Основы обеспечения безопасности персональных данных при их обработке в информационных системах

1.

www.astralnalog.ru

2.

Позиции в рейтингах ИБ:
ТОП 30
ТОП 30
Крупнейшие компании России в
сфере защиты информации
Крупнейшие компании России в
сфере защиты информации
2015
2016
Выручка от направления ИБ в 2014 (тыс., включая НДС) - 486 521
Выручка от направления ИБ в 2015 (тыс., включая НДС) - 574 570
Находимся в одном ряду с крупными компаниями ИБ: Элвис-Плюс, Эшелон, Актив

3.

Департамент информационных технологий и защиты информации
Отдел информационной
безопасности
(Мезенцев Н.И.)
Коммерческий отдел
(Морозова Е.А.)
КОМАНДА
Первый отдел
(Журкин С.П.)
Отдел ИТ
(Цыбаев Д.А.)
Отдел интеграции и
сопровождения
(Чемерисов Б.С.)
Удостоверяющий центр
(Велижанин М.А.)

4.

www.astralnalog.ru
Постановление Правительства Российской Федерации
от 1 ноября 2012 г. № 1119
• «Об утверждении требований к защите персональных
данных при их обработке в информационных системах
персональных данных».
Приказ ФСТЭК России от 18 февраля 2013 г. № 21
• «Об утверждении состава и содержания организационных и
технических
мер
по
обеспечению
безопасности
персональных данных при их обработке в информационных
системах персональных данных».
Приказ ФСБ России от 10 июля 2014 г. № 378
• «Об утверждении состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных с использованием средств
криптографической
защиты
информации,
необходимых
для
выполнения
установленных Правительством Российской Федерации требований к защите
персональных данных для каждого из уровней защищенности».

5.

www.astralnalog.ru
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
ОТ 1 НОЯБРЯ 2012 Г. № 1119
«ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ
ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ»
Система защиты персональных данных включает в себя организационные и
(или) технические меры, определенные с учетом актуальных угроз
безопасности
Безопасность персональных данных при их обработке в ИС обеспечивает
оператор этой системы, или лицо, осуществляющее обработку
персональных данных по поручению оператора
Выбор средств защиты информации для системы защиты
персональных данных осуществляется оператором в соответствии с
нормативными правовыми актами, принятыми Федеральной службой
безопасности Российской Федерации (378 Приказ) и Федеральной
службой по техническому и экспортному контролю (21 Приказ).

6.

www.astralnalog.ru
КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.

www.astralnalog.ru
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Под термином «Сотрудник оператора» понимается работник,
в соответствии с терминологией ТК РФ.

8.

www.astralnalog.ru
АКТУАЛЬНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
УГРОЗЫ 2-ГО ТИПА
УГРОЗЫ 1-ГО ТИПА
актуальны для информационной системы,
если для нее в том числе актуальны угрозы,
связанные с наличием
недокументированных
(недекларированных) возможностей в
системном программном обеспечении,
используемом в информационной системе.
актуальны для информационной системы,
если для нее в том числе актуальны
угрозы, связанные с наличием
недокументированных
(недекларированных) возможностей в
прикладном программном обеспечении,
используемом в информационной
системе.
УГРОЗЫ 3-ГО ТИПА
актуальны для информационной системы, если для нее актуальны угрозы, не связанные с
наличием недокументированных (недекларированных) возможностей в системном и
прикладном программном обеспечении, используемом в информационной системе.
Определение типа угроз безопасности персональных данных, производится
оператором с учетом оценки возможного вреда

9.

www.astralnalog.ru
ПОРЯДОК ОПРЕДЕЛЕНИЯ УРОВНЯ ЗАЩИЩЕННОСТИ ПДн

10.

www.astralnalog.ru
ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ ЗАЩИЩЕННОСТИ ПДн

11.

www.astralnalog.ru
Контроль за выполнением настоящих требований организуется и проводится
оператором самостоятельно и (или) с привлечением на договорной основе
лицензиата ФСТЭК на осуществление деятельности по технической защите
конфиденциальной информации.
Указанный контроль проводится не реже 1 раза в 3 года
п. 17 Постановления Правительства РФ от 01.11.2012 г № 1119
Лицензированию подлежат следующие виды работ и услуг:
•контроль защищенности конфиденциальной информации от несанкционированного
доступа и ее модификации в средствах и системах информатизации».
•проектирование в защищенном исполнении: средств и систем информатизации.
п. 2, п. 4 Постановления Правительства РФ 03.02.2012 № 79
Контролировать можно!
Но нужно иметь лицензию, так как этот вид работ подлежит
лицензированию.

12.

www.astralnalog.ru
ПРИКАЗ ФСТЭК РОССИИ ОТ 18.02.2013 № 21
"Об утверждении Состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных»
Устанавливает состав и содержание организационных и
технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах
персональных данных для каждого из уровней защищенности
персональных данных, установленных в Требованиях к защите
персональных данных при их обработке в информационных
системах персональных данных, утвержденных
постановлением Правительства Российской Федерации от 1
ноября 2012 г. N 1119

13.

www.astralnalog.ru
СОСТАВ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.
2.
3.
4.
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются
персональные данные;
5. регистрация событий безопасности;
6. антивирусная защита;
7. обнаружение (предотвращение) вторжений;
8. контроль (анализ) защищенности персональных данных;
9. обеспечение целостности информационной системы и персональных данных;
10. обеспечение доступности персональных данных;
11. защита среды виртуализации;
12. защита технических средств;
13. защита информационной системы, ее средств, систем связи и передачи данных;
14. выявление инцидентов (одного события или группы событий), которые могут привести к
сбоям или нарушению функционирования информационной системы и (или) к
возникновению угроз безопасности персональных данных, и реагирование на них;
15. управление конфигурацией информационной системы и системы защиты персональных
данных.

14.

www.astralnalog.ru
ВЫБОР МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
определение базового набора мер по обеспечению безопасности персональных
данных для установленного уровня защищенности персональных данных в
соответствии с базовыми наборами мер по обеспечению безопасности
персональных данных;
адаптация базового набора мер по обеспечению безопасности персональных
данных с учетом структурно-функциональных характеристик информационной
системы, информационных технологий, особенностей функционирования
информационной системы;
уточнение адаптированного базового набора мер по обеспечению безопасности
персональных данных с учетом не выбранных ранее мер, в результате чего
определяются меры по обеспечению безопасности персональных данных,
направленные на нейтрализацию всех актуальных угроз безопасности
персональных данных для конкретной информационной системы;

15.

www.astralnalog.ru
ВЫБОР МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
дополнение уточненного адаптированного базового набора мер по обеспечению
безопасности персональных данных мерами, обеспечивающими выполнение
требований к защите персональных данных, установленными иными
нормативными правовыми актами в области обеспечения безопасности
персональных данных и защиты информации.
при невозможности технической реализации отдельных выбранных мер по
обеспечению безопасности персональных данных, а также с учетом
экономической целесообразности на этапах адаптации базового набора мер и
(или) уточнения адаптированного базового набора мер могут разрабатываться
иные (компенсирующие) меры, направленные на нейтрализацию актуальных
угроз безопасности персональных данных.

16.

www.astralnalog.ru
СОСТАВ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Состав и содержание мер по обеспечению безопасности персональных данных,
необходимых для обеспечения каждого из уровней защищенности персональных
данных, приведены в приложении к 21 Приказу ФСТЭК России.
Условное
обозначение
и номер
меры
Содержание мер по обеспечению безопасности
персональных данных
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
Идентификация и аутентификация пользователей, являющихся
ИАФ.1
работниками оператора
Идентификация и аутентификация устройств, в том числе
ИАФ.2
стационарных, мобильных и портативных
Уровни
защищенности
персональных
данных
4
3
2
+
+
+
+
"+" - мера по обеспечению безопасности персональных данных включена в базовый набор мер
для соответствующего уровня защищенности персональных данных.
Меры по обеспечению безопасности персональных данных, не обозначенные знаком "+",
применяются при адаптации базового набора мер и уточнении адаптированного базового
набора мер, а также при разработке компенсирующих мер по обеспечению безопасности
персональных данных.

17.

www.astralnalog.ru
ПЕРЕЧЕНЬ ОСНОВНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПРИМЕНЯЕМЫХ ДЛЯ
ОБЕСПЕЧЕНИЯ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Уровни защищенности персональных данных
Средства защиты информации
4
3
2
1
Средства от несанкционированного доступа
+
+
+
+
Средства межсетевого экранирования
+
+
+
+
Средства антивирусной защиты
+
+
+
+
+
+
+
Средства обнаружения вторжений
+
+
Средства доверенной загрузки
+
+
Средства анализа защищенности

18.

www.astralnalog.ru
ПРИКАЗ ФСБ РОССИИ ОТ 10 ИЮЛЯ 2014 г. №378
"Об утверждении Состава и содержания организационных и технических мер
по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных с использованием средств
криптографической защиты информации, необходимых для выполнения
установленных Правительством Российской Федерации требований к защите
персональных данных для каждого из уровней защищенности"
Определяет состав и содержание организационных и
технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах
персональных данных с использованием средств
криптографической защиты информации (СКЗИ), необходимых
для выполнения установленных в Требованиях к защите
персональных данных при их обработке в информационных
системах персональных данных, утвержденных
постановлением Правительства Российской Федерации от 1
ноября 2012 г. N 1119

19.

www.astralnalog.ru
Предназначен для операторов, использующих СКЗИ для обеспечения безопасности
персональных данных при их обработке в информационных системах
Применение организационных и технических мер, определенных в настоящем
документе, обеспечивает оператор с учетом требований эксплуатационных
151
документов на СКЗИ, используемые для обеспечения безопасности персональных
данных при их обработке в информационных системах
Эксплуатация СКЗИ должна осуществляться в соответствии с документацией на СКЗИ
и требованиями, установленными в настоящем документе, а также в соответствии с
иными нормативными правовыми актами, регулирующими отношения в
соответствующей области

20.

www.astralnalog.ru
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР
ДЛЯ 4 УРОВНЯ ЗАЩИЩЕННОСТИ
а) организация режима обеспечения безопасности помещений, в которых размещена
информационная система, препятствующего возможности неконтролируемого
проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в
эти помещения
б) обеспечение сохранности носителей персональных данных
151
в) утверждение руководителем оператора документа, определяющего перечень лиц,
доступ которых к персональным данным, обрабатываемым в информационной
системе, необходим для выполнения ими служебных (трудовых) обязанностей
г) использование средств защиты информации, прошедших процедуру оценки
соответствия требованиям законодательства Российской Федерации в области
обеспечения безопасности информации

21.

www.astralnalog.ru
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР
ДЛЯ 3 УРОВНЯ ЗАЩИЩЕННОСТИ
а) назначение должностного лица (работника), ответственного за обеспечение
безопасности персональных данных в информационной системе
151
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР
ДЛЯ 2 УРОВНЯ ЗАЩИЩЕННОСТИ
а) доступ к содержанию электронного журнала сообщений был возможен
исключительно для должностных лиц (работников) оператора или уполномоченного
лица, которым сведения, содержащиеся в указанном журнале, необходимы для
выполнения служебных (трудовых) обязанностей

22.

www.astralnalog.ru
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР
ДЛЯ 1 УРОВНЯ ЗАЩИЩЕННОСТИ
а) автоматическая регистрация в электронном журнале безопасности изменения
полномочий сотрудника оператора по доступу к персональным данным,
содержащимся в информационной системе;
б) создание отдельного структурного подразделения, ответственного за обеспечение
безопасности персональных данных в информационной системе, либо возложение его
функций на одно из существующих
151 структурных подразделений

23.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
НСД
Антивирус
Межсетевой экран
Средства анализа151
защищенности
Средства обнаружения вторжений
Модули доверенной загрузки
Криптосредства

24.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. НСД

25.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. НСД
Релиз 8.2.1156
Реализована совместимость
с Microsoft Windows 10
Creators Update (версия
1703).
151

26.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. НСД
КОМПОНЕНТ
ОПИСАНИЕ
Клиент
В локальном режиме управления защитные компоненты устанавливаются без
привязки к серверу безопасности и управляются только локально
Центр
управления
(локальный
режим)
Программа управления в локальном режиме осуществляет прямую работу с
защитными компонентами на компьютере. Интерфейс локального и
151
централизованного режима унифицирован,
функциональные возможности в
большей степени совпадают, с учетом специфики управления одним
компьютером
Сервер
обновления
антивируса
Сервер обновления антивируса предназначен для обеспечения
централизованной раздачи в локальной сети обновлений баз данных признаков
компьютерных вирусов для антивируса по технологии ESET. Для установки
требуется веб-сервер IIS и доступ к сети Интернет (напрямую или через проксисервер) или другому серверу обновления антивируса (каскадный режим)

27.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. АНТИВИРУС
151

28.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. АНТИВИРУС
151
Kaspersky Endpoint Security 10 для Windows
(для рабочих станций и файловых серверов)

29.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. АНТИВИРУС
Сертифицированные ФСТЭК России продукты
Dr.Web Enterprise Security Suite версии 10151
Cертификат действителен до 27.01.2019 г.
Компоненты входящие в сертифицированный
продукт:
Центр управления Dr.Web
Dr.Web Desktop Security Suite (для Windows);
Dr.Web Desktop Security Suite (для Linux);
Dr.Web Server Security Suite (для Windows);
Dr.Web Server Security Suite (для UNIX);

30.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. МЭ
151

31.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. САЗ
ФСТЭК России №2204, подтверждающий выполнение
требований:
руководящего
документа
«Защита
от
несанкционированного доступа к информации. Часть 1.
Программное обеспечение средств защиты информации.
Классификация
по
уровню
контроля
отсутствия
недекларированных
возможностей. Классификация по
151
уровню
контроля
отсутствия
недекларированных
возможностей» (Гостехкомиссия России, 1999) – по 4
уровню контроля;
технических условий при выполнении указаний по
эксплуатации, приведенных в формуляре НПЭШ.00606-01
30.

32.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. САЗ
151

33.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. САЗ
151

34.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. СОВ
151

35.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. СОВ
151
Сертификат
Сертификат ФСТЭК России №2574 (действует до 17.02.2018) подтверждает соответствие
комплекса «Рубикон» следующим требованиям ФСТЭК России:
- «Требования к межсетевым экранам» (ФСТЭК России, 2016) по 2-му классу защиты и
«Профиль защиты межсетевого экрана типа «А» второго класса защиты» ИТ.МЭ.А2.ПЗ;
- «Требования к системам обнаружения вторжений» (ФСТЭК России, 2011) по 2-му классу
защиты и «Профиль защиты систем обнаружения вторжений уровня сети второго класса
защиты» ИТ.СОВ.С2.ПЗ.

36.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. СОВ
АПКШ "Континент"
версия 3.7
151
ФСТЭК России
№ 3008 RU.88338853.501430.006
АПКШ "Континент" версия 3.7
Подтверждает соответствие требованиям руководящих документов 3-му
классу защиты для программно-аппаратных межсетевых экранов уровня
сети (тип «А») и 3-му классу защиты систем обнаружения вторжений уровня
сети

37.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. МДЗ
ПАК СОБОЛЬ
ФСТЭК России
151
1967 RU.40308570.501410.001
ПАК "Соболь" версия 3.0
Подтверждает соответствие требованиям
руководящих документов к средствам доверенной
загрузки уровня платы расширения второго класса и
возможность использования в автоматизированных
системах до класса защищенности 1Б включительно,
в ИСПДн до УЗ1 включительно и в ГИС до 1-го класса
защищенности включительно *
07.12.2018

38.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. МДЗ
151
СДЗ Dallas Lock сертифицировано ФСТЭК России на соответствие требованиям
к СДЗ по 2 классу защиты в соответствии с профилем защиты ИТ.СДЗ.ПР2.ПЗ и
2 уровню контроля отсутствия НДВ.

39.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. СКЗИ
CSP 3.9
CSP 3.6
CSP 3.9
CSP 4.0
ГОСТ Р 34.10-2012
Создание подписи
512 /
1024 бит
ГОСТ Р 34.10-2012
Проверка подписи
512 /
1024 бит
ГОСТ Р 34.10-2001
Создание подписи
512 бит
512 бит
512 бит
ГОСТ Р 34.10-2001
Проверка подписи
512 бит
512 бит
512 бит
CSP 4.0
Windows 2016
x64*
Windows 10
x86 / x64*
Windows 2012 R2
x64
Windows 8.1
x86 / x64
151Windows 2012
x64
x64
Windows 8
x86 / x64
x86 / x64
Windows 2008 R2
x64 / itanium
x64
Windows 7
x86 / x64
x86 / x64

40.

www.astralnalog.ru
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ. СКЗИ
ViPNet CSP 4.2 позволяет:
Создание ключей ЭП, формирование и проверка ЭП по ГОСТ Р 34.10-2001, ГОСТ Р 34.102012
Хэширование данных по ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012
15128147-89
Шифрование и имитозащита данных по ГОСТ
- Базовый вариант ViPNet CSP 4.2 (вариант исполнения 1) обеспечивает класс
защищенности КС1.
- Для обеспечения класса защищенности КС2 продукт ViPNet CSP 4.2 (вариант
исполнения 2) следует использовать совместно с сертифицированным аппаратнопрограммным модулем доверенной загрузки (АПМДЗ).
- Для обеспечения класса защищенности КС3 продукт ViPNet CSP 4.2 (вариант
исполнения 3) используется совместно с сертифицированным АПМДЗ и
специализированным ПО ViPNet SysLocker для создания и контроля замкнутой
программной среды.