Комплексная защита информации

Download Report

Transcript Комплексная защита информации

Технологии и продукты Microsoft в обеспечении ИБ

Лекция 20. Организационно-правовые аспекты защиты информации

Цели

    Познакомиться с законодательными и правовыми основами защиты информации Рассмотреть основные положения «Закона о персональных данных» Изучить принципы разработки политики безопасности Проанализировать причины инициативы Microsoft по предоставлению ФСБ и другим заинтересованным государственным организациям доступа к исходному коду своих продуктов

Высшая школа экономики - 2009

2

Критерии оценки безопасности

     Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности Требования действующего российского законодательства (РД ФСТЭК, СТР-К, ГОСТы) Требования отраслевых стандартов (СТО БР ИББС 1.0, базовый уровень информационной безопасности операторов связи) Рекомендации международных стандартов (ISO 17799, OCTAVE) Рекомендации компаний-производителей программного и аппаратного обеспечения (Microsoft, Oracle, Cisco и т.д.)

Высшая школа экономики - 2009

3

Нормативно-правовое обеспечение информационной безопасности Политика ИБ Частные политики информационной безопасности Регламенты информационной безопасности Инструкции информационной безопасности

4

Высшая школа экономики - 2009

Что такое Политика ИБ?

Политика информационной безопасности –

официально принятая система взглядов на цели, задачи, основные принципы и направления деятельности в области защиты от возможных угроз одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности

Высшая школа экономики - 2009

5

Цели Политики ИБ

   определение и ввод в операционное управление основных принципов, политик, стандартов, директив Политики безопасности определение приоритетов развития Компании в области обеспечения ИБ обеспечение осведомленности и координация деятельности сотрудников Компании в областях, имеющих влияние на ИБ

Высшая школа экономики - 2009

6

Основные разделы Политики

          цели и задачи Политики безопасности общие сведения об активах модели угроз и нарушителей высокоуровневые требования ИБ санкции и последствия нарушений политики определение общих ролей и обязанностей, связанных с обеспечением ИБ перечень частных политик ИБ положения по контролю реализации политики ИБ ответственность за реализацию и поддержку документа условия пересмотра документа.

Высшая школа экономики - 2009

7

Особенности создания Политики

 учитывается

текущее состояние

и

ближайшие перспективы

развития АС  учитываются цели, задачи и правовые основы создания и эксплуатации АС  учитываются режимы функционирования данной системы  производится

анализ рисков информационной безопасности

ресурсов АС Компании для

Высшая школа экономики - 2009

8

Нормативно-правовая основа Политики

Правовые документы

НОРМАТИВНО-ПРАВОВАЯ ОСНОВА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Организационно распорядительные документы Нормативные документы Федеральные законы РФ Кодексы РФ Указы и Распоряжения Президента РФ Постановления правительства РФ Положения Концепции Руководства, инструкции ГОСТы Международные стандарты Руководящие документы Распоряжения Специальные нормативные документы ФСТЭК (Гостехкомиссии) и ФСБ (ФАПСИ) Документы, регламен тирующие защиту информации от несанкционированного доступа Документы, регламен тирующие использование средств криптозащиты 9

Высшая школа экономики - 2009

ФЗ «О персональных данных»

 Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация  Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных

Высшая школа экономики - 2009

10

ФЗ «О персональных данных»

     Работа с персональными данными должна производиться с соблюдением мер конфиденциальности и защиты Субъект персональных данных самостоятельно решает вопрос передачи кому-либо своих персональных данных Согласие на передачу оформляется документально Субъект персональных данных имеет полное право на доступ к своим персональным данным Государство создает Уполномоченный орган по защите прав субъектов персональных данных

Высшая школа экономики - 2009

11

Меры по обеспечению безопасности персональных данных

    Оператор обязан принимать организационные и технические меры, для защиты ПД от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке Федеральные органы в области обеспечения безопасности (ФСБ России, ФСТЭК России) осуществляют контроль и надзор Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность

Высшая школа экономики - 2009

12

Аттестация АС на требования ФСТЭК

«Аттестат соответствия» подтверждает, что объект соответствует требованиям стандартов, утвержденных ФСТЭК России. Дает право обработки информации с уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия» • • Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от НСД, в том числе от компьютерных вирусов, от утечки за счет побочных электpомагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электpомагнитное и pадиационное воздействие), от утечки или воздействия на нее за счет специальных устpойств, встpоенных в объекты инфоpматизации.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

13

Высшая школа экономики - 2009

Актуальность создания политики безопасности

Разработка Политики безопасности является необходимым шагом на пути внедрения полноценной системы управления информационной безопасности компании

Высшая школа экономики - 2009

14

Комплексная защита информации

НАПРАВЛЕНИЯ И МЕРЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Нормативно-методическое обеспечение информационной безопасности Кадровое обеспечение информационной безопасности Технологическое обеспечение информационной безопасности 15

Высшая школа экономики - 2009

Комплексная защита информации

НАПРАВЛЕНИЯ И МЕРЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Нормативно-методическое обеспечение информационной безопасности Кадровое обеспечение информационной безопасности Технологическое обеспечение информационной безопасности 16

Высшая школа экономики - 2009

Организационная политика обеспечения ИБ Организационные (административные) меры защиты

меры организационного характера, регламентирующие:   процессы функционирования системы обработки данных, использование ее ресурсов,   обучение сотрудников, деятельность обслуживающего персонала,  а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации

Высшая школа экономики - 2009

17

Регламенты в области ИБ

    Регламент резервного копирования информации Регламент расследования инцидентов в области информационной безопасности Регламент проведения аудита информационной безопасности Регламент управления документами в области ИБ

Высшая школа экономики - 2009

18

Инструкции по безопасности

  Инструкция администратору безопасности Инструкция пользователю по обеспечению информационной безопасности

Высшая школа экономики - 2009

19

Документационное обеспечение

   Уровень предприятия   Политика безопасности Положение о конфиденциальности  Перечень конфиденциальной информации Уровень подразделения   Трудовые соглашения, определяющие ответственность сотрудников Должностные инструкции Уровень информационной системы   Регламенты использования корпоративной информационной системы Регламенты предоставления доступа к конфиденциальной информации

Высшая школа экономики - 2009

20

Меры по реализации политики ИБ

  

Организационные меры

• • • Регламентов Правил Инструкций и пр.

– создание и изменение

Программно-технические меры

• Антивирусной защиты • • внедрение Системы контроля доступа Подсистемы анализа уязвимостей и пр.

Мероприятия по кадровому обеспечению

• Специализированные программы обучения • • Интранет-порталы Рассылка новостей

Высшая школа экономики - 2009

21

Пример: нормативная основа создания защищённого документооборота

 Регламент работы Удостоверяющего центра  Должностная Инструкции администратора Удостоверяющего центра  Инструкция пользователю по работе с ключевым носителем информации

Высшая школа экономики - 2009

22

Government Security Program (GSP)

 Программа , в рамках которой организациям, участвующим в государственных проектах по совершенствованию защищенных информационных систем, предоставляет доступ к исходным кодам продуктов Майкрософт.

Высшая школа экономики - 2009

23

Предоставление исходных кодов

  Россия - первая страна в мире, подписавшая с Microsoft Соглашение GSP ( в 2002 г. между Майкрософт и ФГУП НТЦ «Атлас», действует по н.вр.)     Доступ к исходным кодам продуктов Microsoft  ФСБ ФСТЭК Министерству обороны Министерству атомной промышленности другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.

Высшая школа экономики - 2009

24

Сертифицированный в ФСБ продукт

  Обычный лицензионный продукт Microsoft Дополнительный «Service Pack Rus» для этого продукта  Содержит криптопровайдеры компании Крипто Про, позволяющие зашифровывать информацию и подписывать документы электронной цифровой подписью с использованием российских криптографических алгоритмов.

Высшая школа экономики - 2009

25

Текущие результаты сертификации

        Windows XP Professional / Vista Windows Server 2003 /R2 Office 2003/2007 Professional ISA Server 2006 линейка антивирусных продуктов Forefront    Forefront для Exchange Server, Forefront для SharePoint Server Forefront Client Exchange Server 2007 Office SharePoint Server 2007 BizTalk Server 2006 R2

Высшая школа экономики - 2009

26

Использованные источники

   

Сердюк В.А.

Комплексный подход к защите компании от угроз информационной безопасности // Презентация, ДиалогНаука, 2008

Сердюк В.А.

Система управления информационной безопасностью // Презентация, ДиалогНаука, 2008

Сердюк В.А.

Политика информационной безопасности // Презентация, ДиалогНаука, 2008

Сердюк В.А.

Новое в защите от взлома корпоративных систем. М.: Техносфера, 2007.

 http://www.microsoft.com/Rus/Security/Certificate/Def ault.mspx

Высшая школа экономики - 2009

27

Спасибо за внимание!