close

Вход

Забыли?

вход по аккаунту

?

М-506А-ХР - Компьютер

код для вставкиСкачать
ТЕХНИЧЕСКИЕ РЕШЕНИ
ПО ЗАЩИТ
ПЕРСОНАЛЬНЫ
ДАННЫ
Михаил Савель
Генеральный директор SAFELIN
ГК «ИНФОРМЗАЩИТ
Компания основана в 1995 году
"Информзащита" – ведущая группа
компаний российского рынка
информационной безопасности в области
разработки
защищённых бизнес-систем
Выручка компании в 2008 году –
около 1,5 миллиарда рублей
Основные направления
деятельности
Проектирование защищенных
информационных систем
Консалтинг в области информационной
безопасности
Поставка, внедрение и поддержка
защищенных решений
Аттестация объектов информатизации
Разработка систем защиты информации
Профессиональная подготовка сотрудников
служб информационной безопасности
Информзащита сегодня
НИП «Информзащита»
Учебный центр «Информзащита»
Национальный аттестационный центр
SafeLine
Код Безопасности
TrustVerse
ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ
ДАННЫХ от 27 июля 2006 года N 152-ФЗ
Настоящим ФЗ регулируются
отношения, связанные с обработкой
персональных данных,
осуществляемой …государственными
органами, муниципальными органами,
юридическими лицами, физическими
лицами с использованием средств
автоматизации или без использования
таких средств, если обработка
персональных данных без
использования таких средств
соответствует характеру действий
(операций), совершаемых с
персональными данными с
использованием средств
автоматизации
Практики vs Теоретики
Источник:
Результаты анкетирования участников
Forester’s Security Forum EMEA 2007
Порядок действий
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Инвентаризация информационных систем, обрабатывающих персональные данные
Оценка законности обработки персональных данных и наличия согласий субъектов на
такую обработку
Корректировка договоров с субъектами, заключение при необходимости
дополнительных соглашений
Формирование перечней персональных данных
Определение предельных сроков и условий прекращения обработки персональных
данных
Ограничение доступа работников предприятия и пользователей информационной
системы к персональным данным
Документальное регламентирование работы с персональными данными
Формирование модели угроз персональным данным
Классификация информационных систем персональных данных
Уведомление уполномоченного органа по защите прав субъектов об обработке
персональных данных
Приведение системы защиты персональных данных в соответствие с требованиями
регуляторов
Лицензирование деятельности по технической защите конфиденциальной
информации
Аттестация (сертификация) информационной системы персональных данных
Эксплуатация информационной системы персональных данных, мониторинг,
выявление и реагирования не инциденты информационной безопасности
Под аттестацию попадают ИСПДн:
1, 2 класс - обязательная
аттестация;
3 класс – по выбору оператора
ИСПДн декларирование
соответствия или аттестация;
Чего бояться?
13.11
КоАП
13.12
КоАП
Нарушение установленного законом 10.000 руб.
порядка
сбора,
хранения,
использования или распространения
информации
о
гражданах
(персональных данных)
Нарушение
правил
защиты 20.000
руб.
+
информации, а также
конфискация
Использование несертифицированных несертифицированных
средств защиты информации, если они средств
+
подлежат обязательной сертификации, приостановление
а также
деятельности на срок
Грубое
нарушение
условий, до 90 суток
предусмотренных
лицензией
на
осуществление деятельности в области
защиты информации
Чего бояться
законных
требований 10.000 руб.
19.4 КоАП Невыполнение
должностного лица органа, уполномоченного в
области экспортного контроля, а равно
воспрепятствование осуществлению этим
должностным лицом служебных обязанностей
в
установленный
срок 500.000 руб. +
19.5 КоАП Невыполнение
законного
предписания
(постановления, дисквалификаци
представления,
решения)
органа я должностного
(должностного
лица),
осуществляющего лица до 3-х лет
государственный надзор (контроль), об
устранении нарушений законодательства, а
также
Невыполнение
в
установленный
срок
законного предписания, решения органа,
уполномоченного в области экспортного
контроля
Какие средства защиты
использовать
Необходимость применения
сертифицированных СЗИ для
защиты персональных данных
определена Постановлением
Правительства№ 781 (пункт
5) и «Основными
мероприятиями…» (пункт 3.3).
Состав СЗИ в ИСПДн
Средства защиты информации от
несанкционированного доступа (РД СВТ и РД
НДВ);
Средства межсетевого экранирования (РД
МЭ);
Средства антивирусной защиты (РД НДВ,
ТУ);
Средства криптографической защиты
информации (по требованиям ФСБ);
Системы обнаружения и предотвращения
вторжений (РД НДВ, ТУ);
Средства от утечки информации по
техническим каналам (ФСТЭК).
Соответствия решений
требованиям
Формулировка требования
Вход/выход пользователей в/из
систему
Идентификация и проверка подлинности
субъектов доступа при входе в систему
(ОС) ИСПДн по паролю условнопостоянного действия, длиной не менее 6
буквенно-цифровых символов
Аутентификационная информация
субъектов доступа должна быть
защищена от НСД нарушителя
3М
1М 3М 2М 1М SS- SS- Sn Sn
3О 2О 1О О 2МОО Р Р Р АКЦ АК 5.0 5.1
Да Да
Нет
Есть ЕстьЕсть
Нет
Есть ЕстьЕсть
Нет
Есть ЕстьЕсть
Да Да Да Да Да Да
Да
Должны быть реализованы механизмы
блокирования терминала субъекта
доступа самим субъектом доступа или в
случае истечения заданного интервала
времени неактивности субъекта доступа.
Регистрация входа (выхода) субъекта
доступа в систему (из системы), либо
регистрация загрузки и инициализации ОС
и ее программного останова. Регистрация
выхода из системы или останова не
Да
Есть Есть ЕстьЕсть
Защита персональных данных
Продукт
Раздел требований
К1
Security Studio: Агент конфиденциальности
Security Studio: Агент контроля целостности
Secret Net for VMware Infrastructure
SecurityStudio for VMware Infrastructure
СЗИ от НСД
Защита
среды
обработки ПД
Secret Net for DB
SecurityStudio for DB: Конфиденциальность
Security Studio for DB: Агент КЦ
Аутентификация
Соболь
, КЦ, МДЗ
К3
Secret Net
Защита
среды
исполнения
К2
Континент 3.5 (МЭ 3 и АП 3)
Континент АП / ПМЭ 3 класса
Регламент предоставления
доступа
КУБ
Защита от ПМВ
Honey Pot
Межсетевое Экранирование
- Обязательные компоненты
- Возможные компоненты
- можно заменить оргмерами
Классификация систем
ХПД
ХПДН
категория 4
категория 3
3
2
1
К4
К3
К4
К3
К4
К2
категория 2
категория 1
К3
К1
К2
К1
К1
К1
Коэффициент ХПДН может принимать следующие значения:
- 1 – в ИСПДн одновременно обрабатываются ПДн более чем
100 000 субъектов ПДн…;
- 2 – в ИСПДн одновременно обрабатываются ПДн от 1 000 до
100 000 субъектов ПДн;
- 3 – остальные случаи
Что сейчас думает ФСТЭК
Максимально упрощенная
классификация всех систем под 3-й
класс
Решение по принципу выделенной сети:
Континент
Secret Net | Security Studio
ПМЭ
Антивирус
Без выхода в интернет
Требования по сертификации средств
защиты в ИСПДн
3-й класс
2-й класс
Вариант 1
LAN
Вариант 2
Вариант 2
LAN
ПУ
КШ+ЦУС
КШ
Security Studio или
Secret Net 5.0
Предотвращение несанкционированного
доступа (НСД) к серверам и рабочим
станциям сети, построенной на основе
следующих операционных систем
Windows 2000 (sp4)
Windows 2003 (в т.ч. R2)
Windows XP (sp1 и выше)
Функциональные возможности
Идентификация
и
аутентификация
пользователей
Избирательное
и полномочное
управление
доступом
Контроль
устройств
Контроль
целостности
программ и
данных
Централизованное и
оперативное
управление
Регистрация
событий
Мониторинг и аудит
Гарантированное
затирание
удалённой
информации
Шифрование
информации
Замкнутая
программная
среда
Защита от
загрузки с
внешних
носителей
Контроль
аппаратной
конфигурации
Версии Secret Net 5.0
Автономный вариант
Мобильный вариант
Сетевой вариант
Сертификаты Secret Net 5.0
Мобильный вариант:
Сертификат ФСТЭК № 1119 на соответствие Общим
Критериям (ОУД3), 4 уровню контроля НДВ и АС 1Г
(Конфиденциальная Информация)
Автономный вариант:
Сертификат ФСТЭК № 1237 - по 3 классу защищённости СВТ
и 2 уровню контроля НДВ
(Государственная тайна, гриф «Совершенно Секретно»)
Сетевой вариант:
Сертификат ФСТЭК № 1238 - по 4 классу защищенности
СВТ и по 3 уровню контроля НДВ
(Государственная тайна, гриф «Секретно»)
АПКШ «Континент»
=
Шлюз
+
Межсетевой
экран
Крипто-модуль
Сертификация
ФСБ
ФСТЭК
СКЗИ
МСЭ
- Класс КС1 (АПКШ Континент
- 3 НДВ
- Класс КС 1 и КС 2 (Континент АП)
- 4 класс
МСЭ
- 4 класс
Linux XP
В чем суть предложения
OC со знакомым интерфейсом
ОС совместимая с наиболее распространенной
ОС MS Windows
Локализация
Форматы данных
Приложения
(частично)!!!!!
Сетевая
инфраструктура
Достоинства
Полностью русскоязычный удобный
графический интерфейс, понятный
пользователям, работавшим ранее с
MS Windows
Простая процедура установки ОС,
механизмы управление базовыми
функциями аппаратного и программного
обеспечения м;
Сразу после установки пользователь
получает не «голую» ОС, а рабочее
место, полностью готовое к работе
Номенклатура
Desktop
Enterprise
Security
Server
Mini
ВОПРОСЫ?
(495) 980-2345
market@infosec.ru
Документ
Категория
Презентации по информатике
Просмотров
22
Размер файла
3 622 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа