SlideShare uma empresa Scribd logo

пр1 про пп1119 и soiso 2013 03-14

Transferir como PPT, PDF
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
1 de 27
Platformix www.platformix.ru Прозоров Андрей Вставьте Эксперт по информационной безопасности картинку 2013-03-14 Практические аспекты построения системы защиты персональных данных: что делать с новыми требованиями? Часть 1
О регламенте 1. Планируется 3 блока презентаций: ◦ Актуальность темы ПДн, что нового? ◦ Как выполнить требования? Советы и рекомендации ◦ Краткий обзор решений партнеров 1. Вопросы можно по ходу, но длинные дискуссии перенесем на конец дня или на перерывы 2. Все презентации и прочие материалы выложим на сайт, ссылку пришлем в конце следующей недели 3. Сотовые телефоны и возможность выйти 4. Чай, кофе Platformix 2
Platformix 3
Почему решили провести семинар? 1. Произошли существенные изменения в нормативной базе ПДн 2. Усилилось внимания регуляторов и СМИ к теме ПДн 3. Мы накопили много уникального опыта, которым хотим поделиться 4. Нам интересны потребности и проблемы наших Заказчиков Platformix 4
А зачем заниматься защитой ПДн? Снижение рисков выставления штрафов и других санкций регуляторов Повышение доверия клиентов, сотрудников и партнеров Повышение общего уровня ИБ Platformix 5
Да, тема ПДн интересна, НО… Platformix
Да, тема ПДн интересна, НО… ● к нам не придут и штрафов не боимся… ● что будет если еще подождать… ● у нас другие приоритеты и задачи… ● законодательство слишком часто меняется… ● уже все сделали… ● не хватает знаний… ● не понятно, что делать… ● не понятно с чего начать… ● нет денег, жалко денег… ● не знаем у кого спросить совета Platformix 7
А сейчас о том, что изменилось… Platformix 8
● 152-ФЗ ст.19.2 2) Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн. ● 152-ФЗ ст.19.3. Правительство РФ с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн устанавливает: ◦ 1) уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз Федеральный закон от безопасности этих данных 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) ◦ 2) требования к защите ПДн при их "О персональных данных" обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн Platformix 9
Что изменилось за последнее время? 1. Постановление Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн» (ПП1119) 2. Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения установленных Правительством РФ требований к защите ПДн, для каждого из уровней защищенности ПДн (SOISO draft, 12-2012 – 02-2013) 3. Разъяснения РКН по вопросам, касающимся обработки ПДн работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве (14.12.2012 http://www.rsoc.ru/news/rsoc/news17877.htm) Platformix 10
Что в последней версии SOISO? ● Исправлены ошибки и неточности ● Существенно пересмотрены перечень и содержание мер защиты ● Пересмотрена процедура выбора мер Platformix 11
Что еще ожидаем? (основное) ● ФСТЭК России ◦ Требования о защите информации, не составляющей ГТ, содержащейся в государственных ИС («СТР-К») ◦ Модель угроз ◦ ??? DLP, доверенная загрузка, 2х факторная аутентификация, безопасность виртуализации, беспроводного и удаленного доступа ● РКН ◦ Методические рекомендации по обезличиванию ПДн ◦ Список стран с адекватной защитой ПДн ◦ ??? Разъяснения по биометрии ● ФСБ России ◦ Требования по СКЗИ для ИСПДн ● ПП ◦ О гос. контроле и надзоре за соответствием обработки ПДн требованиям 152-ФЗ Platformix 12
ПП1119 И SOISO (ПОДРОБНЕЕ) Platformix 13
Что изменили/уточнили ПП1119 и SOISO I. Состав нормативной базы (ПП1119) II. Подход к классификации ИСПДн (ПП1119) III. Перечень базовых мер защиты (по ПП1119 и SOISO) IV. Дополнительные меры для угроз 1 и 2 типа (НДВ) (SOISO) V. Порядок выбора мер защиты (SOISO) VI. Соответствие классов сертифицированных СЗИ и уровней защищенности ПДн (SOISO) VII. Возможность аутсорсинга ИБ (ПП1119 и SOISO) Platformix 14
I. Изменение нормативной базы ПП1119: «Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн» «Подвешенный» статус: ●Приказ ФСТЭК России № 55, ФСБ России №86, Мининформсвязи Российской Федерации № 20 от 13.02.2008 «Об утверждении Порядка проведения классификации ИСПДн» ●Приказ ФСТЭК России № 58 «Об утверждении Положения о методах и способах защиты информации в ИСПДн» ●«Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДН» от 14 февраля 2008 года (ФСТЭК России). ●«Методические рекомендации…» и «Типовые требования…» по использованию СКЗИ для обеспечения безопасности ПДн Постановления 687 и 512, а также Базовая модель угроз остаются Platformix 15
II. Классификация ИСПДн Были «Классы ИСПДн» ●Категория ПДн и количество субъектов ПДн ●Типовая ИСПДн или Специальная ИСПДн ●… Стали «Уровни защищенности ПДн при их обработке в ИС» ●Тип и количество субъектов ПДн ◦ ПДн более чем 100000 субъектов, не являющихся сотрудниками оператора ◦ ПДн сотрудников оператора или ПДн менее чем 100000 субъектов, не являющихся сотрудниками оператора ●Тип ИСПДн (ИСПДн-С, ИСПДн-Б, ИСПДн-О, ИСПДн-И) ●Тип актуальных угроз: ◦ АУ1 – актуальны угрозы НДВ в системном ПО ◦ АУ2 – актуальны угрозы НДВ в прикладном ПО ◦ АУ3 – не актуальны угрозы НДВ Platformix 16
II. Уровни защищенности ПДн (ПП 1119) ИСПДн-С ИСПДн-Б ИСПДн-И ИСПДн-О специальные биометрические иные общедоступные ПДн сотрудников оператора или ПДн менее чем 100 000 субъектов, не являющихся сотрудниками оператора АУ 3 типа (без НДВ) 3 3 4 4 АУ 2 типа (НДВ ПО) 2 2 3 3 АУ 1 типа (НДВ ОС) 1 1 1 2 ПДн более чем 100 000 субъектов, не являющихся сотрудниками оператора АУ 3 типа (без НДВ) 2 3 3 4 АУ 2 типа (НДВ ПО) 1 2 2 2 АУ 1 типа (НДВ ОС) 1 1 1 2 Platformix 17
III. Требования по защите ПДн (ПП1119) Требования 1 2 3 4 1.Контроль доступа в помещения + + + + Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения 2.Безопасность носителей + + + + Обеспечение сохранности носителей ПДн 3.Перечень лиц, допущенных к обработке ПДн + + + + Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей 4.«Сертифицированные» СЗИ + + + + Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз 5.Назначение ответственного за безопасность ПДн + + + - Назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИС 6.Контроль доступа к эл.журналу доступа + + - - Обеспечение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей 7.Автоматическая регистрация в эл.журнале доступа + - - - Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИС 8.Создание структурного подразделения + - - - Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИС, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности 9.Регулярный контроль за выполнением требований + + + + Самостоятельно или с привлечением лицензиата по ТЗКИ. Не реже 1 раза в 3 года Platformix 18
III. Перечень базовых мер защиты (SOISO) Много новых и уточненных требований (СЗИ, настройки элементов ИТ, процедуры и документы). Новые акценты: 15 групп 15 групп 69 / /109 мер 69 109 мер ◦Контроль (анализ) защищенности (см. АНЗ) ◦Защита среды виртуализации (см. ЗСВ) ◦Защита беспроводных соединений (см. УПД.14, ЗИС.3,20) ◦Регистрация и анализ событий ИБ (см. РСБ) ◦Управление инцидентами для 1 и 2 уровней (см. ИНЦ) ◦Регламентация и учет использования мобильных тех.средств (УПД.15, +ИАФ.2) ◦Управление конфигурациями и изменениями для 1-3 уровней (см. УКФ) ◦DLP есть, но не входит в базовые меры (см. ОЦЛ 5) ◦Защита от утечки по тех.каналам (кроме видовой) НЕ ВХОДИТ в базовые меры (ЗТС.1) ◦Учет машинных носителей, а не маркирование (ЗНИ 1,2) Platformix 19
Контроль (анализ) защищенности (АНЗ) Меры 4 3 2 1 АНЗ.1 Выявление, анализ и устранение уязвимостей + + + информационной системы АНЗ.2 Контроль установки обновлений программного + + + + обеспечения, включая обновление программного обеспечения средств защиты информации АНЗ.3 Контроль работоспособности, параметров + + + настройки и правильности функционирования программного обеспечения и средств защиты информации АНЗ.4 Контроль состава технических средств, + + + программного обеспечения и средств защиты информации АНЗ.5 Контроль правил генерации и смены паролей + + пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе SOISO (draft) Platformix 20
Дополнительные требования к 1-2 уровням ● Обеспечение доверенной загрузки (см. УПД.17) ● Управление установкой ПО (см. ОПС.2) ● Учет и управление машинными носителями (см. ЗНИ.1,2) ● Обнаружение вторжений (см. СОВ) ● Управление инцидентами (см. ИНЦ) ● … ● Дополнительные меры по защите от НДВ (см. п.11) SOISO (draft) Platformix 21
IV. Меры по защите от НДВ Если актуальны угрозы 1 и 2 класса, то дополнительно МОГУТ применяться: ●проверка кода системного и (или) прикладного ПО на отсутствие недекларированных возможностей с использованием автоматизированных средств (автоматизированная проверка кода) ●проверка кода системного и (или) прикладного ПО на отсутствие недекларированных возможностей без использования автоматизированных средств (ручная проверка кода) ●тестирование информационной системы на проникновения (пентесты) ●использование в информационной системе системного и (или) прикладного ПО, разработанного с использованием методов защищенного программирования SOISO (draft) Platformix 22
V. Процедура выбора мер Было: Классификация ИСПДн + МУ -> Требования Стало: МУ (тип угроз) -> Оценка уровня защищенности ПДн -> Базовый набор мер -> Адаптация мер (+/-) -> МУ -> Уточнение* перечня -> Дополнение требований** (иные правовые акты) *При невозможности (в том числе экономической) реализации отдельных выбранных мер… могут разрабатываться иные (компенсирующие) меры, обеспечивающие нейтрализацию актуальных угроз безопасности ПДн ** Иные правовые акты (SOISO draft) Platformix 23
VI. Сертифицированные СЗИ 1 2 3 4 СВТ 5+ 5+ 5+ 6+ IDS 4+ 4+ 4+ / 5+ 5+ АВЗ 4+ 4+ 4+ / 5+ 5+ МСЭ 3+ / 4+ 3+ / 4+ 3+ / 4+ 5 - / 4+, если НДВ 4+ 4+ - АУ2 SOISO (draft) Platformix 24
VII. Аутсорсинг ИБ ● ПП 1119 п.17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ. (+аналог в п.6 SOISO) ● SOISO п.4. Безопасность ПДн при их обработке в информационной системе обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора. Для выполнения работ по обеспечению безопасности ПДн при их обработке в информационных системах в соответствии с законодательством РФ могут привлекаться на договорной основе юридические лица или индивидуальные предприниматели, имеющие лицензию на деятельность по ТЗКИ. Platformix 25
ИТОГО Platformix 26
o Логичное o Сложности с разделение АУ1 и АУ2 ИСПДн по типам обрабатываемых ПДн o Слишком много o Актуальные требований, меры и неудачная «лучшие формулировка и практики» компоновка o Гибкость в выборе мер o Существенное изменение сложившихся o Снижение подходов требований для (классификация, «сложных» меры, сертификация) ИСПДн (К1 и К2) Platformix

Recomendados

пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДнAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recomendados

пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДнAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EUAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информацииSergey Borisov
 
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТпр Увольнение за разглашение КТ
пр Увольнение за разглашение КТAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Sergey Borisov
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1Ekaterina Morozova
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Cisco Russia
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
 

Mais conteúdo relacionado

Mais procurados

пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информацииSergey Borisov
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Sergey Borisov
 

Mais procurados (17)

пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EU
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)
 
пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLP
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информации
 
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТпр Увольнение за разглашение КТ
пр Увольнение за разглашение КТ
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 small
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
 
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)
 
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 

Semelhante a пр1 про пп1119 и soiso 2013 03-14

Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Cisco Russia
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
 
Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017S-Terra CSP
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностиIvan Simanov
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеguestfa9aa
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДНMNUCIB
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)Ignat Dydyshko
 
Проблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользованияПроблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользованияAlexander Dorofeev
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииAleksey Lukatskiy
 

Semelhante a пр1 про пп1119 и soiso 2013 03-14 (20)

Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
 
Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
 
дипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасностидипломная презентация по инфорационной безопасности
дипломная презентация по инфорационной безопасности
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли проще
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДН
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
 
seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)seminar_fz-152_dataline(1)
seminar_fz-152_dataline(1)
 
Проблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользованияПроблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользования
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденции
 

Mais de Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Mais de Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр1 про пп1119 и soiso 2013 03-14

  • 1. Platformix www.platformix.ru Прозоров Андрей Вставьте Эксперт по информационной безопасности картинку 2013-03-14 Практические аспекты построения системы защиты персональных данных: что делать с новыми требованиями? Часть 1
  • 2. О регламенте 1. Планируется 3 блока презентаций: ◦ Актуальность темы ПДн, что нового? ◦ Как выполнить требования? Советы и рекомендации ◦ Краткий обзор решений партнеров 1. Вопросы можно по ходу, но длинные дискуссии перенесем на конец дня или на перерывы 2. Все презентации и прочие материалы выложим на сайт, ссылку пришлем в конце следующей недели 3. Сотовые телефоны и возможность выйти 4. Чай, кофе Platformix 2
  • 4. Почему решили провести семинар? 1. Произошли существенные изменения в нормативной базе ПДн 2. Усилилось внимания регуляторов и СМИ к теме ПДн 3. Мы накопили много уникального опыта, которым хотим поделиться 4. Нам интересны потребности и проблемы наших Заказчиков Platformix 4
  • 5. А зачем заниматься защитой ПДн? Снижение рисков выставления штрафов и других санкций регуляторов Повышение доверия клиентов, сотрудников и партнеров Повышение общего уровня ИБ Platformix 5
  • 6. Да, тема ПДн интересна, НО… Platformix
  • 7. Да, тема ПДн интересна, НО… ● к нам не придут и штрафов не боимся… ● что будет если еще подождать… ● у нас другие приоритеты и задачи… ● законодательство слишком часто меняется… ● уже все сделали… ● не хватает знаний… ● не понятно, что делать… ● не понятно с чего начать… ● нет денег, жалко денег… ● не знаем у кого спросить совета Platformix 7
  • 8. А сейчас о том, что изменилось… Platformix 8
  • 9. ● 152-ФЗ ст.19.2 2) Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн. ● 152-ФЗ ст.19.3. Правительство РФ с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн устанавливает: ◦ 1) уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз Федеральный закон от безопасности этих данных 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) ◦ 2) требования к защите ПДн при их "О персональных данных" обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн Platformix 9
  • 10. Что изменилось за последнее время? 1. Постановление Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн» (ПП1119) 2. Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения установленных Правительством РФ требований к защите ПДн, для каждого из уровней защищенности ПДн (SOISO draft, 12-2012 – 02-2013) 3. Разъяснения РКН по вопросам, касающимся обработки ПДн работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве (14.12.2012 http://www.rsoc.ru/news/rsoc/news17877.htm) Platformix 10
  • 11. Что в последней версии SOISO? ● Исправлены ошибки и неточности ● Существенно пересмотрены перечень и содержание мер защиты ● Пересмотрена процедура выбора мер Platformix 11
  • 12. Что еще ожидаем? (основное) ● ФСТЭК России ◦ Требования о защите информации, не составляющей ГТ, содержащейся в государственных ИС («СТР-К») ◦ Модель угроз ◦ ??? DLP, доверенная загрузка, 2х факторная аутентификация, безопасность виртуализации, беспроводного и удаленного доступа ● РКН ◦ Методические рекомендации по обезличиванию ПДн ◦ Список стран с адекватной защитой ПДн ◦ ??? Разъяснения по биометрии ● ФСБ России ◦ Требования по СКЗИ для ИСПДн ● ПП ◦ О гос. контроле и надзоре за соответствием обработки ПДн требованиям 152-ФЗ Platformix 12
  • 13. ПП1119 И SOISO (ПОДРОБНЕЕ) Platformix 13
  • 14. Что изменили/уточнили ПП1119 и SOISO I. Состав нормативной базы (ПП1119) II. Подход к классификации ИСПДн (ПП1119) III. Перечень базовых мер защиты (по ПП1119 и SOISO) IV. Дополнительные меры для угроз 1 и 2 типа (НДВ) (SOISO) V. Порядок выбора мер защиты (SOISO) VI. Соответствие классов сертифицированных СЗИ и уровней защищенности ПДн (SOISO) VII. Возможность аутсорсинга ИБ (ПП1119 и SOISO) Platformix 14
  • 15. I. Изменение нормативной базы ПП1119: «Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн» «Подвешенный» статус: ●Приказ ФСТЭК России № 55, ФСБ России №86, Мининформсвязи Российской Федерации № 20 от 13.02.2008 «Об утверждении Порядка проведения классификации ИСПДн» ●Приказ ФСТЭК России № 58 «Об утверждении Положения о методах и способах защиты информации в ИСПДн» ●«Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДН» от 14 февраля 2008 года (ФСТЭК России). ●«Методические рекомендации…» и «Типовые требования…» по использованию СКЗИ для обеспечения безопасности ПДн Постановления 687 и 512, а также Базовая модель угроз остаются Platformix 15
  • 16. II. Классификация ИСПДн Были «Классы ИСПДн» ●Категория ПДн и количество субъектов ПДн ●Типовая ИСПДн или Специальная ИСПДн ●… Стали «Уровни защищенности ПДн при их обработке в ИС» ●Тип и количество субъектов ПДн ◦ ПДн более чем 100000 субъектов, не являющихся сотрудниками оператора ◦ ПДн сотрудников оператора или ПДн менее чем 100000 субъектов, не являющихся сотрудниками оператора ●Тип ИСПДн (ИСПДн-С, ИСПДн-Б, ИСПДн-О, ИСПДн-И) ●Тип актуальных угроз: ◦ АУ1 – актуальны угрозы НДВ в системном ПО ◦ АУ2 – актуальны угрозы НДВ в прикладном ПО ◦ АУ3 – не актуальны угрозы НДВ Platformix 16
  • 17. II. Уровни защищенности ПДн (ПП 1119) ИСПДн-С ИСПДн-Б ИСПДн-И ИСПДн-О специальные биометрические иные общедоступные ПДн сотрудников оператора или ПДн менее чем 100 000 субъектов, не являющихся сотрудниками оператора АУ 3 типа (без НДВ) 3 3 4 4 АУ 2 типа (НДВ ПО) 2 2 3 3 АУ 1 типа (НДВ ОС) 1 1 1 2 ПДн более чем 100 000 субъектов, не являющихся сотрудниками оператора АУ 3 типа (без НДВ) 2 3 3 4 АУ 2 типа (НДВ ПО) 1 2 2 2 АУ 1 типа (НДВ ОС) 1 1 1 2 Platformix 17
  • 18. III. Требования по защите ПДн (ПП1119) Требования 1 2 3 4 1.Контроль доступа в помещения + + + + Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения 2.Безопасность носителей + + + + Обеспечение сохранности носителей ПДн 3.Перечень лиц, допущенных к обработке ПДн + + + + Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей 4.«Сертифицированные» СЗИ + + + + Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз 5.Назначение ответственного за безопасность ПДн + + + - Назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИС 6.Контроль доступа к эл.журналу доступа + + - - Обеспечение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей 7.Автоматическая регистрация в эл.журнале доступа + - - - Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИС 8.Создание структурного подразделения + - - - Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИС, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности 9.Регулярный контроль за выполнением требований + + + + Самостоятельно или с привлечением лицензиата по ТЗКИ. Не реже 1 раза в 3 года Platformix 18
  • 19. III. Перечень базовых мер защиты (SOISO) Много новых и уточненных требований (СЗИ, настройки элементов ИТ, процедуры и документы). Новые акценты: 15 групп 15 групп 69 / /109 мер 69 109 мер ◦Контроль (анализ) защищенности (см. АНЗ) ◦Защита среды виртуализации (см. ЗСВ) ◦Защита беспроводных соединений (см. УПД.14, ЗИС.3,20) ◦Регистрация и анализ событий ИБ (см. РСБ) ◦Управление инцидентами для 1 и 2 уровней (см. ИНЦ) ◦Регламентация и учет использования мобильных тех.средств (УПД.15, +ИАФ.2) ◦Управление конфигурациями и изменениями для 1-3 уровней (см. УКФ) ◦DLP есть, но не входит в базовые меры (см. ОЦЛ 5) ◦Защита от утечки по тех.каналам (кроме видовой) НЕ ВХОДИТ в базовые меры (ЗТС.1) ◦Учет машинных носителей, а не маркирование (ЗНИ 1,2) Platformix 19
  • 20. Контроль (анализ) защищенности (АНЗ) Меры 4 3 2 1 АНЗ.1 Выявление, анализ и устранение уязвимостей + + + информационной системы АНЗ.2 Контроль установки обновлений программного + + + + обеспечения, включая обновление программного обеспечения средств защиты информации АНЗ.3 Контроль работоспособности, параметров + + + настройки и правильности функционирования программного обеспечения и средств защиты информации АНЗ.4 Контроль состава технических средств, + + + программного обеспечения и средств защиты информации АНЗ.5 Контроль правил генерации и смены паролей + + пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе SOISO (draft) Platformix 20
  • 21. Дополнительные требования к 1-2 уровням ● Обеспечение доверенной загрузки (см. УПД.17) ● Управление установкой ПО (см. ОПС.2) ● Учет и управление машинными носителями (см. ЗНИ.1,2) ● Обнаружение вторжений (см. СОВ) ● Управление инцидентами (см. ИНЦ) ● … ● Дополнительные меры по защите от НДВ (см. п.11) SOISO (draft) Platformix 21
  • 22. IV. Меры по защите от НДВ Если актуальны угрозы 1 и 2 класса, то дополнительно МОГУТ применяться: ●проверка кода системного и (или) прикладного ПО на отсутствие недекларированных возможностей с использованием автоматизированных средств (автоматизированная проверка кода) ●проверка кода системного и (или) прикладного ПО на отсутствие недекларированных возможностей без использования автоматизированных средств (ручная проверка кода) ●тестирование информационной системы на проникновения (пентесты) ●использование в информационной системе системного и (или) прикладного ПО, разработанного с использованием методов защищенного программирования SOISO (draft) Platformix 22
  • 23. V. Процедура выбора мер Было: Классификация ИСПДн + МУ -> Требования Стало: МУ (тип угроз) -> Оценка уровня защищенности ПДн -> Базовый набор мер -> Адаптация мер (+/-) -> МУ -> Уточнение* перечня -> Дополнение требований** (иные правовые акты) *При невозможности (в том числе экономической) реализации отдельных выбранных мер… могут разрабатываться иные (компенсирующие) меры, обеспечивающие нейтрализацию актуальных угроз безопасности ПДн ** Иные правовые акты (SOISO draft) Platformix 23
  • 24. VI. Сертифицированные СЗИ 1 2 3 4 СВТ 5+ 5+ 5+ 6+ IDS 4+ 4+ 4+ / 5+ 5+ АВЗ 4+ 4+ 4+ / 5+ 5+ МСЭ 3+ / 4+ 3+ / 4+ 3+ / 4+ 5 - / 4+, если НДВ 4+ 4+ - АУ2 SOISO (draft) Platformix 24
  • 25. VII. Аутсорсинг ИБ ● ПП 1119 п.17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ. (+аналог в п.6 SOISO) ● SOISO п.4. Безопасность ПДн при их обработке в информационной системе обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора. Для выполнения работ по обеспечению безопасности ПДн при их обработке в информационных системах в соответствии с законодательством РФ могут привлекаться на договорной основе юридические лица или индивидуальные предприниматели, имеющие лицензию на деятельность по ТЗКИ. Platformix 25
  • 27. o Логичное o Сложности с разделение АУ1 и АУ2 ИСПДн по типам обрабатываемых ПДн o Слишком много o Актуальные требований, меры и неудачная «лучшие формулировка и практики» компоновка o Гибкость в выборе мер o Существенное изменение сложившихся o Снижение подходов требований для (классификация, «сложных» меры, сертификация) ИСПДн (К1 и К2) Platformix