1 СОЗДАНИЕ ЗАЩИЩЕННЫХ СИСТЕМ ПЕРЕДАЧИ ДАННЫХ КАК ОДИН ИЗ АСПЕКТОВ БЕЗОПАСНОСТИ РЕГИОНА Алексей Фирулев, ЗАО «Фирма НТЦ КАМИ»

2 Базовые определения Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Федеральный закон Российской Федерации от г. 152-ФЗ «О персональных данных»

3 Почему появился закон «О персональных данных»? Принятие российского закона о персональных данных – следствие присоединения Российской Федерации к Европейской Конвенции 1981 года «О защите личности в связи с автоматической обработкой персональных данных», определяющей основные принципы защиты персональных данных в европейских странах. Основная цель принятия закона – необходимость устранения имеющихся барьеров в отношениях со странами Евросоюза.

4 Задачи национального законодательства в соответствии с Конвенцией защита персональных данных от несанкционированного доступа к ним со стороны других лиц, в том числе представителей государственных органов и служб, не имеющих на то необходимых полномочий; обеспечение сохранности, целостности и достоверности данных в процессе работы с ними, в том числе при передаче по каналам связи; обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий персональных данных; обеспечение контроля над использованием персональных данных со стороны самого гражданина; создание специальной независимой структуры, обеспечивающей эффективный контроль за соблюдением прав гражданина на защиту его персональных данных (например, создание должности Уполномоченного по защите персональных данных).

5 Риски, связанные с защитой персональных данных ФОРМАЛЬНЫЕ Связанные с деятельностью контролирующих органов, регуляторов (Роскомнадзор, ФСТЭК, ФСБ). Обусловлены исключительно положениями нормативно- правовой базы. Нет требований закона – нет связанными с ними рисков. НЕФОРМАЛЬНЫЕ Возникают как следствие инцидентов безопасности. Связаны с ущербом для деловой репутации, упущенной выгодой и т.п. В конкурентной среде существуют объективно и не зависят от требований законодательства.

6 Государственные и муниципальные услуги в электронном виде и межведомственное взаимодействие Законодательством предусмотрена возможность получения государственных и муниципальных услуг в электронной форме, если это не запрещено законом, а также в иных формах, предусмотренных законодательством Российской Федерации, по выбору заявителя. Федеральный закон Российской Федерации от 27 июля 2010 г. N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»

7 Основные этапы работ 1 Аналитическое обследование 2 Технорабочее проектирование 3 Монтаж и пусконаладка 4 Опытная эксплуатация 5 Промышленная эксплуатация ГОСТ Автоматизированные системы. Стадии создания

8 Почему так важно документирование? ГОСТ Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем РД Автоматизированные системы, требования к содержанию документов Потому что, имея проект, его можно согласовать, утвердить и наконец-то получить финансирование на реализацию Потому что так систему легче развертывать и легче контролировать подрядчика Потому, что проектирование сокращает затраты на обслуживание Потому что проектная и эксплуатационная документация – это часть автоматизированной системы

9 Ну, например, такой проект… Региональный сегмент системы защиты каналов передачи данных органов государственной власти Ярославской области

10 Цели: обеспечение возможности защищенного доступа органов государственной власти и органов местного самоуправления к ресурсам органов государственной власти Ярославской области в соответствии с требованиями действующих на территории РФ руководящих и нормативно методических документов в области защиты информации

11 Основные характеристики проекта

12 Основные подсистемы Подсистема межсетевого экранирования Подсистема криптографической защиты информации Подсистема управления Подсистема мониторинга Подсистема резервирования

13 Выбор решения Выбрана продукция производства ОАО «ИнфоТеКС», продуктовая линейка ViPNet CUSTOM. ViPNet CUSTOM позволяет организовывать защиту информации в крупных сетях (от нескольких десятков до десятков тысяч сетевых узлов рабочих станций, серверов и мобильных компьютеров).

14 Программно-аппаратные комплексы ViPNet Coordinator 1000 ViPNet Coordinator 100C

15 Функциональная схема сети

16 Структурная схема одного из узлов сети

17 …или, допустим, другой проект… Расширение системы защиты информационных систем персональных данных органов исполнительной власти Ярославской области

18 Цели: Исключение или минимизация ущерба, наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию и процессы ее обработки. Аттестация АРМ на соответствие требованиям защиты конфиденциальной информации Создание условий для устойчивого функционирования мультисервисной информационно-телекоммуникационной сети ОИВ.

19 Основные характеристики проекта

20 Выбор решения Защита каналов, межсетевое экранирование ViPNet Client 3.2 (КС2) Предотвращение утечки информации через периферийные устройства Zecurion Zlock Защита от несанкционированного доступа к информации Сертифицированная ФСТЭК ОС Windows 7 (XP) Антивирусная защита Microsoft Forefront

21 Централизация управления сетью ViPNet Administrator Zecurion ZConsole Технология управления обновлениями Net_Check Средства Microsoft Forefront

22 Управление сертифицированными обновлениями

23 КАК ВЫБРАТЬ ПРАВИЛЬНОГО ИНТЕГРАТОРА?

24 Правильный интегратор это: ФСБ: Деятельность по разработке, производству, распространению шифровальных (криптографических) средств… ФСТЭК: Техническая защита конфиденциальной информации Лицензии Комплексный подход, начиная с идеологии, заканчивая решением «в железе» и сервисом В активе - выполнение масштабных проектов с количеством узлов более 1000 Опыт Квалифицированные менеджеры проекта Необходимое количество одновременно работающих выездных бригад Связи с поставщиками Ресурсы

25 …ну, и самый-самый интересный проект… Алексей Фирулев, ЗАО «Фирма НТЦ КАМИ» Самый интересный проект – тот, который еще предстоит…