1 / 36

« Методические рекомендации по созданию и эксплуатации системы защиты информации в МФЦ»

« Методические рекомендации по созданию и эксплуатации системы защиты информации в МФЦ». Виктор Коровин Ведущий специалист по защите информации ГОБУ «МФЦ МО» г. Мурманск, ул. Подстаницкого , 1 тел.  +7 ( 8152) 994-244 доб. 123 моб. +7 ( 911 ) 305-74-63

brooke
Download Presentation

« Методические рекомендации по созданию и эксплуатации системы защиты информации в МФЦ»

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. «Методические рекомендации по созданию и эксплуатации системы защиты информации в МФЦ» Виктор Коровин Ведущий специалист по защите информации ГОБУ «МФЦ МО» г. Мурманск, ул. Подстаницкого, 1 тел.  +7 (8152) 994-244 доб. 123 моб. +7 (911) 305-74-63 e-mail: korovin@mfc51.ru

  2. Информационная безопасность Широкий спрос на компьютерную информацию повлиял, прежде всего, на её экономическую значимость, то есть, информацию сегодня можно купить и продать. Как следствие, многие так и норовят получить её незаконным путем. Именно поэтому был создан ряд комплексных мер по устранению утечки данных, которым требуется обеспечение защиты. Такой категории дали термин «Информационная безопасность». Информационная безопасность – это устойчивость и защищенность системы от специального, преднамеренного вмешательства, целью которого служит похищение материалов личного пользования. В таком случае владельцу информации будет нанесён вред. В наши дни выделяют три главных принципа, которые должны выполняться при защите систем и комплексов информации: Целостность. Информационная безопасность должна обеспечивать сохранение в первозданном виде программный код, базы данных, таблицы и так далее. Конфиденциальность. Пожалуй, один из главных критериев, обеспечивающий открытие доступа лицам, обладающим необходимыми правами для просмотра, а также внесения изменений. Доступность. Этот принцип обеспечивает беспрепятственное и своевременное получение необходимых данных привилегированным пользователям. http://itsec2012.ru/

  3. Нормативно-правовые акты по информационной безопасности • Федеральные законы • Постановления правительства • Нормативно-правовые акты ФСТЭК • Нормативно-правовые акты ФСБ • Нормативно-правовые акты Роскомнадзора

  4. Федеральные законы • Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" • Федеральный закон от 06 апреля 2011 г. N 63-ФЗ "Об электронной подписи" • Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" • Федеральный закон от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"

  5. Постановления правительства • Постановление Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных " • Постановление Правительства РФ от 21.03.2012 N 211"Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами” • Постановление Правительства РФ от 22 декабря 2012 г. N 1376 1119 " Об утверждении правил организации деятельности многофункциональных центров предоставления государственных и муниципальных услуг"

  6. Нормативно-правовые акты ФСТЭК • Методический документ от 11 февраля 2014 года Меры защиты информации в государственных информационных системах • Приказ ФСТЭК от 11 февраля 2013 г. №17 "11 февраля 2013 г. N 17 Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" • Приказ ФСТЭК от 18 февраля 2013 г. №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

  7. Нормативно-правовые акты ФСБ • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайнув случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ РФ 21 февраля 2008 г. N 149/6/6-622) • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144) • Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"

  8. Нормативно-правовые акты Роскомнадзора • Приказ от 19 августа 2011 г. N 706 Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных http://pd.rkn.gov.ru/operators-registry/notification/ • Приказ от 5 сентября 2013 г. N 996 Об утверждении требований и методов по обезличиванию персональных данных • Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»

  9. Регуляторы Роскомнадзор (права субъектов ПДн) ФСБ России (шифрование и криптография) ФСТЭК России (технические средствазащиты) Прокуратура (соблюдение законодательства) Планы проверок на порталах.

  10. Компоненты ViPNet Custom

  11. ViPNet сетифицированное ПО Продукты и наборы продуктов из состава ViPNet CUSTOM регулярно проходят сертификацию по требованиям к СКЗИ, средствам сетевого экранирования (межсетевым и персональным сетевым экранам), по отсутствию недекларированных возможностей. Так, например, под общим названием СКЗИ «Домен-КС2/КМ» проходит сертификацию набор продуктов, состоящий из ViPNetAdministrator (в части Ключевого центра), ViPNet MFTP и ViPNetCryptoService. А под названием ПАК «Удостоверяющий центр корпоративного уровня ViPNet КС2/КМ» проходит сертификацию набор из ViPNetAdministrator (в части Удостоверяющего центра), ViPNetPublication Service, ViPNetRegistrationPoint и ViPNetClient. Необходимость объединения продуктов в такие наборы для сертификации вызвана различиями в специфике систем сертификации ФСБ и ФСТЭК России и разными требованиями, по которым сертификация осуществляется, а также невозможностью выделить из комплексного решения, которым является ViPNet CUSTOM, отдельно сетевой экран или отдельно Удостоверяющий центрс PKI-продуктами других отечественных производителей

  12. ViPNet Custom ViPNet CUSTOM позволяет организовывать защиту информации в крупных сетях (от нескольких десятков до десятков тысяч сетевых узлов — рабочих станций, серверов и мобильных компьютеров) и нацелен на решение двух важных задач информационной безопасности: Создание защищенной, доверенной среды передачи информации ограниченного доступа с использованием публичных и выделенных каналов связи (Интернет, телефонные и беспроводные линии связи) путем организации виртуальной частной сети (VPN) с одним или несколькими центрами управления. Развертывание инфраструктуры открытых ключей (PKI) с организацией Удостоверяющего Центра с целью использования механизмов электронно-цифровой подписи в прикладном программном обеспечении заказчика (системах документооборота и делопроизводства, электронной почте, банковском программном обеспечении, электронных торговых площадках и витринах), с поддержкой возможности взаимодействия с PKI-продуктами других отечественных производителей

  13. ViPNet Administrator ViPNetAdministrator (Администратор) — это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя: ViPNetNCC (Центр Управления Сетью, ЦУС) — программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью ViPNet. ViPNetKC & CA (Удостоверяющий и Ключевой Центр, УКЦ) — программное обеспечение, которое выполняет функции центра формирования ключей шифрования и персональных ключей пользователей — Ключевого Центра, а также функции Удостоверяющего Центра.

  14. ViPNet Client ViPNetClient (Клиент) программный комплекс для ОС Windows 2000/Windows XP/Vista/Windows 7/Server 2003/Server 2008 (32 бит), ОС Vista/Windows 7/Server 2008/Server 2008 R2 (64 бит), выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования.

  15. ViPNet Coordinator ViPNet Coordinator HW1000 криптошлюз и межсетевой экран, построенный на аппаратной платформе телекоммуникационных серверов компании «Аквариус» и выполняющий функции криптошлюза и межсетевого экрана. Он легко интегрируется в существующую инфраструктуру, надежно защищает передаваемую по каналам связи информацию от несанкционированного доступа и подмены. Использование адаптированной ОС Linux и надежной аппаратной платформы серверов AquaServer позволяет применять ViPNet Coordinator HW1000 в качестве корпоративного решения, к которому предъявляются самые жесткие требования по функциональности, удобству эксплуатации, надежности и отказоустойчивости.

  16. Средства защиты информации Средства защиты от НСД Антивирусные средства Межсетевые экраны Системы предотвращения атак Средства анализа защищенности Средства защиты от утечки по каналам ПЭМИН Средства криптографической защиты

  17. Примерный перечень необходимого оборудования Определение количества лицензий ViPNet, необходимых для работы и формирования технического задания на закупку. 1. Рабочее место для ЕПСС УЭК 2. Рабочее место для подключения к транспортному абонентскому пункту ГОБУ «МФЦ МО» 3. Рабочее место для подключения к системе исполнения регламентов или другим сервисам 4. Рабочее место администратора ViPNet 5.Координатор ViPNetHW для организации межсетевого взаимодействия Окончательная конфигурация определяется в конкретной ситуации в зависимости от конфигурации сети

  18. Примерный перечень работ по внедрению ViPNet установка и настройка ПО ViPNetAdministrator (устанавливается на выделенный компьютер, OS Windows XP SP3, Windows 7 32-bit) установка и настройка ПО ViPNetClient (по количеству лицензий) установка и настройка ПАК ViPNetCoordinatorHW1000 Создание межсетевого взаимодействия с сетью ГОБУ»МФЦ МО», с подписанием акта о создании межсетевого взаимодействия проверка установленного ПО И ПАК в соответствии с Регламентом информационной безопасности при использовании программно-аппаратных средств комплекса ViPNet (ФРКЕ. 00029-04 90 01) производителя компании ОАО «ИнфоТеКС» с оформлением требуемых документов По результатам проверки, должен быть подготовлен отчет, включающий детальное описание настроек подсистем системы защиты персональных данных, составлены акты установки и готовности средств защиты информации на каждое рабочее место.

  19. Примерный перечень требований к передаваемому ПО ViPNetCustom ПО должно быть сертифицировано на соответствие требованиям по безопасности информации в системе сертификации ФСТЭК России, а криптографические средства защиты в системе сертификации ФСБ России. Дистрибутивное программное обеспечение СЗПДн должно быть передано на внешних носителях с инструкцией и программой инсталляции с носителем ключевой информации Должно быть сертифицировано по требованиям ФСБ России к средствам криптозащиты информации не ниже класса КС2 (КС3), с соответствующими формулярами; Иметь оценочный уровень доверия не ниже ОУД 4 в соответствии с требованиями руководящего документа «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (Гостехкомиссия, 2002); Соответствовать по 3 уровню контроля отсутствия недекларированных возможностей руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия, 1999); Соответствовать по 3 классу защищенности руководящему документу «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия, 1997).

  20. Примерный перечень требований к эксплуатации ViPNet Соблюдать требования изготовителя по эксплуатации ViPNet Custom и нормативных документов Эксплуатация, функционирование программного обеспечения, каналов связи, СКЗИ с функциями ЭЦП обеспечивается учреждением за свой счет Для эксплуатации защищенного межсетевого информационного взаимодействия могут привлекаться специализированные организации, оказывающие услуги в области шифрования информации и удостоверяющего центра (имеющие действующую лицензию ФСБ). Обучить специалиста по курсу Администрирование системы защиты информации ViPNet (INFO012007) http://infotecs.ru/learning/courses/ По возможности получение лицензии ФСБ

  21. Работы по защите ИСПДн Проведение обследования информационных систем (ИС). Разработка Частной модели угроз безопасности ПДн. Оценка уровня защищенности (акт). Разработка Технического задания на создание системы защиты ПДн. Подготовка комплекта проектов внутренней нормативной документации по защите ПДн. Поставка и настройка средств защиты ПДн. Программа и методика, протокол проведения аттестационных испытаний, заключение, выдача аттестата соответствия. Все разработанные документы, и построенная на их основе система защиты информации должны быть выполнены в соответствии с руководящими документами ФСТЭК и ФСБ России.

  22. Проведение обследования ИС Обследование включает в себя: - изучение аппаратного обеспечения серверов, рабочих станций и активного сетевого оборудования и условий расположения; - определение системного программного обеспечения серверов и рабочих станций; - определение прикладного программного обеспечения серверов и рабочих станций; - определение используемых средств защиты информации; анализ настроек системного и прикладного обеспечения.

  23. Блок-схема построения модели угроз

  24. Разработка частной модели угроз безопасности Выявление и учет угроз безопасности персональных данных в конкретных условиях составляют основу планирования и осуществления мероприятий, направленных на обеспечение безопасности ПДн при их обработке в ИСПДн. Анализ угроз безопасности персональных данных включает Описание угроз. Оценку вероятности возникновения угроз. Оценку реализуемости угроз. Оценку опасности угроз. Определение актуальности угроз. При определении опасности угроз безопасности ПДн применяется экспертный метод (на основе опроса специалистов в области ИБ).

  25. Оценка уровня защищенности

  26. Состав и содержание мер по обеспечению безопасности ПД В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят: идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных); регистрация событий безопасности; антивирусная защита; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности персональных данных; обеспечение целостности информационной системы и персональных данных; обеспечение доступности персональных данных; защита среды виртуализации; защита технических средств; защита информационной системы, ее средств, систем связи и передачи данных; выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них; управление конфигурацией информационной системы и системы защиты персональных данных.

  27. Подготовка комплекта внутренней организационно-распорядительной документации Инструкции Положения и правила Регламенты Акты и протоколы Приказы Журналы

  28. Инструкции Инструкция по организации парольной защиты Инструкция по организации антивирусной защиты Инструкция о порядке доступа в помещения, в которых обрабатываются персональные данные Инструкция о порядке допуска работников к работе с СКЗИ Инструкция по использованию СКЗИ Инструкция администратора безопасности СКЗИ Инструкция об организации охраны помещений, в которых ведется обработка персональных данных и другой конфиденциальной информации. Инструкция по работе пользователей с информационной системой персональных данных. Инструкция системного администратора в части обеспечения безопасности персональных данных при их обработке.

  29. Положения Положение о разрешительной системе допуска к информационным ресурсам и матрица доступа сотрудников к защищаемым информационным ресурсам. Порядок планирования и проведения проверок информационной безопасности. Порядок уничтожения информации, содержащей ПДн, при достижении целей обработки или при наступлении иных законных оснований. Правила обработки персональных данных. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. Положение о защите персональных данных работников

  30. Регламенты Регламент защищѐнной виртуальной сети Регламент информационной безопасности Регламент корпоративного удостоверяющего центра защищѐнной виртуальной сети

  31. Приказы Приказ о назначении ответственного за организацию обработки персональных данных. Приказ об утверждении должностной инструкции ответственного за организацию обработки персональных данных. Приказ о порядке допуска работников к работе с СКЗИ Приказ о защите ПДн, обрабатываемых в информационных системах персональных данных. Приказ о назначении администратора безопасности при обработке персональных данных в ИСПДн. Приказ о назначении системного администратора безопасности при обработке персональных данных в ИСПДн. Приказ о работе с электронными, магнитными и оптическими носителями персональных данных и другой конфиденциальной информации. Приказ о создании комиссии по классификации информационных систем персональных данных. Приказ об утверждении Правил рассмотрения запросов субъектов персональных данных или их представителей.

  32. Акты и протоколы Акт ввода в эксплуатацию системы защиты персональных данных. Акт о вводе в эксплуатацию ПК ViPNet Координатор Акт о вводе в эксплуатацию ПК ViPNet Клиент Акт об уничтожении материальных носителей персональных данных и ключевых носителей. Протокол контрольной проверки ПК ViPNetКоординатор Протокол контрольной проверки ПК ViPNetКлиент Акт о создании межсетевого взаимодействия между сетью ГОБУ «МФЦ МО» и создаваемого МФЦ

  33. Журналы Журнал учета выдачи эксплуатационной и технической документации на средства защиты информации, используемые в организации. Журнал по учету ПДн, обрабатываемых на электронных, магнитных и оптических носителях информации, подлежащих уничтожению. Журнал учета выдачи ключевых документов Журнал по учету файлов операционной системы персональных данных и другой конфиденциальной информации, созданных при резервном копировании. Журнал регистрации и учета обращений субъектов персональных данных.

  34. Пример защищенного взаимодействия

  35. Варианты защищенного взаимодействия

  36. Вопросы? Виктор Коровин Ведущий специалист по защите информации ГОБУ «МФЦ МО» г. Мурманск, ул. Подстаницкого, 1 тел.  +7 (8152) 994-244 доб. 123 моб. +7 (911) 305-74-63 e-mail: korovin@mfc51.ru

More Related