Похожие презентации:
Основы обеспечения безопасности персональных данных при их обработке в информационных системах
1.
www.astralnalog.ru2.
Позиции в рейтингах ИБ:ТОП 30
ТОП 30
Крупнейшие компании России в
сфере защиты информации
Крупнейшие компании России в
сфере защиты информации
2015
2016
Выручка от направления ИБ в 2014 (тыс., включая НДС) - 486 521
Выручка от направления ИБ в 2015 (тыс., включая НДС) - 574 570
Находимся в одном ряду с крупными компаниями ИБ: Элвис-Плюс, Эшелон, Актив
3.
Департамент информационных технологий и защиты информацииОтдел информационной
безопасности
(Мезенцев Н.И.)
Коммерческий отдел
(Морозова Е.А.)
КОМАНДА
Первый отдел
(Журкин С.П.)
Отдел ИТ
(Цыбаев Д.А.)
Отдел интеграции и
сопровождения
(Чемерисов Б.С.)
Удостоверяющий центр
(Велижанин М.А.)
4.
www.astralnalog.ruПостановление Правительства Российской Федерации
от 1 ноября 2012 г. № 1119
• «Об утверждении требований к защите персональных
данных при их обработке в информационных системах
персональных данных».
Приказ ФСТЭК России от 18 февраля 2013 г. № 21
• «Об утверждении состава и содержания организационных и
технических
мер
по
обеспечению
безопасности
персональных данных при их обработке в информационных
системах персональных данных».
Приказ ФСБ России от 10 июля 2014 г. № 378
• «Об утверждении состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных с использованием средств
криптографической
защиты
информации,
необходимых
для
выполнения
установленных Правительством Российской Федерации требований к защите
персональных данных для каждого из уровней защищенности».
5.
www.astralnalog.ruПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
ОТ 1 НОЯБРЯ 2012 Г. № 1119
«ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ
ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ»
Система защиты персональных данных включает в себя организационные и
(или) технические меры, определенные с учетом актуальных угроз
безопасности
Безопасность персональных данных при их обработке в ИС обеспечивает
оператор этой системы, или лицо, осуществляющее обработку
персональных данных по поручению оператора
Выбор средств защиты информации для системы защиты
персональных данных осуществляется оператором в соответствии с
нормативными правовыми актами, принятыми Федеральной службой
безопасности Российской Федерации (378 Приказ) и Федеральной
службой по техническому и экспортному контролю (21 Приказ).
6.
www.astralnalog.ruКАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.
www.astralnalog.ruКАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Под термином «Сотрудник оператора» понимается работник,
в соответствии с терминологией ТК РФ.
8.
www.astralnalog.ruАКТУАЛЬНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
УГРОЗЫ 2-ГО ТИПА
УГРОЗЫ 1-ГО ТИПА
актуальны для информационной системы,
если для нее в том числе актуальны угрозы,
связанные с наличием
недокументированных
(недекларированных) возможностей в
системном программном обеспечении,
используемом в информационной системе.
актуальны для информационной системы,
если для нее в том числе актуальны
угрозы, связанные с наличием
недокументированных
(недекларированных) возможностей в
прикладном программном обеспечении,
используемом в информационной
системе.
УГРОЗЫ 3-ГО ТИПА
актуальны для информационной системы, если для нее актуальны угрозы, не связанные с
наличием недокументированных (недекларированных) возможностей в системном и
прикладном программном обеспечении, используемом в информационной системе.
Определение типа угроз безопасности персональных данных, производится
оператором с учетом оценки возможного вреда
9.
www.astralnalog.ruПОРЯДОК ОПРЕДЕЛЕНИЯ УРОВНЯ ЗАЩИЩЕННОСТИ ПДн
10.
www.astralnalog.ruТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ ЗАЩИЩЕННОСТИ ПДн
11.
www.astralnalog.ruКонтроль за выполнением настоящих требований организуется и проводится
оператором самостоятельно и (или) с привлечением на договорной основе
лицензиата ФСТЭК на осуществление деятельности по технической защите
конфиденциальной информации.
Указанный контроль проводится не реже 1 раза в 3 года
п. 17 Постановления Правительства РФ от 01.11.2012 г № 1119
Лицензированию подлежат следующие виды работ и услуг:
•контроль защищенности конфиденциальной информации от несанкционированного
доступа и ее модификации в средствах и системах информатизации».
•проектирование в защищенном исполнении: средств и систем информатизации.
п. 2, п. 4 Постановления Правительства РФ 03.02.2012 № 79
Контролировать можно!
Но нужно иметь лицензию, так как этот вид работ подлежит
лицензированию.
12.
www.astralnalog.ruПРИКАЗ ФСТЭК РОССИИ ОТ 18.02.2013 № 21
"Об утверждении Состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных»
Устанавливает состав и содержание организационных и
технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах
персональных данных для каждого из уровней защищенности
персональных данных, установленных в Требованиях к защите
персональных данных при их обработке в информационных
системах персональных данных, утвержденных
постановлением Правительства Российской Федерации от 1
ноября 2012 г. N 1119
13.
www.astralnalog.ruСОСТАВ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.
2.
3.
4.
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются
персональные данные;
5. регистрация событий безопасности;
6. антивирусная защита;
7. обнаружение (предотвращение) вторжений;
8. контроль (анализ) защищенности персональных данных;
9. обеспечение целостности информационной системы и персональных данных;
10. обеспечение доступности персональных данных;
11. защита среды виртуализации;
12. защита технических средств;
13. защита информационной системы, ее средств, систем связи и передачи данных;
14. выявление инцидентов (одного события или группы событий), которые могут привести к
сбоям или нарушению функционирования информационной системы и (или) к
возникновению угроз безопасности персональных данных, и реагирование на них;
15. управление конфигурацией информационной системы и системы защиты персональных
данных.
14.
www.astralnalog.ruВЫБОР МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
определение базового набора мер по обеспечению безопасности персональных
данных для установленного уровня защищенности персональных данных в
соответствии с базовыми наборами мер по обеспечению безопасности
персональных данных;
адаптация базового набора мер по обеспечению безопасности персональных
данных с учетом структурно-функциональных характеристик информационной
системы, информационных технологий, особенностей функционирования
информационной системы;
уточнение адаптированного базового набора мер по обеспечению безопасности
персональных данных с учетом не выбранных ранее мер, в результате чего
определяются меры по обеспечению безопасности персональных данных,
направленные на нейтрализацию всех актуальных угроз безопасности
персональных данных для конкретной информационной системы;
15.
www.astralnalog.ruВЫБОР МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
дополнение уточненного адаптированного базового набора мер по обеспечению
безопасности персональных данных мерами, обеспечивающими выполнение
требований к защите персональных данных, установленными иными
нормативными правовыми актами в области обеспечения безопасности
персональных данных и защиты информации.
при невозможности технической реализации отдельных выбранных мер по
обеспечению безопасности персональных данных, а также с учетом
экономической целесообразности на этапах адаптации базового набора мер и
(или) уточнения адаптированного базового набора мер могут разрабатываться
иные (компенсирующие) меры, направленные на нейтрализацию актуальных
угроз безопасности персональных данных.
16.
www.astralnalog.ruСОСТАВ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Состав и содержание мер по обеспечению безопасности персональных данных,
необходимых для обеспечения каждого из уровней защищенности персональных
данных, приведены в приложении к 21 Приказу ФСТЭК России.
Условное
обозначение
и номер
меры
Содержание мер по обеспечению безопасности
персональных данных
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
Идентификация и аутентификация пользователей, являющихся
ИАФ.1
работниками оператора
Идентификация и аутентификация устройств, в том числе
ИАФ.2
стационарных, мобильных и портативных
Уровни
защищенности
персональных
данных
4
3
2
+
+
+
+
"+" - мера по обеспечению безопасности персональных данных включена в базовый набор мер
для соответствующего уровня защищенности персональных данных.
Меры по обеспечению безопасности персональных данных, не обозначенные знаком "+",
применяются при адаптации базового набора мер и уточнении адаптированного базового
набора мер, а также при разработке компенсирующих мер по обеспечению безопасности
персональных данных.
17.
www.astralnalog.ruПЕРЕЧЕНЬ ОСНОВНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПРИМЕНЯЕМЫХ ДЛЯ
ОБЕСПЕЧЕНИЯ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Уровни защищенности персональных данных
Средства защиты информации
4
3
2
1
Средства от несанкционированного доступа
+
+
+
+
Средства межсетевого экранирования
+
+
+
+
Средства антивирусной защиты
+
+
+
+
+
+
+
Средства обнаружения вторжений
+
+
Средства доверенной загрузки
+
+
Средства анализа защищенности
18.
www.astralnalog.ruПРИКАЗ ФСБ РОССИИ ОТ 10 ИЮЛЯ 2014 г. №378
"Об утверждении Состава и содержания организационных и технических мер
по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных с использованием средств
криптографической защиты информации, необходимых для выполнения
установленных Правительством Российской Федерации требований к защите
персональных данных для каждого из уровней защищенности"
Определяет состав и содержание организационных и
технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах
персональных данных с использованием средств
криптографической защиты информации (СКЗИ), необходимых
для выполнения установленных в Требованиях к защите
персональных данных при их обработке в информационных
системах персональных данных, утвержденных
постановлением Правительства Российской Федерации от 1
ноября 2012 г. N 1119
19.
www.astralnalog.ruПредназначен для операторов, использующих СКЗИ для обеспечения безопасности
персональных данных при их обработке в информационных системах
Применение организационных и технических мер, определенных в настоящем
документе, обеспечивает оператор с учетом требований эксплуатационных
151
документов на СКЗИ, используемые для обеспечения безопасности персональных
данных при их обработке в информационных системах
Эксплуатация СКЗИ должна осуществляться в соответствии с документацией на СКЗИ
и требованиями, установленными в настоящем документе, а также в соответствии с
иными нормативными правовыми актами, регулирующими отношения в
соответствующей области
20.
www.astralnalog.ruСОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР
ДЛЯ 4 УРОВНЯ ЗАЩИЩЕННОСТИ
а) организация режима обеспечения безопасности помещений, в которых размещена
информационная система, препятствующего возможности неконтролируемого
проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в
эти помещения
б) обеспечение сохранности носителей персональных данных
151
в) утверждение руководителем оператора документа, определяющего перечень лиц,
доступ которых к персональным данным, обрабатываемым в информационной
системе, необходим для выполнения ими служебных (трудовых) обязанностей
г) использование средств защиты информации, прошедших процедуру оценки
соответствия требованиям законодательства Российской Федерации в области
обеспечения безопасности информации
21.
www.astralnalog.ruСОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР
ДЛЯ 3 УРОВНЯ ЗАЩИЩЕННОСТИ
а) назначение должностного лица (работника), ответственного за обеспечение
безопасности персональных данных в информационной системе
151
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР
ДЛЯ 2 УРОВНЯ ЗАЩИЩЕННОСТИ
а) доступ к содержанию электронного журнала сообщений был возможен
исключительно для должностных лиц (работников) оператора или уполномоченного
лица, которым сведения, содержащиеся в указанном журнале, необходимы для
выполнения служебных (трудовых) обязанностей
22.
www.astralnalog.ruСОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР
ДЛЯ 1 УРОВНЯ ЗАЩИЩЕННОСТИ
а) автоматическая регистрация в электронном журнале безопасности изменения
полномочий сотрудника оператора по доступу к персональным данным,
содержащимся в информационной системе;
б) создание отдельного структурного подразделения, ответственного за обеспечение
безопасности персональных данных в информационной системе, либо возложение его
функций на одно из существующих
151 структурных подразделений
23.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
НСД
Антивирус
Межсетевой экран
Средства анализа151
защищенности
Средства обнаружения вторжений
Модули доверенной загрузки
Криптосредства
24.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. НСД
25.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. НСД
Релиз 8.2.1156
Реализована совместимость
с Microsoft Windows 10
Creators Update (версия
1703).
151
26.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. НСД
КОМПОНЕНТ
ОПИСАНИЕ
Клиент
В локальном режиме управления защитные компоненты устанавливаются без
привязки к серверу безопасности и управляются только локально
Центр
управления
(локальный
режим)
Программа управления в локальном режиме осуществляет прямую работу с
защитными компонентами на компьютере. Интерфейс локального и
151
централизованного режима унифицирован,
функциональные возможности в
большей степени совпадают, с учетом специфики управления одним
компьютером
Сервер
обновления
антивируса
Сервер обновления антивируса предназначен для обеспечения
централизованной раздачи в локальной сети обновлений баз данных признаков
компьютерных вирусов для антивируса по технологии ESET. Для установки
требуется веб-сервер IIS и доступ к сети Интернет (напрямую или через проксисервер) или другому серверу обновления антивируса (каскадный режим)
27.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. АНТИВИРУС
151
28.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. АНТИВИРУС
151
Kaspersky Endpoint Security 10 для Windows
(для рабочих станций и файловых серверов)
29.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. АНТИВИРУС
Сертифицированные ФСТЭК России продукты
Dr.Web Enterprise Security Suite версии 10151
Cертификат действителен до 27.01.2019 г.
Компоненты входящие в сертифицированный
продукт:
Центр управления Dr.Web
Dr.Web Desktop Security Suite (для Windows);
Dr.Web Desktop Security Suite (для Linux);
Dr.Web Server Security Suite (для Windows);
Dr.Web Server Security Suite (для UNIX);
30.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. МЭ
151
31.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. САЗ
ФСТЭК России №2204, подтверждающий выполнение
требований:
руководящего
документа
«Защита
от
несанкционированного доступа к информации. Часть 1.
Программное обеспечение средств защиты информации.
Классификация
по
уровню
контроля
отсутствия
недекларированных
возможностей. Классификация по
151
уровню
контроля
отсутствия
недекларированных
возможностей» (Гостехкомиссия России, 1999) – по 4
уровню контроля;
технических условий при выполнении указаний по
эксплуатации, приведенных в формуляре НПЭШ.00606-01
30.
32.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. САЗ
151
33.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. САЗ
151
34.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. СОВ
151
35.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. СОВ
151
Сертификат
Сертификат ФСТЭК России №2574 (действует до 17.02.2018) подтверждает соответствие
комплекса «Рубикон» следующим требованиям ФСТЭК России:
- «Требования к межсетевым экранам» (ФСТЭК России, 2016) по 2-му классу защиты и
«Профиль защиты межсетевого экрана типа «А» второго класса защиты» ИТ.МЭ.А2.ПЗ;
- «Требования к системам обнаружения вторжений» (ФСТЭК России, 2011) по 2-му классу
защиты и «Профиль защиты систем обнаружения вторжений уровня сети второго класса
защиты» ИТ.СОВ.С2.ПЗ.
36.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. СОВ
АПКШ "Континент"
версия 3.7
151
ФСТЭК России
№ 3008 RU.88338853.501430.006
АПКШ "Континент" версия 3.7
Подтверждает соответствие требованиям руководящих документов 3-му
классу защиты для программно-аппаратных межсетевых экранов уровня
сети (тип «А») и 3-му классу защиты систем обнаружения вторжений уровня
сети
37.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. МДЗ
ПАК СОБОЛЬ
ФСТЭК России
151
1967 RU.40308570.501410.001
ПАК "Соболь" версия 3.0
Подтверждает соответствие требованиям
руководящих документов к средствам доверенной
загрузки уровня платы расширения второго класса и
возможность использования в автоматизированных
системах до класса защищенности 1Б включительно,
в ИСПДн до УЗ1 включительно и в ГИС до 1-го класса
защищенности включительно *
07.12.2018
38.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. МДЗ
151
СДЗ Dallas Lock сертифицировано ФСТЭК России на соответствие требованиям
к СДЗ по 2 классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ и
2 уровню контроля отсутствия НДВ.
39.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. СКЗИ
CSP 3.9
CSP 3.6
CSP 3.9
CSP 4.0
ГОСТ Р 34.10-2012
Создание подписи
512 /
1024 бит
ГОСТ Р 34.10-2012
Проверка подписи
512 /
1024 бит
ГОСТ Р 34.10-2001
Создание подписи
512 бит
512 бит
512 бит
ГОСТ Р 34.10-2001
Проверка подписи
512 бит
512 бит
512 бит
CSP 4.0
Windows 2016
x64*
Windows 10
x86 / x64*
Windows 2012 R2
x64
Windows 8.1
x86 / x64
151Windows 2012
x64
x64
Windows 8
x86 / x64
x86 / x64
Windows 2008 R2
x64 / itanium
x64
Windows 7
x86 / x64
x86 / x64
40.
www.astralnalog.ruСРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. СКЗИ
ViPNet CSP 4.2 позволяет:
Создание ключей ЭП, формирование и проверка ЭП по ГОСТ Р 34.10-2001, ГОСТ Р 34.102012
Хэширование данных по ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012
15128147-89
Шифрование и имитозащита данных по ГОСТ
- Базовый вариант ViPNet CSP 4.2 (вариант исполнения 1) обеспечивает класс
защищенности КС1.
- Для обеспечения класса защищенности КС2 продукт ViPNet CSP 4.2 (вариант
исполнения 2) следует использовать совместно с сертифицированным аппаратнопрограммным модулем доверенной загрузки (АПМДЗ).
- Для обеспечения класса защищенности КС3 продукт ViPNet CSP 4.2 (вариант
исполнения 3) используется совместно с сертифицированным АПМДЗ и
специализированным ПО ViPNet SysLocker для создания и контроля замкнутой
программной среды.