ИС
для ИСПДн 1-го класса для всех классов, включая К1
для ИСПДн 2-го класса не выше К4
для ИСПДн 3-го класса не определено
ТРЕБОВАНИЯ К СЗИ

11. 1 2 3 4 5 6
ОРГАНИЗАЦИЯ КОРРЕКТНОЙ ОБРАБОТКИ ПДН

12. 121 2 3 4 5 6
ОПРЕДЕЛИМ СТАТУС ГДЕ ОПЕРАТОР, А ГДЕ
УПОЛНОМОЧЕННОЕ ЛИЦО
• Государственный орган, муниципальный орган,
юридическое или физическое лицо
Кто является «Оператором» персональных данных?
Что делает «Оператор» персональных данных?
• Организует и/или осуществляет обработку
персональных данных
• Определяет цели и содержание обработки
персональных данных
Каковы обязанности «Оператора»?
• Обеспечивает конфиденциальность персональных
данных
• Обеспечивает корректную обработку и отвечает по
закону
• Взаимодействует с регуляторами

13. 131 2 3 4 5 6
ПРАВОВЫЕ ВОПРОСЫ
• Кто, кому и что поручает
• Есть ли пункты о безопасности
• Определены ли цели и состав обработки
• Все стороны обработки (куда и что передается)
Совершенствование договорных отношений
Получение согласий, отказ от лишнего
• Определение оснований обработки (договор,
ФЗ, имеющееся согласие и проч.)
• Выявление операций и действий, для которых
нет оснований и согласия
• Формирование необходимых согласий,
определение способов получения согласий
• Отказ от незаконных операций с ПДн

14. 141 2 3 4 5 6
МОДЕРНИЗАЦИЯ ВНУТРЕННЕЙ ДЕЯТЕЛЬНОСТИ
• Унификация и регламентация процессов обработки
ПДн, формирования правил
• Сценарии когда и какие согласия запрашивать
• Прием и обработка обращений субъектов ПДн
• Взаимодействие подразделений при обработке
запросов субъектов ПДн
• Взаимодействие с третьей стороной и регуляторами
Внедрение процедур взаимодействия
Организация процедур контроля
• Контроль деятельности по обработке ПДн и
обеспечения безопасности
• Контроль обеспечения информационной
безопасности ПДн
• Контроль корректности взаимодействия с
субъектом , регуляторами и третьей стороной
• Организация регулярного внешнего контроля

15. 151 2 3 4 5 6
РАЗРАБОТКА КОМПЛЕКТА ДОКУМЕНТОВ
• Публичный документ, должен быть опубликован
• Содержит описание состава обработки и целей,
средств обработки, подходов к защите и оценке
последствий
• Содержит описание того, каким образом оператор
реализует права и свободы субъектов ПДн
Политика в отношении обработки ПДн
Оценка вреда, который может быть причинен
субъектам персональных данных в случае
нарушения закона, соотношение указанного вреда
и принимаемых оператором мер
Процедуры, направленные на предотвращение и
выявление нарушений законодательства РФ,
устранение последствий таких нарушений

16. 161 2 3 4 5 6
РАЗРАБОТКА ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТОВ
Постановление Правительства РФ от 21.03.2012 № 211
• Правила обработки персональных данных;
• Правила рассмотрения запросов субъектов или их
представителей;
• Правила осуществления внутреннего контроля
соответствия обработки персональных данных
требованиям к защите персональных данных
• Правила работы с обезличенными данными;
• Перечень информационных систем персональных
данных;
• Перечни персональных данных;
• Перечень должностей служащих, ответственных за
проведение мероприятий по обезличиванию
обрабатываемых персданных;
• Перечень должностей служащих, замещение которых
предусматривает осуществление обработки
персданных либо осуществление доступа к
персональным данным;

17. 171 2 3 4 5 6
РАЗРАБОТКА ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТОВ
Постановление Правительства РФ от 21.03.2012 № 211
• Должностная инструкция ответственного за
организацию обработки персональных данных;
• Типовое обязательство служащего, непосредственно
осуществляющего обработку персональных данных, в
случае расторжения с ним государственного или
муниципального контракта прекратить обработку
персональных данных, ставших известными ему в
связи с исполнением должностных обязанностей;
• Типовая форма согласия на обработку персональных
данных служащих, иных субъектов персональных
данных, а также типовая форма разъяснения субъекту
персональных данных юридических последствий
отказа предоставить свои персональные данные;
• Порядок доступа служащих государственного или
муниципального органа в помещения, в которых
ведется обработка персональных данных.

18. 181 2 3 4 5 6
КЛАССИФИКАЦИЯ ИСПДН
• ИСПДн, обрабатывающие специальные категории
персональных данных (ИСПДн-С)
• ИСПДн, обрабатывающие биометрические
персональные данные и не обрабатывающие
сведения, относящиеся к специальным категориям
персональных данных (ИСПДн-Б)
• ИСПДн, обрабатывающие общедоступные
персональные данные – полученные только из
общедоступных источников, созданных в соответствии
со ст.8 ФЗ «О персональных данных» (ИСПДн-О)
• ИСПДн, обрабатывающие иные категории
персональных данных, не указанные выше (ИСПДн-И)
• ИСПДн, обрабатывающие персональные данные
только сотрудников оператора

19. 191 2 3 4 5 6
УРОВНИ ЗАЩИЩЕННОСТИ ИСПДН

20. 201 2 3 4 5 6
УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ
Оператору необходимо сообщить уполномоченному
органу по защите прав субъектов ПДн :
• правовое основание обработки персональных данных
• фамилия, имя, отчество физического лица или
наименование юр. лица, ответственных за
организацию обработки ПДн, и номера их контактных
телефонов, почтовые адреса и адреса электронной
почты;
• сведения о наличии или об отсутствии трансграничной
передачи ПДн в процессе их обработки;
• сведения об обеспечении безопасности ПДн в
соответствии с требованиями к защите ПДн,
установленными Правительством РФ;
• …

21. 1 2 3 4 5 6
СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫ ЗАЩИТЫ

22. 221 2 3 4 5 6
ТЕХНИЧЕСКАЯ ЗАЩИТА
• Классификация ИСПДн
− Анализ формальных признаков
− Создание Акта классификации
• Создание Модели Угроз и нарушителя
− Определение актуальных угроз
− Выбор контрмер
− Учесть рекомендации ФСБ для СКЗИ
• Создание технического
проекта на СЗПДн
• Реализация СЗПДн
• Проведение аттестации

23. 231 2 3 4 5 6
СРЕДСТВА ЗАЩИТЫ
• средства разграничения доступа средства
антивирусной защиты
• средства доверенной загрузки для серверов
• межсетевое экранирование на границе с
Интернетом
• распределенное межсетевое экранирование
внутри ИСПДн
• средства обнаружения вторжений
• Криптографические средства защиты каналов
связи
• средства защиты виртуальной
инфраструктуры
• cредства защиты от DDoS

24. 241 2 3 4 5 6
СРЕДСТВА ЗАЩИТЫ
• средства разграничения доступа средства
антивирусной защиты
• средства доверенной загрузки для серверов
• межсетевое экранирование на границе с
Интернетом
• распределенное межсетевое экранирование
внутри ИСПДн
• средства обнаружения вторжений
• Криптографические средства защиты каналов
связи
• средства защиты виртуальной
инфраструктуры
• cредства защиты от DDoS

25. 1 2 3 4 5 6
ЗАЩИТА ВИРТУАЛИЗАЦИИ

26. 261 2 3 4 5 6
ОСОБЕННОСТИ ПРИ ИСПОЛЬЗОВАНИИ
ВИРТУАЛИЗАЦИИ
• Отсутствие детальных нормативных документов-регуляторов,
определяющих требования к защите виртуальных сред
• Проблемы в понимании угроз ИБ при использовании
виртуализации и мер защиты от них
• Молодой рынок средств защиты виртуализации

27. 271 2 3 4 5 6
СТРУКТУРА УГРОЗ
ВИРТУАЛЬНОЙ ИТ-ИНФРАСТРУКТУРЫ

28. 281 2 3 4 5 6
СРЕДСТВА ЗАЩИТЫ
Защита от НСД
• Код безопасности vGate
• HyTrust Appliance
Антивирусная защита
• Kaspersky Security для виртуальных сред
• TrendMicro DeepSecurity
Создание «зон безопасности»
• VMware vShield App
• Catbird vSecurity
Сетевая безопасность виртуальной среды
• StoneSoft StoneGate FW/VPN/IPS/SSL VPN
• Check Point Security Gateway Virtual Edition
• Cisco ASA 1000v
Контроль целостности
• Tripwire Enterprise for VMware ESX

29. 1 2 3 4 5 6
ЗАЩИТА ОТ DDOS

30. 301 2 3 4 5 6
ГРУППА РИСКА

31. 311 2 3 4 5 6
ТИПОВАЯ, НЕЗАЩИЩЕННАЯ
АРХИТЕКТУРА ОТ DDOS

32. 321 2 3 4 5 6
ЗАЩИЩЕННАЯ АРХИТЕКТУРА ОТ DDOS

33. 331 2 3 4 5 6
ЭТАПЫ ПОСТРОЕНИЯ ЗАЩИТЫ ОТ DDOS
• Обследование
• Проектирование
• Внедрение
• Нагрузочное тестирование
• Сопровождение и расследование инцидентов

34. 1 2 3 4 5 6
КАДРЫ РЕШАЮТ!

35. 351 2 3 4 5 6
ОБУЧЕНИЕ И ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ
• Ознакомление работников под роспись с НМД в
области корректной обработки ПДн
• Организация на регулярной основе мероприятий по
разъяснению и комментированию требований и
правил
• Популяризация духа закона
Внедрение повышения осведомленности
Проведение обучения и контроль знаний
• Проведение обучения специалистов в области
информационной безопасности
• Обучение сотрудников юридической службы
особенностям законодательства в области
корректной обработке ПДн и обеспечения
безопасности
• Регулярный контроль знаний

36. 361 2 3 4 5 6
КАДРЫ 80% УСПЕХА
Текущие проблемы с кадрами:
• Общий тренд на сокращение персонала
• Ограниченные возможности штатного расписания
• Изначально недостаточный объем персонала по
ИБ…
Новые функции:
• Сопровождение новых систем и интерпретация
результатов их работы
• Внедрение в жизнь разработанной подрядчиками
документации и процедур
Аутстафинг и атсорсинг – могут решить эту задачу

37. 1 2 3 4 5 6
БЕЗ КАДРОВОГО ОБЕСПЕЧЕНИЯ ВСЕ МЕРОПРИЯТИЯ
ТЕРЯЮТ СМЫСЛ!

38. Порядок выполнения работ по приведению обработки
персональных данных в соответствие требованиям
законодательства
Чугунов Евгений Игоревич
CISSP, CISA, PCI QSA
Москва, 2012