нн 2013 chugunov_v 1
DESCRIPTION
TRANSCRIPT
«Комплексные системы защиты: тренды и драйверы. Кадры решают!?»
Чугунов Евгений Игоревич
CISSP, CISA, PCI QSAМосква, 2013
21 2 3 4 5 6
Аудит на соответствие 152-ФЗ
Внедрение комплекта документации в соответствии с ПП 211
Проектирование и внедрение подсистем информационной безопасности
Аутсорсинг деятельности по поддержанию соответствия
Направления деятельности• Изменение и модернизация требований регуляторов
в области безопасности конфиденциальной информации.
• Защита прав и свобод субъектов персональных данных
• Виртуализация автоматизированных систем и уход в «облака»
• Активизация атак, направленных на вывод из строя интернет ресурсов (DDoS)
• Общий тренд на сокращение персонала в госсекторе
НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ И ТРЕНДЫ, ВРЕМЯ ТЕКУЩЕЕ
1 2 3 4 5 6
НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ
41 2 3 4 5 6
НОРМАТИВНАЯ БАЗА
Приказ ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства РФ от 01 ноября 2012 г. №1119г.
Находятся на согласовании в Минюсте
51 2 3 4 5 6
РЕЗУЛЬТАТ ИЗУЧЕНИЯ
Осуществляется исходя из актуальности угроз и необходимости обеспечения требуемого уровня защищенности
Для ПДн, обрабатываемых в государственных информационных системах выполнение требований о защите информации является обязательным
Меры по обеспечению безопасности персональных данных в государственных информационных системах принимаются в соответствии с требованиями о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России
Выбор методов и средств
61 2 3 4 5 6
ОСНОВНЫЕ МЕРОПРИЯТИЯ ДЛЯ ГИС
• Формирование требований к системе защиты информации информационной системы;
• Разработка системы защиты информации информационной системы;
• Реализация системы защиты информации информационной системы;
• Аттестация информационной системы на соответствие требованиям о защите информации и ввод ее в действие;
• Эксплуатация системы защиты информации информационной системы;
• Защита информации при выводе из эксплуатации информационной системы или после окончания обработки информации
71 2 3 4 5 6
КАТЕГОРИИ МЕР ЗАЩИТЫ
• обеспечение доверенной загрузки (ДЗГ);• идентификация и аутентификация субъектов доступа
и объектов доступа (ИАФ);• управление доступом субъектов доступа к объектам
доступа (УПД);• ограничение программной среды(ОПС);• защита машинных носителей информации (ЗНИ);• регистрация событий безопасности (РСБ); • обеспечение целостности информационной системы
и информации (ОЦЛ);• защита среды виртуализации (ЗСВ);• защита технических средств (ЗТС);• защита информационной системы, ее средств и
систем связи и передачи данных (ЗИС).
10 видов (категорий) применяемых мер защиты
81 2 3 4 5 6
Определение перечня применяемых мер защиты:
1. Определение базового набора;
2. Адаптация базового набора с учетом характеристик ИС (ИСПДн), особенностей ее функционирования;
3. Уточнение адаптированного набора посредством выбора доп.мер с учетом актуальных угроз и требований иных НРД в области ЗИ;
Базовые меры
Адаптация набора базовых мер
Уточнение адаптированного
набора
Комп.меры
ОПРЕДЕЛЕНИЕ ПЕРЕЧНЯ МЕР
91 2 3 4 5 6
УЗ ПДн 1 К1
УЗ ПДн 2 не ниже К2
УЗ ПДн 3 не ниже К3
УЗ ПДн 4 К4 и выше
Уровень значимости
информации
Масштаб информационной системыФедеральный Региональный Объектовый
УЗ 1 К1
К1 К2
УЗ 2 К1 К2 К3
УЗ 3 К2
К3
К3
УЗ 4 К2
К3 К4
Определение класса защищенности ИС:
Соответствие уровней защищенности ПДн классам защищенности ИС:
ОПРЕДЕЛЕНИЕ КЛАССА ЗАЩИЩЕННОСТИ
101 2 3 4 5 6
Оценка соответствия используемых/предполагаемых к использованию СЗИ – только в форме обязательной сертификации !!! (п. 12 Приказа)
Использование СЗИ для обеспечения класса защищенности ИС:
для К3 и К4 - СЗИ 5 класса (5 класс защищенности СВТ);
для К2 и К1 – СЗИ 4 класса (5 класс защищенности СВТ)
СЗИ, уже сертифицированные для использования в отношении ИСПДн:
Применительно к классу ИСПДн Применительно к классу защищенности ИС
для ИСПДн 1-го класса для всех классов, включая К1
для ИСПДн 2-го класса не выше К4
для ИСПДн 3-го класса не определено
ТРЕБОВАНИЯ К СЗИ
1 2 3 4 5 6
ОРГАНИЗАЦИЯ КОРРЕКТНОЙ ОБРАБОТКИ ПДН
121 2 3 4 5 6
ОПРЕДЕЛИМ СТАТУС ГДЕ ОПЕРАТОР, А ГДЕ УПОЛНОМОЧЕННОЕ ЛИЦО
• Государственный орган, муниципальный орган, юридическое или физическое лицо
Кто является «Оператором» персональных данных?
Что делает «Оператор» персональных данных?• Организует и/или осуществляет обработку
персональных данных• Определяет цели и содержание обработки
персональных данных
Каковы обязанности «Оператора»?• Обеспечивает конфиденциальность персональных
данных• Обеспечивает корректную обработку и отвечает по
закону• Взаимодействует с регуляторами
131 2 3 4 5 6
ПРАВОВЫЕ ВОПРОСЫ
• Кто, кому и что поручает• Есть ли пункты о безопасности• Определены ли цели и состав обработки • Все стороны обработки (куда и что передается)
Совершенствование договорных отношений
Получение согласий, отказ от лишнего• Определение оснований обработки (договор,
ФЗ, имеющееся согласие и проч.)• Выявление операций и действий, для которых
нет оснований и согласия• Формирование необходимых согласий,
определение способов получения согласий• Отказ от незаконных операций с ПДн
141 2 3 4 5 6
МОДЕРНИЗАЦИЯ ВНУТРЕННЕЙ ДЕЯТЕЛЬНОСТИ
• Унификация и регламентация процессов обработки ПДн, формирования правил
• Сценарии когда и какие согласия запрашивать• Прием и обработка обращений субъектов ПДн• Взаимодействие подразделений при обработке
запросов субъектов ПДн• Взаимодействие с третьей стороной и регуляторами
Внедрение процедур взаимодействия
Организация процедур контроля• Контроль деятельности по обработке ПДн и
обеспечения безопасности• Контроль обеспечения информационной
безопасности ПДн• Контроль корректности взаимодействия с
субъектом , регуляторами и третьей стороной• Организация регулярного внешнего контроля
151 2 3 4 5 6
РАЗРАБОТКА КОМПЛЕКТА ДОКУМЕНТОВ
• Публичный документ, должен быть опубликован• Содержит описание состава обработки и целей,
средств обработки, подходов к защите и оценке последствий
• Содержит описание того, каким образом оператор реализует права и свободы субъектов ПДн
Политика в отношении обработки ПДн
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона, соотношение указанного вреда и принимаемых оператором мер
Процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений
161 2 3 4 5 6
РАЗРАБОТКА ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТОВ
Постановление Правительства РФ от 21.03.2012 № 211• Правила обработки персональных данных; • Правила рассмотрения запросов субъектов или их
представителей; • Правила осуществления внутреннего контроля
соответствия обработки персональных данных требованиям к защите персональных данных
• Правила работы с обезличенными данными; • Перечень информационных систем персональных
данных; • Перечни персональных данных; • Перечень должностей служащих, ответственных за
проведение мероприятий по обезличиванию обрабатываемых персданных;
• Перечень должностей служащих, замещение которых предусматривает осуществление обработки персданных либо осуществление доступа к персональным данным;
171 2 3 4 5 6
РАЗРАБОТКА ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТОВ
Постановление Правительства РФ от 21.03.2012 № 211• Должностная инструкция ответственного за
организацию обработки персональных данных; • Типовое обязательство служащего, непосредственно
осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
• Типовая форма согласия на обработку персональных данных служащих, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
• Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных.
181 2 3 4 5 6
КЛАССИФИКАЦИЯ ИСПДН
• ИСПДн, обрабатывающие специальные категории персональных данных (ИСПДн-С)
• ИСПДн, обрабатывающие биометрические персональные данные и не обрабатывающие сведения, относящиеся к специальным категориям персональных данных (ИСПДн-Б)
• ИСПДн, обрабатывающие общедоступные персональные данные – полученные только из общедоступных источников, созданных в соответствии со ст.8 ФЗ «О персональных данных» (ИСПДн-О)
• ИСПДн, обрабатывающие иные категории персональных данных, не указанные выше (ИСПДн-И)
• ИСПДн, обрабатывающие персональные данные только сотрудников оператора
191 2 3 4 5 6
УРОВНИ ЗАЩИЩЕННОСТИ ИСПДН
201 2 3 4 5 6
УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ
Оператору необходимо сообщить уполномоченному органу по защите прав субъектов ПДн :
• правовое основание обработки персональных данных• фамилия, имя, отчество физического лица или
наименование юр. лица, ответственных за организацию обработки ПДн, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
• сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
• сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ;
• …
1 2 3 4 5 6
СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫ ЗАЩИТЫ
221 2 3 4 5 6
ТЕХНИЧЕСКАЯ ЗАЩИТА
• Классификация ИСПДн− Анализ формальных признаков− Создание Акта классификации
• Создание Модели Угроз и нарушителя− Определение актуальных угроз− Выбор контрмер− Учесть рекомендации ФСБ для СКЗИ
• Создание технического проекта на СЗПДн
• Реализация СЗПДн• Проведение аттестации
231 2 3 4 5 6
СРЕДСТВА ЗАЩИТЫ
• средства разграничения доступа средства антивирусной защиты
• средства доверенной загрузки для серверов • межсетевое экранирование на границе с
Интернетом • распределенное межсетевое экранирование
внутри ИСПДн • средства обнаружения вторжений • Криптографические средства защиты каналов
связи• средства защиты виртуальной инфраструктуры• cредства защиты от DDoS
241 2 3 4 5 6
СРЕДСТВА ЗАЩИТЫ
• средства разграничения доступа средства антивирусной защиты
• средства доверенной загрузки для серверов • межсетевое экранирование на границе с
Интернетом • распределенное межсетевое экранирование
внутри ИСПДн • средства обнаружения вторжений • Криптографические средства защиты каналов
связи• средства защиты виртуальной инфраструктуры• cредства защиты от DDoS
1 2 3 4 5 6
ЗАЩИТА ВИРТУАЛИЗАЦИИ
261 2 3 4 5 6
ОСОБЕННОСТИ ПРИ ИСПОЛЬЗОВАНИИВИРТУАЛИЗАЦИИ
• Отсутствие детальных нормативных документов-регуляторов, определяющих требования к защите виртуальных сред
• Проблемы в понимании угроз ИБ при использовании виртуализации и мер защиты от них
• Молодой рынок средств защиты виртуализации
271 2 3 4 5 6
СТРУКТУРА УГРОЗ ВИРТУАЛЬНОЙ ИТ-ИНФРАСТРУКТУРЫ
281 2 3 4 5 6
СРЕДСТВА ЗАЩИТЫ
Защита от НСД• Код безопасности vGate• HyTrust ApplianceАнтивирусная защита• Kaspersky Security для виртуальных сред• TrendMicro DeepSecurityСоздание «зон безопасности»• VMware vShield App• Catbird vSecurityСетевая безопасность виртуальной среды• StoneSoft StoneGate FW/VPN/IPS/SSL VPN• Check Point Security Gateway Virtual Edition• Cisco ASA 1000vКонтроль целостности• Tripwire Enterprise for VMware ESX
1 2 3 4 5 6
ЗАЩИТА ОТ DDOS
301 2 3 4 5 6
ГРУППА РИСКА
311 2 3 4 5 6
ТИПОВАЯ, НЕЗАЩИЩЕННАЯ АРХИТЕКТУРА ОТ DDOS
321 2 3 4 5 6
ЗАЩИЩЕННАЯ АРХИТЕКТУРА ОТ DDOS
331 2 3 4 5 6
ЭТАПЫ ПОСТРОЕНИЯ ЗАЩИТЫ ОТ DDOS
• Обследование
• Проектирование
• Внедрение
• Нагрузочное тестирование
• Сопровождение и расследование инцидентов
1 2 3 4 5 6
КАДРЫ РЕШАЮТ!
351 2 3 4 5 6
ОБУЧЕНИЕ И ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ
• Ознакомление работников под роспись с НМД в области корректной обработки ПДн
• Организация на регулярной основе мероприятий по разъяснению и комментированию требований и правил
• Популяризация духа закона
Внедрение повышения осведомленности
Проведение обучения и контроль знаний• Проведение обучения специалистов в области
информационной безопасности• Обучение сотрудников юридической службы
особенностям законодательства в области корректной обработке ПДн и обеспечения безопасности
• Регулярный контроль знаний
361 2 3 4 5 6
КАДРЫ 80% УСПЕХА
Текущие проблемы с кадрами:• Общий тренд на сокращение персонала• Ограниченные возможности штатного расписания• Изначально недостаточный объем персонала по
ИБ…Новые функции:• Сопровождение новых систем и интерпретация
результатов их работы• Внедрение в жизнь разработанной подрядчиками
документации и процедур
Аутстафинг и атсорсинг – могут решить эту задачу
1 2 3 4 5 6
БЕЗ КАДРОВОГО ОБЕСПЕЧЕНИЯ ВСЕ МЕРОПРИЯТИЯ ТЕРЯЮТ СМЫСЛ!
Порядок выполнения работ по приведению обработки персональных данных в соответствие требованиям законодательства
Чугунов Евгений Игоревич
CISSP, CISA, PCI QSAМосква, 2012