Максим Лагутин SiteSecure

1. Все об основных требованиях
по информационной
безопасности к бизнесу
Лагутин Максим, специалист по информационной безопасности

2. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
КАКИЕ ТРЕБОВАНИЯ РАССМОТРИМ?
1. Требования обработки и защиты
персональных данных (152-ФЗ)
2. Требования 27001
3. Требования PCI DSS
4. Требования к непрерывности работы
ИТ-систем (DRP)
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
DRP

3. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
152-ФЗ
Для кого: для юридических лиц, государственных и муниципальных
органов и учреждений, ИП
Технические требования: обеспечить безопасность ИС, в которых
обрабатываются персональные данные согласно установленных требований
(Приказ ФСТЭК №21 и №17), подготовить техническую документацию
Организационные и иные требования:
- назначение ответственных лиц
- подготовка пакета внутренних документов, регламентирующих обработку
и защиту персональных данных
- соблюдение прав физических лиц (субъектов персональных данных
- подача уведомления об обработке персональных данных в Роскомнадзор
- локализация баз персональных данных
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru

4. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
Риски: штрафы, блокировка сайта, приостановка деятельности, запрет
занимать руководящие должности, невозможность работать с определенным
пулом клиентов
Бюджет реализации требований:
технические меры - от 300.000 рублей до …
организационные меры - от 10.000 рублей до …
Сроки реализации:
технические меры - от 3 до 6 месяцев
организационные меры - от 1 до 3 месяцев
Полезные материалы:
перечень необходимых документов - http://b-152.ru/docs
ТОП-10 ошибок при выполнении требований закона - http://b-152.ru/
TOP-10_oshibok_operatorov_PDn.pdf
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
152-ФЗ: К ЧЕМУ ГОТОВИТЬСЯ

5. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
Для кого: для организаций, работающих со средним и крупным
российским и иностранным бизнесом
Требования:
обеспечить должный уровень обеспечения информация безопасности и
управления процессами, а именно:
- определить зону влияния
- назначить роли
- описать процессы обеспечения информационной безопасности;
- описать процессы и методику управления информационной
безопасностью;
- внедрить техническую защиту (опционально)
- задокументировать все проделанное
- пройти сертификацию
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ISO 27001

6. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
Риски: невозможность работать с определенным пулом клиентов
Бюджет реализации требований:
реализация требований - от 200.000 рублей до …
сертификация - от 240.000 рублей до 15.000 $
Сроки реализации:
реализация требований - от 1 до 6 месяцев
сертификация - 1 месяц
Полезные материалы:
перечень документов для соответствия ISO 27001 - http://www.slideshare.net/
AndreyProzorov/27001-2013
информация по сертификации (BSI) - http://www.bsigroup.com/ru-RU/
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ISO 27001: К ЧЕМУ ГОТОВИТЬСЯ

7. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
Для кого: для организаций, желающих напрямую принимать оплаты с
банковских карт
Требования:
реализация технических и организационных требований (12 основных)
Требования по подтверждению соответствия различаются в зависимости от
количества транзакций в год:
- ежегодный аудит, выполняемый QSA-аудитором
- ежегодная самооценка соответствия с заполнением опросного листа
(SAQ)
- ежеквартальное ASV-сканирование
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
PCI DSS

8. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
Риски: невозможность напрямую осуществлять работу с банковскими
картами
Бюджет реализации требований:
технические и орг.требования - …
ежегодный аудит QSA-аудитором - от 2.000 $ до 10.000 $
ежеквартальный аудит ASV - от 100$ до …
Сроки реализации:
тех. и орг. требования - от 1 до 6 месяцев
сертификация - от 2 недель до 4 месяцев
ежеквартальный аудит - до 2 недель
Полезные материалы:
сайт PCI DSS со списками QSA-аудиторов и ASV - https://
www.pcisecuritystandards.org/
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
PCI DSS: К ЧЕМУ ГОТОВИТЬСЯ

9. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
Для кого: для организаций, у которые гарантируют SLA или у которых есть
критические для ведения бизнеса информационные системы
Требования:
Обеспечить высокую скорость реагирования и восстановления доступности и
работоспособности информационных систем.
- определение ожидаемых показателей реализации плана (MTPD, RTO, RPO)
- определение границ информационной системы
- разработка процессы резервного копирования, реагирования на инциденты
и восстановления работоспособности информационных систем
- Назначение ответственных лиц
- реализация резервной технической инфраструктуры
- организация ежегодного внешнего и внутреннего аудитов плана аварийного
восстановления
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
DRP
DRP

10. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
Риски: невозможность гарантировать SLA клиентам и невыполнение
требований головной компании (контрагентов)
Бюджет реализации требований:
разработка DRP - от 100.000 рублей до …
резервная инфраструктура - …
ежегодный внешний аудит - от 20.000 до …
Сроки реализации:
разработка DRP - от 1 до 3 месяцев
резервная инфраструктура - от 2 недель до 6 месяцев
ежегодный внешний аудит - до 1 дня до 2 недель
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
DRP
DRP: К ЧЕМУ ГОТОВИТЬСЯ

11. Николай Крысенков, зам. ИТ-директора
российского Lacoste
www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ruwww.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
СПЕЦИАЛЬНЫЙ ГОСТЬ

12. Разработать план аварийного восстановления
критической информационной системы 1С
Срок на реализацию задачи - 1.5 месяца
Источник требований: головной офис во Франции
www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ruwww.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ЗАДАЧА

13. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ruwww.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
КРИТИЧЕСКАЯ ИНФОРМАЦИОННАЯ СИСТЕМА

14. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ruwww.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ИНФРАСТРУКТУРА ИНФОРМАЦИОННОЙ СИСТЕМЫ

15. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
1. провели обследование информационной системы
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ПРОВЕДЕННАЯ РАБОТА

16. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
1. провели обследование информационной системы
2. определили основные показатели плана – MTPD, RTO, RPO
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ПРОВЕДЕННАЯ РАБОТА

17. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
1. провели обследование информационной системы
2. определили основные показатели плана – MTPD, RTO, RPO
3. распределили роли плана аварийного восстановления
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ПРОВЕДЕННАЯ РАБОТА

18. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
1. провели обследование информационной системы
2. определили основные показатели плана – MTPD, RTO, RPO
3. распределили роли плана аварийного восстановления
4. выявили границы информационной системы
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ПРОВЕДЕННАЯ РАБОТА

19. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
1. провели обследование информационной системы
2. определили основные показатели плана – MTPD, RTO, RPO
3. распределили роли плана аварийного восстановления
4. выявили границы информационной системы
5. детализировали элементы информационной системы, отказ которых
приведет к недоступности системы
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ПРОВЕДЕННАЯ РАБОТА

20. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
1. провели обследование информационной системы
2. определили основные показатели плана – MTPD, RTO, RPO
3. распределили роли плана аварийного восстановления
4. выявили границы информационной системы
5. детализировали элементы информационной системы, отказ которых
приведет к недоступности системы
6. разделили зоны ответственности по элементам системы
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ПРОВЕДЕННАЯ РАБОТА

21. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
1. провели обследование информационной системы
2. определили основные показатели плана – MTPD, RTO, RPO
3. распределили роли плана аварийного восстановления
4. выявили границы информационной системы
5. детализировали элементы информационной системы, отказ которых
приведет к недоступности системы
6. разделили зоны ответственности по элементам системы
7. описали резервную инфраструктуру и элементы
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ПРОВЕДЕННАЯ РАБОТА

22. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
1. провели обследование информационной системы
2. определили основные показатели плана – MTPD, RTO, RPO
3. распределили роли плана аварийного восстановления
4. выявили границы информационной системы
5. детализировали элементы информационной системы, отказ которых
приведет к недоступности системы
6. разделили зоны ответственности по элементам системы
7. описали резервную инфраструктуру и элементы
8. разработали процедуры резервного копирования
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ПРОВЕДЕННАЯ РАБОТА

23. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
1. провели обследование информационной системы
2. определили основные показатели плана – MTPD, RTO, RPO
3. распределили роли плана аварийного восстановления
4. выявили границы информационной системы
5. детализировали элементы информационной системы, отказ которых
приведет к недоступности системы
6. разделили зоны ответственности по элементам системы
7. описали резервную инфраструктуру и элементы
8. разработали процедуры резервного копирования
9. прописали сценарии аварийного восстановления системы при
выходе из строя каждого элемента ИС и процессы анализа
инцидентов
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ПРОВЕДЕННАЯ РАБОТА

24. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
1. провели обследование информационной системы
2. определили основные показатели плана – MTPD, RTO, RPO
3. распределили роли плана аварийного восстановления
4. выявили границы информационной системы
5. детализировали элементы информационной системы, отказ которых
приведет к недоступности системы
6. разделили зоны ответственности по элементам системы
7. описали резервную инфраструктуру и элементы
8. разработали процедуры резервного копирования
9. прописали сценарии аварийного восстановления системы при
выходе из строя каждого элемента ИС и процессы анализа
инцидентов
10.описали процедуру тестирования и пересмотра настоящего плана
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
ПРОВЕДЕННАЯ РАБОТА

25. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ruwww.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
В ИТОГЕ: РЕЗЕРВНАЯ ИНФРАСТРУКТУРА

26. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
- в качестве программного обеспечения для резервного копирования
было выбрано решение компании Acronis
- выявлено отсутствие дублирующих элементов ИС для аварийного
восстановления в случае отказа основных
- 1С настроена таким образом, чтобы клиентские версии в точках продаж
могут долгое время накапливать данные в случае отсутствия
соединения с сервером.
- реализация процедуры восстановления в точках продаж делегирована
на внешнего подрядчика по ИТ-аутсорсингу
В ИТОГЕ: ЧАСТНОСТИ
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru

27. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
Проект реализован за 1 календарный месяц.
Стоимость проекта менее 1 млн. рублей
На выходе получили документ в 40 страниц с описанием всех процедур,
ролей и форм.
ИТОГ
www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru

28. www.sitesecure | +7 (499) 372-06-45 | contact@sitesecure.ru
СПАСИБО ЗА ВНИМАНИЕ
Максим Лагутин
SiteSecure | B-152
max@sitesecure.ru
8 (926) 125-44-53

29. www.b-152.ru | +7 (499) 372-06-52 | info@b-152.ru
Среди наших клиентов: