Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской Федерации. Денисов Алексей Юрьевич Заместитель начальника отдела по информационной безопасности ФГБУ «Федеральный центр тестирования»

Нормативно-правовые акты в сфере защиты персональных данных и информации ограниченного доступа ФЗ 152ФЗ 149 Постановление правительства РФ 1119 Приказ ФСТЭК 17 Технические условия защищенного взаимодействия РИС и ФИС

Требования к обеспечению защиты информации ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 31 АВГУСТА 2013 Г. N Федеральная и региональные информационные системы являются государственными информационными системами. ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 31 АВГУСТА 2013 Г. N Федеральная и региональные информационные системы являются государственными информационными системами. ПРИКАЗ ФСТЭК ОТ 11 ФЕВРАЛЯ 2013 Г. N 17 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ. 13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: … аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие. ПРИКАЗ ФСТЭК ОТ 11 ФЕВРАЛЯ 2013 Г. N 17 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ. 13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: … аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие. Аттестация региональных информационных систем по требованиям защиты информации. Технические условия от Подключение региональных информационных систем обеспечения проведения государственной итоговой аттестации к федеральной информационной системе обеспечения проведения государственной итоговой аттестации ФГБУ «Федеральный центр тестирования». Технические условия от Подключение региональных информационных систем обеспечения проведения государственной итоговой аттестации к федеральной информационной системе обеспечения проведения государственной итоговой аттестации ФГБУ «Федеральный центр тестирования».

Что реализуется на федеральном уровне? Мероприятия ИБ Аттестация федеральной информационной системы по требованиям защиты информации Технические условия защищенного взаимодействия РИС и ФИС Создание системы мониторинга и анализа защищенности ЗКСПД

Уровень информационной безопасности защищенной корпоративной сети передачи данных, ФГБУ «Федеральный центр тестирования» и региональных центров обработки информации Рекомендации Принятие мер Мониторинг технического обеспечения и защищенности

Итоги проведенного в 2014 г. мониторинга организации работ в РЦОИ по вопросам обеспечения информационной безопасности Основные недостатки: Недостаточный контроль руководства ответственного за функционирование РИС, в части обеспечения информационной безопасности Объединение защищенного контура РИС с контурами других ИС без применения каких- либо средств защиты Нарушение либо отсутствие парольной политики пользователей системы Отсутствие контроля за действиями пользователей Отсутствие квалифицированных кадров с профильным образованием в области ИБ Отсутствие документации, схем, конфигурации сетевого оборудования и настроек СЗИ

Следствия: Программное обеспечение своевременно не обновляется; Контроль защищенности и Мониторинг событий информационной безопасности не проводится; Настройка средств защиты выполнена не в полной мере; Доступ к персональным данным и конфиденциальной информации как изнутри, так и из вне защищаемого контура; Программное обеспечение своевременно не обновляется; Контроль защищенности и Мониторинг событий информационной безопасности не проводится; Настройка средств защиты выполнена не в полной мере; Доступ к персональным данным и конфиденциальной информации как изнутри, так и из вне защищаемого контура; -неправомерный доступ и копирование информации; -несанкционированная модификация и/или удаление информации;

Рекомендации: Издать приказы : О назначении ответственного за защиту информации (возлагаются задачи по защите информации и организации обработки ПДн); О назначении администратора безопасности (непосредственно осуществляет действия по техническому обеспечению функционирования СЗИ и организационные действия в соответствии с ОРД); Техническая сторона: Отделить защищенный контур РИС от информационных ресурсов доступных через Интернет; Обеспечить АРМы и Сервер закрытого контура средствами от НСД; Использовать в работе только сертифицированные ФСТЭК и ФСБ программные и программно-аппаратные средства; Ограничить доступ к конфиденциальной информации перечнем сотрудников допущенных к обработке данной информации; Разработать и внедрить политику обновления общесистемного и прикладного ПО, а также средств защиты информации; Завести журнал учета машинных носителей и использовать в работе только их;

Схема взаимодействия РЦОИ и ФГБУ «Федеральный центр тестирования»

Хранение ключевой информации защищенной корпоративной сети передачи данных ФЦТ РЦОИ Ключевая информация ЗКСПД (файл *.dst) – это ключ от всей информационной системы!

Соблюдение баланса возможностей современных информационных технологий и выполнение требований информационной безопасности. ИБИТ Производительность Скорость Удобство Безопасность Конфиденциальность

Как контролировать уровень информационной безопасности? Как мы можем узнать о попытках взлома РИС? Как мы можем узнать кто и когда реально получает доступ к РИС? Сколько времени понадобится для полного восстановления данных в случае взлома? Сколько времени понадобится для полного восстановления РИС в случае поломки сервера БД или других серверов?

Спасибо за внимание! Денисов Алексей Юрьевич Заместитель начальника отдела по информационной безопасности ФГБУ «Федеральный центр тестирования»