Моя презентация, которую читал на VIII Международной научно-практической конференции студентов, аспирантов и молодых ученых "Информационные технологии в науке"
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
Данная лекция призвана систематизировать понимание процесса построения системы обеспечения информационной безопасности на предприятии и подробно описывает процесс построения модели угроз для коммерческих и государственных предприятий, а также построение модели нарушителя. Данные модели оказывают непосредственное влияние на выбор защитных мер и реальную эффективность Вашей системы защиты информации.
Кроме того, построение приведённых моделей регламентировано современным федеральных законодательством в области защиты персональных данных.
Подробности на http://inforsec.ru/
Моя презентация, которую читал на VIII Международной научно-практической конференции студентов, аспирантов и молодых ученых "Информационные технологии в науке"
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
Данная лекция призвана систематизировать понимание процесса построения системы обеспечения информационной безопасности на предприятии и подробно описывает процесс построения модели угроз для коммерческих и государственных предприятий, а также построение модели нарушителя. Данные модели оказывают непосредственное влияние на выбор защитных мер и реальную эффективность Вашей системы защиты информации.
Кроме того, построение приведённых моделей регламентировано современным федеральных законодательством в области защиты персональных данных.
Подробности на http://inforsec.ru/
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Последняя лекция из моего основного курса посвящена вопросам анализа рисков и управления рисками информационной безопасности. Начинается всё с повторения материала по построению модели угроз ИБ. Далее проводится связь модели угроз с рисками ИБ. После этого идёт описание методов анализа рисков: количественная и экспертная, даются преимущества и недостатки каждой. Определяется понятие ущерба, а также приводится виды ущербов на реальных примерах.
В основной части описывается общий алгоритм анализа рисков, а также стратегии управления рисками:
Принятие риска.
Уменьшение риска.
Уклонение от риска.
Перенаправление риска.
Далее приведён процесс реагирования на инциденты ИБ, которые также весьма важны в повседневной IT-практике.
Подробности на http://inforsec.ru/
Состояние сетевой безопасности в 2016 году Qrator Labs
Отчёт компаний Qrator и Wallarm, представленный вашему вниманию, посвящён главным событиям и основным тенденциям в области сетевой безопасности.
Отдельное внимание в отчёте уделяется проблематике DDoS, инфраструктуры Интернета и уязвимостям, а также взломам широко используемого ПО и других продуктов с электронной составляющей — устройств, подключённых к Сети.
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
За последние пару лет государство все активнее обращает внимание на вопросы безопасности персональных данных, их обработки, все больше компаний задумываются о данных вопросах.
Вопросов очень много, но все не так страшно, как кажется на первый взгляд. Мы разберемся с основой персональных данных, какие существуют классы, и какие типы данных относятся к ним. Важно понять, что действительно нужно Вам и Вашему бизнесу, а не гнаться "за всеми данными", которые можно получить от клиента.
Безопасность — второй не менее важный вопрос в персональных данных. Можно защищать по закону, можно по "IТ понятиям". Рынок средств защиты данных большой, но что выбрать? Покупаем готовое или создаем свое? Мы поговорим о том, какие плюсы и минусы у данных подходов.
Все не так страшно, как преподносят. В большинстве случаев достаточно заранее подумать о подходах, что Вам действительно нужно и как будете защищать — все это очень сильно поможет при аттестации систем. Главное — почувствовать грань между законом и бизнесом.
Набор простых рекомендаций для рядовых пользователей Интернет о том, как защитить себя от угрозы в Интернете - от подглядывания, от подсматривания, от кражи учеток и паролей, от кражи денег, от перехвата почты, от блокирования телефона...
Презентация с конференции AntiFraud Russia 2016, в которой я рассказываю о разных угрозах для современных и будущих систем биометрической идентификации и аутентификации
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
«1С-Битрикс» и сертификация ФСТЭК России1С-Битрикс
Когда делать аттестацию системы и что это такое
Что такое сертификация и для чего она нужна
Как эксплуатировать сертифицированное программное обеспечение (ПО)
Когда обязательно нужно использовать сертифицированное ПО, а когда – желательно
Сколько стоит сертифицированное ПО «1С-Битрикс» и как его купить
В рамках сервиса Cloud-152 мы предоставляем облачную инфраструктуру, построенную в соответствии с требованиями к защите персональных данных ФЗ-152, и оказываем комплексную поддержку при аттестации ваших информационных систем.
Профстандарт "Специалист по информационной безопасности ИКТ систем"Денис Ефремов
Защита инфокоммуникационной системы организации и оконечных устройств сотрудников.
Основная цель вида профессиональной деятельности:
Противодействие вредоносному влиянию программно-технического воздействия на подсистемы, устройства, элементы и каналы инфокоммуникационных систем.
Политика информационной безопасности организации. Стандарт СТБ П ИСО/МЭК 17799-2000/2004 «Информационные технологии и безопасность. Правила управления информационной безопасностью»
Similar to Лицензирование деятельности в области защиты информации (20)
4. Услуги по контролю защищенности конфиденциальной
информации от утечки по техническим каналам
Услуги по контролю защищенности конфиденциальной
информации от несанкционированного доступа и ее
модификации в средствах и системах информатизации
1
Сертификационные испытания на соответствие требованиям по
безопасности
Работы и услуги по аттестационным испытаниям и
аттестации на соответствие требованиям по защите
информации
4
Работы и услуги по проектированию в защищенном
исполнении: средств и систем информатизации; помещений со
средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;
Услуги по установке, монтажу, наладке, испытаниям,
ремонту средств защиты информации
Требуется для следующих работ*:Лицензия на техническую
защиту конфиденциальной
информации
(ТЗКИ)
*Постановление Правительства Российской
Федерации от 3 февраля 2012 г. N 79
О лицензировании деятельности по технической защите
конфиденциальной информации
5
6
Услуги по мониторингу информационной безопасности
средств и систем информатизации
2
3
3
5. Что такое «технический канал утечки»?
Кому нужна такая лицензия?
Контроль защищенности информации от утечки по техническим
каналам
1
Работы по контролю защищенности от средств технической
разведки являются узкоспециализированными. Большинству
разработчиков, интеграторов и заказчиков такая лицензия не
требуется
Технический канал утечки информации -
совокупность объекта технической разведки,
физической среды и средства технической
разведки, которыми добываются
разведывательные данные
6. Является ли аудит контролем защищенности? Нужна
ли аудитору лицензия?
Контроль защищенности информации от НСД
2
В контроль (анализ) защищенности входит*:
• выявление, анализ уязвимостей
• контроль установки обновлений ПО
• контроль работоспособности, параметров настройки и
правильности функционирования ПО
• контроль состава технических средств, ПО и СЗИ
• контроль правил генерации и смены паролей пользователей,
заведения и удаления учетных записей пользователей,
реализации правил разграничения доступом
*Приказ ФСТЭК 17, 21
В ряде случаев аудитор попадает «под лицензию» (например, при
использовании инструментальных средств контроля
защищенности).
Если аудит не включает перечисленные виды работ то лицензия не
требуется.
7. Сертификационные испытания3
Услуги по мониторингу информационной безопасности3
В каких случаях нужны данные виды
лицензий?
Согласно Приказам ФСТЭК мониторинг (уровня
защищенности) включает*:
• контроль за событиями безопасности и действиями
пользователей ;
• контроль (анализ) защищенности информации;
• анализ и оценка функционирования системы защиты
информации;
• периодический анализ изменения угроз безопасности;
• документирование процедур и результатов контроля
(мониторинга).
Лицензия нужна аутсорсерсерам ИБ, SOC’ам, а также интеграторам,
если сопровождение внедренной системы защиты предусматривает
данные виды работ
8. Аттестационные испытания и аттестация на соответствие
требованиям по защите информации
4
В каких случаях и кому нужна такая
лицензия?
Под аттестацией объектов информатизации понимается
комплекс организационно-технических мероприятий, в
результате которых посредством специального
документа - "Аттестата соответствия" подтверждается, что
объект соответствует требованиям стандартов или иных
нормативно-технических документов по безопасности
информации
Лицензия нужна аттестующим компаниям, а также интеграторам, в
случае если система должна соответствовать требованиям по
защите ГИС
Аттестация является обязательной для ГИС и производится
ДО ее ввода в действие
9. Проектирование в защищенном исполнении: средств и систем
информатизации
5
1) АСЗИ - автоматизированные системы, реализующие информационную
технологию выполнения установленных функций в соответствии с
требованиями стандартов и/или нормативных документов по
защите информации*
2) ГОСТ по АСЗИ распространяется на автоматизированные
системы, в отношении которых законодательством или
заказчиком установлены требования по их защите**
Проектировщикам ГИС, ИСПДн, АСУ ТП нужна лицензия на ТЗКИ,
поскольку такие системы должны соответствовать требованиям НПА
по ИБ
• *ГОСТ Р 53114-2008
• ** ГОСТ Р 51583-2014
Что такое «система в защищенном
исполнении»? Кому нужна такая лицензия?
10. Установка, монтаж, испытания, ремонт средств защиты
информации
6
средство защиты информации: Техническое,
программное, программно-техническое средство,
вещество и (или) материал, предназначенные или
используемые для защиты информации.
Если контрактом предусмотрена установка хотя бы одного
антивируса (персонального МЭ, VPN-клиента) - исполнителю нужна
лицензия
Что такое «средство защиты информации»?
антивирус, МЭ, и так далее – относятся к СЗИ
11. Лицензия необходима:
А) если деятельность направлена на получение прибыли
Б) если она необходима для достижения целей деятельности, предусмотренных в
учредительных документах
В) если юридическое лицо обеспечивает защиту информации по поручению
обладателя информации конфиденциального характера и (или) заказчика
информационной системы*
*информационное сообщение ФСТЭК от 30 мая 2012 г. N 240/22/2222
А если мы для себя делаем, нужна ли
лицензия?
Лицензия при работах «для собственных нужд» не нужна
13. Разработка средств защиты
конфиденциальной информации
Лицензия на разработку
средств защиты
информации
Нужна для следующих работ:
Производство средств защиты
конфиденциальной информации
Постановление Правительства РФ от 03.03.2012 N 171
"О лицензировании деятельности по разработке и производству средств защиты
конфиденциальной информации"
1
2
14. средство защиты информации: Техническое, программное,
программно-техническое средство, вещество и (или) материал,
предназначенные или используемые для защиты информации.
Если в назначении разрабатываемого ПО есть функции защиты
информации (например, идентификация и аутентификация
пользователей, регистрация событий), то разработчику нужна
данная лицензия
1
Производство средств защиты информации2
Разработка средств защиты информации
Кому нужна такая лицензия?
16. Лицензия на деятельность по разработке,
производству, распространению шифровальных
(криптографических) средств
Требуется для 28 видов работ*
Постановление Правительства РФ от 16 апреля 2012
г. N 313 "Об утверждении Положения о лицензировании
деятельности по разработке, производству,
распространению шифровальных (криптографических)
средств
Основные:
1. Разработка шифровальных (криптографических) средств.
2. Разработка защищенных с использованием шифровальных
(криптографических) средств информационных систем.
5. Модернизация шифровальных (криптографических) средств.
7. Производство (тиражирование) шифровальных (криптографических)
средств.
12. Монтаж, установка (инсталляция), наладка шифровальных
(криптографических) средств.
13. Монтаж, установка (инсталляция), наладка защищенных с
использованием шифровальных (криптографических) средств
информационных систем.
16. Ремонт шифровальных (криптографических) средств.
17. Ремонт, сервисное обслуживание защищенных с использованием
шифровальных (криптографических) средств информационных систем.
17. СКЗИ (в том числе):
• средства шифрования - аппаратные, программные и
программно-аппаратные;
• средства электронной подписи
Что такое средство криптографической
защиты информации? Кому требуется
лицензия?
Лицензия нужна:
Разработчику - если в разрабатываемой системе есть функции
криптозащиты (в том числе, ЭП).
Интегратору – если в составе системы защиты применяются средства
ЭП, VPN.
18. Лицензия не требуется
• для технического обслуживания, если оно осуществляется для обеспечения собственных нужд
• для СКЗИ, которые используют слабые алгоритмы (см. п 3б Положения)
• для СКЗИ, которые реализуют функцию аутентификации, включающей в себя все аспекты контроля
доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое
непосредственно связано с защитой паролей, персональных идентификационных номеров или
подобных данных для защиты от несанкционированного доступа, либо имеющих электронную
подпись;
• для СКЗИ, которые являются компонентом ОС;
• для персональных смарт-карт (интеллектуальных карт);
• для приемной аппаратуры для радиовещания, коммерческого телевидения или аналогичной
коммерческой аппаратуры для вещания на ограниченную аудиторию без шифрования цифрового
сигнала;
• для оборудования, криптографические возможности которого недоступны пользователю,
специально разработанного и ограниченного для: исполнения программного обеспечения в защищенном от
копирования виде; обеспечения доступа к защищенному от копирования содержимому, хранящемуся только на
доступном для чтения носителе информации; контроля копирования аудио- и видеоинформации, защищенной
авторскими правами;
Всегда ли нужна лицензия на СКЗИ?
19. Лицензия не требуется
• для шифровального (криптографического) оборудования, специально разработанного и
ограниченного применением для банковских или финансовых операций в составе терминалов
единичной продажи (банкоматов), POS-терминалов и терминалов оплаты различного вида услуг;
• для портативных или мобильных радиоэлектронных средств гражданского назначения (например,
для использования в коммерческих гражданских системах сотовой радиосвязи), которые не
способны к сквозному шифрованию (то есть от абонента к абоненту);
• для беспроводного оборудования, осуществляющего шифрование информации только в
радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции
менее 400 м в соответствии с техническими условиями производителя (за исключением
оборудования, используемого на критически важных объектах);
• для шифровальных (криптографических) средств, используемых для защиты технологических
каналов информационно-телекоммуникационных систем и сетей связи, не относящихся к
критически важным объектам;
• для товаров, у которых криптографическая функция гарантированно заблокирована
производителем.
Всегда ли нужна лицензия на СКЗИ?