Юридические и практические аспекты защиты информации в сфере транспортной безопасности
Порядок действий
Законодательство
Принадлежность организации к субъектам КИИ
Создание комиссии и категорирование
Создание комплексной системы безопасности
Типовой перечень основных подсистем СИБ
Взаимодействие с НКЦКИ (ФСБ России)
Аттестация
Общий мастер-план
1.24M
Категория: ПравоПраво
Похожие презентации:
Юридические аспекты применения средств криптографической защиты информации
Юридические аспекты применения средств криптографической защиты информации
Информационная безопасность и защита информации
Информационная безопасность и защита информации
Защиты информации от НСД. Правовые основы защиты информации
Защиты информации от НСД. Правовые основы защиты информации
Основные документы в области информационной безопасности и технической защиты информации
Основные документы в области информационной безопасности и технической защиты информации
Общие положения законодательной и нормативно- правовой базы в области защиты информации
Общие положения законодательной и нормативно- правовой базы в области защиты информации
Классификация автоматизированных систем по требованиям безопасности информации
Классификация автоматизированных систем по требованиям безопасности информации
Защита персональных данных. Угрозы в области технической защиты информации. Оценка рисков
Защита персональных данных. Угрозы в области технической защиты информации. Оценка рисков
Аттестация объектов информатизации по требованиям безопасности информации
Аттестация объектов информатизации по требованиям безопасности информации
Сертифицированные решения для построения систем защиты персональных данных и конфиденциальной информации
Сертифицированные решения для построения систем защиты персональных данных и конфиденциальной информации
Защиты информации от НСД. Правовые основы защиты информации
Защиты информации от НСД. Правовые основы защиты информации

Юридические и практические аспекты защиты информации в сфере транспортной безопасности

1. Юридические и практические аспекты защиты информации в сфере транспортной безопасности

www.at-consulting.ru

2. Порядок действий

1
Определить принадлежность организации к субъектам
1.
критической инфраструктуры/ ГИС/ ИСПДн
2
3
Создать комиссию
и провести категорирование
объектов КИИ / классификацию ГИС
и определение УЗ для ИСПДн
5
4
Создать комплексную систему
безопасности
Организовать взаимодействие с
Национальным
координационным центром по
компьютерным инцидентам
(НКЦКИ) ФСБ России
Провести аттестацию системы
www.at-consulting.ru
2

3. Законодательство

КИИ
ГИС
ИСПДн
ФЗ-187
«О безопасности КИИ
Российской Федерации»
ФЗ-149
«Об информации,
ИТ и о ЗИ»
ФЗ -152
«О персональных
данных»
ПП- № 127
«Правила
категорирования
объектов КИИ…»
ПП- № 676
«Требования к порядку
создания, развития,
ввода ГИС…»
ПП -1119
«Требования по защите
ПДн»
Приказ ФСТЭК России
№ 235
«Требования к
созданию СБ КИИ РФ»
Приказ ФСТЭК России
№ 17
«ЗИ, не составляющей ГТ,
содержащейся в ГИС»
Приказ ФСТЭК России
№ 21
«О защите ПДн»
Приказ ФСТЭК России
№ 239
«Требования по обесп.
безопасности КИИ РФ»
www.at-consulting.ru
Приказ ФСБ России
№ 378
«Защита ПДн с
использованием СКЗИ»
3

4. Принадлежность организации к субъектам КИИ

Здравоохранение
Атомная энергия
Наука
Оборонная
промышленность
Транспорт
Связь
Банковская сфера
Космическая
промышленность
Финансовый рынок
Горнодобывающая
промышленность
ТЭК
Металлургия
Энергетика
Химическая
промышленность
www.at-consulting.ru
1
4

5. Создание комиссии и категорирование

2
Создание комиссии
Определение состава комиссии по категорированию объектов КИИ
Издание приказа о создании комиссии
Определение критических процессов
Выявление критических процессов в организации
(управленческий, технологический, производственный и т.п.)
Определение перечня объектов КИИ
Разработка перечня объектов, подлежащих категорированию
Согласование перечня с отраслевым Регулятором
Отправка перечня в ФСТЭК России
Определение угроз безопасности
Определение угроз безопасности
Определение перечня уязвимостей
Категорирование и классификация
Определение категории значимости, класса защищенности и уровня защищенности
Отправка в ФСТЭК России информации по категорированию объектов организации
www.at-consulting.ru
5

6. Создание комплексной системы безопасности

3
Определение требований
Определение требований в соответствии с категорией значимого и класса системы
Разработка ТЗ на систему защиты
Разработка мер защиты
Анализ угроз безопасности
Проектирование системы защиты
Разработка эксплуатационной документации
Внедрение мер защиты
Установка и настройка средств защиты
Разработка ОРД
Испытания системы защиты
Анализ уязвимостей
Эксплуатация
Обеспечение безопасности системы в ходе ее
эксплуатации
Реагирование на компьютерные инциденты
Обучение персонала
www.at-consulting.ru
6

7. Типовой перечень основных подсистем СИБ

3
Типовой перечень основных подсистем СИБ
SIEM
защита от утечки по
техническим
каналам (для ГТ)
защита
виртуализации
СКЗИ
защита от утечек
[DLP]
обнаружение
вторжений
(комп.атак) [IDS/IPS]
защита
информации от НСД
(УД, РСБ, ОЦ)
www.at-consulting.ru
поведенческий
анализ
контроль
привилегированных
пользователей
анализ
защищенности
межсетевое
экранирование
анализ исходного
кода
защита от
таргетированных атак
Однонаправленная
передача данных
антивирусная
защита
WAF/
DBAF
DDoS
защита мобильных
устройств [MDM]
7

8. Взаимодействие с НКЦКИ (ФСБ России)

Создание ведомственного
сегмента ГосСОПКА
Разработка Регламента
порядок информирования
перечень информации
Подключение к технической
инфраструктуре НКЦКИ
www.gov-cert.ru
www.at-consulting.ru
4
Персонал
Технические средства
Документация
Информационный обмен
Информация об атаках
Информация о возможных атаках
Экспертиза критических событий
8

9. Аттестация

5
Аттестация
Аттестация проводится в случае если:
Значимый объект КИИ является
государственной информационной системой
(ГИС)
Значимый объект КИИ
обрабатывает гостайну
В организации принято решение по
проведению аттестации
в остальных случаях:
Проводится подтверждение соответствия объекта КИИ требованиям законодательства в ходе приемочных испытаний
www.at-consulting.ru
9

10. Общий мастер-план

Создание комиссии
и проведение категорирования и классификации
Создание системы безопасности
Организация взаимодействия с НКЦКИ
Аттестация
Провести аттестацию Эксплуатация
системы
Месяц 4
Месяц 1
www.at-consulting.ru
Месяц 8
Месяц 12
10

11.

Спасибо за внимание!
127015, Россия, Москва,
ул. Большая Новодмитровская, д. 14, стр. 2
Офисный центр «Новодмитровский»
Тел.: +7 (495) 748-05-75
Факс: +7 (495) 748-01-25
e-mail: [email protected]
www.at-consulting.ru
English     Русский Правила