Презентация компании ЗАО «РАМЭК-ВС Компетенции компании РАМЭК в области защиты конфиденциальной информации и ПДн от НСД Услуги РАМЭК в области аттестации объектов информатизации по требованиям безопасности информации

Компетенции компании РАМЭК в области защиты конфиденциальной информации и персональных данных от НСД

Необходимость обеспечения защиты конфиденциальной информации и персональных данных Законодательная и нормативно-методическая база в области защиты конфиденциальной информации и персональных данных Классификация АС и ИСПДн Контролирующие органы и ответственность за нарушения обработки конфиденциальной информации и ПДн Привлечение организаций – лицензиатов к выполнению работ по обеспечению защиты информации Последовательность действий по обеспечению защиты конфиденциальной информации и ПДн, структура затрат на создание системы защиты информации О чем пойдет речь в данной презентации?

Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Государственные информационные системы - создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. К конфиденциальной информации (сведения ограниченного доступа, не составляющие гостайну) относится: судебная тайна, служебная тайна, профессиональная тайна, коммерческая тайна. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Основные положения

Профессиональная тайна врачебная тайна нотариальная тайна тайна страхования другие категории профессиональной тайны Коммерческая тайна режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду Судебная тайна тайна следствия тайна судопроизводства тайна сведений о защищаемых лицах конфиденциальность сведений, ставших известными гражданам входе оперативно-розыскной деятельности прочие категории Служебная тайна сведения о физических и юридических лицах, которые становятся известными различным должностным лицам по роду их служебной деятельности, однако в силу своего особого характера не могут свободно распространяться; несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью Защищаемые сведения для разных видов информации

Необходимость обеспечения защиты: персональных данных - Ф.З.152-ФЗ от 08 июля 2006 года «О персональных данных» (ст. 7, cт.18.1 ч.1, ст. 19 ч. 1) конфиденциальной информации - Ф.З. N 149-ФЗ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации» (ст. 9 часть 2, ст. 9 часть 4, ст. 16 часть 4) Федеральный закон 149-ФЗ «Об информации, информационных технологиях и о защите информации»: ст.16, часть 1, 4: обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить защиту обрабатываемой информации путем принятия правовых, организационных и технических мер ст. 16, часть 5: требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий Законодательная база

Федеральный закон РФ 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) от г. (документ ДСП), продолжает действовать в части, не противоречащей новому Приказу ФСТЭК России 17 Приказ ФСТЭК России от «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах Приказ ФСТЭК России от «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах Руководящие документы ФСТЭК России Руководящие документы ФСБ России Законодательная база

Иерархия законодательной и нормативно-методических документов, регламентирующих защиту ПДн Федеральный закон РФ от 27 июля 2006 г. 152-ФЗ «О персональных данных» в редакции от г. Федеральный закон РФ от 27 июля 2006 г. 152-ФЗ «О персональных данных» в редакции от г. Постановление Правительства РФ от г "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от г "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15 сентября 2008 г. 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" Законодательная база

Документы ФСТЭК России «Базовая модель угроз безопасности ПДн при их обработке в информационных системах персональных данных» «Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах персональных данных» Приказ ФСТЭК России 21 от г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Документы ФСБ России «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащих сведений составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных». «Методические рекомендации по обеспечению с помощью криптографических средств безопасности ПДн при обработке в информационных системах персональных данных с использованием автоматизации» Законодательная база

ФСТЭК ФСБ Оператор * Разработка методов и способов защиты информации в автоматизированных системах в защищенном исполнении, а также в информационных системах ПДн в пределах полномочий Государственный контроль достаточности принятых мер по обеспечению безопасности ПДн Обеспечение безопасности информации ограниченного доступа при ее обработке путем выполнения требований системы защиты. *Выполнение требований может быть поручено уполномоченному лицу, имеющему разрешительные документы на этот вид деятельности Обеспечение безопасности информации ограниченного доступа при ее обработке путем выполнения требований системы защиты. *Выполнение требований может быть поручено уполномоченному лицу, имеющему разрешительные документы на этот вид деятельности Роскомнадзор Контролирующие органы Лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Меры ответственности

Класс АС Совокупность признаков 1Гмногопользовательская система с разграничением прав доступа обрабатывается информация различного уровня конфиденциальности производиться обработка служебной информации ограниченного доступа 1Дмногопользовательская система с разграничением прав доступа обрабатывается информация различного уровня конфиденциальности не производиться обработка служебной информации ограниченного доступа 2БАС без разграничения прав доступ обработка информации различных уровней конфиденциальности 3Боднопользовательская без разграничения прав доступа обработка информации одного уровня конфиденциальности Классификация АС

Категория ПДн Категории субъектов Количество субъектов Тип актуальных угроз 1 тип 2 тип 3 тип Специальная Не сотрудников Более УЗ 1 УЗ 2 Менее УЗ 1УЗ 2УЗ 3 Сотрудников Более УЗ 1УЗ 2УЗ 3 Менее УЗ 1УЗ 2УЗ 3 Биометрические Не сотрудников Более УЗ 1УЗ 2УЗ 3 Менее УЗ 1УЗ 2УЗ 3 Сотрудников Более УЗ 1УЗ 2УЗ 3 Менее УЗ 1УЗ 2УЗ 3 Иные категории Не сотрудников Более УЗ 1УЗ 2УЗ 3 Менее УЗ 1УЗ 3УЗ 4 Сотрудников Более УЗ 1УЗ 3УЗ 4 Менее УЗ 1УЗ 3УЗ 4 Общедоступные Не сотрудников Более УЗ 2 УЗ 4 Менее УЗ 2УЗ 3УЗ 4 Сотрудников Более УЗ 2УЗ 3УЗ 4 Менее УЗ 2УЗ 3УЗ 4 Классификация ИСПДн

сбор и анализ исходных данных АС определение перечня сведений конфиденциального характера и ПДн аналитическое обоснование необходимости создания системы защиты АС определение актуальных угроз безопасности классификация АС разработка организационно-распорядительной документации (приказы, изменения в инструкции, положение по защите конфиденциальной информации и др.) физическая охрана в помещениях АС ведение журналов учета (допуска к работе, съемных носителей и др.) обучение сотрудников Перечень организационных мероприятий : Проводящиеся в случае изменения характеристик: П роводящиеся на постоянной основе: Реализация требований к системе защиты АС

управление доступом регистрация и учет обеспечение целостности обеспечение безопасного межсетевого взаимодействия криптографическая защита антивирусная защита создание активных электромагнитных помех звукоизоляция ограждающих конструкций (при речевой обработке защищаемой информации) исключение просмотра информации (видовой утечки информации) Перечень технических мероприятий : Защита от НСД: Защита от утечки по ТК: Реализация требований к системе защиты АС

Реализация комплекса системы защиты от несанкционированного доступа : Применение механизмов защиты информации, встроенных в общесистемное ПО (в том числе, использование сертифицированных по требованиям безопасности ОС) Применение механизмов защиты информации, встроенных в прикладное ПО обработки информации (в том числе прикладного ПО, сертифицированного по требованиям безопасности информации) Применение специализированных сертифицированных систем защиты информации от несанкционированного доступа, например: СЗИ НСД «Блокхост-сеть К» СЗИ НСД Secret Net CЗИ НСД Dallas Lock СЗИ НСД Страж NT другие СЗИ НСД Применение аппаратно-программных модулей доверенной загрузки Применение персональных электронных ключей пользователей для двухфакторной аутентификации: eToken ruToken iButton др. Реализация требований к системе защиты АС

Реализация комплекса антивирусной защиты и комплекса анализа защищенности : Применение специализированных средств антивирусной защиты, сертифицированных по требованиям безопасности информации Антивирус Касперского Eset NOD32 Dr.Web др. Применение настроек антивирусного ПО, позволяющих производить проверку подключаемых отчуждаемых носителей информации) Разработка и реализация политики антивирусной защиты в Организации Регулярное обновление антивирусных баз Использование в составе системы защиты программных или программно- аппаратных средств (систем) анализа защищенности. Средства (системы) анализа защищенности обеспечивают возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему Реализация требований к системе защиты АС

Реализация комплекса безопасности межсетевого взаимодействия : Применение средств межсетевого экранирования для защиты сетевого взаимодействия сегментов сети с различными характеристиками безопасности, а также с внешними сетями, в том числе сетями общего пользования: МЭ из состава ПАК ViPNet Custom АПКШ «Континент» МЭ серии CISCO ASA другие Применение средств криптографической защиты информации, передаваемой по каналам связи, находящимся за пределами контролируемой зоны: Средства построения VPN-cети из состава ПАК ViPNet Custom АПКШ «Континент» Продукция линейки С-Терра CSP VPN другие Применение персональных межсетевых экранов для защиты конечных узлов сети Security Studio Endpoint Protection ПМЭ из состава ПАК ViPNet Custom Применение средств обнаружения и предотвращения вторжений ПАК СОА Форпост ПО Security Studio Endpoint Protection другие Реализация требований к системе защиты АС

Обобщенная схема реализации системы защиты Реализация требований к системе защиты АС

Федеральный закон РФ от N 99-ФЗ "О лицензировании отдельных видов деятельности" Положение о лицензировании деятельности по технической защите конфиденциальной информации», утверждено постановлением Правительства РФ от 3 февраля 2012 г. 79 Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств» (утверждено постановлением Правительства РФ от 16 апреля 2012 г. 313) + сложность и определенная специфика работ по созданию систем защиты информации АС/ИСПДн Необходимость привлечения организации-лицензиата к выполнению комплекса работ по созданию системы защиты информации АС/ИСПДн Необходимость привлечения лицензиата

Компания РАМЭК обладает всеми необходимыми лицензиями и компетенциями! лицензии ФСТЭК России лицензии ФСБ России наличие специалистов имеющих профильное образование или прошедших обучение (повышение квалификации) наличие необходимой нормативно-методической и руководящей документации наличие необходимого материально-технического обеспечения рекомендуемое условие: наличие у организации исполнителя опыта выполнения работ Требования к лицензиату

Наличие широкого опыта работ по защите конфиденциальной информации и ПДН: государственные организации, органы исполнительной власти образовательные учреждения медицинские учреждения коммерческие организации Выполнение всего спектра услуг в области обеспечения защиты информации: аудит состояния информационной безопасности проектирование и создание АС в защищенном исполнении аттестация объектов информатизации подбор, поставка, настройка и установка аппаратных и программных средств защиты информации Консалтинг по вопросам информационной безопасности сертификация автоматизированных систем, средств и комплексов защиты информации экспертная оценка предприятий и организаций, на предмет лицензирования в МО РФ, консультирование предприятий по вопросам лицензирования в рамках существующего законодательства РФ Компетенции компании РАМЭК

1 Разработка требований безопасности АС/ИСПДн 2 Техническое задание на проектирование системы защиты АС/ИСПДн Разработка системы защиты конфиденциальной информации/ПДн Технический проект системы защиты Рабочая документация 3 Внедрение проектных решений 4 Действующая система защиты информации Опытная эксплуатация, испытание (аттестация) системы защиты информации Сервисное обслуживание системы защиты информации 6 Заключение о соответствии (аттестат) Оперативное восстановление системы периодический контроль защищенности 5 Аудит автоматизированной системы, анализ соответствия нормативным требованиям Отчет об обследовании (концепция) Аналитическое обоснование необходимости создания системы защиты Этапы создания системы защиты конфедециальной информации/ПДн

Масштаб АС/ИСПДн Архитектура АС/ИСПДн Угрозы безопасности информации Виды и категории информации Характеристики АС/ИСПДн Требования к АС/ИСПДн Стоимость системы защиты АС/ИСПДн Факторы, влияющие на стоимость системы защиты

Компания «РАМЭК» Регион РФ Заказчик Партнер 12 3 Преимущества схемы: Знание специфики местного рынка услуг в области ИБ местным партнером Экономия командировочных затрат за счет выполнения части работ силами местного партнера – как следствие, повышение конкурентоспособности услуг Возможность оперативного реагирования на обращения Заказчика в случае необходимости Партнеры РАМЭК: схема взаимодействия

Аттестация объектов информатизации по требованиям безопасности информации

26 Аттестация Аттестация объектов информатизации - комплекс организационно - технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект информатизации соответствует требованиям стандартов или иных нормативно - технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации (ФСТЭК России) в пределах его компетенции. Требования безопасности информации – требования, выполнение которых позволяет защитить информацию от утечки по техническим каналам, от несанкционированного доступа и от специальных воздействий на нее и ее носители.

Обязательность проведения аттестации

Объекты информатизации, аттестуемые по требованиям безопасности информации Автоматизированные системы (на базе средств вычислительной техники) различного уровня и назначения Системы связи Системы отображения и размножения, предназначенные для обработки и передачи информации, подлежащей защите, вместе с помещениями, в которых они установлены Помещения, предназначенные для ведения секретных переговоров.

Основные руководящие документы по аттестации объектов информатизации «Инструкция по обеспечению режима секретности в Российской Федерации» утверждена Постановлением Правительства Российской Федерации от 5 января 2004 года 3-1 «Специальные требования и рекомендации по защите информации, составляющие государственную тайну, от утечки по техническим каналам» утверждены Решением Государственной технической комиссии при Президенте Российской Федерации от 23 мая 1997 года 55 РД «Защита от несанкционированного доступа к информации. Термины и определения» утверждены решением Гостехкомиссии России от 30 марта 1992 года РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» утверждены решением Гостехкомиссии России от 30 марта 1992 года РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» утверждены решением Гостехкомиссии России от 30 марта 1992 года РД «Положение по аттестации объектов информатизации по требованиям безопасности информации» утверждены решением Гостехкомиссии России от 25 ноября 1994 года «Типовая инструкция по обеспечению режима секретности при обработке секретной информации (по обеспечению безопасности информации) с использованием средств вычислительной техники» одобрена решением Межведомственной комиссии по защите государственной тайны от 9 октября 2009 года 172

Органы по аттестации объектов информатизации аттестуют объекты информатизации и выдают «Аттестаты соответствия»; осуществляют контроль за эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них; отменяют и приостанавливают действие выданных этим органом «Аттестатов соответствия»; формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке; ведут информационную базу аттестованных этим органом объектов информатизации; осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности в области аттестации

Владельцы объекта информатизации проводят подготовку объекта информатизации аттестации путем необходимых организационно- технических мероприятий по защите информации; привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации; представляют органам по аттестации необходимые документы и условия проведения аттестации; привлекают, в необходимых случаях для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации; осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»; извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств информации; предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.

Порядок проведения аттестации объектов информатизации

Порядок подачи заявки по проведение аттестации объектов информатизации

Оформление, регистрация и выдача аттестатов соответствия «Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года. Региональное управление на основании ежеквартальных сводных отчетов, представляемых органами по аттестации на бумажном и электронном носителях, ведет реестр всех аттестованных ОИ, находящихся на территории федерального округа. На основании извещений органов по аттестации, проводивших аттестацию объектов информатизации, региональное управление учитывает все случаи изменения условий и технологии обработки защищаемой информации на аттестованных объектах информатизации. Приказ ФСТЭК России от 21 апреля 2006 г. 126

АО «РАМЭК-ВС» в рамках аттестационных мероприятий проводит полный комплекс работ по защите информации: осуществляет методическую помощь в подготовке технических и организационно- распорядительных документов на объект информатизации; предоставляет рекомендации по обеспечению требуемого уровня защиты информации и оптимизирует по стоимости решения по мерам и техническим средствам защиты информации; проводит специальную проверку и специальные исследования основных технических средств и систем при аттестации ОВТ, а так же специальную проверку и специальные исследования вспомогательных технических средств и систем при аттестации выделенных помещениях; осуществляет поставку, монтаж и ввод в эксплуатацию сертифицированных средств и систем защиты информации; осуществляет поставку для объектов информатизации специализированных вычислительных машин под управлением ОС Microsoft Windows® или сертифицированных ОС МСВС, Astra Linux Special Edition, «Заря», прошедших специальную проверку и специальные исследования,; аттестует объекты на соответствие требованиям по защите как конфиденциальной информации, так и информации, содержащей сведения, составляющие государственную тайну; проводит ежегодный контроль принятых мер защиты информации на объектах информатизации; осуществляет сопровождение аттестованных объектов информатизации в течение всего срока эксплуатации.

36 Офисы компании Санкт-Петербург ул. Обручевых, д. 1 Тел./факс:(812) Москва Волгоградский пр., д. 2 Тел./факс: (495) Астана (Республика Казахстан) Пр. Кабанбай Батыра, д. 7/3 Тел./факс:(7172)