SlideShare a Scribd company logo

Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк Виктор, ДиалогНаука)

Download as PPT, PDF
NAUMEN. Информационные системы управления растущим бизнесом
NAUMEN. Информационные системы управления растущим бизнесом
1 of 35
Практические аспекты защиты персональных данных в информационных системах операторов связи Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Стадии создания системы защиты персональных данных • предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического задания на ее создание • стадия проектирования и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн; • стадия ввода в действие СЗПДн, включающая опытную эксплуатацию • аттестация ИСПДн по требованиям безопасности информации
Предпроектная стадия • определение необходимости обработки ПДн в ИСПДн; • определение перечня ПДн, подлежащих защите от НСД; • определение условий расположения ИСПДн относительно границ контролируемой зоны; • определение конфигурации и топология ИСПДн; • определение технических средств и систем, которые используются в ИСПДн; • определение класса ИСПДн; • уточнение степени участия персонала в обработке ПДн; • разработка частной модели угроз информационной безопасности ПДн.
Состав исходных данных • Информация об организационной структуре компании • Организационно-распорядительная и нормативно- методическая документация по вопросам информационной безопасности • Информация об ИС, обрабатывающих персональные данные • Информация об аппаратном, общесистемном и прикладном обеспечении ИСПДн • Информация о средствах защиты, установленных в ИСПДн • Информация о топологии ИСПДн
Методы сбора исходных данных • Предоставление опросных листов по определѐнной тематике, самостоятельно заполняемых сотрудниками Заказчика • Интервьюирование сотрудников Заказчика, обладающих необходимой информацией • Анализ существующей организационно- технической документации, используемой Заказчиком • Использование специализированных программных средств
Тест на проникновение (Penetration testing) Тест на проникновение позволяет получить независимую оценку безопасности ИСПДн по отношению к внешнему нарушителю Исходные данные  IP-адреса внешних серверов  Анализ проводится с внешнего периметра Собираемая информация  Топология сети  Используемые ОС и версии ПО  Запущенные сервисы  Открытые порты, конфигурация и т.д.
Обобщенный план теста на проникновение получение информации из открытых источников сканирование внешнего периметра Техническая составляющая Социальная составляющая вступление в контакт с персоналом поиск / создание эксплойтов взлом внешнего периметра / DMZ обновление троянской программы сканирование внутренней сети атака на человека поиск / создание эксплойта получение доступа к узлу локальной сети взлом узла локальной сети Получение доступа к персональным данным
Инструментальный анализ защищенности Для чего предназначен:  Инвентаризация сетевых сервисов ИСПДн (устройства, ОС, службы, ПО)  Идентификация и анализ технологических уязвимостей ИСПДн Типы используемых для анализа средств:  Сетевые сканеры безопасности  Хостовые сканеры безопасности (проверка ОС и приложений)  Утилиты удаленного администрирования  Утилиты для верификации найденных уязвимостей  Утилиты для инвентаризации ресурсов
Инструментальный анализ защищенности • Анализ средств защиты информации • Анализ VPN-шлюзов • Анализ антивирусных средств защиты • Анализ систем обнаружения атак IDS/IPS • Анализ межсетевых экранов • Анализ систем защиты от утечки конфиденциальной информации • Анализ безопасности сетевой инфраструктуры • Анализ безопасности коммутаторов • Анализ безопасности маршрутизаторов • Анализ безопасности SAN-сетей • Анализ безопасности сетей WLAN
Инструментальный анализ защищенности • Анализ безопасности общесистемного программного обеспечения • Анализ ОС Windows • Анализ ОС UNIX • Анализ ОС Novell Netware • Анализ безопасности прикладного программного обеспечения • Анализ безопасности баз данных • Анализ безопасности почтовых серверов • Анализ безопасности Web-серверов • Анализ безопасности Web-приложений
Проектирование и создание системы защиты персональных данных • Разработка технического задания на создание системы защиты персональных данных • Разработка технического проекта системы защиты информации • Определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн • Проведение макетирования и стендовых испытаний средств защиты информации • Разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно- распорядительной документа-ции по защите информации (приказов, инструкций и других документов)
Комплект ОРД • Акты классификации • Частная модель угроз безопасности • Модель нарушителя • Перечень обрабатываемых персональных данных, • Перечень информационных систем персональных, • Перечень подразделений и должностей, допущенных к работе с персональными данными • Положение об обработке персональных данных • Положение об организации и обеспечению защиты персональных данных • Положение о подразделении, осуществляющем функции по организации защиты персональных данных
Комплект ОРД • Дополнения разделы трудовых договоров о конфиденциальности • Дополнения в разделы должностных инструкций ответственных лиц и сотрудников в части обеспечения безопасности персональных данных • Инструкции пользователям информационных систем персональных данных • Инструкции администраторам информационных систем персональных данных • План внутренних проверок состояния защиты персональных данных
Ввод в действие системы защиты персональных данных • установка пакета прикладных программ в комплексе с программными средствами защиты информации; • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки ПДн; • приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации; • оценка соответствия ИСПДн требованиям безопасности ПДн.
Аттестация ИСПДн • Для ИСПДн 1 и 2 классов – рекомендуется проведение аттестации по требованиям безопасности информации Преимущества аттестации: • Делегирование рисков несоответствия действующему законодательства органу по аттестации, выдавшему аттестат соответствия • Упрощение процедуры проверки со стороны регуляторов
Проект по защите персональных данных (предпроектная фаза) Раздел отчета АНАЛИЗ ВНУТРЕННИХ Результаты оценки сложившейся НОРМАТИВНЫХ ДОКУМЕНТОВ, ситуации. РЕГЛАМЕНТИРУЮЩИХ ПОРЯДОК Выявленные несоответствия требованиям ОБРАБОТКИ И ЗАЩИТЫ ПДН нормативных документов РФ. Раздел отчета ОПРЕДЕЛЕНИЕ ИСПОЛЬЗУЕМЫХ Состав используемых средств защиты СРЕДСТВ ЗАЩИТЫ ПДН, И ОЦЕНКА ПДн. I ИХ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ Выявленные несоответствия требованиям Обследование НОРМАТИВНЫХ ДОКУМЕНТОВ РФ нормативных документов РФ. ИСПДн Раздел отчета ОПРЕДЕЛЕНИЕ ПЕРЕЧНЯ ПДН, Перечень ПДн, обрабатываемых в ПОДЛЕЖАЩИХ ЗАЩИТЕ ИСПДн, подлежащих защите ОПРЕДЕЛЕНИЕ СТЕПЕНИ УЧАСТИЯ Раздел отчета ПЕРСОНАЛА В ОБРАБОТКЕ ПДН, Результаты оценки степени участия ХАРАКТЕРА ВЗАИМОДЕЙСТВИЯ персонала в обработке ПДн, характера ПЕРСОНАЛА МЕЖДУ СОБОЙ взаимодействия персонала между собой II Отчет по результатам обследования Разработка отчета о проведенном обследовании текущего состояния выполнения требований по защите ПДн в ИСПДн на соответствие требованиям нормативных документов РФ
Проект по защите персональных данных (определение требований) Определение характеристик ИСПДн III Классификация типовой ИСПДн Проект распоряжения о классификации Классификация ИСПДн ИСПДн Классификация специальной ИСПДн Составление общего перечня угроз Общий перечень угроз безопасности ПДн безопасности ПДн IV Разработка Частная модель угроз безопасности ПДн модели угроз Определение частной модели угроз Проект распоряжения о классификации безопасности ПДн безопасности ПДн ИСПДн (для специальной ИСПДн) V Разработка требований к СЗПДн Требования к СЗПДн Разработка Разработка мероприятий по созданию Перечень мероприятий по созданию требований к СЗПДн СЗПДн СЗПДн Разработка требований к составу и Требования к ОРД содержанию ОРД Определение перечня возможных к использованию сертифицированных Перечень СрЗИ СЗИ Разработка Концепции построения Концепция построения СЗПДн. СЗПДн
Проект по защите персональных данных (проектирование) VI Техническое задание Разработка Технического задания Эскизный проект VII Проектирование СЗПДн Технический проект VIII Комплект ОРД Разработка регламентирующей документации Программа и методика стендовых IX испытаний. Протоколы и заключение по Макетирование и стендовые испытания СЗПДн результатам стендовых испытаний. Основная эксплуатационная документация.
Проект по защите персональных данных (аттестация) X Разработка пакета документов для Комплект документов для проведения аттестации проведения аттестации по требованиям по требованиям безопасности информации безопасности информации XI Проведение аттестационных испытаний. Аттестат соответствия Оформление и выдача аттестата соответствия
Состав системы защиты персональных данных • Антивирусная защита • Криптографическая защита ПДн в процессе их хранения и передачи по сети • Защита персональных данных от несанкционированного доступа • Анализ защищѐнности ПДн • Защита от информационных атак • Мониторинг информационной безопасности
Антивирусная защита информации • Антивирус + Антиспам для рабочих станций • Антивирус для серверов (Windows/Unix) • Антивирус для почтовых серверов • Антивирус для Интернет-шлюзов • Корпоративный антивирус Dr.Web Enterprise Suite • Наличие сертификатов ФСБ, ФСТЭК и МО РФ • Соответствие техническим требованиям по защите персональных данных
Многовендорная антивирусная защита Для выявления вирусов Интернет используются различные продукты Вирусы от разных производителей на разных уровнях ИТ-инфраструктуры: AV AV Межсетевой экран SMTP-шлюз 1. На уровне шлюза 2. На уровне серверов AV 3. На уровне рабочих станций пользователей Почтовый сервер AV AV AV
Изолированный сегмент, где обрабатываются персональные данные Рабочие станции пользователей Сервер Рабочие станции Принтер
Выделенный сегмент терминального доступа Сегмент терминального доступа к персональным данным Сервер, Сегмент пользователей, обрабатывающий работающих с ПДн ПДн Принтер для вывода ПДн Межсетевой Терминальный экран сервер Файловый сервер для обмена ПДн внутри сегмента
Защита от НСД при помощи наложенных средств защиты АРМ администратора системы Сеть Интернет АРМ локальных пользователей с агентами контроля портов Сервер печати
Система защиты от НСД «Панцирь» • Механизмы разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам, к объектам реестра ОС, к внешних накопителям, к принтерам, к сетевым хостам и др.; • Механизм управления подключением устройств; • Механизм обеспечения замкнутости программной среды,; • Механизмы контроля целостности файловых объектов (программ и данных) и контроля корректности функционирования КСЗИ; • Механизм авторизации, позволяющий подключать аппаратные средства ввода парольных данных (eToken и др.); • Механизм шифрования данных, реализующий ключевую политику, обеспечивающую невозможность несанкционированно раскрыть похищенную информацию.
Использование сертифицированных версий ОС Windows • Отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации и • ПО проверено на отсутствие НДВ, обеспечено выполнение требований нормативных документов, регламентирующих применение защищенных автоматизированных систем; • Каждый сертифицированный программный продукт имеет оценочный уровень доверия ОУД 1 (усиленный) в соответствии с РД “Безопасность информационных технологий. Критерии оценки безопасности информационных технологий”, утвержденным Гостехкомиссией в 2002 г. • Выданные сертификаты подтверждают, что сертифицированные продукты могут использоваться для построения АС до класса защищенности 1Г включительно, т.е. это ПО обеспечивает возможность обработки конфиденциальной информации
Криптографическая защита персональных данных Особенности использования продукта Secret Disk: • Использование методов «прозрачного» шифрования • Отключенный зашифрованный диск выглядит как неформатированный • Шифрование системного раздела • Многопользовательская работа • Контроль начальной загрузки • Поддержка нескольких ОС • Шифрование разделов жесткого диска • Шифрование съемных носителей информации • Наличие сертификатов ФСТЭК и заключения ФСБ
Технология виртуальных частных сетей Технология виртуальных частных сетей позволяет: ЛВС 2 • создание в инфраструктуре IP –сетей защищенных виртуальных сетей в Криптошлюз 1 составе локальных и территориально- распределенных структур; • обеспечение контроля над информацией, поступающей в защищаемую сеть или выходящей из Интернет защищаемой сети; • встроенные средства криптографической защиты Криптошлюз 2 обеспечивают шифрование и имитозащиту данных. ЛВС 1
Решение по обнаружению и предотвращению атак • Выявление сетевых атак, направленных на нарушение информационной безопасности автоматизированных систем • Мониторинг сетевого трафика, включающий анализ информационных потоков, используемых сетевых протоколов и т.д. • Выявление аномалий сетевого трафика автоматизированных систем • Выявление распределенных атак типа «отказ в обслуживании» (DDoS) • Оповещение администратора безопасности о выявленных информационных атаках
Решение по анализу уязвимостей • Имитация информационных атак, с целью проверки устойчивости системы к воздействиям злоумышленников • Анализ конфигурационных файлов на предмет выявления ошибок
Архитектура системы мониторинга Сервер мониторинга информационной безопасности АРМ администратора безопасности События безопасности Сеть передачи данных Агент Агент A мониторинга A мониторинга Агент Агент A A мониторинга A A мониторинга A Коммуникационное оборудование Средства защиты Серверы (маршрутизаторы, коммутаторы, Рабочие станции (системы выявления атак, межсетевые серверы доступа и др.) экраны, антивирусные системы и др.) 32
Принцип работы SIEM Антивирусная подсистема Маршрутизаторы, коммутаторы Фильтрация Межсетевые экраны Нормализация Корреляция Приоре- Системы тизация обнаружения вторжений Агрегирование Серверы, операционные системы Системы аутентификации Десятки сообщений Тысячи сообщений Миллион сообщений
Важность SIEM систем SIEM создаѐт централизованную точку контроля информационной безопасности Сетевые Системы Физический Мобильные Рабочие Базы Приложе- Серверы Учѐтные устройства безопас- доступ устройства станции Email данных ния записи ности 34
Наши контакты 117105, г. Москва, ул. Нагатинская, д. 1 Телефон: +7 (495) 980-67-76 Факс: +7 (495) 980-67-75 http://www.DialogNauka.ru e-mail: vas@DialogNauka.ru

Recommended

Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
Отшельник
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
Certification
CertificationCertification
Certificationcnpo
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 

Recommended

Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
Отшельник
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
Certification
CertificationCertification
Certificationcnpo
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
Politics
PoliticsPolitics
Politicscnpo
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Expolink
 
ИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решения
Andrey Kondratenko
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Licensing
LicensingLicensing
Licensingcnpo
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакера
cnpo
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
cnpo
 
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктов
cnpo
 
Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!
Expolink
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
Alexander Dorofeev
 
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
Expolink
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнSecurity Code Ltd.
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Предложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТППредложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТП
Компания УЦСБ
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
новое поколение антивирусной защиты для бизнеса Eset
новое поколение антивирусной защиты для бизнеса Esetновое поколение антивирусной защиты для бизнеса Eset
новое поколение антивирусной защиты для бизнеса EsetExpolink
 
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыAleksey Lukatskiy
 
Мастер класс по моделированию угроз
Мастер класс по моделированию угрозМастер класс по моделированию угроз
Мастер класс по моделированию угрозAleksey Lukatskiy
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системах
DimOK AD
 
Гостайна
ГостайнаГостайна
Гостайна
Алексей Кураленко
 
Базовые нормативно-правовые акты в области защиты персональных данных
Базовые нормативно-правовые акты в области защиты персональных данныхБазовые нормативно-правовые акты в области защиты персональных данных
Базовые нормативно-правовые акты в области защиты персональных данных
Павел Семченко
 

More Related Content

What's hot

Politics
PoliticsPolitics
Politicscnpo
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Expolink
 
ИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решения
Andrey Kondratenko
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Licensing
LicensingLicensing
Licensingcnpo
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакера
cnpo
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
cnpo
 
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктов
cnpo
 
Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!
Expolink
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
Alexander Dorofeev
 
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
Expolink
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнSecurity Code Ltd.
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Предложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТППредложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТП
Компания УЦСБ
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
новое поколение антивирусной защиты для бизнеса Eset
новое поколение антивирусной защиты для бизнеса Esetновое поколение антивирусной защиты для бизнеса Eset
новое поколение антивирусной защиты для бизнеса EsetExpolink
 

What's hot (17)

Politics
PoliticsPolitics
Politics
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
 
ИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решения
 
Audit intro
Audit introAudit intro
Audit intro
 
Licensing
LicensingLicensing
Licensing
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакера
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
 
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктов
 
Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
 
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДнАлгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
Предложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТППредложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТП
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
новое поколение антивирусной защиты для бизнеса Eset
новое поколение антивирусной защиты для бизнеса Esetновое поколение антивирусной защиты для бизнеса Eset
новое поколение антивирусной защиты для бизнеса Eset
 

Viewers also liked

Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыAleksey Lukatskiy
 
Мастер класс по моделированию угроз
Мастер класс по моделированию угрозМастер класс по моделированию угроз
Мастер класс по моделированию угрозAleksey Lukatskiy
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системах
DimOK AD
 
Гостайна
ГостайнаГостайна
Гостайна
Алексей Кураленко
 
Базовые нормативно-правовые акты в области защиты персональных данных
Базовые нормативно-правовые акты в области защиты персональных данныхБазовые нормативно-правовые акты в области защиты персональных данных
Базовые нормативно-правовые акты в области защиты персональных данных
Павел Семченко
 
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз UISGCON
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
Ksenia Shudrova
 

Viewers also liked (9)

Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктуры
 
Мастер класс по моделированию угроз
Мастер класс по моделированию угрозМастер класс по моделированию угроз
Мастер класс по моделированию угроз
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системах
 
Гостайна
ГостайнаГостайна
Гостайна
 
Базовые нормативно-правовые акты в области защиты персональных данных
Базовые нормативно-правовые акты в области защиты персональных данныхБазовые нормативно-правовые акты в области защиты персональных данных
Базовые нормативно-правовые акты в области защиты персональных данных
 
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 

Similar to Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк Виктор, ДиалогНаука)

Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчика
Andrey Fadin
 
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
КРОК
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Вячеслав Аксёнов
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
Компания УЦСБ
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)Ignat Dydyshko
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
Вячеслав Аксёнов
 
Применение криптографических средств при построении системы защиты персональн...
Применение криптографических средств при построении системы защиты персональн...Применение криптографических средств при построении системы защиты персональн...
Применение криптографических средств при построении системы защиты персональн...
КРОК
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
LETA IT-company
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
Demian Ramenskiy
 
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Denis Bezkorovayny
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
finopolis
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасности
Ivan Simanov
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
КРОК
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...
SQALab
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
Softline
 

Similar to Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк Виктор, ДиалогНаука) (20)

Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчика
 
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
 
Применение криптографических средств при построении системы защиты персональн...
Применение криптографических средств при построении системы защиты персональн...Применение криптографических средств при построении системы защиты персональн...
Применение криптографических средств при построении системы защиты персональн...
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасности
 
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и ...
 
Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...Оценка защищенности информационных систем, использующих средства криптографич...
Оценка защищенности информационных систем, использующих средства криптографич...
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Поддержка заказчиков в выполнении требований Закона о защите ПДн
Поддержка заказчиков в выполнении требований Закона о защите ПДнПоддержка заказчиков в выполнении требований Закона о защите ПДн
Поддержка заказчиков в выполнении требований Закона о защите ПДн
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
 

More from NAUMEN. Информационные системы управления растущим бизнесом

Автоматизация процессов управления конфигурациями и ИТ-активами
Автоматизация процессов управления конфигурациями и ИТ-активамиАвтоматизация процессов управления конфигурациями и ИТ-активами
Автоматизация процессов управления конфигурациями и ИТ-активами
NAUMEN. Информационные системы управления растущим бизнесом
 
Описание решения Naumen IT Asset Management
Описание решения Naumen IT Asset ManagementОписание решения Naumen IT Asset Management
Описание решения Naumen IT Asset Management
NAUMEN. Информационные системы управления растущим бизнесом
 
Практика успешного импортозамещения Service Desk + ITAM
Практика успешного импортозамещения Service Desk + ITAMПрактика успешного импортозамещения Service Desk + ITAM
Практика успешного импортозамещения Service Desk + ITAM
NAUMEN. Информационные системы управления растущим бизнесом
 
Naumen University: Эффективная приемная кампания и интеграция с ФИС ГИА и приема
Naumen University: Эффективная приемная кампания и интеграция с ФИС ГИА и приемаNaumen University: Эффективная приемная кампания и интеграция с ФИС ГИА и приема
Naumen University: Эффективная приемная кампания и интеграция с ФИС ГИА и приема
NAUMEN. Информационные системы управления растущим бизнесом
 
Изменения в законодательстве по вопросам приема на обучение по образовательны...
Изменения в законодательстве по вопросам приема на обучение по образовательны...Изменения в законодательстве по вопросам приема на обучение по образовательны...
Изменения в законодательстве по вопросам приема на обучение по образовательны...
NAUMEN. Информационные системы управления растущим бизнесом
 
Naumen Business Intelligence. Система по оперативному контролю и поддержке пр...
Naumen Business Intelligence. Система по оперативному контролю и поддержке пр...Naumen Business Intelligence. Система по оперативному контролю и поддержке пр...
Naumen Business Intelligence. Система по оперативному контролю и поддержке пр...
NAUMEN. Информационные системы управления растущим бизнесом
 
Naumen Network Manager. Мониторинг, понятный и так нужный Бизнесу
Naumen Network Manager. Мониторинг, понятный и так нужный БизнесуNaumen Network Manager. Мониторинг, понятный и так нужный Бизнесу
Naumen Network Manager. Мониторинг, понятный и так нужный Бизнесу
NAUMEN. Информационные системы управления растущим бизнесом
 
Преимущества российской сервисной платформы Naumen в разрезе проектного опыта
Преимущества российской сервисной платформы Naumen в разрезе проектного опытаПреимущества российской сервисной платформы Naumen в разрезе проектного опыта
Преимущества российской сервисной платформы Naumen в разрезе проектного опыта
NAUMEN. Информационные системы управления растущим бизнесом
 
Миграция с СА на Naumen Service Desk в ОАО “МОЭСК”
Миграция с СА на Naumen Service Desk в ОАО “МОЭСК”Миграция с СА на Naumen Service Desk в ОАО “МОЭСК”
Миграция с СА на Naumen Service Desk в ОАО “МОЭСК”
NAUMEN. Информационные системы управления растущим бизнесом
 
Предупрежден – значит вооружен. Обо всех сложностях подобных проектов и о том...
Предупрежден – значит вооружен. Обо всех сложностях подобных проектов и о том...Предупрежден – значит вооружен. Обо всех сложностях подобных проектов и о том...
Предупрежден – значит вооружен. Обо всех сложностях подобных проектов и о том...
NAUMEN. Информационные системы управления растущим бизнесом
 
От реинжиниринга процессов до замещения платформы автоматизации. Детали проек...
От реинжиниринга процессов до замещения платформы автоматизации. Детали проек...От реинжиниринга процессов до замещения платформы автоматизации. Детали проек...
От реинжиниринга процессов до замещения платформы автоматизации. Детали проек...
NAUMEN. Информационные системы управления растущим бизнесом
 
Практика успешного импортозамещения в решениях по поддержке ИТ и бизнеса на п...
Практика успешного импортозамещения в решениях по поддержке ИТ и бизнеса на п...Практика успешного импортозамещения в решениях по поддержке ИТ и бизнеса на п...
Практика успешного импортозамещения в решениях по поддержке ИТ и бизнеса на п...
NAUMEN. Информационные системы управления растущим бизнесом
 
Преимущества сервисной платформы Naumen в разрезе проектного опыта
Преимущества сервисной платформы Naumen в разрезе проектного опытаПреимущества сервисной платформы Naumen в разрезе проектного опыта
Преимущества сервисной платформы Naumen в разрезе проектного опыта
NAUMEN. Информационные системы управления растущим бизнесом
 
Автоматизированная система управления программами и проектами. Обзор продукта
Автоматизированная система управления программами и проектами. Обзор продуктаАвтоматизированная система управления программами и проектами. Обзор продукта
Автоматизированная система управления программами и проектами. Обзор продукта
NAUMEN. Информационные системы управления растущим бизнесом
 
Доступная автоматизация закупочной деятельности по 223-ФЗ с помощью сервиса Z...
Доступная автоматизация закупочной деятельности по 223-ФЗ с помощью сервиса Z...Доступная автоматизация закупочной деятельности по 223-ФЗ с помощью сервиса Z...
Доступная автоматизация закупочной деятельности по 223-ФЗ с помощью сервиса Z...
NAUMEN. Информационные системы управления растущим бизнесом
 
Доступность банковских телефонных служб
Доступность банковских телефонных службДоступность банковских телефонных служб
Доступность банковских телефонных служб
NAUMEN. Информационные системы управления растущим бизнесом
 
Автоматизация КЦ оператора платежной системы CONTACT
Автоматизация КЦ оператора платежной системы CONTACTАвтоматизация КЦ оператора платежной системы CONTACT
Автоматизация КЦ оператора платежной системы CONTACT
NAUMEN. Информационные системы управления растущим бизнесом
 
Испытайте наше решение в вашем банке
Испытайте наше решение в вашем банкеИспытайте наше решение в вашем банке
Испытайте наше решение в вашем банке
NAUMEN. Информационные системы управления растущим бизнесом
 
Контактный центр как система развития бизнеса
Контактный центр как система развития бизнесаКонтактный центр как система развития бизнеса
Контактный центр как система развития бизнеса
NAUMEN. Информационные системы управления растущим бизнесом
 
Рабочее место оператора КЦ
Рабочее место оператора КЦРабочее место оператора КЦ
Рабочее место оператора КЦ
NAUMEN. Информационные системы управления растущим бизнесом
 

More from NAUMEN. Информационные системы управления растущим бизнесом (20)

Автоматизация процессов управления конфигурациями и ИТ-активами
Автоматизация процессов управления конфигурациями и ИТ-активамиАвтоматизация процессов управления конфигурациями и ИТ-активами
Автоматизация процессов управления конфигурациями и ИТ-активами
 
Описание решения Naumen IT Asset Management
Описание решения Naumen IT Asset ManagementОписание решения Naumen IT Asset Management
Описание решения Naumen IT Asset Management
 
Практика успешного импортозамещения Service Desk + ITAM
Практика успешного импортозамещения Service Desk + ITAMПрактика успешного импортозамещения Service Desk + ITAM
Практика успешного импортозамещения Service Desk + ITAM
 
Naumen University: Эффективная приемная кампания и интеграция с ФИС ГИА и приема
Naumen University: Эффективная приемная кампания и интеграция с ФИС ГИА и приемаNaumen University: Эффективная приемная кампания и интеграция с ФИС ГИА и приема
Naumen University: Эффективная приемная кампания и интеграция с ФИС ГИА и приема
 
Изменения в законодательстве по вопросам приема на обучение по образовательны...
Изменения в законодательстве по вопросам приема на обучение по образовательны...Изменения в законодательстве по вопросам приема на обучение по образовательны...
Изменения в законодательстве по вопросам приема на обучение по образовательны...
 
Naumen Business Intelligence. Система по оперативному контролю и поддержке пр...
Naumen Business Intelligence. Система по оперативному контролю и поддержке пр...Naumen Business Intelligence. Система по оперативному контролю и поддержке пр...
Naumen Business Intelligence. Система по оперативному контролю и поддержке пр...
 
Naumen Network Manager. Мониторинг, понятный и так нужный Бизнесу
Naumen Network Manager. Мониторинг, понятный и так нужный БизнесуNaumen Network Manager. Мониторинг, понятный и так нужный Бизнесу
Naumen Network Manager. Мониторинг, понятный и так нужный Бизнесу
 
Преимущества российской сервисной платформы Naumen в разрезе проектного опыта
Преимущества российской сервисной платформы Naumen в разрезе проектного опытаПреимущества российской сервисной платформы Naumen в разрезе проектного опыта
Преимущества российской сервисной платформы Naumen в разрезе проектного опыта
 
Миграция с СА на Naumen Service Desk в ОАО “МОЭСК”
Миграция с СА на Naumen Service Desk в ОАО “МОЭСК”Миграция с СА на Naumen Service Desk в ОАО “МОЭСК”
Миграция с СА на Naumen Service Desk в ОАО “МОЭСК”
 
Предупрежден – значит вооружен. Обо всех сложностях подобных проектов и о том...
Предупрежден – значит вооружен. Обо всех сложностях подобных проектов и о том...Предупрежден – значит вооружен. Обо всех сложностях подобных проектов и о том...
Предупрежден – значит вооружен. Обо всех сложностях подобных проектов и о том...
 
От реинжиниринга процессов до замещения платформы автоматизации. Детали проек...
От реинжиниринга процессов до замещения платформы автоматизации. Детали проек...От реинжиниринга процессов до замещения платформы автоматизации. Детали проек...
От реинжиниринга процессов до замещения платформы автоматизации. Детали проек...
 
Практика успешного импортозамещения в решениях по поддержке ИТ и бизнеса на п...
Практика успешного импортозамещения в решениях по поддержке ИТ и бизнеса на п...Практика успешного импортозамещения в решениях по поддержке ИТ и бизнеса на п...
Практика успешного импортозамещения в решениях по поддержке ИТ и бизнеса на п...
 
Преимущества сервисной платформы Naumen в разрезе проектного опыта
Преимущества сервисной платформы Naumen в разрезе проектного опытаПреимущества сервисной платформы Naumen в разрезе проектного опыта
Преимущества сервисной платформы Naumen в разрезе проектного опыта
 
Автоматизированная система управления программами и проектами. Обзор продукта
Автоматизированная система управления программами и проектами. Обзор продуктаАвтоматизированная система управления программами и проектами. Обзор продукта
Автоматизированная система управления программами и проектами. Обзор продукта
 
Доступная автоматизация закупочной деятельности по 223-ФЗ с помощью сервиса Z...
Доступная автоматизация закупочной деятельности по 223-ФЗ с помощью сервиса Z...Доступная автоматизация закупочной деятельности по 223-ФЗ с помощью сервиса Z...
Доступная автоматизация закупочной деятельности по 223-ФЗ с помощью сервиса Z...
 
Доступность банковских телефонных служб
Доступность банковских телефонных службДоступность банковских телефонных служб
Доступность банковских телефонных служб
 
Автоматизация КЦ оператора платежной системы CONTACT
Автоматизация КЦ оператора платежной системы CONTACTАвтоматизация КЦ оператора платежной системы CONTACT
Автоматизация КЦ оператора платежной системы CONTACT
 
Испытайте наше решение в вашем банке
Испытайте наше решение в вашем банкеИспытайте наше решение в вашем банке
Испытайте наше решение в вашем банке
 
Контактный центр как система развития бизнеса
Контактный центр как система развития бизнесаКонтактный центр как система развития бизнеса
Контактный центр как система развития бизнеса
 
Рабочее место оператора КЦ
Рабочее место оператора КЦРабочее место оператора КЦ
Рабочее место оператора КЦ
 

Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк Виктор, ДиалогНаука)

  • 1. Практические аспекты защиты персональных данных в информационных системах операторов связи Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
  • 2. Стадии создания системы защиты персональных данных • предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического задания на ее создание • стадия проектирования и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн; • стадия ввода в действие СЗПДн, включающая опытную эксплуатацию • аттестация ИСПДн по требованиям безопасности информации
  • 3. Предпроектная стадия • определение необходимости обработки ПДн в ИСПДн; • определение перечня ПДн, подлежащих защите от НСД; • определение условий расположения ИСПДн относительно границ контролируемой зоны; • определение конфигурации и топология ИСПДн; • определение технических средств и систем, которые используются в ИСПДн; • определение класса ИСПДн; • уточнение степени участия персонала в обработке ПДн; • разработка частной модели угроз информационной безопасности ПДн.
  • 4. Состав исходных данных • Информация об организационной структуре компании • Организационно-распорядительная и нормативно- методическая документация по вопросам информационной безопасности • Информация об ИС, обрабатывающих персональные данные • Информация об аппаратном, общесистемном и прикладном обеспечении ИСПДн • Информация о средствах защиты, установленных в ИСПДн • Информация о топологии ИСПДн
  • 5. Методы сбора исходных данных • Предоставление опросных листов по определѐнной тематике, самостоятельно заполняемых сотрудниками Заказчика • Интервьюирование сотрудников Заказчика, обладающих необходимой информацией • Анализ существующей организационно- технической документации, используемой Заказчиком • Использование специализированных программных средств
  • 6. Тест на проникновение (Penetration testing) Тест на проникновение позволяет получить независимую оценку безопасности ИСПДн по отношению к внешнему нарушителю Исходные данные  IP-адреса внешних серверов  Анализ проводится с внешнего периметра Собираемая информация  Топология сети  Используемые ОС и версии ПО  Запущенные сервисы  Открытые порты, конфигурация и т.д.
  • 7. Обобщенный план теста на проникновение получение информации из открытых источников сканирование внешнего периметра Техническая составляющая Социальная составляющая вступление в контакт с персоналом поиск / создание эксплойтов взлом внешнего периметра / DMZ обновление троянской программы сканирование внутренней сети атака на человека поиск / создание эксплойта получение доступа к узлу локальной сети взлом узла локальной сети Получение доступа к персональным данным
  • 8. Инструментальный анализ защищенности Для чего предназначен:  Инвентаризация сетевых сервисов ИСПДн (устройства, ОС, службы, ПО)  Идентификация и анализ технологических уязвимостей ИСПДн Типы используемых для анализа средств:  Сетевые сканеры безопасности  Хостовые сканеры безопасности (проверка ОС и приложений)  Утилиты удаленного администрирования  Утилиты для верификации найденных уязвимостей  Утилиты для инвентаризации ресурсов
  • 9. Инструментальный анализ защищенности • Анализ средств защиты информации • Анализ VPN-шлюзов • Анализ антивирусных средств защиты • Анализ систем обнаружения атак IDS/IPS • Анализ межсетевых экранов • Анализ систем защиты от утечки конфиденциальной информации • Анализ безопасности сетевой инфраструктуры • Анализ безопасности коммутаторов • Анализ безопасности маршрутизаторов • Анализ безопасности SAN-сетей • Анализ безопасности сетей WLAN
  • 10. Инструментальный анализ защищенности • Анализ безопасности общесистемного программного обеспечения • Анализ ОС Windows • Анализ ОС UNIX • Анализ ОС Novell Netware • Анализ безопасности прикладного программного обеспечения • Анализ безопасности баз данных • Анализ безопасности почтовых серверов • Анализ безопасности Web-серверов • Анализ безопасности Web-приложений
  • 11. Проектирование и создание системы защиты персональных данных • Разработка технического задания на создание системы защиты персональных данных • Разработка технического проекта системы защиты информации • Определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн • Проведение макетирования и стендовых испытаний средств защиты информации • Разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно- распорядительной документа-ции по защите информации (приказов, инструкций и других документов)
  • 12. Комплект ОРД • Акты классификации • Частная модель угроз безопасности • Модель нарушителя • Перечень обрабатываемых персональных данных, • Перечень информационных систем персональных, • Перечень подразделений и должностей, допущенных к работе с персональными данными • Положение об обработке персональных данных • Положение об организации и обеспечению защиты персональных данных • Положение о подразделении, осуществляющем функции по организации защиты персональных данных
  • 13. Комплект ОРД • Дополнения разделы трудовых договоров о конфиденциальности • Дополнения в разделы должностных инструкций ответственных лиц и сотрудников в части обеспечения безопасности персональных данных • Инструкции пользователям информационных систем персональных данных • Инструкции администраторам информационных систем персональных данных • План внутренних проверок состояния защиты персональных данных
  • 14. Ввод в действие системы защиты персональных данных • установка пакета прикладных программ в комплексе с программными средствами защиты информации; • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки ПДн; • приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации; • оценка соответствия ИСПДн требованиям безопасности ПДн.
  • 15. Аттестация ИСПДн • Для ИСПДн 1 и 2 классов – рекомендуется проведение аттестации по требованиям безопасности информации Преимущества аттестации: • Делегирование рисков несоответствия действующему законодательства органу по аттестации, выдавшему аттестат соответствия • Упрощение процедуры проверки со стороны регуляторов
  • 16. Проект по защите персональных данных (предпроектная фаза) Раздел отчета АНАЛИЗ ВНУТРЕННИХ Результаты оценки сложившейся НОРМАТИВНЫХ ДОКУМЕНТОВ, ситуации. РЕГЛАМЕНТИРУЮЩИХ ПОРЯДОК Выявленные несоответствия требованиям ОБРАБОТКИ И ЗАЩИТЫ ПДН нормативных документов РФ. Раздел отчета ОПРЕДЕЛЕНИЕ ИСПОЛЬЗУЕМЫХ Состав используемых средств защиты СРЕДСТВ ЗАЩИТЫ ПДН, И ОЦЕНКА ПДн. I ИХ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ Выявленные несоответствия требованиям Обследование НОРМАТИВНЫХ ДОКУМЕНТОВ РФ нормативных документов РФ. ИСПДн Раздел отчета ОПРЕДЕЛЕНИЕ ПЕРЕЧНЯ ПДН, Перечень ПДн, обрабатываемых в ПОДЛЕЖАЩИХ ЗАЩИТЕ ИСПДн, подлежащих защите ОПРЕДЕЛЕНИЕ СТЕПЕНИ УЧАСТИЯ Раздел отчета ПЕРСОНАЛА В ОБРАБОТКЕ ПДН, Результаты оценки степени участия ХАРАКТЕРА ВЗАИМОДЕЙСТВИЯ персонала в обработке ПДн, характера ПЕРСОНАЛА МЕЖДУ СОБОЙ взаимодействия персонала между собой II Отчет по результатам обследования Разработка отчета о проведенном обследовании текущего состояния выполнения требований по защите ПДн в ИСПДн на соответствие требованиям нормативных документов РФ
  • 17. Проект по защите персональных данных (определение требований) Определение характеристик ИСПДн III Классификация типовой ИСПДн Проект распоряжения о классификации Классификация ИСПДн ИСПДн Классификация специальной ИСПДн Составление общего перечня угроз Общий перечень угроз безопасности ПДн безопасности ПДн IV Разработка Частная модель угроз безопасности ПДн модели угроз Определение частной модели угроз Проект распоряжения о классификации безопасности ПДн безопасности ПДн ИСПДн (для специальной ИСПДн) V Разработка требований к СЗПДн Требования к СЗПДн Разработка Разработка мероприятий по созданию Перечень мероприятий по созданию требований к СЗПДн СЗПДн СЗПДн Разработка требований к составу и Требования к ОРД содержанию ОРД Определение перечня возможных к использованию сертифицированных Перечень СрЗИ СЗИ Разработка Концепции построения Концепция построения СЗПДн. СЗПДн
  • 18. Проект по защите персональных данных (проектирование) VI Техническое задание Разработка Технического задания Эскизный проект VII Проектирование СЗПДн Технический проект VIII Комплект ОРД Разработка регламентирующей документации Программа и методика стендовых IX испытаний. Протоколы и заключение по Макетирование и стендовые испытания СЗПДн результатам стендовых испытаний. Основная эксплуатационная документация.
  • 19. Проект по защите персональных данных (аттестация) X Разработка пакета документов для Комплект документов для проведения аттестации проведения аттестации по требованиям по требованиям безопасности информации безопасности информации XI Проведение аттестационных испытаний. Аттестат соответствия Оформление и выдача аттестата соответствия
  • 20. Состав системы защиты персональных данных • Антивирусная защита • Криптографическая защита ПДн в процессе их хранения и передачи по сети • Защита персональных данных от несанкционированного доступа • Анализ защищѐнности ПДн • Защита от информационных атак • Мониторинг информационной безопасности
  • 21. Антивирусная защита информации • Антивирус + Антиспам для рабочих станций • Антивирус для серверов (Windows/Unix) • Антивирус для почтовых серверов • Антивирус для Интернет-шлюзов • Корпоративный антивирус Dr.Web Enterprise Suite • Наличие сертификатов ФСБ, ФСТЭК и МО РФ • Соответствие техническим требованиям по защите персональных данных
  • 22. Многовендорная антивирусная защита Для выявления вирусов Интернет используются различные продукты Вирусы от разных производителей на разных уровнях ИТ-инфраструктуры: AV AV Межсетевой экран SMTP-шлюз 1. На уровне шлюза 2. На уровне серверов AV 3. На уровне рабочих станций пользователей Почтовый сервер AV AV AV
  • 23. Изолированный сегмент, где обрабатываются персональные данные Рабочие станции пользователей Сервер Рабочие станции Принтер
  • 24. Выделенный сегмент терминального доступа Сегмент терминального доступа к персональным данным Сервер, Сегмент пользователей, обрабатывающий работающих с ПДн ПДн Принтер для вывода ПДн Межсетевой Терминальный экран сервер Файловый сервер для обмена ПДн внутри сегмента
  • 25. Защита от НСД при помощи наложенных средств защиты АРМ администратора системы Сеть Интернет АРМ локальных пользователей с агентами контроля портов Сервер печати
  • 26. Система защиты от НСД «Панцирь» • Механизмы разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам, к объектам реестра ОС, к внешних накопителям, к принтерам, к сетевым хостам и др.; • Механизм управления подключением устройств; • Механизм обеспечения замкнутости программной среды,; • Механизмы контроля целостности файловых объектов (программ и данных) и контроля корректности функционирования КСЗИ; • Механизм авторизации, позволяющий подключать аппаратные средства ввода парольных данных (eToken и др.); • Механизм шифрования данных, реализующий ключевую политику, обеспечивающую невозможность несанкционированно раскрыть похищенную информацию.
  • 27. Использование сертифицированных версий ОС Windows • Отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации и • ПО проверено на отсутствие НДВ, обеспечено выполнение требований нормативных документов, регламентирующих применение защищенных автоматизированных систем; • Каждый сертифицированный программный продукт имеет оценочный уровень доверия ОУД 1 (усиленный) в соответствии с РД “Безопасность информационных технологий. Критерии оценки безопасности информационных технологий”, утвержденным Гостехкомиссией в 2002 г. • Выданные сертификаты подтверждают, что сертифицированные продукты могут использоваться для построения АС до класса защищенности 1Г включительно, т.е. это ПО обеспечивает возможность обработки конфиденциальной информации
  • 28. Криптографическая защита персональных данных Особенности использования продукта Secret Disk: • Использование методов «прозрачного» шифрования • Отключенный зашифрованный диск выглядит как неформатированный • Шифрование системного раздела • Многопользовательская работа • Контроль начальной загрузки • Поддержка нескольких ОС • Шифрование разделов жесткого диска • Шифрование съемных носителей информации • Наличие сертификатов ФСТЭК и заключения ФСБ
  • 29. Технология виртуальных частных сетей Технология виртуальных частных сетей позволяет: ЛВС 2 • создание в инфраструктуре IP –сетей защищенных виртуальных сетей в Криптошлюз 1 составе локальных и территориально- распределенных структур; • обеспечение контроля над информацией, поступающей в защищаемую сеть или выходящей из Интернет защищаемой сети; • встроенные средства криптографической защиты Криптошлюз 2 обеспечивают шифрование и имитозащиту данных. ЛВС 1
  • 30. Решение по обнаружению и предотвращению атак • Выявление сетевых атак, направленных на нарушение информационной безопасности автоматизированных систем • Мониторинг сетевого трафика, включающий анализ информационных потоков, используемых сетевых протоколов и т.д. • Выявление аномалий сетевого трафика автоматизированных систем • Выявление распределенных атак типа «отказ в обслуживании» (DDoS) • Оповещение администратора безопасности о выявленных информационных атаках
  • 31. Решение по анализу уязвимостей • Имитация информационных атак, с целью проверки устойчивости системы к воздействиям злоумышленников • Анализ конфигурационных файлов на предмет выявления ошибок
  • 32. Архитектура системы мониторинга Сервер мониторинга информационной безопасности АРМ администратора безопасности События безопасности Сеть передачи данных Агент Агент A мониторинга A мониторинга Агент Агент A A мониторинга A A мониторинга A Коммуникационное оборудование Средства защиты Серверы (маршрутизаторы, коммутаторы, Рабочие станции (системы выявления атак, межсетевые серверы доступа и др.) экраны, антивирусные системы и др.) 32
  • 33. Принцип работы SIEM Антивирусная подсистема Маршрутизаторы, коммутаторы Фильтрация Межсетевые экраны Нормализация Корреляция Приоре- Системы тизация обнаружения вторжений Агрегирование Серверы, операционные системы Системы аутентификации Десятки сообщений Тысячи сообщений Миллион сообщений
  • 34. Важность SIEM систем SIEM создаѐт централизованную точку контроля информационной безопасности Сетевые Системы Физический Мобильные Рабочие Базы Приложе- Серверы Учѐтные устройства безопас- доступ устройства станции Email данных ния записи ности 34
  • 35. Наши контакты 117105, г. Москва, ул. Нагатинская, д. 1 Телефон: +7 (495) 980-67-76 Факс: +7 (495) 980-67-75 http://www.DialogNauka.ru e-mail: vas@DialogNauka.ru