1. Platformix
www.platformix.ru
Прозоров Андрей
Вставьте Эксперт по информационной безопасности
картинку
2013-03-14
Практические аспекты построения
системы защиты персональных данных:
что делать с новыми требованиями?
Часть 1
2. О регламенте
1. Планируется 3 блока презентаций:
◦ Актуальность темы ПДн, что нового?
◦ Как выполнить требования? Советы и
рекомендации
◦ Краткий обзор решений партнеров
1. Вопросы можно по ходу, но длинные дискуссии
перенесем на конец дня или на перерывы
2. Все презентации и прочие материалы выложим на
сайт, ссылку пришлем в конце следующей недели
3. Сотовые телефоны и возможность выйти
4. Чай, кофе
Platformix 2
4. Почему решили провести семинар?
1. Произошли существенные изменения в нормативной
базе ПДн
2. Усилилось внимания регуляторов и СМИ к теме ПДн
3. Мы накопили много уникального опыта, которым
хотим поделиться
4. Нам интересны потребности и проблемы наших
Заказчиков
Platformix 4
5. А зачем заниматься защитой ПДн?
Снижение рисков выставления
штрафов и других санкций
регуляторов
Повышение доверия клиентов,
сотрудников и партнеров
Повышение общего уровня ИБ
Platformix 5
7. Да, тема ПДн интересна, НО…
● к нам не придут и штрафов
не боимся…
● что будет если еще
подождать…
● у нас другие приоритеты и
задачи…
● законодательство слишком
часто меняется…
● уже все сделали…
● не хватает знаний…
● не понятно, что делать…
● не понятно с чего начать…
● нет денег, жалко денег…
● не знаем у кого спросить
совета
Platformix 7
9. ● 152-ФЗ ст.19.2 2) Применение организационных и
технических мер по обеспечению безопасности
ПДн при их обработке в ИСПДн, необходимых для
выполнения требований к защите ПДн,
исполнение которых обеспечивает
установленные Правительством РФ уровни
защищенности ПДн.
● 152-ФЗ ст.19.3. Правительство РФ с учетом
возможного вреда субъекту ПДн, объема и
содержания обрабатываемых ПДн, вида
деятельности, при осуществлении которого
обрабатываются ПДн, актуальности угроз
безопасности ПДн устанавливает:
◦ 1) уровни защищенности ПДн при их
обработке в ИСПДн в зависимости от угроз Федеральный закон от
безопасности этих данных 27.07.2006 N 152-ФЗ
(ред. от 25.07.2011)
◦ 2) требования к защите ПДн при их "О персональных данных"
обработке в ИСПДн, исполнение которых
обеспечивает установленные уровни
защищенности ПДн
Platformix 9
10. Что изменилось за последнее время?
1. Постановление Правительства РФ от 01.11.2012 г. №1119
«Об утверждении требований к защите ПДн при их
обработке в ИСПДн»
(ПП1119)
2. Состав и содержание организационных и технических мер
по обеспечению безопасности ПДн при их обработке в
ИСПДн, необходимых для выполнения установленных
Правительством РФ требований к защите ПДн, для
каждого из уровней защищенности ПДн
(SOISO draft, 12-2012 – 02-2013)
3. Разъяснения РКН по вопросам, касающимся обработки ПДн
работников, соискателей на замещение вакантных
должностей, а также лиц, находящихся в кадровом резерве
(14.12.2012 http://www.rsoc.ru/news/rsoc/news17877.htm)
Platformix 10
11. Что в последней версии SOISO?
● Исправлены ошибки и неточности
● Существенно пересмотрены перечень и содержание
мер защиты
● Пересмотрена процедура выбора мер
Platformix 11
12. Что еще ожидаем? (основное)
● ФСТЭК России
◦ Требования о защите информации, не составляющей
ГТ, содержащейся в государственных ИС («СТР-К»)
◦ Модель угроз
◦ ??? DLP, доверенная загрузка, 2х факторная
аутентификация, безопасность виртуализации,
беспроводного и удаленного доступа
● РКН
◦ Методические рекомендации по обезличиванию ПДн
◦ Список стран с адекватной защитой ПДн
◦ ??? Разъяснения по биометрии
● ФСБ России
◦ Требования по СКЗИ для ИСПДн
● ПП
◦ О гос. контроле и надзоре за соответствием обработки
ПДн требованиям 152-ФЗ
Platformix 12
14. Что изменили/уточнили ПП1119 и SOISO
I. Состав нормативной базы (ПП1119)
II. Подход к классификации ИСПДн (ПП1119)
III. Перечень базовых мер защиты (по ПП1119 и SOISO)
IV. Дополнительные меры для угроз 1 и 2 типа (НДВ)
(SOISO)
V. Порядок выбора мер защиты (SOISO)
VI. Соответствие классов сертифицированных СЗИ и
уровней защищенности ПДн (SOISO)
VII. Возможность аутсорсинга ИБ (ПП1119 и SOISO)
Platformix 14
15. I. Изменение нормативной базы
ПП1119: «Признать утратившим силу постановление
Правительства Российской Федерации от 17 ноября 2007 г.
№ 781 «Об утверждении Положения об обеспечении
безопасности ПДн при их обработке в ИСПДн»
«Подвешенный» статус:
●Приказ ФСТЭК России № 55, ФСБ России №86, Мининформсвязи
Российской Федерации № 20 от 13.02.2008 «Об утверждении Порядка
проведения классификации ИСПДн»
●Приказ ФСТЭК России № 58 «Об утверждении Положения о методах и
способах защиты информации в ИСПДн»
●«Методика определения актуальных угроз безопасности ПДн при их
обработке в ИСПДН» от 14 февраля 2008 года (ФСТЭК России).
●«Методические рекомендации…» и «Типовые требования…» по
использованию СКЗИ для обеспечения безопасности ПДн
Постановления 687 и 512, а также Базовая модель угроз остаются
Platformix 15
16. II. Классификация ИСПДн
Были «Классы ИСПДн»
●Категория ПДн и количество субъектов ПДн
●Типовая ИСПДн или Специальная ИСПДн
●…
Стали «Уровни защищенности ПДн при их обработке в ИС»
●Тип и количество субъектов ПДн
◦ ПДн более чем 100000 субъектов, не являющихся
сотрудниками оператора
◦ ПДн сотрудников оператора или ПДн менее чем
100000 субъектов, не являющихся сотрудниками оператора
●Тип ИСПДн (ИСПДн-С, ИСПДн-Б, ИСПДн-О, ИСПДн-И)
●Тип актуальных угроз:
◦ АУ1 – актуальны угрозы НДВ в системном ПО
◦ АУ2 – актуальны угрозы НДВ в прикладном ПО
◦ АУ3 – не актуальны угрозы НДВ
Platformix 16
17. II. Уровни защищенности ПДн (ПП 1119)
ИСПДн-С ИСПДн-Б ИСПДн-И ИСПДн-О
специальные биометрические иные общедоступные
ПДн сотрудников оператора или ПДн менее чем 100 000 субъектов, не являющихся сотрудниками оператора
АУ 3 типа
(без НДВ) 3 3 4 4
АУ 2 типа
(НДВ ПО) 2 2 3 3
АУ 1 типа
(НДВ ОС) 1 1 1 2
ПДн более чем 100 000 субъектов, не являющихся сотрудниками оператора
АУ 3 типа
(без НДВ) 2 3 3 4
АУ 2 типа
(НДВ ПО) 1 2 2 2
АУ 1 типа
(НДВ ОС) 1 1 1 2
Platformix 17
18. III. Требования по защите ПДн (ПП1119)
Требования 1 2 3 4
1.Контроль доступа в помещения + + + +
Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего
возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа
в эти помещения
2.Безопасность носителей + + + +
Обеспечение сохранности носителей ПДн
3.Перечень лиц, допущенных к обработке ПДн + + + +
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн,
обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей
4.«Сертифицированные» СЗИ + + + +
Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области
обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации
актуальных угроз
5.Назначение ответственного за безопасность ПДн + + + -
Назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИС
6.Контроль доступа к эл.журналу доступа + + - -
Обеспечение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц
(работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале,
необходимы для выполнения служебных (трудовых) обязанностей
7.Автоматическая регистрация в эл.журнале доступа + - - -
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора
по доступу к ПДн, содержащимся в ИС
8.Создание структурного подразделения + - - -
Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИС, либо возложение
на одно из структурных подразделений функций по обеспечению такой безопасности
9.Регулярный контроль за выполнением требований + + + +
Самостоятельно или с привлечением лицензиата по ТЗКИ. Не реже 1 раза в 3 года
Platformix 18
19. III. Перечень базовых мер защиты (SOISO)
Много новых и уточненных требований (СЗИ, настройки элементов
ИТ, процедуры и документы).
Новые акценты: 15 групп
15 групп
69 / /109 мер
69 109 мер
◦Контроль (анализ) защищенности (см. АНЗ)
◦Защита среды виртуализации (см. ЗСВ)
◦Защита беспроводных соединений (см. УПД.14, ЗИС.3,20)
◦Регистрация и анализ событий ИБ (см. РСБ)
◦Управление инцидентами для 1 и 2 уровней (см. ИНЦ)
◦Регламентация и учет использования мобильных тех.средств
(УПД.15, +ИАФ.2)
◦Управление конфигурациями и изменениями для 1-3 уровней (см.
УКФ)
◦DLP есть, но не входит в базовые меры (см. ОЦЛ 5)
◦Защита от утечки по тех.каналам (кроме видовой) НЕ ВХОДИТ в
базовые меры (ЗТС.1)
◦Учет машинных носителей, а не маркирование (ЗНИ 1,2)
Platformix 19
20. Контроль (анализ) защищенности (АНЗ)
Меры 4 3 2 1
АНЗ.1 Выявление, анализ и устранение уязвимостей + + +
информационной системы
АНЗ.2 Контроль установки обновлений программного + + + +
обеспечения, включая обновление программного
обеспечения средств защиты информации
АНЗ.3 Контроль работоспособности, параметров + + +
настройки и правильности функционирования
программного обеспечения и средств защиты
информации
АНЗ.4 Контроль состава технических средств, + + +
программного обеспечения и средств защиты
информации
АНЗ.5 Контроль правил генерации и смены паролей + +
пользователей, заведения и удаления учетных
записей пользователей, реализации правил
разграничения доступом, полномочий
пользователей в информационной системе
SOISO (draft)
Platformix 20
21. Дополнительные требования к 1-2 уровням
● Обеспечение доверенной загрузки (см. УПД.17)
● Управление установкой ПО (см. ОПС.2)
● Учет и управление машинными носителями (см. ЗНИ.1,2)
● Обнаружение вторжений (см. СОВ)
● Управление инцидентами (см. ИНЦ)
● …
● Дополнительные меры по защите от НДВ (см. п.11)
SOISO (draft)
Platformix 21
22. IV. Меры по защите от НДВ
Если актуальны угрозы 1 и 2 класса, то дополнительно МОГУТ
применяться:
●проверка кода системного и (или) прикладного ПО на отсутствие
недекларированных возможностей с использованием
автоматизированных средств (автоматизированная проверка кода)
●проверка кода системного и (или) прикладного ПО на отсутствие
недекларированных возможностей без использования
автоматизированных средств (ручная проверка кода)
●тестирование информационной системы на проникновения
(пентесты)
●использование в информационной системе системного и (или)
прикладного ПО, разработанного с использованием методов
защищенного программирования
SOISO (draft)
Platformix 22
23. V. Процедура выбора мер
Было:
Классификация ИСПДн + МУ -> Требования
Стало:
МУ (тип угроз) -> Оценка уровня защищенности ПДн
-> Базовый набор мер -> Адаптация мер (+/-) -> МУ
-> Уточнение* перечня -> Дополнение требований**
(иные правовые акты)
*При невозможности (в том числе экономической) реализации отдельных
выбранных мер… могут разрабатываться иные (компенсирующие) меры,
обеспечивающие нейтрализацию актуальных угроз безопасности ПДн
** Иные правовые акты
(SOISO draft)
Platformix 23
25. VII. Аутсорсинг ИБ
● ПП 1119 п.17.
Контроль за выполнением настоящих требований организуется и
проводится оператором (уполномоченным лицом)
самостоятельно и (или) с привлечением на договорной основе
юридических лиц и индивидуальных предпринимателей, имеющих
лицензию на осуществление деятельности по ТЗКИ.
(+аналог в п.6 SOISO)
● SOISO п.4.
Безопасность ПДн при их обработке в информационной системе
обеспечивает оператор или лицо, осуществляющее обработку
ПДн по поручению оператора.
Для выполнения работ по обеспечению безопасности ПДн при
их обработке в информационных системах в соответствии с
законодательством РФ могут привлекаться на договорной
основе юридические лица или индивидуальные предприниматели,
имеющие лицензию на деятельность по ТЗКИ.
Platformix 25
27. o Логичное
o Сложности с разделение
АУ1 и АУ2 ИСПДн по типам
обрабатываемых
ПДн
o Слишком много o Актуальные
требований, меры и
неудачная «лучшие
формулировка и практики»
компоновка
o Гибкость в
выборе мер
o Существенное
изменение
сложившихся o Снижение
подходов требований для
(классификация, «сложных»
меры, сертификация) ИСПДн (К1 и К2)
Platformix