Семинар «Защита персональных данных: соблюдение Федерального Закона. Практический опыт».
Подробнее о мероприятии http://www.croc.ru/action/detail/2221/
Презентация Евгения Дружинина, эксперта по информационной безопасности компании КРОК
Применение криптографических средств при построении системы защиты персональных данных
1. ПРИМЕНЕНИЕ КРИПТОГРАФИЧЕСКИХ
СРЕДСТВ ПРИ ПОСТРОЕНИИ СИСТЕМЫСРЕДСТВ ПРИ ПОСТРОЕНИИ СИСТЕМЫ
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Е й ДЕвгений Дружинин,
ЭКСПЕРТ
ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИБЕЗОПАСНОСТИ
КОМПАНИИ КРОК
2. СОДЕРЖАНИЕСОДЕРЖАНИЕ
• Регулирование ФСБ и ФСТЭК• Регулирование ФСБ и ФСТЭК
• Когда необходима криптография для СЗПДн ?
• Построение модели угроз и нарушителя• Построение модели угроз и нарушителя
• Выбор криптосредств
Ор а за о е еро р р с о зо а• Организационные мероприятия при использовании
криптосредств
3. РЕГУЛИРОВАНИЕ ВОПРОСОВ
ИСПОЛЬЗОВАНИЯ КРИПТОГРАФИИ
• ФСТЭК
– Определение требованийр д р
к криптографической подсистеме
в документе «Основные мероприятия…»
• ФСБ
К ф ф– Криптографическая защита информации
– Контроль использования СКЗИ
4. ОБЗОР ДОКУМЕНТОВ ФСБОБЗОР ДОКУМЕНТОВ ФСБ
• Основные документы• Основные документы
– «Методические рекомендации…»
«Типовые требования »– «Типовые требования…»
• Дополнительные документы
Положение ПКЗ 2005– Положение ПКЗ-2005
5. НЕОБХОДИМОСТЬ КРИПТОСРЕДСТВД Д
В СЗПДН
Обязательно
• Класс ИСПДн — К1 (многопользовательский режим
обработки ПДн и равные права доступа к ним разных
пользователей)
Рекомендуем
• По желанию оператора при необходимости использования
криптосредств для обеспечения безопасности
персональных данных на основе сформированной моделиперсональных данных на основе сформированной модели
угроз (вне зависимости от класса ИСПДн)
6. МЕСТО КРИПТОСРЕДСТВ В ИСМЕСТО КРИПТОСРЕДСТВ В ИС
• Защита ПДн от неправомерных действий
при их обработке в рамках контролируемой зоны ИСпри их обработке в рамках контролируемой зоны ИС
• Защита каналов передачи ПДн
8. ОСОБЕННОСТИ РАЗРАБОТКИОСОБЕННОСТИ РАЗРАБОТКИ
МОДЕЛИ УГРОЗ
• Модель угроз верхнего уровня — определение характеристик
безопасности защищаемых персональных данных
– Условия создания и использования ПДнУсловия создания и использования ПДн
– Формы представления ПДн
– Информация, сопутствующая процессам создания
и использования ПДни использования ПДн
– Характеристики безопасности объектов
• Детализированная модель угроз — определение совокупности
условий и факторов, которые могут нарушить характеристики
безопасности возможных объектов угроз
9. ОСОБЕННОСТИ РАЗРАБОТКИОСОБЕННОСТИ РАЗРАБОТКИ
МОДЕЛИ НАРУШИТЕЛЯ
Анализ действий нарушителя на следующих этапах
• Разработка, производство, хранение,
транспортировка, ввод в эксплуатацию криптосредств
и сред их функционирования
• Эксплуатация криптосредств и сред
их функционирования
10. ЛИЦЕНЗИИ ФСБ В ОБЛАСТИЦ
КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ
Лицензии выдаются на вид деятельности сроком на 5 лет
• Деятельность по распространению шифровальных
(криптографических) средств
Лицензии выдаются на вид деятельности сроком на 5 лет
( р р ф ) р д
• Деятельность по техническому обслуживанию
шифровальных средств
• Предоставление услуг в области шифрования информации
• Разработка, производство шифровальных средств,
защищенных с использованием шифровальных средствфр р
информационных и телекоммуникационных систем
11. ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ
• Установка и ввод в эксплуатацию, а также проверка готовности
криптосредствр р
• Обучение лиц, использующих криптосредства
• Поэкземплярный учет используемых криптосредств
• Учет лиц, допущенных к работе с криптосредствами
• Контроль над соблюдением условий использования
криптосредствкриптосредств
• Разбирательство и составление заключений
по фактам нарушения условий хранения носителей
персональных данных использования криптосредствперсональных данных, использования криптосредств
• Описание и исполнение организационных
и технических мер при обеспечении безопасности ПДн
12. СПАСИБО ЗА ВНИМАНИЕ!
Евгений ДружининЕвгений Дружинин
ЭКСПЕРТ
ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
КОМПАНИИ КРОК
Тел.: (495)974-2274
E mail: edruzhinin@croc ruE-mail: edruzhinin@croc.ru
www.croc.ru/pd