Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
Изменения в законодательстве по защите персональных данных: как выполнить новые требования.
Директор по маркетингу Андрей Степаненко
Вебинар 19 июня 2013 г.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Задачи бизнеса и эволюция DLP: какова следующая ступень?InfoWatch
Многие рассматривают DLP просто как очередное средство защиты информации. Модное, интересное, а для некоторых компаний уже и обязательное. При этом упускают саму суть и не до конца осознают все возможности и перспективы современных решений.
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
Изменения в законодательстве по защите персональных данных: как выполнить новые требования.
Директор по маркетингу Андрей Степаненко
Вебинар 19 июня 2013 г.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Задачи бизнеса и эволюция DLP: какова следующая ступень?InfoWatch
Многие рассматривают DLP просто как очередное средство защиты информации. Модное, интересное, а для некоторых компаний уже и обязательное. При этом упускают саму суть и не до конца осознают все возможности и перспективы современных решений.
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...Константин Бажин
Документ устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, принимаемых операторами для защиты
персональных данных от:
•неправомерного или случайного доступа к ним,
•уничтожения, изменения, блокирования, копирования, предоставления,
•распространения персональных данных,
•а также от иных неправомерных действий в отношении персональных данных.
Политика информационной безопасности организации. Стандарт СТБ П ИСО/МЭК 17799-2000/2004 «Информационные технологии и безопасность. Правила управления информационной безопасностью»
InfoWatch. Елена Нестерова. "Внутренние угрозы ИБ, мифы и реальность в услови...
Информационная безопасность без CEO - не информационная безопасность. Конгресс 7 Холмов 24-25 мая 2013.
1. ИБ без СЕО — не ИБ
Сергей Городилов
Руководитель отдела
информационной безопасности
2. Disclaimer
• Канал информирования через сообщество экспертов
сегодня оказывает значительное влияние на отношение к
вопросу персональных данных. Фактически, этот канал
заполняет всё информационное поле за пределами
нормативно-правовых документов.
• Указанные здесь трактовки являются мнением автора,
сложившимся в процессе анализа вступивших в силу
нормативно-правовых документов, а также включает
совокупность мнений и идей экспертного сообщества
• Ответственность за итоговые решения, принятые
операторами ПДн, несут сами операторы
6. 2011. ФЗ-152, ст. 18, ст. 23
Обязательность топ-менеджера по Privacy
Прописаны меры – хорошие практики:
Политика обработки ПДн
Оценка вреда
Оценка эффективности перед вводом в
эксплуатацию
Возможность варьирования орг. мер…
Др.
9. Кого назначить ответственным за
организацию здорового образа
жизни?
Дед
Папа
Я Брат
Мама
Сестра
Общиеценности
ДОВЕРИЕ
Перспектива, если начнем сегодня – 20 лет.
11. 2011. ФЗ-152, ст. 19 п. 9
Надзор за выполнением статьи 19
ИСПДн
ДругиеГосударственные
Роскомнадзор?ФСБ ФСТЭК
149-ФЗ ст.13: ГИС
– ИС, созданные
по закону РФ или
субъекта РФ...
13. 2012. ПП №1119
Четко решено насчет НДВ
Тип
актуальных
угроз
1
НДВ в СПО
и ППО
2
НДВ в ППО
3
Другие
Закладки vs
Сертификация
1 000 000 рублей
Уязвимости vs
Антивирус, IDS, WSUS
1000 рублей/ПК
(например)
*НДВ = недокументированные (недекларированные) возможности
18. Простая модель угроз
1
2
3
Закладки vs
Сертификация
1 000 000
рублей/продукт
Уязвимости vs
Антивирус, IDS, WSUS
1000 рублей/ПК
(например)
Тип угрозы Решение Меры
19. Сложная модель угроз
I. Архитектура системы/техпроцесс
Отдельный ПК
Файл-сервер
Терминальный клиент
Двухзвенный клиент-
сервер
Трехзвенный клиент-
сервер
22. Отсутствие архитектур ИС!
Расширенный перечень мер
Снижены требования к УЗ4 и УЗ3
Широкая трактовка требований
Оценка соответствия в установленной
форме
2013. Приказ ФСТЭК 21
Особенности мер
23. Расширенный набор мер
идентификация и аутентификация (6);
управление доступом (17);
ограничение программной среды (4);
защита машинных носителей информации (8);
регистрация событий безопасности (7);
антивирусная защита (2);
обнаружение (предотвращение) вторжений (2);
контроль (анализ) защищенности (5);
обеспечение целостности (8);
обеспечение доступности (5);
защита среды виртуализации (10);
защита технических средств (5);
защита информационной системы, ее средств, систем связи и
передачи данных (20);
выявление инцидентов (6);
управление конфигурацией ИС (4).
Итого: 109 мер.
24. Расширенный набор мер: итого
Всего мер - 109
Базовых мер для УЗ 4 - 27
Базовых мер для УЗ 3 - 41
Базовых мер для УЗ 2 - 63
Базовых мер для УЗ 1 - 69
Всего дополнительных (компенсирующих) мер
- 40
25. Снижены требования
Мера Содержание Уровни
защищенности
4 3 2 1
УПД.17 Обеспечение доверенной загрузки средств вычислительной
техники
+ +
ОПС.2 Управление установкой (инсталляцией) компонентов
программного обеспечения, в том числе определение
компонентов, подлежащих установке, настройка параметров
установки компонентов, контроль за установкой компонентов
программного обеспечения
+ +
ОПС.3 Установка (инсталляция) только разрешенного к
использованию программного обеспечения и (или) его
компонентов
+
ЗНИ.1 Учет машинных носителей персональных данных
+ +
ЗНИ.2 Управление доступом к машинным носителям персональных
данных
+ +
ЗНИ.8 Уничтожение (стирание) или обезличивание персональных
данных на машинных носителях при их передаче
+ + +
26. Мера Содержание мер по обеспечению безопасности
персональных данных
Уровни
защищенности
4 3 2 1
АНЗ.3 Контроль работоспособности, параметров настройки и
правильности функционирования программного
обеспечения и средств защиты информации
+ + +
АНЗ.4 Контроль состава технических средств, программного
обеспечения и средств защиты информации
+ + +
АНЗ.5 Контроль правил генерации и смены паролей
пользователей, заведения и удаления учетных записей
пользователей, реализации правил разграничения
доступа, полномочий пользователей в
информационной системе
+ +
ОЦЛ.1 Контроль целостности программного обеспечения,
включая программное обеспечение средств защиты
информации
+ +
Снижены требования
27. Расширенная трактовка требований
Мера Содержание Уровни
защищенности
4 3 2 1
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ.1 Идентификация и аутентификация пользователей, являющихся
работниками оператора
+ + + +
ИАФ.2 Идентификация и аутентификация устройств, в том числе
стационарных, мобильных и портативных
+ +
ИАФ.3 Управление идентификаторами, в том числе создание,
присвоение, уничтожение идентификаторов
+ + + +
ИАФ.4 Управление средствами аутентификации, в том числе хранение,
выдача, инициализация, блокирование средств аутентификации
и принятие мер в случае утраты и (или) компрометации средств
аутентификации
+ + + +
ИАФ.5 Защита обратной связи при вводе аутентификационной
информации
+ + + +
ИАФ.6 Идентификация и аутентификация пользователей, не
являющихся работниками оператора (внешних пользователей)
+ + + +
28. 184-ФЗ - Оценка соответствия
Оценка
соответствия
Госконтроль и
надзор
Аккредитация
Испытания
Регистрация
Подтверждение
соответствия
Добровольная
сертификация
Обязательная
сертификация
Декларировани
е соответствия
Приёмка и ввод
в эксплуатацию
В иной форме
29. «12. При использовании в ИС
сертифицированных СЗИ…»
С сайта http://sborisov.blogspot.ru/
31. 2013. Приказ ФСТЭК 21
Процедура выбора мер
Базовый набор мер
Адаптация набора мер (в тч
исключение)
Уточнение мер
Дополнение (СКЗИ, БИО, др.)
Компенсирующие меры
(обоснование)
Специфика ИС
Другие
требования
Экономика,
специфика
НОВЫЕ ИТ!!!
34. О роли консультанта
1. Аудиты
2. Мастер-классы
3. Консультирование
4. Проекты по защите ИСПДн
35. Спасибо за внимание!
Вопросы?
Сергей Городилов
Руководитель отдела информационной
безопасности АСПЕКТ СПб
Тел. 35-13-31, доб. 223
gors@aspectspb.ru
@SergeyGorodilov