Семинар «Защита персональных данных: соблюдение Федерального Закона. Практический опыт». Подробнее о мероприятии http://www.croc.ru/action/detail/2221/ Презентация Евгения Дружинина, эксперта по информационной безопасности компании КРОК

1. ПРИМЕНЕНИЕ КРИПТОГРАФИЧЕСКИХ
СРЕДСТВ ПРИ ПОСТРОЕНИИ СИСТЕМЫСРЕДСТВ ПРИ ПОСТРОЕНИИ СИСТЕМЫ
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Е й ДЕвгений Дружинин,
ЭКСПЕРТ
ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИБЕЗОПАСНОСТИ
КОМПАНИИ КРОК

2. СОДЕРЖАНИЕСОДЕРЖАНИЕ
• Регулирование ФСБ и ФСТЭК• Регулирование ФСБ и ФСТЭК
• Когда необходима криптография для СЗПДн ?
• Построение модели угроз и нарушителя• Построение модели угроз и нарушителя
• Выбор криптосредств
Ор а за о е еро р р с о зо а• Организационные мероприятия при использовании
криптосредств

3. РЕГУЛИРОВАНИЕ ВОПРОСОВ
ИСПОЛЬЗОВАНИЯ КРИПТОГРАФИИ
• ФСТЭК
– Определение требованийр д р
к криптографической подсистеме
в документе «Основные мероприятия…»
• ФСБ
К ф ф– Криптографическая защита информации
– Контроль использования СКЗИ

4. ОБЗОР ДОКУМЕНТОВ ФСБОБЗОР ДОКУМЕНТОВ ФСБ
• Основные документы• Основные документы
– «Методические рекомендации…»
«Типовые требования »– «Типовые требования…»
• Дополнительные документы
Положение ПКЗ 2005– Положение ПКЗ-2005

5. НЕОБХОДИМОСТЬ КРИПТОСРЕДСТВД Д
В СЗПДН
Обязательно
• Класс ИСПДн — К1 (многопользовательский режим
обработки ПДн и равные права доступа к ним разных
пользователей)
Рекомендуем
• По желанию оператора при необходимости использования
криптосредств для обеспечения безопасности
персональных данных на основе сформированной моделиперсональных данных на основе сформированной модели
угроз (вне зависимости от класса ИСПДн)

6. МЕСТО КРИПТОСРЕДСТВ В ИСМЕСТО КРИПТОСРЕДСТВ В ИС
• Защита ПДн от неправомерных действий
при их обработке в рамках контролируемой зоны ИСпри их обработке в рамках контролируемой зоны ИС
• Защита каналов передачи ПДн

7. ВЫБОР КРИПТОСРЕДСТВВЫБОР КРИПТОСРЕДСТВ

8. ОСОБЕННОСТИ РАЗРАБОТКИОСОБЕННОСТИ РАЗРАБОТКИ
МОДЕЛИ УГРОЗ
• Модель угроз верхнего уровня — определение характеристик
безопасности защищаемых персональных данных
– Условия создания и использования ПДнУсловия создания и использования ПДн
– Формы представления ПДн
– Информация, сопутствующая процессам создания
и использования ПДни использования ПДн
– Характеристики безопасности объектов
• Детализированная модель угроз — определение совокупности
условий и факторов, которые могут нарушить характеристики
безопасности возможных объектов угроз

9. ОСОБЕННОСТИ РАЗРАБОТКИОСОБЕННОСТИ РАЗРАБОТКИ
МОДЕЛИ НАРУШИТЕЛЯ
Анализ действий нарушителя на следующих этапах
• Разработка, производство, хранение,
транспортировка, ввод в эксплуатацию криптосредств
и сред их функционирования
• Эксплуатация криптосредств и сред
их функционирования

10. ЛИЦЕНЗИИ ФСБ В ОБЛАСТИЦ
КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ
Лицензии выдаются на вид деятельности сроком на 5 лет
• Деятельность по распространению шифровальных
(криптографических) средств
Лицензии выдаются на вид деятельности сроком на 5 лет
( р р ф ) р д
• Деятельность по техническому обслуживанию
шифровальных средств
• Предоставление услуг в области шифрования информации
• Разработка, производство шифровальных средств,
защищенных с использованием шифровальных средствфр р
информационных и телекоммуникационных систем

11. ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ
• Установка и ввод в эксплуатацию, а также проверка готовности
криптосредствр р
• Обучение лиц, использующих криптосредства
• Поэкземплярный учет используемых криптосредств
• Учет лиц, допущенных к работе с криптосредствами
• Контроль над соблюдением условий использования
криптосредствкриптосредств
• Разбирательство и составление заключений
по фактам нарушения условий хранения носителей
персональных данных использования криптосредствперсональных данных, использования криптосредств
• Описание и исполнение организационных
и технических мер при обеспечении безопасности ПДн

12. СПАСИБО ЗА ВНИМАНИЕ!
Евгений ДружининЕвгений Дружинин
ЭКСПЕРТ
ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
КОМПАНИИ КРОК
Тел.: (495)974-2274
E mail: edruzhinin@croc ruE-mail: edruzhinin@croc.ru
www.croc.ru/pd