Практический опыт реализации требований по защите персональных данных

1. Центр безопасности информации Практический опыт реализации требований по защите персональных данных Сидак А.А. Директор Департамента систем информационной безопасности

2. Нормативная база по защите ПДн Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Постановление правительства РФ от 17.11.2007 г Порядок проведения классификации информационных систем персональных данных Приказы ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 Нормативные документы ФСТЭК России Нормативные документы ФСБ России Базовая модель угроз безопасности ПДн при их обработке в информационных системах ПДн Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке ИСПДн с использованием средств автоматизации Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах ПДн Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств …в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн Рекомендации обеспечению безопасности ПДн при их обработке в информационных системах ПДн Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах ПДн

3. Система защиты ИСПДн Используемые в информационной системе информационные технологии . Средства предотвращения утечки информации по техническим каналам Средства защиты речевой информации: Барон, ЛГШ-402(403), SEL SP-21B1 Баррикада, Шорох-2, Соната-АВ, Шторм-105… Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей: Гном-3, ГШ-1000, ГШ-1000К, ГШ-2500, Октава-РС1, Гром-ЗИ-4Б МП-2, МП-3, МП-5, ЛФС-10-1Ф… Интернет Средства предотвращения несанкционированного доступа к информации: 1. Защищенные ОС: Red Hat Enterprise Linux, QNX, МСВС 3.0. 2. Блокхост-сеть, Аккорд-Рубеж, Аккорд-NT/2000, SecretNet 5.0, Соболь, DallasLock 7.0, Лабиринт-М, Страж NT Межсетевые экраны Шлюзы безопасности: Cisco, Z-2, WatchGuardFirebox… CSP VPN Gate, CSP RVPN… • Средства предотвращения программно- • технических воздействий на технические • средства обработки персональных данных • Антивирусные средства: • DrWed, Антивирус Касперского… • 2. Программное обеспечение, • сертифицированное на отсутствие НДВ. • 3. Системы обнаружения вторжений • и компьютерных атак: • ФОРПОСТ, ProventiaNetwork… Шифровальные (криптографические) средства защиты информации Средства защиты носителей информации на бумажной, магнитной, магнитоопрической и иной основе: eToken PRO 64K и eToken NG-OTP, Secret Disk 4…

4. Преемственность требований Базирование на требованиях апробированных документов: • РД АС; • РД СВТ • РД МЭ • РД НДВ • СТР-К Учет уровня развития средств и способов ЗИ: • контроль защищенности • антивирусная защита • расширенные требования по управлению доступом, регистрации, сигнализации о нарушениях защиты.

5. Порядок проведения классификации информационных систем персональных данных Основные особенности • Классы типовых информационных систем ПДн : • класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн; • класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн; • класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн; • класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн

6. Модель угроз – основа для уточнения требований

7. Встраивание механизмов защиты ПДн в прикладное ПО Область автоматизации: бухгалтерия, кадры и др. широко распространенные задачи. Встраиваемые функции: • управление доступом к ПДн • регистрация доступа к ПДн • учет создаваемых записей ПДн • сигнализация нарушения защиты ПДн • контроль целостности встроенных средств защиты ПДн Эффект: • возможность полного контроля ПДн на уровне полей, записей и любых других форм хранения ПДн • сопровождение единым разработчиком • сертификационная поддержка (исходные тексты и документация) • возможность построения комплексного решения • возможность широкого тиражирования • унификация многочисленных ИСПДн

8. Разработка комплексного решения по защите ПДн Состав решения: • сертифицированная платформа (ОС, СУБД); • сертифицированное прикладное ПО, со встроенными механизмами защиты; • изложение организационных мероприятий для объекта информатизации; • комплект эксплуатационных и организационно-распорядительных документов Эффект: • гарантированное выполнение всех требований по защите ПДн на множестве типовых объектов • обеспечение возможности использования для тиражирования решения партнерской сети основных разработчиков типового прикладного ПО • легкость в модернизации ранее созданных ИСПДн • сокращение сроков и стоимости внедрения в большое количество ИСПДн

9. Спасибо за внимание ! mail@cbi-info.ru