Снижение рисков и затрат на внедрение защиты информационной системы персональных данных (ИСПДн) путем выноса серверного сегмента в специализированное облако Softline.
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Что нам ждать от законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
Презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго и т.п.
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
- Хостинг для операторов персональных данных
- Размещение ИСПДн на облачных вычислительных ресурсах
- Соответствие требованиям Федерального закона № 152-ФЗ от 27.07.2006
- Выполнение требований Постановления Правительства № 1119 от 01.11.2012
- Меры безопасности предусмотренные Приказом ФСТЭК № 21 от 18.02.2013
- Серверы на территории Российской Федерации
- Уровень надежности ЦОД - Tier 3
- Модели предоставления услуг: IaaS, PaaS, SaaS
- Сертифицированные СЗИ, СКЗИ
- Разработка Модели угроз ИСПДн
- Организационно-распорядительная документация
- Разработка проекта на систему защиты ИСПДн
- Аттестация ИСПДн
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...ActiveCloud
Вячеслав Аксёнов
архитектор систем информационной безопасности управления разработки и внедрения облачных решений компании ActiveCloud
Использование технологий облачных вычислений в сфере государственных услуг становится тенденцией во всем мире. Более двадцати европейских стран используют или планируют использовать технологии облачных вычислений в государственном секторе.
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Что нам ждать от законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
Презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго и т.п.
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
- Хостинг для операторов персональных данных
- Размещение ИСПДн на облачных вычислительных ресурсах
- Соответствие требованиям Федерального закона № 152-ФЗ от 27.07.2006
- Выполнение требований Постановления Правительства № 1119 от 01.11.2012
- Меры безопасности предусмотренные Приказом ФСТЭК № 21 от 18.02.2013
- Серверы на территории Российской Федерации
- Уровень надежности ЦОД - Tier 3
- Модели предоставления услуг: IaaS, PaaS, SaaS
- Сертифицированные СЗИ, СКЗИ
- Разработка Модели угроз ИСПДн
- Организационно-распорядительная документация
- Разработка проекта на систему защиты ИСПДн
- Аттестация ИСПДн
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬС...ActiveCloud
Вячеслав Аксёнов
архитектор систем информационной безопасности управления разработки и внедрения облачных решений компании ActiveCloud
Использование технологий облачных вычислений в сфере государственных услуг становится тенденцией во всем мире. Более двадцати европейских стран используют или планируют использовать технологии облачных вычислений в государственном секторе.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
Доклад: Правовые и технические аспекты защиты персональных данных в электронной коммерции
Форум: Экосистема электронной коммерции
(30 марта 2017, Москва, Шератон Палас)
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
Продуктовая линейка компании «Код Безопасности» LETA IT-company
Презентация компании «Код Безопасности», проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...IBS
Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS.
Подробности: http://www.ibs.ru
7. Утечки персональных данных – хакеры (не только русские)
«Бюро кредитных историй Equifax сообщило об утечке личных данных
143 млн. американских граждан в период с середины мая по июль 2017 года.
Утечка может быть признана одной из крупнейших в Соединенных Штатах. В декабре
прошлого года Yahoo Inc. заявила, что в августе 2013 г. было скомпрометировано более
1 млрд. учетных записей пользователей, а в 2014 г. интернет-площадка для торговли EBay
Inc. призвала 145 млн пользователей изменить свои пароли после кибер-атаки».
Ведомости, 08.09.2017
https://www.vedomosti.ru/technology/articles/2017/09/08/732945-ssha-utechka-dannih
8. Совет Федерации обнародовал номера паспортов сенаторов.
«Номера паспортов 164 членов Совета Федерации опубликованы на официальном
портале государственных закупок.
Персональные данные сенаторов (за исключением представителей Севастополя,
Магаданской, Челябинской областей, Приморского края и Республики Татарстан)
разместил в открытом доступе аппарат верхней палаты в составе документов контракта
на оказание услуг по страхованию сенаторов от несчастных случаев и болезней».
РБК, 17.03.2015
http://www.rbc.ru/politics/17/03/2015/55085b0f9a79479d844ad14d
Утечки персональных данных – «человеческий фактор»
9. Персональные данные требуют защиты!
1996 г. - вступление России в Совет Европы.
2001 г. - подписание Конвенции «О защите физических лиц при
автоматизированной обработке персональных данных».
2006 г - Федеральный Закон №152 «О персональных данных».
1 сентября 2015 – начало действия 242-ФЗ . Сбор и изменение
ПД можно проводить только на территории РФ.
13. Преступление и наказание 3. Черный список Роскомнадзора
Невыполнение требований законодательства по ПД может привести к попаданию сайта
организации в Реестр нарушителей прав субъектов персональных данных и блокированию его в
сети Интернет!
14. Что влияет на требования к защите ПД*
Категория ПД
Общедоступные
Специальные
Биометрические
Иные
Категория
субъектов
Сотрудники оператора ПД
Не сотрудники оператора ПД
Количество меньше 100 000 субъектов
больше 100 000 субъектов
Тип актуальных
угроз**
Угрозы, связанные с недекларируемыми возможностями в системном ПО.
Угрозы, связанные с недекларируемыми возможностями в прикладном ПО.
Угрозы, не связанные с НДВ в системном и прикладном ПО.
*Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных
системах персональных данных«
**На основе документа «БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ» ФСТЕК, 2008
15. Уровни защищенности
Постановление Правительства РФ от 01.11.2012 N 1119
"Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
Категория ПД
Категория
субъектов
Количество
субъектов
Угрозы 1 типа (НДВ
Системного ПО)
Угрозы 2 типа (НДВ
прикладного ПО)
Угрозы 3 типа (Иные
угрозы)
Общедоступные
Сотрудники Любое УЗ-2 УЗ-3 УЗ-4
Не сотрудники Меньше 100 000 УЗ-2 УЗ-3 УЗ-4
Не сотрудники Больше 100 000 УЗ-2 УЗ-2 УЗ-4
Иные
Сотрудники Любое УЗ-2 УЗ-3 УЗ-4
Не сотрудники Меньше 100 000 УЗ-2 УЗ-3 УЗ-4
Не сотрудники Больше 100 000 УЗ-1 УЗ-2 УЗ-3
Биометрические Любые Любое УЗ-1 УЗ-2 УЗ-3
Специальные
Сотрудники Любое УЗ-1 УЗ-2 УЗ-3
Не сотрудники Меньше 100 000 УЗ-1 УЗ-2 УЗ-3
Не сотрудники Больше 100 000 УЗ-1 УЗ-1 УЗ-2
17. Примерный алгоритм действий по выбору средств защиты ПД
1. Исходя из документа ФСТЭК «БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ…» формируется актуальная модель угроз для вашей
ИСПДн.
2. По табличке «Уровни защищенности» (Слайд 7) определяется нужный уровень.
3. По приложению к Приказу №21 ФСТЭК (Слайд 8) определяется необходимый состав
и содержание мер, которые нужно реализовать для защиты вашей ИСПДн
4. Значительную долю этих мер можно поручить (по договорупоручению) выполнять
нам, разместив серверный сегмент ИСПДн в «Защищенном облаке Softline(ФЗ-152)».
18. Защищенное облако Softline
«Защищенное облако Softline» - публичная (мультитенантная)
облачная инфраструктура, аттестованная в соответствии с
требованиями к защите персональных данных (ФЗ-152) уровня
защищенности 3 и 4*:
Полное соответствие стандартам регуляторов в облаке по ежемесячной модели
оплаты;
Размещение в ЦОД уровня Tier III в Москве
Платформа виртуализации VMware
Широкий спектр дополнительных услуг по защите ПД и сопровождению
информационных систем.
19. Размещение ИСПДн УЗ-1 и УЗ-2
“Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня
защищенности персональных данных в информационных системах, для которых к актуальным отнесены
угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло
проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.” Приказ
№21 ФСТЭК
VMware vSphere не имеет сертификата НДВ
Вывод: У3-1 и УЗ-2 можно разместить только в частном Защищенном облаке
20. Услуги Softline
1.Разработка и предоставление комплекта организационно-распорядительной
документации (ОРД):
1.Модель угроз безопасности серверного сегмента
2.Акты классификации Защищенного облака.
3.Описание подсистемы защиты.
4.Приказы об утверждении регламентных документов обеспечения информационной
безопасности (модели здоровья, регламент РК и пр.)
5.Поручение об обработке ПД(хранение персональных данных и предоставление этих
персональных данных для обработки пользователям Заказчика).
2.Размещение информационных систем в публичном или частном облаке, защищенном
следующими СЗИ:
1. Межсетевой экран Check Point Security Gateway
2. Средство криптографической защиты канала связи С-Терра
3. средства антивирусной защиты Kaspersky Security ;
4. средство защиты виртуальной среды vGate R2, в т.ч. обеспечивающее контроль целостности;
5. Средство анализа защищенности «XSpider 7.8»;
6. средства защиты от несанкционированного доступа SecretNet.
7. Система резервного копирования на базе Veeam
8. Система мониторинга инфраструктуры
22. 1. Создание всей необходимой ОРД (в т.ч. модели угроз и УЗ) внутри организации – при
помощи Softline, веб-сервисов (для небольших компаний) или самостоятельно.
2. Размещение серверного сегмента ИСПДн по договору-поручению в Защищенном облаке
Softline.
3. Защита канала связи и рабочих мест сотрудников на территории Заказчика (С-Терра,
антивирус, СДЗ и пр.).
4. Подача в Роскомнадзор уведомления о начале обработки ПД или об изменении условий
обработки ПД.
5. Оценка эффективности принятых мер защиты. Для ГИС/МИС – обязательна аттестация, для
коммерческих – нет.
Как обеспечить защиту ПД организации при помощи
Защищенного облака?
23. СТРУКТУРА ТИПОВОГО ПРОЕКТА КОМПАНИИ SOFTLINE
ПО СОЗДАНИЮ СИСТЕМЫ ЗАЩИТЫ ПДн
1
этап
Разработка системы защиты ПДн
Аттестация ИС по требованиям защиты
информации
ОПЦИОНАЛЬНО!
2
этап
Формирование требований к защищаемой
информации, содержащейся в ИС
3
этап
4
этап
Внедрение системы защиты ПДн
24. Динар Гарипов
Руководитель направления развития бизнеса
Департамент облачных технологий
Email/Skype for business: Dinar.Garipov@softlinegroup.com
Telegram: http://t.me/dgaripov
Сюда входят: Предпроектное обследование:
Сбор данных об информационных системах ПДн Заказчика;
Сбор данных о процессах обработки ПДн;
Сбор о применяемых мерах и средствах защиты информации.
Моделирование угроз безопасности:
Анализ исходных данных;
Определение актуальных угроз;
Определение исходного уровня защищенности ПДн;
Составление перечня актуальных угроз;
Разработка модели угроз и модели нарушителя;
Проекты актов определения уровня защищенности ПДн, обрабатываемой в ИСПДн.
Разработка концепции СЗПДн:
Составление рекомендаций по оптимизации процессов обработки ПДн;
Разработка упрощенных описаний предлагаемых технических решений построения СЗПДн
Разработка СЗПДн: Разработка технического задания включает:
Определение требований для установленного уровня защищенности;
Определение требований для нейтрализации актуальных угроз безопасности.
Проектирование СЗПДн:
Выбор средств защиты информации;
Количественный состав средств защиты информации;
Описание применения средств защиты информации;
Разработка схем, планов и т.д.
Разработка необходимого комплекта организационно-распорядительной и эксплуатационной документации.
3. Поставка и внедрение средств защиты информации (довольно часто является опциональным этапом):
1. Поставка средств защиты информации;
2. Установка и настройка средств защиты информации;
3. Опытная эксплуатация средств защиты информации.
4. Оценка соответствия требованиям по безопасности информации – аттестация информационной системы персональных данных (опционально):
1. Оценка соответствия в форме аттестации по требованиям безопасности информации или декларирования соответствия.
5. Сопровождение СЗПДн (опционально) – консультационная и техническая поддержка проекта после его завершения.