Понятийный аппарат Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Модель нарушителя – предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности. Модель угроз – перечень возможных угроз. Средства криптографической защиты информации - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

Понятийный аппарат Уровень криптографической защиты информации –совокупность требований, предъявляемых к криптосредству. Недекларированные возможности – функциональные возможности средств вычислительной техники и (или) программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Несанкционированный доступ – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.

Нормативно-правовые документы

Проекты изменений Постановление Правительства «Об установлении уровней защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных»: Устанавливает 4 уровня защищенности: УЗ-1 – максимальный уровень защищенности персональных данных; УЗ-2 – высокий уровень защищенности персональных данных; УЗ-3 – средний уровень защищенности персональных данных; УЗ-4 – низкий уровень защищенности персональных данных.

Проекты изменений (2) Постановление Правительства «О требованиях к защите ПДн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн»: Отменяет ПП 781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн» п. 12. Запросы пользователей регистрируются автоматизированными средствами в электронном журнале обращений Контроль (оценка) проводится операторами самостоятельно и (или) на договорной основе (лицензия ТЗКИ) не реже одного раза в два года.

Общие положения Методы и способы защиты = модель угроз +класс ИСПДн. Реализация методов: Создание подразделения по ЗИ Сторонняя организация (лицензия ТЗКИ) Методы и способы защиты информации: Защита от НСД Защита от утечек по техническим каналам

Стадии построения системы защиты персональных данных Предпроектная стадия по обследованию ИСПДн Стадия проектирования и реализации ИСПДн Стадия ввода в действие СЗПДн

Предпроектная стадия На данной стадии определяется: Перечень ПДн, подлежащих защите Расположение ИСПДн относительно границ контролируемой зоны Конфигурация и топология ИСПДн в целом и ее отдельных компонентов Технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн Режимы обработки ПДн в ИСПДн Класс ИСПДн Степень участия должностных лиц в обработке ПДн, характер их взаимодействия между собой Угрозы безопасности ПДн применительно к конкретным условиям функционирования ИСПДн (частная модель угроз) Требования по обеспечению безопасности ПДн, включаемые в техническое задание на разработку СЗПДн

Стадия проектирования Разработка задания и проекта проведения работ по защите ПДн Разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями Обоснование и закупка сертифицированных технических, программных и программно-технических СЗИ и их установка Разработка и реализация разрешительной системы доступа пользователей к ПДн Определение подразделений и назначение лиц, ответственных за эксплуатацию СЗИ Разработка эксплуатационной документации на ИСПДн и СЗИ, организационно-распорядительной документации по защите информации

Стадия ввода в действие СЗПДн Определение пакета прикладных программ используемых в комплексе с программными СЗИ Опытная эксплуатация средств защиты информации Приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации Организация охраны и физической защиты помещений ИСПДн Оценка соответствия ИСПДн требованиям безопасности ПДн

Обоснование мероприятий по защите ИСПДн

Обоснование мероприятий по защите ИСПДн (2)

Система защиты персональных данных

Защита от НСД Пункт 2.1. Общие для всех ИСПДн методы защиты: реализация разрешительной системы допуска; ограничение доступа пользователей в помещения; разграничение доступа к информационным ресурсам; регистрация и контроль действий персонала; учет и хранение съемных носителей информации; резервирование технических средств, дублирование информации; использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; использование защищенных каналов связи; размещение технических средств в пределах охраняемой территории; организация физической защиты помещений и технических средств; предотвращение внедрения вредоносных программ.

Защита от НСД Пункт 2.2.: Методы и способы защиты информации от НСД определяются оператором (уполномоченным лицом) в зависимости от класса информационной системы в соответствии с приложением к Приказу 58. Пункт 2.12.: Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.

Защита от НСД Об антивирусной защите 2.3. В информационных системах, имеющих подключение к сетям связи общего пользования, или при функционировании которых предусмотрено использование съемных носителей информации используются средства от НСД, антивирусной защиты О криптографии Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств О межсетевых экранах Подключение информационной системы к информационной системе другого класса или к сети связи общего пользования осуществляется с использованием межсетевых экранов

Дополнительные требования 2.4. При взаимодействии ИСПДн с сетями международного информационного обмена (Интернет) = пункт При подключении государственных информационных систем к Интернет = Указ Президента 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» 2.6. При подключение ИСПДн к Интернет для получения общедоступной информации = пункты 2.1& При удаленном доступе к ИСПДн через Интернет = пункты 2.1& При межсетевом взаимодействии отдельных ИСПДн через Интернет = 2.1& При межсетевом взаимодействии отдельных ИСПДн разных операторов через Интернет = 2.1&2.4+

Защита от НСД ИСПДн 4 класса Методы и способы защиты информации от несанкционированного доступа для обеспечения безопасности персональных данных в информационных системах 4 класса и целесообразность их применения определяются оператором (уполномоченным лицом).

Защита от НСД ИСПДн 3 класса ( однопользовательский режим) а) управление доступом: идентификация и проверка подлинности пользователя при входе в систему по паролю б) регистрация и учет: регистрация входа (выхода) пользователя в систему (указывается дата и время) учет всех защищаемых носителей информации с (маркировка и занесение учетных данных в журнал)

Защита от НСД ИСПДн 3 класса ( однопользовательский режим) в ) обеспечение целостности: обеспечение целостности программных СЗИ, обрабатываемой информации, а также неизменность программной среды (отсутствие в средств разработки и отладки программ) физическая охрана технических средств и носителей информации (контроль доступа, наличие препятствий и хранилище носителей информации) периодическое тестирование функций системы СЗИ наличие средств восстановления системы (ведение двух копий, их периодическое обновление)

Защита от НСД ИСПДн 3 класса (равные права доступа) а) управление доступом: идентификация и проверка подлинности пользователя при входе в систему по идентификатору (коду) и паролю б) регистрация и учет: регистрация входа (выхода) пользователя в систему (указывается дата и время, результат попытки входа) учет всех защищаемых носителей информации с (маркировка и занесение учетных данных в журнал)

Защита от НСД ИСПДн 3 класса (равные права доступа) в ) обеспечение целостности: обеспечение целостности программных СЗИ, обрабатываемой информации, а также неизменность программной среды (во время обработки или хранения) физическая охрана информационной системы технических средств и носителей информации (контроль доступа, наличие препятствий и хранилище носителей информации) периодическое тестирование функций системы СЗИ наличие средств восстановления системы (ведение двух, их периодическое обновление и контроль работоспособности)

Защита от НСД ИСПДн 3 класса (разные права доступа) а ) управление доступом: идентификация и проверка подлинности пользователя при входе в систему по паролю б) регистрация и учет: регистрация входа (выхода) пользователя в систему (указывается дата и время, результат попытки входа, идентификатор пользователя) учет всех защищаемых носителей информации с (маркировка и занесение учетных данных в журнал с отметкой об их выдаче)

Защита от НСД ИСПДн 3 класса (разные права доступа) в) обеспечение целостности: обеспечение целостности (целостность СЗИ - по контрольным суммам, целостность программной среды – использование трансляторов с языков высокого уровня и отсутствие средств модификации кода программ в процессе обработки или хранения) физическая охрана информационной системы (контроль доступа, наличие препятствий и хранилище носителей информации) периодическое тестирование функций системы СЗИ наличие средств восстановления системы (ведение двух, их периодическое обновление и контроль работоспособности)

Межсетевое экранирование ИСПДн 3 класса При подключении к сетям, а также для распределенных информационных систем класса при разделении на подсистемы применяются межсетевые экраны, которые обеспечивают: фильтрацию на сетевом уровне для каждого сетевого пакета независимо идентификацию и аутентификацию администратора межсетевого экрана регистрацию входа (выхода) администратора межсетевого экрана в систему контроль целостности программной и информационной части фильтрацию пакетов служебных протоколов восстановление свойств межсетевого экрана после сбоев и отказов оборудования; регламентное тестирование реализации правил

Межсетевое экранирование ИСПДн 3 класса При разделении информационной системы при помощи межсетевых экранов на отдельные части системы для указанных частей системы может устанавливаться более низкий класс, чем для информационной системы в целом. Межсетевые экраны, которые обеспечивают выполнение указанных выше функций, применяются в распределенных информационных системах 2 и 1 классов при их разделении на отдельные части.

Защита от НСД ИСПДн 2 класса Однопользовательский режим (Многопользовательский: равные права доступа, разные правда доступа ): СЗИ 2 класс = СЗИ 3 класс

Межсетевое экранирование ИСПДн 2 класса При подключении к сетям применяются межсетевые экраны, которые обеспечивают: фильтрацию на сетевом уровне независимо для каждого сетевого пакета (по сетевым адресам отправителя и получателя) фильтрацию пакетов служебных протоколов фильтрацию с учетом входного и выходного сетевого интерфейса (проверка подлинности сетевых адресов) фильтрацию с учетом любых значимых полей сетевых пакетов регистрацию и учет фильтруемых пакетов

Межсетевое экранирование ИСПДн 2 класса (2) При подключении к сетям применяются межсетевые экраны, которые обеспечивают: идентификацию и аутентификацию администратора межсетевого экрана регистрацию входа (выхода) администратора межсетевого экрана в систему регистрацию запуска программ и процессов (заданий, задач) контроль целостности своей программной и информационной части восстановление свойств межсетевого экрана после сбоев и отказов оборудования; регламентное тестирование реализации правил

Защита от НСД ИСПДн 1 класса ( однопользовательский режим) а) управление доступом: идентификация и проверка подлинности пользователя при входе в систему по паролю б) регистрация и учет: регистрация входа (выхода) пользователя в систему (указывается дата и время, результат попытки входа) регистрация выдачи печатных (графических) документов на бумажный носитель (указывается дата и время, краткое содержание документа (наименование, вид, код), логическое имя внешнего устройства) учет всех защищаемых носителей (маркировки и занесение в журнал учета) дублирующий учет защищаемых носителей информации очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационной системы и внешних носителей информации;

Защита от НСД ИСПДн 1 класса ( однопользовательский режим) в) обеспечение целостности: обеспечение целостности СЗИ (целостность программных средств - по наличию идентификаторов компонентов СЗИ, а целостность программной среды - отсутствие в информационной системе средств разработки и отладки программ) физическая охрана технических средств и носителей информации, (постоянное наличие охраны территории и здания) периодическое тестирование функций системы СЗИ наличие средств восстановления системы (ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности).

Защита от НСД ИСПДн 1 класса ( равные права доступа) а) управление доступом: идентификация и проверка подлинности пользователя при входе в систему (по идентификатору и паролю) идентификация технических средств и каналов связи, внешних устройств информационных систем по их логическим адресам (номерам) идентификация программ, томов, каталогов, файлов, записей, полей записей по именам

Защита от НСД ИСПДн 1 класса ( равные права доступа) б) регистрация и учет: регистрация входа (выхода) пользователя в систему (указывается дата и время, результат попытки входа, идентификатор пользователя) регистрация выдачи печатных (графических) документов на бумажный носитель (указывается дата и время логическое имя внешнего устройства, краткое содержание документа (наименование, вид, шифр, код), идентификатор пользователя) регистрация запуска программ и процессов (указывается дата и время, идентификатор программы, идентификатор пользователя, результат запуска)

Защита от НСД ИСПДн 1 класса ( равные права доступа) регистрация попыток доступа к защищаемым файлам (указывается дата и время, результат, идентификатор пользователя, спецификация защищаемого файла) регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам, техническим средствам, узлам сети, внешним устройствам, полям записей). Указывается дата и время, результат, идентификатор пользователя, спецификация защищаемого объекта) учет всех защищаемых носителей информации (маркировка и занесение в журнал учета с отметкой об их выдаче) дублирующий учет защищаемых носителей информации очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационных систем и внешних носителей информации

Защита от НСД ИСПДн 1 класса ( равные права доступа) в) обеспечение целостности: обеспечение целостности СЗИ (целостность системы СЗИ по наличию идентификаторов ее компонент, а целостность программной среды – отсутствие средств разработки и отладки) физическая охрана технических средств и носителей информации(постоянное наличие охраны территории и здания) периодическое тестирование функций СЗИ наличие средств восстановления СЗИ (ведение двух копий, их периодическое обновление и контроль работоспособности)

Анализ защищенности и обнаружение вторжений Анализ защищенности проводится для распределенных информационных систем и информационных систем, подключенных к сетям международного информационного обмена. Требования: выявление уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы. Обнаружение вторжений проводится для информационных систем, подключенных к сетям международного информационного обмена.

Защита от утечек по техническим каналам Для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в ИСПДн 1 класса могут применяться следующие методы и способы защиты: использование технических средств в защищенном исполнении; использование средств защиты, прошедших процедуру оценки соответствия; электропитания и контуров заземления технических средств в пределах охраняемой территории; обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал; и т.д.

Защита от утечек по техническим каналам Для ИСПДн 2 класса выполняется проверка СВТ по электромагнитной совместимости, по безопасности и эргономическим требованиям. При использовании функции голосового ввода или воспроизведения акустическими средствами для ИСПДн 1 класса реализуются защита речевой информации (организационные или технические). Обеспечение невозможности просмотра посторонними лицами текстовой и графической видовой информации.

Реализация угроз Носители ПДн могут содержать информацию, представленную в следующих видах: акустическая (речевая) информация видовая информация (текст, изображения) информация, циркулирующая в ИСПДн, в виде электрических, электромагнитных, оптических сигналов информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, IP-протоколов, файлов

Классификация угроз

Классификация угроз по виду каналов Угрозы утечки информации по техническим каналам: Угрозы утечки акустической (речевой) информации Угрозы утечки видовой информации Угрозы утечки информации по каналам ПЭМИН Угрозы НСД к информации: Угрозы доступа (проникновения) в операционную среду с использованием штатного ПО Угрозы создания нештатных режимов работы программных (программно-аппаратных) средств Угрозы внедрения вредоносных программ (ПМВ)

Типовые модели угроз безопасности Выделяют модели угроз безопасности для: АРМ (с подключением к общим сетям и без) локальные ИСПДн (с подключением к общим сетям и без) распределенные ИСПДн (с подключением к общим сетям и без)

Пример типовой модели угроз безопасности Для АРМ, не подключенной к сети 1. Утечка информации по техническим каналам: утечка акустической информации утечка видовой информации (просмотр информации с помощью оптических средств с экранов дисплеев и других средств отображения) утечка по ПЭМИН (электромагнитные излучения монитора и системного блока) 2. Несанкционированный доступ: перехват паролей или идентификаторов, модификацию базовой системы ввода/ вывода (BIOS), перехват управления загрузкой угрозы выполнения НСД в при штатной работе системы угрозы внедрения вредоносных программ

Для локальных ИСПДн с подключением к сетям 1. Утечка информации по техническим каналам те же 2. Несанкционированный доступ: угрозы в ходе загрузки ОС внедрение вредоносных программ «Анализ сетевого трафика» с перехватом информации сканирование сети выявление паролей НСД путем подмены доверенного объекта «Отказ в обслуживании» удаленный запуск приложений внедрение по сети вредоносных программ Пример типовой модели угроз безопасности

Модель нарушителя

Криптографическая защита ИСПДн Защита ИСПДн с помощью сертифицированных криптографических средств осуществляется, если: организация-оператор находится под контролем ФСБ (например, государственные органы) систему разграничения доступа невозможно обеспечить не криптографическими средствами СЗИ от НСД

Модель угроз

Модель нарушителя H1H2H3H4H5H6 Используют штатные средства, расположенные за пределами КЗ + Используют имеющиеся в продаже аппаратные компоненты + Возможности по использованию штатных средств зависят от организационных мер Дополнительные возможности по получению аппаратных компонентов зависят от организационных мер +++ Известны все сети связи, работающие на едином ключе ++++ Возможен сговор нарушителей +++ Могут проводить лабораторные исследования +++ Р асполагают документацией и исходными текстами ++ М огут проводить работы в научно-исследовательских центрах ++ Р асполагают всей документацией на СКЗИ и любыми аппаратными компонентами + Нарушитель относится к типу Нi, если есть предположение, относящееся к нарушителям типа Нi и нет ни одного предположения, относящегося только к нарушителям типа Нj (j > i).

Определение уровня криптографической защиты Уровни специальной защиты от утечки по каналам ПЭМИН КСКВКА Уровни криптографической защиты КС1КС2КС3КВ1КВ2КА1 Встраивание криптосредств осуществляется без контролятолько под контролем со стороны ФСБ России Встраивание криптосредства класса осуществляется организацией, имеющей соответствующую лицензию ФСБ России не обязательно (самим пользователем при наличии лицензии ФСБ) обязательно Уровни защиты от несанкционированного доступа к ПДн (классы автоматизированных систем) АК1АК2АК3АК4АК5АК6 Тип нарушителя (Hi)Н1Н2Н3Н4Н5Н6 H1H1 H2H2 H3H3 H4H4 H5H5 H6H6

Документы, необходимые при использовании СКЗИ 1. Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных. 2. Эксплуатационная и техническая документация на используемые криптосредства. 3. Заключение о возможности эксплуатации криптосредств. 4. Журнал учета используемых криптосредств. 5. Журнал учета технической документации к криптосредствам. 6. Журнал учета носителей персональных данных. 7. Приказ о назначении лиц (пользователей криптосредств), допущенных к работе с криптосредствами. 8. Документ, устанавливающий порядок обеспечения безопасности ПДн при помощи криптосредств. 9. Документ, устанавливающий порядок организации контроля за соблюдением условий использования криптосредств. 10. Документ, устанавливающий порядок хранения носителей персональных данных.

Документы, необходимые при использовании СКЗИ 11. Приказ о назначении ответственного пользователя криптосредств. 12. Функциональные обязанности ответственного пользователя криптосредств. 13. Лицевые счета на пользователей криптосредств. 14. Технический (аппаратный) журнал регистрации разовых ключевых носителей (при необходимости). 15. Приказ о назначении комиссии по уничтожению ключевых документов. 16. Документ, устанавливающий требования к режимным помещениям в которых эксплуатируются криптосредства. 17. Журнал учета хранилищ. 18. Журнал проверок исправности сигнализации. 19. Журнал учета ключей от хранилищ ключевых документов и технической документации. 20. Журнал службы охраны.

Журнал поэкземплярного учета криптосредств п.п. Наименование криптосредства, эксплуатационной и технической документации к ним, ключевых документов Регистрационные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых докумен- тов Номера экземпляров (криптографичес- кие номера) ключевых документов Отметка о полученииОтметка о выдаче От кого получены Дата и номер сопроводи- тельного письма Ф.И.О. пользователя криптосредст в Дата и расписка в получении Отметка о подключении (установке) СКЗИ Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов Примечание Ф.И.О. пользователя криптосредств, производившего подключение (установку) Дата подключения (установки) и подписи лиц, произведших подключение (установку) Номера аппаратных средств, в которые установлены или к кото- рым подклю- чены крипто- средства Дата изъятия (уничто- жения) Ф.И.О. пользователя СКЗИ, производившего изъятие (уничтожение) Номер акта или расписка об уничтожении

Обязанности пользователя СКЗИ не разглашать информацию о криптосредствах, ключевых документах и тд. соблюдать требования к обеспечению безопасности персональных данных сообщать о попытках получения сведений об используемых криптосредствах или ключевых документах к ним немедленно уведомлять оператора о фактах утраты или недостачи криптосредств сдавать криптосредства, документацию к ним, ключевые документы при увольнении или отстранении от исполнения обязанностей

Основные документы ФЗ «О лицензировании отдельных видов деятельности» 99 от 4 мая 2011 года Постановление Правительства «Положение о лицензировании деятельности по технической защите конфиденциальной информации» 79 от 3 февраля 2012 года. «Административный регламент ФСТЭК по исполнению гос. функции по лицензированию деятельности по технической защите конфиденциальной информации» (разработан проект)

Требования к лицензиату наличие в специалистов, имеющих высшее профессиональное образование в области ЗИ либо прошедших переподготовку или повышение квалификации по вопросам ЗИ; наличие помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по ТЗИ и принадлежащих лицензиату на праве собственности или на ином законном основании; наличие производственного, испытательного и контрольно- измерительного оборудования, прошедшего метрологическую поверку (калибровку), маркирование и сертификацию; использование АС, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия; использование предназначенных для осуществления лицензируемой деятельности программ и баз данных; наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным ФСТЭК России.

Аттестация АС Приказ «О назначении комиссии по классификации объекта информатизации» Перечень «Защищаемых ресурсов АС и уровень их конфиденциальности» Перечень Лиц имеющих право самостоятельного доступа к штатным средствам АС Акт Классификации АС Технический паспорт на АС Технологический процесс обработки конфиденциальной информации в АС Модель нарушителя и угроз Приказ «О назначении администратора ИБ» Инструкция Администратору ИБ АС Инструкция по работе пользователей на АС Инструкция по проведению антивирусного контроля Акт установки СЗИ от НСД Приказ о вводе в эксплуатацию

Аттестация ЗП Приказ об организации; Перечень лиц имеющих право доступа в ЗП; Технический паспорт на ЗП ; Инструкция ответственному за ЗП; Инструкция по эксплуатации средств защиты ; Акты установки средств защиты.

Перечень документов для отправки 1. Копия Устава 2. Копия Свидетельства о государственной регистрации права 3. Копия Свидетельства о государственной регистрации юридического лица 4. Копия Свидетельства о постановке на учёт Российской организации в налоговом 5. Справка о квалификации персонала, с приложениями: копии дипломом о высшем образовании, свидетельств о повышении квалификации, приказов о зачислении в штат специалистов по защите информации, выписки из приказов 6. Копии документов, подтверждающих право на используемые программы 7. Сведения о наличии производственного и контрольно- измерительного оборудования, средств защиты информации, необходимых для осуществления лицензируемой деятельности: - Копия договора аренды КИО - Копия заказа к договору аренды КИО - Копия акта передачи оборудования в пользование - Копии документов о поверке 8. Копии титульных листов ГОСТ Р , ГОСТ Р

Перечень документов для отправки 9. Копии документов, подтверждающих приобретение ГОСТ Р , ГОСТ Р Копия платёжного поручения, за нормативно- методические документы от ФСТЭК России 11. Сведения об имеющихся нормативных правовых актах, нормативно-методических документах по вопросам технической защиты информации 12. Копия акта классификации АС по требованиям безопасности информации 13. Копия аттестата соответствия АС требованиям по безопасности информации 14. Копия перечня защищаемых ресурсов АС 15. Копия описания технологического процесса обработки информации, циркулирующей в АС 16. Копия аттестата соответствия требованиям по безопасности информации на ЗП 17. Копия технического паспорта АС 18. Пояснительная записка

Основные документы ФЗ «О лицензировании отдельных видов деятельности» 99 от 4 мая 2011 года Постановление Правительства «Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…» 313 от 16 апреля 2012 года. «Административный регламент ФСБ по исполнению гос. функции по лицензированию разработке, производству, распространению шифровальных (криптографических) средств…» (разработан проект)

Подсистема защиты от НСД (1) Аккорд-В до 1 класса ИСПДн (2598 от г. до г.). Crypton Lock до 1 класса ИСПДн (2600 от г. до г.). Встроенные средства защиты ОС Solaris 8 версии 2/02 до 1 класса ИСПДн (695 от г. до г.) Встроенные средства защиты ОС Solaris 10 версии 11/06 до 2 класса ИСПДн (1582 от г. до г.) Встроенные средства защиты системы управления базами данных Oracle Database до 2 класса ИСПДн (1583 от г. до г.) Dallas Lock 6.0 до 1 класса ИСПДн (762 от г. до г.) Dallas Lock 7.5 до 1 класса ИСПДн (1685 от г. до г.) «Dallas Lock 7.7» до 1 класса ИСПДн (2209 от г. до г.) «Аккорд-Рубеж» v.1.5 до 1 класса ИСПДн включительно (1322 от г. до г.). «Страж-NT» до 1 класса ИСПДн включительно (2145 от г. до г.). «Соболь» до 1 класса ИСПДн включительно (1574 от г. до г.). «Панцирь-С» до 1 класса ИСПДн включительно (1595 от г. до г.). eToken 5 до 1 класса ИСПДн включительно (1883 от г. до г.). Print Control v. 2.4 до 1 класса ИСПДн включительно (2100 от г. до г.).

Подсистема защиты от НСД (2) «Блокхост-сеть» ИСПДн до 1 класса включительно (1351 от г. до г.). «Блокпост-2000/XP» ИСПДн до 1 класса включительно (964/1 от г. до г.). Страж NT ИСПДн до 1 класса включительно (2145 от г. до г.). ViPNet SafeDisk 4.1 ИСПДн до 1 класса включительно(1812/1 от г. действителен до г.). SecretNet 5.0 ИСПДн до 1 класса включительно (1237 от г. действителен до г.). SecretNet 5.1 ИСПДн до 1 класса включительно (1912 от г. действителен до г.). SecretNet 6 ИСПДн до 1 класса включительно (1957 от г. действителен до г.). DeviceLock 6.3 ИСПДн 3 класса (1696 от г. Действителен до г.). Стоимость рублей. СЗИ «Security Studio» - ИСПДн до 2 класса включительно (1597 от г. действителен до г.). «SecureLogin» версия 6 - ИСПДн до 2 класса включительно (1608 от г. действителен до г.). Acronis Backup & Recovery 10 ИСПДн до 2 класса включительно (2219 от г. действителен до г.).

Межсетевое экранирование WatchGuard Firebox 3 класс для МЭ (2038 от г. действителен до г.). «Блокпост – экран 2000/XP» до 2 класса ИСПДн включительно (986 от г. действителен до г.) Cisco ASA класс для МЭ, ИСПДн до 1 класса включительно (2153 от г. действителен до г.). Стоимость рублей. Cisco ASA класс для МЭ, ИСПДн до 1 класса включительно (2154 от г. действителен до г.). МЭ ССПТ-2 3 класс для МЭ, ИСПДн до 1 класса включительно (2141 от г. действителен до г.). ViPNet Coordinator HW-VPNM 3 класс для МЭ, ИСПДн до 1 класса включительно (2148 от г. действителен до г.) ViPNet Coordinator HW класс для МЭ, ИСПДн до 1 класса включительно (2149 от г. действителен до г.) ViPNet Coordinator HW100 HW класс для МЭ, ИСПДн до 1 класса включительно (2150 от г. действителен до г.)

Межсетевое экранирование TrustAccess 2 класс для МЭ, ИСПДн до 1 класса включительно (2146 от г. действителен до г.) TrustAccess-S 2 класс для МЭ, ИСПДн до 1 класса включительно (2147 от г. действителен до г.) Stonegate Firewall 2 класс для МЭ, ИСПДн до 1 класса включительно (2157 от г. действителен до г.). Stonegate IPS 2 класс для МЭ (2163 от г. действителен до г.). Security Studio Endpoint Protection Personal Firewall IPS 4 класс для МЭ (2170 от г. действителен до г.). CSP VPN Server v класс для МЭ, ИСПДн до 1 класса включительно (2197 от г. действителен до г.). CSP VPN Gate v класс для МЭ, ИСПДн до 1 класса включительно (2198 от г. действителен до г.). CSP VPN Client v класс для МЭ, ИСПДн до 1 класса включительно (2199 от г. действителен до г.). ViPNet Office класс для МЭ, ИСПДн до 1 класса включительно (2222 от г. действителен до г.). Diamond VPN/FW 2 класс для МЭ, ИСПДн до 1 класса включительно (2260 от г. действителен до г.).

Межсетевое экранирование Ideco ICS 3 4 класс для МЭ, ИСПДн до 2 класса включительно (2283 от г. действителен до г.). StoneGate SSL 3 класс для МЭ, ИСПДн до 1 класса включительно (2284 от г. действителен до г.). ЗАСТАВА-S ИСПДн до 1 класса включительно (1585 от г. действителен до г.). Континент 4 класс для МЭ, ИСПДн до 1 класса включительно (1168 от г. действителен до г.). Cisco PIX 501 Континент 4 класс для МЭ (1247/1 от г. действителен до г.). Cisco PIX класс для МЭ (1248/1 от г. действителен до г.). «Z-2» 2 класс для МЭ (1353 от г. действителен до г.). Microsoft ISA Server 2006 SE 4/3 класс для МЭ (1386 от г. действителен до г.). ESET NOD32 Firewall 4 класс для МЭ (1866 от г. действителен до г.). Security Studio Honeypot Manager 2 до 1 класса ИСПДн включительно (2193 от г. действителен до г.). Средство контроля защищенности MaxPatrol - до 1 класса ИСПДн включительно (2305 от г. действителен до г.). Средство анализа защищенности XSpider до 1 класса ИСПДн включительно (2530 от г. действителен до г.).

Антивирусная защита Dr. Web® версии 5.0 для Windows (2200 от г. действителен до г.). Антивирус Dr. Web® версии 5.0 для файловых серверов (2012 от г. действителен до г.). Антивирус Касперского 5.0 (1310 от г. действителен до г.). Антивирус Касперского 6.0 для Windows Servers (1382 от г. действителен до г.). Антивирус Касперского 8.0 для Windows Servers (2484 от г. действителен до г.). Антивирус Касперского 6.0 для Windows Workstations (1384 от г. действителен до г.). « NOD32 » ИСПДн до 2 класса включительно (1914 от г. действителен до г.).

Операционные системы Microsoft Windows 7 в редакциях «Профессиональная», «Корпоративная» и «Максимальная» до 2 класса ИСПДн включительно (2180 от до ). SP1 до Microsoft Windows Server 2008 R2 до 2 класса ИСПДн включительно (2181 от до ). SP1 до MS Windows Server 2008 Standard Edition (SP2) до 3 класса ИСПДн включительно (1928/1 от до ) Windows XP до 2 класса ИСПДн включительно (1636 от до ) Trustverse Linux XP Desktop 2008 SE до 2 класса ИСПДн включительно (1921 от до ) MS Office Professional Plus 2007 до 3 класса ИСПДн включительно (1960 от до )

Пример реализации системы

Сокращение расходов на защиту ПДн Использование возможностей уже имеющихся в ИС средств защиты информации, возможностей ОС и прикладного ПО Принятие дополнительных мер, позволяющих снизить требования к части ИСПДн или сегментам сети, содержащим ИСПДн Сокращение количества компьютеров, обрабатывающих ПДн, разделение функций пользователей, минимизирование одновременной обработки ПДн из разных систем Обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т.п.); Разделение ИС межсетевыми экранами на отдельные сегменты, классификация каждого сегмента отдельно Исключение из ИСПДн части ПДн Хранение персональных данных высоких категорий на бумажных или иных носителях

Ссылки Сайт ФСТЭК России Сайт о защите персональных данных Совершенствование законодательства в области персональных данных Блоги по теме