2. Докладчик
Актуальные вопросы
защиты информации
Сергей Борисов
Заместитель генерального директора по ИБ
ООО «Информационные системы и аутсорсинг»
ГК Росинтеграция
Эксперт, блогер по ИБ
s.borisov@krasnodar.pro
https://docshell.ru/
https://sborisov.blogspot.ru/
Участие в совершенствовании законодательства и НПА регуляторов
Участие в проверках по привлечению ФСБ России
Участие в проверках качестве эксперта по привлечению Заказчика
4. Требования по защите ИСПДн Актуальные вопросы
защиты информации
Федеральный закон №152 «О персональных данных» от 27.07.2006
Постановление Правительства РФ № 1119 от 01.10.2012
Постановление Правительства РФ от 21.03.2012 г. № 211
Приказ ФСТЭК России № 21 от 18.02.2013
Приказ ФСБ России от 10.07.2014 № 378
5. Требования по защите ГИС Актуальные вопросы
защиты информации
Федеральный закон № 149 от 27.07.2006
Постановление Правительства РФ от 06.07.2015 N 676 "О требованиях к
порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода
из эксплуатации государственных информационных систем и дальнейшего
хранения содержащейся в их базах данных информации"
Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите
информации, не составляющей государственную тайну, содержащейся в
государственных информационных системах»
6. Требования ФСБ России при
эксплуатации СКЗИ
Актуальные вопросы
защиты информации
1) Приказ ФСБ от 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных при их обработке в информационных
системах персональных данных с использованием средств криптографической защиты информации, необходимых
для выполнения установленных Правительством Российской Федерации требований к защите персональных
данных для каждого из уровней защищенности»
4) «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности
персональных данных, актуальные при обработке персональных данных в информационных системах
персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные
руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015)
3) «Инструкция об организации и обеспечении безопасности хранения, обработки и
передачи по каналам связи с использованием средствкриптографической защиты
информации с ограниченным доступом, не содержащей сведений, составляющих
государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года №
152
2) Приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о
разработке, производстве, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации (Положение ПКЗ-2005)»
8. Доктрина ИБ РФ
(утверждена Указом Президента РФ № 646 от 5 декабря 2016 г.)
Организационную основу системы обеспечения информационной
безопасности составляют: … органы исполнительной власти
субъектов Российской Федерации, органы местного
самоуправления, органы судебной власти, принимающие в
соответствии с законодательством Российской Федерации участие в
решении задач по обеспечению информационной безопасности.
Участниками системы обеспечения информационной безопасности
являются: … организации и граждане, которые в соответствии с
законодательством Российской Федерации участвуют в решении
задач по обеспечению информационной безопасности.
Актуальные вопросы
защиты информации
9. Доктрина ИБ РФ
35. Задачами государственных органов в рамках деятельности по обеспечению
информационной безопасности являются:
• обеспечение защиты прав и законных интересов граждан и организаций в
информационной сфере
• оценка состояния информационной безопасности, прогнозирование и
обнаружение информационных угроз, определение приоритетных направлений
их предотвращения и ликвидации последствий их проявления
• планирование, осуществление и оценка эффективности комплекса мер по
обеспечению информационной безопасности
• организация деятельности и координация взаимодействия сил обеспечения
информационной безопасности, совершенствование их правового,
организационного, оперативно-разыскного, разведывательного,
контрразведывательного, научно-технического, информационно-
аналитического, кадрового и экономического обеспечения
• выработка и реализация мер государственной поддержки организаций,
осуществляющих деятельность по разработке, производству и эксплуатации
средств обеспечения информационной безопасности, по оказанию услуг в
области обеспечения информационной безопасности, а также организаций,
осуществляющих образовательную деятельность в данной области
Актуальные вопросы
защиты информации
10. Российский государственный сегмент
сети Интернет или RSNet
Положение о российском государственном сегменте
информационно-телекоммуникационной сети
"Интернет", утверждено приказом ФСО РФ №443 от 7
сентября 2016 г.
Порядок подключения информационных систем и
информационно-телекоммуникационных сетей к
информационно-телекоммуникационной сети
"Интернет" и размещения (публикации) в ней
информации через российский государственный
сегмент информационно-телекоммуникационной
сети “Интернет”, утверждено Указом Президента
Российской Федерации от 22 мая 2015 г. N 260
Подключить до 31 декабря 2017 г.
Актуальные вопросы
защиты информации
11. Государственная система
обнаружения и предотвращения атак
Актуальные вопросы
защиты информации
проект Методических рекомендаций по созданию
ведомственных и корпоративных центров ГосСОПКА, 2016
г.
Концепция государственной системы обнаружения, предупреждения и
ликвидации последствий компьютерных атак на информационные ресурсы
Российской Федерации утверждена Президентом Российской Федерации 12
декабря 2014 г. № К 1274
Указ Президента Российской Федерации от 15 января 2013
г. N 31с г. Москва "О создании государственной системы
обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные
ресурсы Российской Федерации"
12. Государственная система
обнаружения и предотвращения атак
Актуальные вопросы
защиты информации
Главный и
региональные центры
Системы
Ведомственные центры
Системы
Корпоративные центры
Системы
Создает и
эксплуатирует:
ФСБ Р
Создает и
эксплуатирует:
орган государственной
власти или Лицензиат
Создает и
эксплуатирует:
Госкорпорация,
оператор связи или
Лицензиат
ГосСОПКА
Информационные ресурсы:
- Органов государственной власти РФ
- Органов госвласти субъектов РФ
- ФСБ Р
Информационные ресурсы данного органа
государственной власти РФ
Информационные ресурсы данной
организации
Информационные ресурсы иных
организаций и учреждений
13. Требования ФСТЭК России
приказом ФСТЭК России от 9 февраля 2016 г. N 9 утверждены
Требования к межсетевым экранам
• с 1 декабря 2016 г. разрабатываемые, производимые и
поставляемые межсетевые экраны должны соответствовать
Требованиям
• С 1 декабря 2016 г. сертификация, а также инспекционный
контроль серийного производства межсетевых экранов будут
осуществляться только на соответствие Требованиям.
• Межсетевые экраны, установленные до 1 декабря 2016 г., могут
эксплуатироваться без проведения повторной сертификации на
соответствие Требованиям
Актуальные вопросы
защиты информации
14. Требования ФСТЭК России
приказом ФСТЭК России от 19 августа 2016 г. N 119 утверждены
Требования безопасности информации к операционным системам
• с 1 июня 2017 г. разрабатываемые и производимые операционные
системы, используемые для защиты информации, должны
соответствовать Требованиям.
• с 1 июня 2017 г. сертификация, а также инспекционный контроль
серийного производства операционных систем будут
осуществляться только на соответствие Требованиям.
Актуальные вопросы
защиты информации
15. Постановление правительства №399
Постановление Правительства РФ от 6 мая 2016 г. № 399 “Об
организации повышения квалификации специалистов по защите
информации и должностных лиц, ответственных за организацию
защиты информации в органах государственной власти, органах
местного самоуправления, организациях с государственным
участием и организациях оборонно-промышленного комплекса”
Актуальные вопросы
защиты информации
16. Новое.
Постановление правительства №399
• Определить лиц, ответственных за защиту информации
• Обеспечить регулярное повышение квалификации этих лиц
• Очное или удаленное
• Периодичность – достаточная с учетом нарастания угроз ИБ
и необходимости совершенствования методов их
нейтрализации (рекомендуем 3 года)
• Тематика и программа повышения квалификации –
согласована с ФСТЭК России
Актуальные вопросы
защиты информации
18. В 2016 г. утверждены проф. стандарты
http://profstandart.rosmintrud.ru
/nationalnews/61485/
Актуальные вопросы
защиты информации
19. В 2016 г. утверждены проф. стандарты Актуальные вопросы
защиты информации
20. В 2016 г. утверждены проф. стандарты Актуальные вопросы
защиты информации
21. Постановление правительства №584
Постановление Правительства Российской Федерации от
27.06.2016 № 584 "Об особенностях применения
профессиональных стандартов в части требований, обязательных
для применения государственными внебюджетными фондами
Российской Федерации, государственными или
муниципальными учреждениями, государственными или
муниципальными унитарными предприятиями, а также
государственными корпорациями, государственными
компаниями ….
Актуальные вопросы
защиты информации
22. Постановление правительства №584
Разработать план применения проф. стандартов (ПС)
• Определить список ПС подлежащих применению – в том числе
ИБ
• Провести анализ квалификации сотрудников и определить
потребность в обучении
• Этапы применения ПС
Реализацию плана завершить не позднее 1 января 2020 г.
Актуальные вопросы
защиты информации
24. Постановление правительства №584
• Законопроект "О безопасности критической информационной
инфраструктуры Российской Федерации“
• Законопроект “Об установлении требований о защите
информации в информационных системах, используемых
органами государственной власти”
• Законопроект О внесении изменений в Кодекс Российской
Федерации об административных правонарушениях (в части
уточнения положений, устанавливающих ответственность за
нарушение законодательства о персональных данных)
Актуальные вопросы
защиты информации
25. Нарушения и недостатки ИБ выявленные при
проверках органов государственного
контроля или в рамках выполнения работ
26. Проводился анализ следующих материалов:
• Протоколы ОРМ
• Представления об устранении нарушений
• Протоколы об административном нарушении
• Определения о рассмотрении дел об административном нарушении
По организациям:
• Управления ЗАГС
• МФЦ
• Учреждения здравоохранения
• Учреждения образования
• Райгазы
• Почтовые и курьерские организации
Проверки ФСБ России на юге в 2016 Актуальные вопросы
защиты информации
27. Типовые нарушения
• Не классифицированы (не установлены уровни защищенности)
информационные системы персональных данных
• Не разработана Модель угроз ПДн
• Не ведется учет машинных носителей информации
• Не определен список лиц, допущенных к работе в ИСПДн
• Не назначен ответственный за обеспечение безопасности ПДн
• Не оснащены средствами защиты информации (далее – СЗИ) все
автоматизированные рабочие места (далее – АРМ) участвующие в
обработке ПДн
• СЗИ имеют просроченный сертификат соответствия
Актуальные вопросы
защиты информации
28. Типовые нарушения
• Спецпомещение, в котором осуществляется обработка ПДн с
применением средств криптографической защиты информации (далее
– СКЗИ), не оборудовано устройством опечатывания, сигнализирующее
о несанкционированном вскрытии
• Не разработаны правила доступа в спецпомещение
• Не утвержден список лиц, допущенных в спецпомещение
• Окна спецпомещения не оборудованы железными решетками или
средствами охранной сигнализации
Актуальные вопросы
защиты информации
29. Типовые нарушения
• Не разработана Модель нарушителя
• Отсутствует список пользователей, допущенных к работе с СКЗИ
• Отсутствует заключение, подтверждающее специальную подготовку
пользователей
• Отсутствует техническая и эксплуатационная документация к СКЗИ, либо данная
документация не зарегистрирована в журналах учета
• Не опломбирован системный блок, на котором установлено СКЗИ
Актуальные вопросы
защиты информации
32. Типичные проблемы ИБ
За последний год при работе с организациями в Южном федеральном округе был
выявлен ряд проблем, типичных для подавляющего большинства организаций
независимо от формы собственности:
• низкий уровень осведомленности сотрудников по вопросам информационной
безопасности
• отсутствие лиц, ответственных за направление информационной безопасности, а в
случае их наличия – низкий уровень квалификации
• отсутствие реализации организационных мер по защите информации
• неактуальная нормативно-распорядительной документации в области защиты
информации
• отсутствие комплексной реализации мер информационной безопасности в ИТ-
решениях
Актуальные вопросы
защиты информации
33. Типичные проблемы ИБ
• отсутствие унифицированной информационной инфраструктуры
• отсутствие сертифицированных средств защиты информации и шифровальных
(криптографических) средств защиты информации и эксплуатационной
документации к ним
• отсутствие аттестованных по требованиям безопасности информации
информационных систем и защищаемых помещений, даже если таковые
предусмотрены требованиями действующего законодательства
• отсутствие заключений по результатам ежегодного контроля защищенности
объектов информатизации на соответствие требованиям безопасности
• отсутствие аттестованных по требованиям безопасности информации выделенных
помещений, даже если таковые предусмотрены требованиями действующего
законодательства
Актуальные вопросы
защиты информации
34. Инциденты гос. органов в 2016 г.
• заражение критических компонентов ИС вирусами - шифровальщиками
• заражение технических средств и включение их в бот сети для проведение атак на
другие организации
• атаки на отказ в обслуживании (DDoS) из внешних сетей
• использование ресурсов гос. органа в личных целях
• атаки на систему клиент-банк
Актуальные вопросы
защиты информации
36. Общий порядок проведения работ по
защите информации
Актуальные вопросы
защиты информации
Обследование ИС, процессов обработки информации, категорирование,
классификация, определение требований к компонентам разных категорий
Установка СЗИ, выполнение мероприятий в соответствии с разработанной
документацией
Разработка документации, в части организации обработки и защиты
информации
Обработка информации, эксплуатация ИС, СЗИ, анализ защищенности
37. Этап сбора информации о имеющихся
ИС и защищаемой информации
• Регулярно обновлять информацию (работа не должна быть
разовой)
• Собирать сводную и ключевую информацию с
подведомственных учреждений
• Не забывать про объекты имеющие срок действия (аттестаты,
сертификаты, лицензии, дипломы и т.п.)
• Выявлять и создавать типовые сегменты
Актуальные вопросы
защиты информации
38. Этап разработки документации
• Учитывать регулярные изменения законодательства
• Учитывать регулярные изменения в организации
• Учитывать изменения в системе защиты
• Простые и понятные пользователям документы
• Единообразные документы в рамках ведомства
• Использовать системы автоматизации подготовки и
поддержания в актуальном виде документации и
свидетельств выполнения мероприятий
Актуальные вопросы
защиты информации
39. Этап внедрения СЗИ
• Создавать ведомственные и региональные защищенные сети
• Для типовых сегментов использовать типовые СЗИ,
аттестовать типовые сегменты только 1 раз
• Подключаться к центрам мониторинга ИБ и реагирования на
инциденты ИБ
• Отправлять на обучение лиц ответственных за ИБ
Актуальные вопросы
защиты информации
40. Этап эксплуатации ИС
• Осуществлять централизованный контроль
подведомственных учреждений
• Поддерживать меры защиты в актуальном состоянии
• Осуществлять выборочный контроль защищенности
подведомственных учреждений
• Координировать силы ИБ с использованием ГосСОПКА,
корпоративных центров мониторинга, совместно
расследовать инциденты ИБ
Актуальные вопросы
защиты информации
41. Система автоматизации DocShell Актуальные вопросы
защиты информации
Специализированные для
отдельных компаний
Общие Новые разработки
Управление ИБ