2. Докладчик
Борисов Сергей В.
Заместитель генерального директора по ИБ ООО «РосИнтеграция»
Эксперт, блогер по ИБ
Контактная информация:
https://sborisov.blogspot.ru
https://twitter.com/sb0risov
s.borisov@krasnodar.pro
3. Причины чтобы заниматься защитой
информации в государственном учреждении
Инцидент связанный с разглашением персональных данных или с
целостностью данных в ИС может привести к ущербу для субъекта
ПДн
Нарушение работы ИС, средств передачи информации, систем
связи может привести к невозможности выполнения учреждения
своей основной функции
Нарушение требований законодательства РФ в области защиты
персональных данных может повлечь административную,
уголовную ответственность, изъятие СЗИ или отзыв лицензии
6. Законодательство в области
обработки и защиты ПДн в ГИС
Федеральный закон N 149 от 27.07.2006 г.
Федеральный закон №152 «О персональных данных» от 27.07.2006 г.
Постановление Правительства № 1119 от 01.10.12 г.
Приказ ФСТЭК России № 21 от 18.02.2013 г.
Приказ ФСТЭК России № 17 от 11.02.2013 г.
Приказ ФСБ России от 10.07.2014 № 378
Приказ ФАПСИ РФ № 152 от 13.06.2001
7. Проблемы выполнения законодательства
в области обработки и защиты ПДн
Требования определены в большом количестве НПА
Нет рекомендованных шаблонов
Ежеквартальные изменения в нормативной базе
Отсутствие выделенных специалистов по защите
информации в организации
Необходимость постоянно прилагать усилия для
поддержания мероприятий
9. Лучшая практика 1. Совместить определенные
этапы организации обработки и защиты ПДн
Разработка ОРД, в части
обработки ПДн
Корректировка процессов
обработки ПДн
и выполнение мероприятий
Обследование ИС, процессов обработки ПДн
Формирование требований к
защите информации,
содержащейся в ИС
Разработка системы защиты
информации ИС
Внедрение системы защиты
информации ИС
Аттестация информационной
системы
Обработка ПДн, эксплуатация ИС и системы защиты информации
10. Лучшая практика 2. Ответственность
за организацию обработки ПДн
Руководитель / заместитель руководителя
учреждения
или
Руководитель подразделения, в наибольшей степени
участвующего в обработке ПДн
11. Лучшая практика 3. Использовать
системы автоматизации
организационных мероприятий по
защите информации
12. С использованием средств автоматизации
организовать контроль за регулярным выполнением
мероприятий в подведомственных учреждениях
Дочерняя компания или
подведомственное учреждение
(обычный аккаунт):
- сбор данных
- подготовка и утверждение
документов
- выполнение мероприятий
Головная организация (мастер-
аккаунт):
- просмотр данных и документов
- контроль выполнения мероприятий
DocShell:
- онлайн сервис
- оказание тех. поддержки
- экспертиза документов
- анализ законодательства и
требований регуляторов
13. Лучшая практика 4. Использовать СЗИ от
российских производителей.
Защита на уровне сети
Подсистемы СЗПДн / типы
СЗИ
Подсистема
криптографической защиты
информации / Криптошлюз
АПКШ Континент от
Кода Безопасности
Vipnet Custom
от Инфотекс
С-терра CSP VPN Gate
от С-терра СиЭсПи
Подсистема межсетевого
экранирования /
Межсетевой экран
АПКШ Континент от
Кода Безопасности
Vipnet Custom
от Инфотекс
С-терра CSP VPN Gate
от С-терра СиЭсПи
Подсистема обнаружения
вторжений /
СОВ
Континент-ДА
от Кода Безопасности
VipNet IDS
от Инфотекс
Форпост
от РНТ
Подсистема анализа
защищенности /
Сканер защищенности
XSpider от Positive
Technologies
Ревизор сети от РНТ
14. Лучшая практика 4. Использовать СЗИ от
российских производителей.
Защита на уровне узла ИСПДн
Подсистемы СЗПДн / типы СЗИ
Подсистема защиты от НСД SecretNet
от КБ
Dallas Lock от
Конфидент
Аккорд-АМДЗ
от ОКБ САПР
Подсистема межсетевого
экранирования / Персональный
межсетевой экран
SSEP, SN Studio или
Континент-АП
от Кода
Безопасности
ViPNet PF
или ViPNet Client
от Инфотекс
С-терра Клиент
от С-терра СиЭсПи
Подсистема обнаружения
вторжений / Персональное
СОВ
SSEP или SN Studio
от Кода
Безопасности
Антивирусная защита SSEP или SN Studio
от Кода
Безопасности
DrWeb
/ Nod32
Антивирус
Касперского
Средство защиты
виртуализации
vGate от Кода
Безопасности
Аккорд-В
15. Лучшая практика 5. Создавать ведомственные
защищенные сети
В дальнейшем будут использоваться для многих задач
ПО ViPNet Client 3.x
СЗИ от НСД Dallas Lock 8.0-К / C
ПАК «Соболь 3.0»
ПО ViPNet Administrator
Средство анализа защищенности
PT Xspider 7.8
Условные обозначения
ViPNet Coordinatoor HW
1000 / 100
Средство антивирусной защиты
АРМ пользователей
ИСПДн
АРМ администратора ИБ
АРМ администратора
сети VipNet
Выделенный
защищенный сегмент
сети для пользователей
ИСПДн, находящийся за
МЭ VipNet Coordinator
Серверы ИСПДн
Межсетевой экран уровня
приложений PT application firewall
МИАЦ
Защищенная сеть
Минздрав
Учреждение здравоохранения
АРМ
Администратора
сети VipNet
Учреждение
здравоохранения
ЦОД ОАО
«Ростелеком»
Серверы ИСПДн в
ЦОД
VipNet Coordinator HW1000
И VipNet IDS 1000
16. Лучшая практика 6. В распределенных
информационных системах выделять
типовые сегменты
Типовые сегменты – если применяются схожие
процессы обработки ПДн и меры защиты информации
Аттестация только одного из множества типовых
сегментов
17. Лучшая практика 7. Внедрять средства
защиты информации силами обученных
специалистов
Отправлять на обучение своих специалистов
Привлекать к выполнению работ обученных специалистов лицензиата
Примеры курсов:
Secret Net. Применение. K005, К005А – от 3 до 6 дней
Security Studio Endpoint Protection. Администрирование. – 3 дня
Континент. Администрирование. К007, К007А – от 3 до 5 дней
ViPNet. Администрирование. INF012007 – 5 дней
Комплексные курсы по ТЗКИ, ИБ – 10 дней
18. Лучшая практика 8. Использовать СЗИ
только с действующей технической
поддержкой
Информация которую ФСТЭК России постоянно упоминает:
Без технической поддержки на СЗИ вы не будете
получать обновления безопасности
Без обновлений СЗИ содержит уязвимости – не может
обеспечивать выполнение своих функций в полной мере
Применение средств защиты информации без действующей
технической поддержки не соответствует требованиям
законодательства РФ
19. Лучшая практика 9. Привлекать к выполнению
работ только организации, обладающие
необходимыми лицензиями
Лицензия ФСТЭК обязательна в случаях:
Анализа угроз и проектирования системы защиты
Установки и настройки СЗИ
Аттестации ИС
Лицензия ФСБ обязательна в случаях:
Поставки СКЗИ
Установки и настройки СКЗИ
Обслуживания СКЗИ
20. Лучшая практика 10. Культура эксплуатации
ИС в соответствии с законодательством
Требуемое мероприятие Периодичность
Утверждение перечня лиц, обрабатывающих ПДн без использования средств автоматизации Еженедельно
Утверждение перечня лиц обрабатывающих ПДн в ИСПДн Еженедельно
Корректировка документов в области обработки ПДн при изменении законодательства Ежеквартально
Корректировка уведомления РКН Ежеквартально
Корректировка оценки возможного вреда при изменениях в перечне субъектов ПДн и составе
ПДн
Раз в полгода
Ознакомление сотрудников с изменениями внутренних документов в области обработки ПДн.
Ознакомление сотрудников с основными изменениями положений законодательства
Ежеквартально
Учет помещений и хранилищ носителей ПДн Еженедельно
Учет помещений с к СКЗИ. Утверждение перечня лиц, имеющих право доступа в помещения с
СКЗИ
Раз в 2 недели
Учет СКЗИ, документации Еженедельно
Учет лиц, допущенных к работе с СКЗИ Еженедельно
Обучение лиц, использующих криптосредства, работе с ними Еженедельно
А также постановление правительства 211, постановление правительства 687, Методический документ ФСТЭК России, Проект методики определения актуальных угроз ФСТЭК, Методический документ ФСБ, Административные регламенты, Профили защиты,
Учреждения выполняющие задачу приведения своих процессов обработки и защиты персональных данных в соответствие требованиям законодательства РФ сталкиваются со следующими проблемами:
Структура нормативно-правовых актов в сфере персональных данных сложна и включает 2 федеральных закона, более 50 федеральных законов в которых упоминаются ПДн, 3 постановления правительства, 3 приказа, методические рекомендации по определенным темам, несколько административных регламентов. НПА пересекаются, дополняют друг друга, а иногда и противоречат друг другу
В сфере ПДн определены 3 регулятора – РКН, ФСТЭК и ФСБ, которые устанавливают требования в своей сфере ответственности. Все это приходит к тому, что нет одного публичного источника, из которого можно было бы взять все требования в одном перечне
Нет публичных шаблонов документов или действий. Попытки которые предпринимались ранее, например минздравом и минкомсвязи – потерпели неудачу. Разработка согласование, публикация, распространение шаблонов занимало 1-2 года, а за это время документы становились неактуальными
В законодательстве регулярно происходят изменения – вносятся изменения в федеральные законы, выпускают новые подзаконные акты, регуляторы обновляют свои требования
В организации недостаточно специалистов, для того чтобы отслеживать все эти изменения законодательства, анализировать, изучать практику применения
В организации, процессах и защиты обработки ПДн постоянно происходят изменения. Определенные мероприятия требуется выполнять регулярно, для того чтобы обеспечить соответствие требованиям.