ИБ без СЕО — не ИБ

Сергей Городилов

Руководитель отдела информационной безопасности

Disclaimer

• Канал информирования через сообщество экспертов сегодня оказывает значительное влияние на отношение к вопросу персональных данных. Фактически, этот канал заполняет всё информационное поле за пределами нормативно-правовых документов.

• Указанные здесь трактовки являются мнением автора, сложившимся в процессе анализа вступивших в силу нормативно-правовых документов, а также включает совокупность мнений и идей экспертного сообщества

• Ответственность за итоговые решения, принятые операторами ПДн, несут сами операторы

изменений законодательства по персональным данным

Наконец-то!!!

2011 год, ФЗ-152 ст18_1

2011. ФЗ-152, ст. 18, ст. 23

Обязательность топ-менеджера по Privacy

Прописаны меры – хорошие практики:

Политика обработки ПДн

Оценка вреда

Оценка эффективности перед вводом в эксплуатацию

Возможность варьирования орг. мер…

Др.

Исследование. Воспринимаемые опрашиваемым лицом полномочия

Исследование. Степень внедрения 152-ФЗ

Кого назначить ответственным за организацию здорового образа

жизни?

Дед

Папа

Я Брат

Мама

Сестра

Об

щи

е ц

енн

ост

и

ДО

ВЕР

ИЕ

Перспектива, если начнем сегодня – 20 лет.

2011 год, ФЗ-152 ст. 19.9

2011. ФЗ-152, ст. 19 п. 9 Надзор за выполнением статьи 19

ИСПДн

Другие Государственные

Роскомнадзор? ФСБ ФСТЭК

149-ФЗ ст.13: ГИС – ИС, созданные по закону РФ или

субъекта РФ...

2012 год, ПП №1119

2012. ПП №1119 Четко решено насчет НДВ

Тип актуальных

угроз

1

НДВ в СПО и ППО

2

НДВ в ППО

3

Другие

Закладки vs Сертификация

1 000 000 рублей

Уязвимости vs Антивирус, IDS, WSUS

1000 рублей/ПК (например)

*НДВ = недокументированные (недекларированные) возможности

2012 год, ПП РФ №1119

2012. ПП №1119 Подавляющее большинство ИСПДн

*Полностью оформлено приказом №21 от 18.02.2013 г.

99%

С сайта http://sborisov.blogspot.ru/

2012 год, ПП РФ №1119

ФЗ-152, ПП 1119 Два пути моделирования угроз

Выбрать путь

Простой Сложный

Простая модель угроз

1

2

3

Закладки vs Сертификация

1 000 000 рублей/продукт

Уязвимости vs Антивирус, IDS, WSUS

1000 рублей/ПК (например)

Тип угрозы Решение Меры

Сложная модель угроз I. Архитектура системы/техпроцесс

Отдельный ПК

Файл-сервер

Терминальный клиент

Двухзвенный клиент-сервер

Трехзвенный клиент-сервер

Сложная модель угроз II. Расчеты для каждого объекта

2013 год, Приказ ФСТЭК №21

Отсутствие архитектур ИС!

Расширенный перечень мер

Снижены требования к УЗ4 и УЗ3

Широкая трактовка требований

Оценка соответствия в установленной форме

2013. Приказ ФСТЭК 21 Особенности мер

Расширенный набор мер идентификация и аутентификация (6); управление доступом (17); ограничение программной среды (4); защита машинных носителей информации (8); регистрация событий безопасности (7); антивирусная защита (2); обнаружение (предотвращение) вторжений (2); контроль (анализ) защищенности (5); обеспечение целостности (8); обеспечение доступности (5); защита среды виртуализации (10); защита технических средств (5); защита информационной системы, ее средств, систем связи и

передачи данных (20); выявление инцидентов (6); управление конфигурацией ИС (4). Итого: 109 мер.

Расширенный набор мер: итого

Всего мер - 109

Базовых мер для УЗ 4 - 27

Базовых мер для УЗ 3 - 41

Базовых мер для УЗ 2 - 63

Базовых мер для УЗ 1 - 69

Всего дополнительных (компенсирующих) мер - 40

Снижены требования Мера Содержание Уровни

защищенности

4 3 2 1

УПД.17 Обеспечение доверенной загрузки средств вычислительной

техники + +

ОПС.2 Управление установкой (инсталляцией) компонентов

программного обеспечения, в том числе определение

компонентов, подлежащих установке, настройка параметров

установки компонентов, контроль за установкой компонентов

программного обеспечения

+ +

ОПС.3 Установка (инсталляция) только разрешенного к

использованию программного обеспечения и (или) его

компонентов

+

ЗНИ.1 Учет машинных носителей персональных данных + + ЗНИ.2 Управление доступом к машинным носителям персональных

данных + +

ЗНИ.8 Уничтожение (стирание) или обезличивание персональных

данных на машинных носителях при их передаче + + +

Мера Содержание мер по обеспечению безопасности

персональных данных

Уровни

защищенности

4 3 2 1

АНЗ.3 Контроль работоспособности, параметров настройки и

правильности функционирования программного

обеспечения и средств защиты информации

+ + +

АНЗ.4 Контроль состава технических средств, программного

обеспечения и средств защиты информации

+ + +

АНЗ.5 Контроль правил генерации и смены паролей

пользователей, заведения и удаления учетных записей

пользователей, реализации правил разграничения

доступа, полномочий пользователей в

информационной системе

+ +

ОЦЛ.1 Контроль целостности программного обеспечения,

включая программное обеспечение средств защиты

информации

+ +

Снижены требования

Расширенная трактовка требований

Мера Содержание Уровни защищенности

4 3 2 1 I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора

+ + + +

ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

+ +

ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

+ + + +

ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

+ + + +

ИАФ.5 Защита обратной связи при вводе аутентификационной информации

+ + + +

ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

+ + + +

184-ФЗ - Оценка соответствия

Оценка соответствия

Госконтроль и надзор

Аккредитация

Испытания

Регистрация

Подтверждение соответствия

Добровольная сертификация

Обязательная сертификация

Декларирование соответствия

Приёмка и ввод в эксплуатацию

В иной форме

«12. При использовании в ИС сертифицированных СЗИ…»

С сайта http://sborisov.blogspot.ru/

2013 год, Приказ ФСТЭК №21

2013. Приказ ФСТЭК 21 Процедура выбора мер

Базовый набор мер

Адаптация набора мер (в тч исключение)

Уточнение мер

Дополнение (СКЗИ, БИО, др.)

Компенсирующие меры (обоснование)

Специфика ИС

Другие требования

Экономика, специфика

НОВЫЕ ИТ!!!

О роли консультанта в меняющемся мире

О роли консультанта

1. Аудиты

2. Мастер-классы

3. Консультирование

4. Проекты по защите ИСПДн

Спасибо за внимание!

Вопросы?

Сергей Городилов

Руководитель отдела информационной безопасности АСПЕКТ СПб

Тел. 35-13-31, доб. 223

gors@aspectspb.ru

@SergeyGorodilov