Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
В презентации приводится обзор приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
В презентации приводится обзор приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Комплексные проекты в области защиты персональных данных. Аудит, консалтинг, внедрение сертифицированных средств защиты, разработка документации и подготовка к проверкам регуляторов.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
Доклад: Правовые и технические аспекты защиты персональных данных в электронной коммерции
Форум: Экосистема электронной коммерции
(30 марта 2017, Москва, Шератон Палас)
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...КРОК
Вторая Всероссийская конференция-семинар «Персональные данные».
Подробнее о мероприятии http://www.croc.ru/action/partners/detail/2266/
Презентация Евгения Чугунова, Эксперта по информационной безопасности компании КРОК
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
Почему любой интернет-магазин — это информационная система обработки персональных данных (ИСПДн)?
Какие основные нормы законодательства сейчас действуют в данной сфере и напрямую затрагивают Интернет-торговлю?
Что нужно сделать владельцу интернет-магазина, чтобы спать спокойно, хотя бы в части соблюдения законодательства о персональных данных?
Какая сейчас сложилась практика по защите персональных данных на веб-сайтах и куда смотрит Роскомнадзор?
Какие существуют типовые походы к обеспечению должного уровня защищенности ИСПДн?
Как выбрать правильного провайдера для хостинга интернет-магазина?
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Комплексные проекты в области защиты персональных данных. Аудит, консалтинг, внедрение сертифицированных средств защиты, разработка документации и подготовка к проверкам регуляторов.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
Доклад: Правовые и технические аспекты защиты персональных данных в электронной коммерции
Форум: Экосистема электронной коммерции
(30 марта 2017, Москва, Шератон Палас)
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...КРОК
Вторая Всероссийская конференция-семинар «Персональные данные».
Подробнее о мероприятии http://www.croc.ru/action/partners/detail/2266/
Презентация Евгения Чугунова, Эксперта по информационной безопасности компании КРОК
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
Почему любой интернет-магазин — это информационная система обработки персональных данных (ИСПДн)?
Какие основные нормы законодательства сейчас действуют в данной сфере и напрямую затрагивают Интернет-торговлю?
Что нужно сделать владельцу интернет-магазина, чтобы спать спокойно, хотя бы в части соблюдения законодательства о персональных данных?
Какая сейчас сложилась практика по защите персональных данных на веб-сайтах и куда смотрит Роскомнадзор?
Какие существуют типовые походы к обеспечению должного уровня защищенности ИСПДн?
Как выбрать правильного провайдера для хостинга интернет-магазина?
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
Изменения в законодательстве по защите персональных данных: как выполнить новые требования.
Директор по маркетингу Андрей Степаненко
Вебинар 19 июня 2013 г.
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...Константин Бажин
Документ устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, принимаемых операторами для защиты
персональных данных от:
•неправомерного или случайного доступа к ним,
•уничтожения, изменения, блокирования, копирования, предоставления,
•распространения персональных данных,
•а также от иных неправомерных действий в отношении персональных данных.
1. «Комплексные системы защиты: тренды и
драйверы. Кадры решают!?»
Чугунов Евгений Игоревич
CISSP, CISA, PCI QSA
Москва, 2013
2. 21 2 3 4 5 6
Аудит на соответствие
152-ФЗ
Внедрение комплекта
документации в
соответствии с ПП 211
Проектирование и
внедрение подсистем
информационной
безопасности
Аутсорсинг деятельности
по поддержанию
соответствия
Направления деятельности
• Изменение и модернизация требований регуляторов
в области безопасности конфиденциальной
информации.
• Защита прав и свобод субъектов персональных
данных
• Виртуализация автоматизированных систем и уход в
«облака»
• Активизация атак, направленных на вывод из строя
интернет ресурсов (DDoS)
• Общий тренд на сокращение персонала в госсекторе
НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ
И ТРЕНДЫ, ВРЕМЯ ТЕКУЩЕЕ
4. 41 2 3 4 5 6
НОРМАТИВНАЯ БАЗА
Приказ ФСТЭК России «Об утверждении состава и
содержания организационных и технических мер по
обеспечению безопасности персональных данных при
их обработке в информационных системах
персональных данных»
Приказ ФСТЭК России «Об утверждении требований о
защите информации, не составляющей
государственную тайну, содержащейся в
государственных информационных системах»
«Об утверждении требований к защите
персональных данных при их обработке в
информационных системах персональных данных»
Постановление Правительства РФ от 01 ноября
2012 г. №1119г.
Находятся на согласовании в Минюсте
5. 51 2 3 4 5 6
РЕЗУЛЬТАТ ИЗУЧЕНИЯ
Осуществляется исходя из актуальности угроз и
необходимости обеспечения требуемого уровня
защищенности
Для ПДн, обрабатываемых в государственных
информационных системах выполнение требований
о защите информации является обязательным
Меры по обеспечению безопасности
персональных данных в государственных
информационных системах принимаются в
соответствии с требованиями о защите информации,
не содержащей государственную тайну,
содержащейся в государственных информационных
системах, устанавливаемыми ФСТЭК России
Выбор методов и средств
6. 61 2 3 4 5 6
ОСНОВНЫЕ МЕРОПРИЯТИЯ ДЛЯ ГИС
• Формирование требований к системе защиты
информации информационной системы;
• Разработка системы защиты информации
информационной системы;
• Реализация системы защиты информации
информационной системы;
• Аттестация информационной системы на
соответствие требованиям о защите информации и
ввод ее в действие;
• Эксплуатация системы защиты информации
информационной системы;
• Защита информации при выводе из эксплуатации
информационной системы или после окончания
обработки информации
7. 71 2 3 4 5 6
КАТЕГОРИИ МЕР ЗАЩИТЫ
• обеспечение доверенной загрузки (ДЗГ);
• идентификация и аутентификация субъектов доступа
и объектов доступа (ИАФ);
• управление доступом субъектов доступа к объектам
доступа (УПД);
• ограничение программной среды(ОПС);
• защита машинных носителей информации (ЗНИ);
• регистрация событий безопасности (РСБ);
• обеспечение целостности информационной системы
и информации (ОЦЛ);
• защита среды виртуализации (ЗСВ);
• защита технических средств (ЗТС);
• защита информационной системы, ее средств и
систем связи и передачи данных (ЗИС).
10 видов (категорий) применяемых мер
защиты
8. 81 2 3 4 5 6
Определение перечня применяемых
мер защиты:
1. Определение базового набора;
2. Адаптация базового набора с учетом
характеристик ИС (ИСПДн),
особенностей ее функционирования;
3. Уточнение адаптированного набора
посредством выбора доп.мер с учетом
актуальных угроз и требований иных
НРД в области ЗИ;
Базовые меры
Адаптация набора
базовых мер
Уточнение
адаптированного
набора
Комп.
меры
ОПРЕДЕЛЕНИЕ ПЕРЕЧНЯ МЕР
9. 91 2 3 4 5 6
УЗ ПДн 1 К1
УЗ ПДн 2 не ниже К2
УЗ ПДн 3 не ниже К3
УЗ ПДн 4 К4 и выше
Уровень
значимости
информации
Масштаб информационной системы
Федеральный Региональный Объектовый
УЗ 1 К1 К1 К2
УЗ 2 К1 К2 К3
УЗ 3 К2 К3 К3
УЗ 4 К2 К3 К4
Определение класса защищенности ИС:
Соответствие уровней защищенности ПДн классам защищенности ИС:
ОПРЕДЕЛЕНИЕ КЛАССА ЗАЩИЩЕННОСТИ
10. 101 2 3 4 5 6
Оценка соответствия используемых/предполагаемых к использованию СЗИ
– только в форме обязательной сертификации !!! (п. 12 Приказа)
Использование СЗИ для обеспечения класса защищенности ИС:
для К3 и К4 - СЗИ 5 класса (5 класс защищенности СВТ);
для К2 и К1 – СЗИ 4 класса (5 класс защищенности СВТ)
СЗИ, уже сертифицированные для использования в отношении ИСПДн:
Применительно к классу ИСПДн Применительно к классу защищенности ИС
для ИСПДн 1-го класса для всех классов, включая К1
для ИСПДн 2-го класса не выше К4
для ИСПДн 3-го класса не определено
ТРЕБОВАНИЯ К СЗИ
11. 1 2 3 4 5 6
ОРГАНИЗАЦИЯ КОРРЕКТНОЙ ОБРАБОТКИ ПДН
12. 121 2 3 4 5 6
ОПРЕДЕЛИМ СТАТУС ГДЕ ОПЕРАТОР, А ГДЕ
УПОЛНОМОЧЕННОЕ ЛИЦО
• Государственный орган, муниципальный орган,
юридическое или физическое лицо
Кто является «Оператором» персональных данных?
Что делает «Оператор» персональных данных?
• Организует и/или осуществляет обработку
персональных данных
• Определяет цели и содержание обработки
персональных данных
Каковы обязанности «Оператора»?
• Обеспечивает конфиденциальность персональных
данных
• Обеспечивает корректную обработку и отвечает по
закону
• Взаимодействует с регуляторами
13. 131 2 3 4 5 6
ПРАВОВЫЕ ВОПРОСЫ
• Кто, кому и что поручает
• Есть ли пункты о безопасности
• Определены ли цели и состав обработки
• Все стороны обработки (куда и что передается)
Совершенствование договорных отношений
Получение согласий, отказ от лишнего
• Определение оснований обработки (договор,
ФЗ, имеющееся согласие и проч.)
• Выявление операций и действий, для которых
нет оснований и согласия
• Формирование необходимых согласий,
определение способов получения согласий
• Отказ от незаконных операций с ПДн
14. 141 2 3 4 5 6
МОДЕРНИЗАЦИЯ ВНУТРЕННЕЙ ДЕЯТЕЛЬНОСТИ
• Унификация и регламентация процессов обработки
ПДн, формирования правил
• Сценарии когда и какие согласия запрашивать
• Прием и обработка обращений субъектов ПДн
• Взаимодействие подразделений при обработке
запросов субъектов ПДн
• Взаимодействие с третьей стороной и регуляторами
Внедрение процедур взаимодействия
Организация процедур контроля
• Контроль деятельности по обработке ПДн и
обеспечения безопасности
• Контроль обеспечения информационной
безопасности ПДн
• Контроль корректности взаимодействия с
субъектом , регуляторами и третьей стороной
• Организация регулярного внешнего контроля
15. 151 2 3 4 5 6
РАЗРАБОТКА КОМПЛЕКТА ДОКУМЕНТОВ
• Публичный документ, должен быть опубликован
• Содержит описание состава обработки и целей,
средств обработки, подходов к защите и оценке
последствий
• Содержит описание того, каким образом оператор
реализует права и свободы субъектов ПДн
Политика в отношении обработки ПДн
Оценка вреда, который может быть причинен
субъектам персональных данных в случае
нарушения закона, соотношение указанного вреда
и принимаемых оператором мер
Процедуры, направленные на предотвращение и
выявление нарушений законодательства РФ,
устранение последствий таких нарушений
16. 161 2 3 4 5 6
РАЗРАБОТКА ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТОВ
Постановление Правительства РФ от 21.03.2012 № 211
• Правила обработки персональных данных;
• Правила рассмотрения запросов субъектов или их
представителей;
• Правила осуществления внутреннего контроля
соответствия обработки персональных данных
требованиям к защите персональных данных
• Правила работы с обезличенными данными;
• Перечень информационных систем персональных
данных;
• Перечни персональных данных;
• Перечень должностей служащих, ответственных за
проведение мероприятий по обезличиванию
обрабатываемых персданных;
• Перечень должностей служащих, замещение которых
предусматривает осуществление обработки
персданных либо осуществление доступа к
персональным данным;
17. 171 2 3 4 5 6
РАЗРАБОТКА ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТОВ
Постановление Правительства РФ от 21.03.2012 № 211
• Должностная инструкция ответственного за
организацию обработки персональных данных;
• Типовое обязательство служащего, непосредственно
осуществляющего обработку персональных данных, в
случае расторжения с ним государственного или
муниципального контракта прекратить обработку
персональных данных, ставших известными ему в
связи с исполнением должностных обязанностей;
• Типовая форма согласия на обработку персональных
данных служащих, иных субъектов персональных
данных, а также типовая форма разъяснения субъекту
персональных данных юридических последствий
отказа предоставить свои персональные данные;
• Порядок доступа служащих государственного или
муниципального органа в помещения, в которых
ведется обработка персональных данных.
18. 181 2 3 4 5 6
КЛАССИФИКАЦИЯ ИСПДН
• ИСПДн, обрабатывающие специальные категории
персональных данных (ИСПДн-С)
• ИСПДн, обрабатывающие биометрические
персональные данные и не обрабатывающие
сведения, относящиеся к специальным категориям
персональных данных (ИСПДн-Б)
• ИСПДн, обрабатывающие общедоступные
персональные данные – полученные только из
общедоступных источников, созданных в соответствии
со ст.8 ФЗ «О персональных данных» (ИСПДн-О)
• ИСПДн, обрабатывающие иные категории
персональных данных, не указанные выше (ИСПДн-И)
• ИСПДн, обрабатывающие персональные данные
только сотрудников оператора
20. 201 2 3 4 5 6
УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ
Оператору необходимо сообщить уполномоченному
органу по защите прав субъектов ПДн :
• правовое основание обработки персональных данных
• фамилия, имя, отчество физического лица или
наименование юр. лица, ответственных за
организацию обработки ПДн, и номера их контактных
телефонов, почтовые адреса и адреса электронной
почты;
• сведения о наличии или об отсутствии трансграничной
передачи ПДн в процессе их обработки;
• сведения об обеспечении безопасности ПДн в
соответствии с требованиями к защите ПДн,
установленными Правительством РФ;
• …
22. 221 2 3 4 5 6
ТЕХНИЧЕСКАЯ ЗАЩИТА
• Классификация ИСПДн
− Анализ формальных признаков
− Создание Акта классификации
• Создание Модели Угроз и нарушителя
− Определение актуальных угроз
− Выбор контрмер
− Учесть рекомендации ФСБ для СКЗИ
• Создание технического
проекта на СЗПДн
• Реализация СЗПДн
• Проведение аттестации
23. 231 2 3 4 5 6
СРЕДСТВА ЗАЩИТЫ
• средства разграничения доступа средства
антивирусной защиты
• средства доверенной загрузки для серверов
• межсетевое экранирование на границе с
Интернетом
• распределенное межсетевое экранирование
внутри ИСПДн
• средства обнаружения вторжений
• Криптографические средства защиты каналов
связи
• средства защиты виртуальной
инфраструктуры
• cредства защиты от DDoS
24. 241 2 3 4 5 6
СРЕДСТВА ЗАЩИТЫ
• средства разграничения доступа средства
антивирусной защиты
• средства доверенной загрузки для серверов
• межсетевое экранирование на границе с
Интернетом
• распределенное межсетевое экранирование
внутри ИСПДн
• средства обнаружения вторжений
• Криптографические средства защиты каналов
связи
• средства защиты виртуальной
инфраструктуры
• cредства защиты от DDoS
26. 261 2 3 4 5 6
ОСОБЕННОСТИ ПРИ ИСПОЛЬЗОВАНИИ
ВИРТУАЛИЗАЦИИ
• Отсутствие детальных нормативных документов-регуляторов,
определяющих требования к защите виртуальных сред
• Проблемы в понимании угроз ИБ при использовании
виртуализации и мер защиты от них
• Молодой рынок средств защиты виртуализации
28. 281 2 3 4 5 6
СРЕДСТВА ЗАЩИТЫ
Защита от НСД
• Код безопасности vGate
• HyTrust Appliance
Антивирусная защита
• Kaspersky Security для виртуальных сред
• TrendMicro DeepSecurity
Создание «зон безопасности»
• VMware vShield App
• Catbird vSecurity
Сетевая безопасность виртуальной среды
• StoneSoft StoneGate FW/VPN/IPS/SSL VPN
• Check Point Security Gateway Virtual Edition
• Cisco ASA 1000v
Контроль целостности
• Tripwire Enterprise for VMware ESX
35. 351 2 3 4 5 6
ОБУЧЕНИЕ И ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ
• Ознакомление работников под роспись с НМД в
области корректной обработки ПДн
• Организация на регулярной основе мероприятий по
разъяснению и комментированию требований и
правил
• Популяризация духа закона
Внедрение повышения осведомленности
Проведение обучения и контроль знаний
• Проведение обучения специалистов в области
информационной безопасности
• Обучение сотрудников юридической службы
особенностям законодательства в области
корректной обработке ПДн и обеспечения
безопасности
• Регулярный контроль знаний
36. 361 2 3 4 5 6
КАДРЫ 80% УСПЕХА
Текущие проблемы с кадрами:
• Общий тренд на сокращение персонала
• Ограниченные возможности штатного расписания
• Изначально недостаточный объем персонала по
ИБ…
Новые функции:
• Сопровождение новых систем и интерпретация
результатов их работы
• Внедрение в жизнь разработанной подрядчиками
документации и процедур
Аутстафинг и атсорсинг – могут решить эту задачу
37. 1 2 3 4 5 6
БЕЗ КАДРОВОГО ОБЕСПЕЧЕНИЯ ВСЕ МЕРОПРИЯТИЯ
ТЕРЯЮТ СМЫСЛ!
38. Порядок выполнения работ по приведению обработки
персональных данных в соответствие требованиям
законодательства
Чугунов Евгений Игоревич
CISSP, CISA, PCI QSA
Москва, 2012
Editor's Notes
Подход к выбору мер (средств защиты) стандратный - перечень базовых мер определяется на основе оценки обеспечиваемого класса защищенности в соответствии с Приложением 2 к Приказу, НО перечень мер возможно адаптировать и уточнять; В случае невозможности (нецелесообразности) реализации отдельных определенных мер возможно использование компенсирующих мер, обеспечивающих нейтрализацию актуальных угроз. Обоснование их применения проводится при проектировании системы защиты (этап разработки), а оценка их достаточности – при аттестационных испытаниях.
Классификация системы – на этапе формирования требований;Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (оператора) от нарушения конфиденциальности, целостности или доступности обрабатываемой информации;Степень возможного ущерба определяется обладателем информации (оператором) самостоятельно экспертным методом и связана с оценкой реализации негативных последствий в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) возможностями системы (оператора) выполнять возложенные на них функции;Если степень ущерба определить не представляется возможным, но инф-ция подлежит защите в соотв-ии с требованиями законодательства, то используется УЗ 4.При обработке в ИС нескольких видов информации уровень значимости определяется для каждого вида, итоговый уровень определяется по максимальному из них. Федеральный масштаб, если ИС функционирует в пределах Российской Федерации (федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.Региональный масштаб, если она функционирует в пределах субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.Объектовый масштаб, если она функционирует в пределах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, подведомственных и иных организациях.
По данным Куратор и КасперскогоМотивы:Конкурентная борьба Вымогательство Мошенничество Месть
Собственная система:+ мою почту никто не прочитает))