Круглый стол: Безопасность организации с продуктами Microsoft.

Обсуждаемые вопросы Актуальность проблемы Нормативная база Порядок действий при аттестации Реализация безопасной системы средствами Microsoft Ответы на ваши вопросы с trenersovet.ru

Актуальность проблемы обеспечения безопасности персональных данных значительное увеличение правонарушений, связанных с утечками персональных данных в организациях; появление новых угроз и уязвимостей; стремление Государства регламентировать деятельность по защите персональных данных; отсутствие единого понимания отдельными представителями бизнеса, проблемы защиты персональных данных; неоднозначная трактовка некоторых положений нормативных документов ФСТЭК и ФСБ; увеличение тяжести последствий утечки ПДн; появление технологий, позволяющих правонарушителям воспользоваться полученными персональными данными; персональные данные стали объектом торга.

Основные причины утечек информации за 2008 год Компания InfoWatch Преднамеренные 37% 13% Не установлено Случайные 50%

Распределение утечек по носителям информации Компания InfoWatch 25% 12% 29% 14% Мобильные носители информации Стационарный компьютер или диск Сеть (в т.ч. Интернет) Электронная почта, факс 4% Бумажный документ 9% Архивная копия 3% 4% Другое Не установлено

Политики безопасности

Политика информационной безопасности содержит: предмет, основные цели и задачи политики; условия применения и возможные ограничения; описание позиции руководства компании в отношении выполнения политик и организации режима ИБ компании в целом; права и обязанности, а также степень ответственности сотрудников за выполнение политик; порядок действия в чрезвычайных ситуациях в случае нарушения политик

выполнение требований руководства компании (руководство, как правило, проявляет интерес к ИБ под воздействием «фактора страха»); выполнение требований нормативной базы в области ЗИ (политики категоризируют информацию, что позволяет защитить её юридически); выполнение требований клиентов и партнеров (политики являются доказательством предоставления гарантий защиты информации, т.к. в них декларируются относительно качества обеспечения ИБ); Основные причины создания политик безопасности

подготовка к сертификации по ISO 9001, ISO 15408, ISO (метод подтверждения необходимого уровня обеспечения ИБ компании); устранение замечаний аудиторов; получение конкурентного преимущества на рынке (увеличение времени доступности и коэффициента готовности сервисов компании, увеличение общей жизнеспособности компании и обеспечение непрерывности бизнеса); Основные причины создания политик безопасности

Нормативная база защиты информации

ФЗ «Об информации, информационных технологиях и о защите и информации» от 27 июля 2006 г. 149-ФЗ Регулирует отношения, возникающие при: осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации. ФЗ «О персональных данных» от 27 июля 2006 г. 152-ФЗ Регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами,... физическими лицами с использованием средств автоматизации или без использования таких средств,... Целью настоящего ФЗ является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3 ФЗ 154 Основные понятия ФЗ: ПД - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация Оператор - гражданин или юридическое лицо, осуществляющее деятельность по обработке информации, содержащейся в его базах данных

Статья 19. Меры по обеспечению безопасности ПД при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Специальные требования и рекомендации 1.Специальные требования и рекомендации по защите информации составляющей государственную тайну от утечки по техническим каналам (СТР-97). Решение ГТК при Президенте РФ 1997 г. 2.Специальные требования и рекомендации по защите информации, обрабатываемой ТСПИ, в ВС РФ. Приказ МО РФ от 1996 г. 3.Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Решение Коллегии ГТК России 7.2 от 2 марта 2001г. Приказ ГТК России 282 от 30 августа 2002 г.

1.Классификация информации 2.Определение угроз безопасности 3.Создание плана системы и политик безопасности 4.Поиск и закупка специальных технических средств защиты 5.Внедрение системы 6.Постоянный контроль за исполнением требований, реагирование на происшествия Этапы работ по созданию защищенной системы:

Порядок категорирования

Классы АС

1.Управление обновлениями (WSUS, SMS2003, SCCM2007) 2.Межсетевое экранирование. (Защита на уровне доступа и сети в целом (MAC-адреса); на сетевом уровне (IP- адреса); транспортный уровень; прикладной уровень (proxy-системы) - Microsoft ISA Server Построение VPN 4.Контроль доступа (аутентификация и авторизация) 5.Обнаружение вторжений и аномалий (IDS, IPS) 6.Резервное копирование и архивирование - Windows Server 2008/R2 7.Централизованное управление безопасностью Средства защиты информации (ЗИ)

8.Предотвращение вторжений на уровне серверов 9.Мониторинг безопасности 10.Контроль деятельности сотрудников в Интернете 11.Анализ содержимого почтовых сообщений Exchange 12.Средства анализа защищенности: 1.сканеры прикладного уровня; 2.сканеры представительного уровня; 3.сканеры сеансового, транспортного, сетевого уровня; 4.сканеры канального, физического уровня. 13.Защита от спама Средства защиты информации (ЗИ)

14.Защита от атак класса «отказ в обслуживании» 15.Контроль целостности 16.Инфраструктура открытых ключей (PKI) 17.Усиленная аутентификация Средства защиты информации (ЗИ)

2 направления сертификации: 1.ФСБ 2.ФСТЭК ФСБ проверяет на наличие «программных закладок» ФСТЭК на надежность и соответствие техническим требованиям. Сертификация продуктов Microsoft

После проверки ФСТЭК программный продукт попадает в Реестр Средств Защиты ( Выбирая средства защиты, необходимо ориентироваться на этот перечень Реестр средств защиты

клиентская операционная система Windows XP Professional русская версия (включая ОЕМ производство) клиентская операционная система Windows Vista (Business, Enterprise, Ultimate) русская версия (включая ОЕМ производство) серверная операционная система Windows Server 2003 R2 (Standard Edition и Enterprise Edition) русские версии и др В соответствии с полученными сертификатами ФСТЭК указанные сертифицированные продукты позволяют строить автоматизированные системы до класса защищенности 1Г включительно. Продукты Microsoft в реестре

Forefront, SQL Server 2005, Office 2007 Professional, Office SharePoint Server 2007 …. Работа Microsoft по сертификации

Вопросы? Предложения?