SlideShare a Scribd company logo

Как определить уровень защищенности ПДн?

Cisco Russia
Cisco Russia

Как определить уровень защищенности ПДн?

Technology
1 of 20
Download to read offline
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Как определить уровень защищенности ПДн? Алексей Лукацкий Бизнес-консультант по безопасности 22 January 2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Класс ИСПДн или уровень защищенности? Старый ФЗ •  Класс ИСПДн определяется в зависимости от объема и типа ПДн •  Класс и модель угроз определяют защитные меры •  Класс определяется оператором Новый ФЗ •  Понятие «классификации» отсутствует •  Вводится понятие «уровень защищенности» •  Зависит от угроз •  Определяются Правительством РФ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Сценарии классификации ИСПДн: так было раньше •  Специальные и типовые •  Тип и объем ПДн •  4 класса типовых (Кх)Приказ 3-х •  Все специальные СТО БР ИББС •  Типовые и специальные •  Тип, объем и характеристики безопасности •  4 класса + подклассы на основе 6 характеристикМинсвязь •  Все специальные •  Тип и объем ПДн •  4 класса (КхС)НАУФОР •  Типовые и специальные •  5 классов специальных ИСПДн (АРМ А, АРМ П, ИСПДнОСхс)Тритон
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Приказ трех больше не действует •  «Приказ трех» формально не действует с 01.11.2012 Согласно нормам правам •  ФСТЭК специально разработала проект приказа о недействительности «приказа трех» Утвержден 31 декабря 2013 года – №151/786/461 Подписан руководителями ФСТЭК, ФСБ и Минкомсвязи
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Уровни защищенности •  Под уровнем защищенности ПДн понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн •  Правительство РФ с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн устанавливает уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Постановление Правительства №1119 •  ИСПДн-С Обработка специальных ПДн, исключая судимость •  ИСПДн-Б Обработка биометрических ПДн •  ИСПДн-О Обработка ПДн, полученных только из общедоступных источников ПДн •  ИСПДн-И Обработка иных категорий ПДн •  ИСПДн-Ю Обработка ПДн только сотрудников юрлица
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Первый проект ПП-1119: категории нарушителей •  КН1 – нарушитель (группа нарушителей), самостоятельно осуществляющий (осуществляющая) создание методов и средств реализации атак и реализацию атак на информационную систему (нарушитель с низким потенциалом) •  КН2 – группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на ИС с привлечением специалистов в области разработки и анализа СЗИ, включая специалистов в области защиты информации от утечки по техническим каналам и (или) специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО (нарушитель со средним потенциалом) •  КН3 – нарушитель или группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на ИС с привлечением специалистов в области разработки и анализа СЗИ, включая специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО (нарушитель с высоким потенциалом)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Откуда взялись категории нарушителей? КН1 •  Н1-Н3 КН2 •  Н4-Н5 КН3 •  Н6 §  6 моделей нарушителя ФСБ Н1 – внешний нарушитель, действующий без помощи изнутри Н2 – внутренний нарушитель, не являющийся пользователем СКЗИ Н3 – внутренний нарушитель, являющийся пользователем СКЗИ Н4 – нарушитель, привлекающий специалистов в области разработки СКЗИ и их анализа Н5 – нарушитель, привлекающий НИИ в области разработки СКЗИ и их анализа Н6 – спецслужбы иностранных государств
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 От категорий нарушителей к типам угроз •  Угрозы 1-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в составе информационной системы персональных данных •  Угрозы 2-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в составе информационной системы персональных данных •  Угрозы 3-го типа актуальны для информационной системы персональных данных, если для нее не актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в составе информационной системы персональных данных
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Актуальны ли НДВ для ИСПДн?! КН1 •  Н1-Н3 КН2 •  Н4-Н5 КН3 •  Н6 1 тип 2 тип 3 тип Категории нарушителей (так было раньше) Типы угроз (так стало сейчас)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Кто определяет типы угроз? •  Определение типа угроз безопасности персональных данных, актуальных для информационной системы персональных данных, производится оператором с учетом совокупности условий и факторов, указанных в подпункте «е» пункта 2, а также оценки вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и нормативных правовых актов, принятых во исполнение части 5 статьи 19 Федерального закона «О персональных данных» Оценка вреда производится самостоятельно
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Подпункт «е» пункта 2 ПП-1119 •  Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных Опасность должна быть актуальной, а не теоретической
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Угрозы или типы угроз? •  Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 181 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных» Тип угроз Угрозы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 А вот с угрозами не все так просто! Кто может разработать модель угроз? Банк России Регулятор (ФОИВ) в установленной сфере деятельности Органы госвласти субъектов РФ Органы государственных внебюджетных фондов Иные госорганы Ассоциации, союзы, объединения операторов ПДн
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Могу ли я сам моделировать угрозы? •  Пока правовых актов, принятых во исполнение части 5 статьи 19 Федерального закона «О персональных данных», в России не принято Банк России готовит новую версию отраслевой модели угроз ПДн в рамках СТО БР ИББС •  ФСТЭК готовит методику моделирования угроз, единую для ИСПДн и ГИС •  Что делать, если у оператора ПДн не существует отраслевого регулятора? Можно ли самостоятельно составить перечень актуальных угроз 3-го типа?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Определяем уровни защищенности Тип ИСПДн Категории субъектов Количество субъектов Тип актуальных угроз 1 тип 2 тип 3 тип ИСПДН-С Не сотрудники Более 100000 УЗ1 УЗ1 УЗ2 Менее чем 100000 УЗ1 УЗ2 УЗ3 Сотрудники Более 100000 УЗ1 УЗ2 УЗ3 Менее чем 100000 УЗ1 УЗ2 УЗ3 Тип ИСПДн Категории субъектов Количество субъектов Тип актуальных угроз 1 тип 2 тип 3 тип ИСПДН-Б Не сотрудники Более 100000 УЗ1 УЗ2 УЗ3 Менее чем 100000 УЗ1 УЗ2 УЗ3 Сотрудники Более 100000 УЗ1 УЗ2 УЗ3 Менее чем 100000 УЗ1 УЗ2 УЗ3 Тип ИСПДн Категории субъектов Количество субъектов Тип актуальных угроз 1 тип 2 тип 3 тип ИСПДН-И Не сотрудники Более 100000 УЗ1 УЗ2 УЗ3 Менее чем 100000 УЗ1 УЗ3 УЗ4 Сотрудники Более 100000 УЗ1 УЗ3 УЗ4 Менее чем 100000 УЗ1 УЗ3 УЗ4 Тип ИСПДн Категории субъектов Количество субъектов Тип актуальных угроз 1 тип 2 тип 3 тип ИСПДН-О Не сотрудники Более 100000 УЗ2 УЗ2 УЗ4 Менее чем 100000 УЗ2 УЗ3 УЗ4 Сотрудники Более 100000 УЗ2 УЗ3 УЗ4 Менее чем 100000 УЗ2 УЗ3 УЗ4
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Резюмируя: уровень защищенности зависит от НДВ •  Уровень защищенности зависит преимущественно от типа актуальных угроз •  Оператор ПДн имеет полное право самостоятельно принимать решение об актуальности типа угроз
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 А что если признать НДВ актуальными? •  В случае определения в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных могут применяться следующие меры Проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых; Тестирование информационной системы на проникновения Использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования •  Что является доказательством реализации данных мер? Сертификат соответствия, договор на пентест, декларация производителя… •  На реальную защищенность ПДн признание НДВ актуальными никак не влияет, а затраты возрастают многократно И не всегда физически возможности провести анализ отсутствия НДВ во всем ПО
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 А что если признать НДВ актуальными? •  СКЗИ класса КВ применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО Прощай open source •  СКЗИ класса КА применяются, когда могут быть использованы недекларированные возможности в системном ПО •  На 1-м уровне защищенности также потребуется установить на первых и последних этажах зданий решетки или ставни
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Благодарю за внимание

Recommended

Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнSecurity Code Ltd.
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
Cisco Russia
 
Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017
S-Terra CSP
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
Александр Лысяк
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Александр Лысяк
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнSecurity Code Ltd.
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
Cisco Russia
 
Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017
S-Terra CSP
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
Александр Лысяк
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Александр Лысяк
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК России
Компания УЦСБ
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...NAUMEN. Информационные системы управления растущим бизнесом
 
Журнал
ЖурналЖурнал
Журнал
Sergey Semenov
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
Компания УЦСБ
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
Виртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и ТерроризмВиртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и Терроризм
SL.GH VIPNET T.C
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
 
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
КРОК
 
Приказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения CiscoПриказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Cisco Russia
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
Matevosyan Artur
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Security Code Ltd.
 
IST: Оценка уровня защищенности информационных систем
IST: Оценка уровня защищенности информационных системIST: Оценка уровня защищенности информационных систем
IST: Оценка уровня защищенности информационных систем
Expolink
 
Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14
DialogueScience
 
Эрмитаж
ЭрмитажЭрмитаж
Эрмитаж
1С-Битрикс
 
Управление проектами в «Битрикс24»
Управление проектами в «Битрикс24»Управление проектами в «Битрикс24»
Управление проектами в «Битрикс24»
1С-Битрикс
 
12 масштабных обновлений в Битрикс24.Корсика
12 масштабных обновлений в Битрикс24.Корсика12 масштабных обновлений в Битрикс24.Корсика
12 масштабных обновлений в Битрикс24.Корсика
Наталья Сергеева
 

More Related Content

What's hot

Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК России
Компания УЦСБ
 
Журнал
ЖурналЖурнал
Журнал
Sergey Semenov
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
Компания УЦСБ
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
Виртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и ТерроризмВиртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и Терроризм
SL.GH VIPNET T.C
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
 
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
КРОК
 
Приказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения CiscoПриказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Cisco Russia
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
Matevosyan Artur
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Security Code Ltd.
 

What's hot (17)

Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК России
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
Журнал
ЖурналЖурнал
Журнал
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
Виртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и ТерроризмВиртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и Терроризм
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
 
Приказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения CiscoПриказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
Приказ ФСТЭК №31 по защите АСУ ТП и решения Cisco
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...
 

Viewers also liked

IST: Оценка уровня защищенности информационных систем
IST: Оценка уровня защищенности информационных системIST: Оценка уровня защищенности информационных систем
IST: Оценка уровня защищенности информационных систем
Expolink
 
Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14
DialogueScience
 
Эрмитаж
ЭрмитажЭрмитаж
Эрмитаж
1С-Битрикс
 
Управление проектами в «Битрикс24»
Управление проектами в «Битрикс24»Управление проектами в «Битрикс24»
Управление проектами в «Битрикс24»
1С-Битрикс
 
12 масштабных обновлений в Битрикс24.Корсика
12 масштабных обновлений в Битрикс24.Корсика12 масштабных обновлений в Битрикс24.Корсика
12 масштабных обновлений в Битрикс24.Корсика
Наталья Сергеева
 
Корпоративный портал. Облачный сервис «Битрикс24» и коробочная версия
Корпоративный портал. Облачный сервис «Битрикс24» и коробочная версияКорпоративный портал. Облачный сервис «Битрикс24» и коробочная версия
Корпоративный портал. Облачный сервис «Битрикс24» и коробочная версия1С-Битрикс
 
CRM «Битрикс24» для управления продажами
CRM «Битрикс24» для управления продажамиCRM «Битрикс24» для управления продажами
CRM «Битрикс24» для управления продажами
1С-Битрикс
 

Viewers also liked (7)

IST: Оценка уровня защищенности информационных систем
IST: Оценка уровня защищенности информационных системIST: Оценка уровня защищенности информационных систем
IST: Оценка уровня защищенности информационных систем
 
Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14
 
Эрмитаж
ЭрмитажЭрмитаж
Эрмитаж
 
Управление проектами в «Битрикс24»
Управление проектами в «Битрикс24»Управление проектами в «Битрикс24»
Управление проектами в «Битрикс24»
 
12 масштабных обновлений в Битрикс24.Корсика
12 масштабных обновлений в Битрикс24.Корсика12 масштабных обновлений в Битрикс24.Корсика
12 масштабных обновлений в Битрикс24.Корсика
 
Корпоративный портал. Облачный сервис «Битрикс24» и коробочная версия
Корпоративный портал. Облачный сервис «Битрикс24» и коробочная версияКорпоративный портал. Облачный сервис «Битрикс24» и коробочная версия
Корпоративный портал. Облачный сервис «Битрикс24» и коробочная версия
 
CRM «Битрикс24» для управления продажами
CRM «Битрикс24» для управления продажамиCRM «Битрикс24» для управления продажами
CRM «Битрикс24» для управления продажами
 

Similar to Как определить уровень защищенности ПДн?

Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
Aleksey Lukatskiy
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИ
DialogueScience
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасности
Ivan Simanov
 
Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?
ЭЛВИС-ПЛЮС
 
Shudrova_PDN_27052015
Shudrova_PDN_27052015Shudrova_PDN_27052015
Shudrova_PDN_27052015
Ksenia Shudrova
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
Demian Ramenskiy
 
Применение криптографических средств при построении системы защиты персональн...
Применение криптографических средств при построении системы защиты персональн...Применение криптографических средств при построении системы защиты персональн...
Применение криптографических средств при построении системы защиты персональн...
КРОК
 
Современные вирусные угрозы: тенденции развития и методы борьбы
Современные вирусные угрозы: тенденции развития и методы борьбыСовременные вирусные угрозы: тенденции развития и методы борьбы
Современные вирусные угрозы: тенденции развития и методы борьбыalterbass
 
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
imbasoft ru
 
Практика рассмотрения моделей угроз безопасности информации органов государст...
Практика рассмотрения моделей угроз безопасности информации органов государст...Практика рассмотрения моделей угроз безопасности информации органов государст...
Практика рассмотрения моделей угроз безопасности информации органов государст...
journalrubezh
 
Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.
Александр Лысяк
 
Information security risk management presentation
Information security risk management presentationInformation security risk management presentation
Information security risk management presentation
Вячеслав Аксёнов
 
Управление риском в СМИБ.pdf
Управление риском в СМИБ.pdfУправление риском в СМИБ.pdf
Управление риском в СМИБ.pdf
trenders
 
Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.
Expolink
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
Cisco Russia
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
Алексей Кураленко
 
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
IBS
 

Similar to Как определить уровень защищенности ПДн? (20)

Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИ
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасности
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 
Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?
 
Shudrova_PDN_27052015
Shudrova_PDN_27052015Shudrova_PDN_27052015
Shudrova_PDN_27052015
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
 
Применение криптографических средств при построении системы защиты персональн...
Применение криптографических средств при построении системы защиты персональн...Применение криптографических средств при построении системы защиты персональн...
Применение криптографических средств при построении системы защиты персональн...
 
Threat Modeling (Part 4)
Threat Modeling (Part 4)Threat Modeling (Part 4)
Threat Modeling (Part 4)
 
Современные вирусные угрозы: тенденции развития и методы борьбы
Современные вирусные угрозы: тенденции развития и методы борьбыСовременные вирусные угрозы: тенденции развития и методы борьбы
Современные вирусные угрозы: тенденции развития и методы борьбы
 
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
 
Практика рассмотрения моделей угроз безопасности информации органов государст...
Практика рассмотрения моделей угроз безопасности информации органов государст...Практика рассмотрения моделей угроз безопасности информации органов государст...
Практика рассмотрения моделей угроз безопасности информации органов государст...
 
Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
Information security risk management presentation
Information security risk management presentationInformation security risk management presentation
Information security risk management presentation
 
Управление риском в СМИБ.pdf
Управление риском в СМИБ.pdfУправление риском в СМИБ.pdf
Управление риском в СМИБ.pdf
 
Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
 
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
 

More from Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Cisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Russia
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Russia
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Russia
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco Russia
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
Cisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Как определить уровень защищенности ПДн?

  • 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Как определить уровень защищенности ПДн? Алексей Лукацкий Бизнес-консультант по безопасности 22 January 2015
  • 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Класс ИСПДн или уровень защищенности? Старый ФЗ •  Класс ИСПДн определяется в зависимости от объема и типа ПДн •  Класс и модель угроз определяют защитные меры •  Класс определяется оператором Новый ФЗ •  Понятие «классификации» отсутствует •  Вводится понятие «уровень защищенности» •  Зависит от угроз •  Определяются Правительством РФ
  • 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Сценарии классификации ИСПДн: так было раньше •  Специальные и типовые •  Тип и объем ПДн •  4 класса типовых (Кх)Приказ 3-х •  Все специальные СТО БР ИББС •  Типовые и специальные •  Тип, объем и характеристики безопасности •  4 класса + подклассы на основе 6 характеристикМинсвязь •  Все специальные •  Тип и объем ПДн •  4 класса (КхС)НАУФОР •  Типовые и специальные •  5 классов специальных ИСПДн (АРМ А, АРМ П, ИСПДнОСхс)Тритон
  • 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Приказ трех больше не действует •  «Приказ трех» формально не действует с 01.11.2012 Согласно нормам правам •  ФСТЭК специально разработала проект приказа о недействительности «приказа трех» Утвержден 31 декабря 2013 года – №151/786/461 Подписан руководителями ФСТЭК, ФСБ и Минкомсвязи
  • 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Уровни защищенности •  Под уровнем защищенности ПДн понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн •  Правительство РФ с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн устанавливает уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных
  • 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Постановление Правительства №1119 •  ИСПДн-С Обработка специальных ПДн, исключая судимость •  ИСПДн-Б Обработка биометрических ПДн •  ИСПДн-О Обработка ПДн, полученных только из общедоступных источников ПДн •  ИСПДн-И Обработка иных категорий ПДн •  ИСПДн-Ю Обработка ПДн только сотрудников юрлица
  • 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Первый проект ПП-1119: категории нарушителей •  КН1 – нарушитель (группа нарушителей), самостоятельно осуществляющий (осуществляющая) создание методов и средств реализации атак и реализацию атак на информационную систему (нарушитель с низким потенциалом) •  КН2 – группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на ИС с привлечением специалистов в области разработки и анализа СЗИ, включая специалистов в области защиты информации от утечки по техническим каналам и (или) специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО (нарушитель со средним потенциалом) •  КН3 – нарушитель или группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на ИС с привлечением специалистов в области разработки и анализа СЗИ, включая специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО (нарушитель с высоким потенциалом)
  • 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Откуда взялись категории нарушителей? КН1 •  Н1-Н3 КН2 •  Н4-Н5 КН3 •  Н6 §  6 моделей нарушителя ФСБ Н1 – внешний нарушитель, действующий без помощи изнутри Н2 – внутренний нарушитель, не являющийся пользователем СКЗИ Н3 – внутренний нарушитель, являющийся пользователем СКЗИ Н4 – нарушитель, привлекающий специалистов в области разработки СКЗИ и их анализа Н5 – нарушитель, привлекающий НИИ в области разработки СКЗИ и их анализа Н6 – спецслужбы иностранных государств
  • 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 От категорий нарушителей к типам угроз •  Угрозы 1-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в составе информационной системы персональных данных •  Угрозы 2-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в составе информационной системы персональных данных •  Угрозы 3-го типа актуальны для информационной системы персональных данных, если для нее не актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в составе информационной системы персональных данных
  • 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Актуальны ли НДВ для ИСПДн?! КН1 •  Н1-Н3 КН2 •  Н4-Н5 КН3 •  Н6 1 тип 2 тип 3 тип Категории нарушителей (так было раньше) Типы угроз (так стало сейчас)
  • 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Кто определяет типы угроз? •  Определение типа угроз безопасности персональных данных, актуальных для информационной системы персональных данных, производится оператором с учетом совокупности условий и факторов, указанных в подпункте «е» пункта 2, а также оценки вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и нормативных правовых актов, принятых во исполнение части 5 статьи 19 Федерального закона «О персональных данных» Оценка вреда производится самостоятельно
  • 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Подпункт «е» пункта 2 ПП-1119 •  Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных Опасность должна быть актуальной, а не теоретической
  • 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Угрозы или типы угроз? •  Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 181 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных» Тип угроз Угрозы
  • 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 А вот с угрозами не все так просто! Кто может разработать модель угроз? Банк России Регулятор (ФОИВ) в установленной сфере деятельности Органы госвласти субъектов РФ Органы государственных внебюджетных фондов Иные госорганы Ассоциации, союзы, объединения операторов ПДн
  • 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Могу ли я сам моделировать угрозы? •  Пока правовых актов, принятых во исполнение части 5 статьи 19 Федерального закона «О персональных данных», в России не принято Банк России готовит новую версию отраслевой модели угроз ПДн в рамках СТО БР ИББС •  ФСТЭК готовит методику моделирования угроз, единую для ИСПДн и ГИС •  Что делать, если у оператора ПДн не существует отраслевого регулятора? Можно ли самостоятельно составить перечень актуальных угроз 3-го типа?
  • 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Определяем уровни защищенности Тип ИСПДн Категории субъектов Количество субъектов Тип актуальных угроз 1 тип 2 тип 3 тип ИСПДН-С Не сотрудники Более 100000 УЗ1 УЗ1 УЗ2 Менее чем 100000 УЗ1 УЗ2 УЗ3 Сотрудники Более 100000 УЗ1 УЗ2 УЗ3 Менее чем 100000 УЗ1 УЗ2 УЗ3 Тип ИСПДн Категории субъектов Количество субъектов Тип актуальных угроз 1 тип 2 тип 3 тип ИСПДН-Б Не сотрудники Более 100000 УЗ1 УЗ2 УЗ3 Менее чем 100000 УЗ1 УЗ2 УЗ3 Сотрудники Более 100000 УЗ1 УЗ2 УЗ3 Менее чем 100000 УЗ1 УЗ2 УЗ3 Тип ИСПДн Категории субъектов Количество субъектов Тип актуальных угроз 1 тип 2 тип 3 тип ИСПДН-И Не сотрудники Более 100000 УЗ1 УЗ2 УЗ3 Менее чем 100000 УЗ1 УЗ3 УЗ4 Сотрудники Более 100000 УЗ1 УЗ3 УЗ4 Менее чем 100000 УЗ1 УЗ3 УЗ4 Тип ИСПДн Категории субъектов Количество субъектов Тип актуальных угроз 1 тип 2 тип 3 тип ИСПДН-О Не сотрудники Более 100000 УЗ2 УЗ2 УЗ4 Менее чем 100000 УЗ2 УЗ3 УЗ4 Сотрудники Более 100000 УЗ2 УЗ3 УЗ4 Менее чем 100000 УЗ2 УЗ3 УЗ4
  • 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Резюмируя: уровень защищенности зависит от НДВ •  Уровень защищенности зависит преимущественно от типа актуальных угроз •  Оператор ПДн имеет полное право самостоятельно принимать решение об актуальности типа угроз
  • 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 А что если признать НДВ актуальными? •  В случае определения в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных могут применяться следующие меры Проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых; Тестирование информационной системы на проникновения Использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования •  Что является доказательством реализации данных мер? Сертификат соответствия, договор на пентест, декларация производителя… •  На реальную защищенность ПДн признание НДВ актуальными никак не влияет, а затраты возрастают многократно И не всегда физически возможности провести анализ отсутствия НДВ во всем ПО
  • 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 А что если признать НДВ актуальными? •  СКЗИ класса КВ применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО Прощай open source •  СКЗИ класса КА применяются, когда могут быть использованы недекларированные возможности в системном ПО •  На 1-м уровне защищенности также потребуется установить на первых и последних этажах зданий решетки или ставни
  • 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Благодарю за внимание