Безопасная обработка данных в государственных и муниципальных

реклама
Безопасная обработка данных в
государственных и
муниципальных
автоматизированных системах
ООО “Стандарт безопасности”
г. Ярославль,
ул. Угличская, 39В офис 211
тел.: (4852) 587-300
факс: 587-302
www.yarsec.ru
Рачков Михаил
группа компаний
“Стандарт безопасности”
г. Ярославль
Государственные и муниципальные
автоматизированные системы
Автоматизи́рованная систе́ма (АС) — система, состоящая
из персонала и комплекса средств автоматизации его
деятельности, реализующая информационную технологию
выполнения установленных функций.
Собственниками государственных и муниципальных
автоматизированные системы являются государственные и
муниципальные учреждения.
Обеспечение безопасности в указанных системах
производится по правилам, определенным федеральными
законами и другими нормативно-правовыми документами.
Федеральный закон Российской Федерации от 27
июля 2006 г. N 149-ФЗ Об информации,
информационных технологиях и о защите
информации
Информация , ст. 5 п. 2
Общедоступная
Информация
ограниченного
доступа
Информация ограниченного доступа – доступ к которой
ограничен федеральными законами
Общедоступная информация
Указ Президента РФ от 17 марта 2008 г. № 351 "О мерах
по обеспечению информационной безопасности Российской
Федерации при использовании информационнотелекоммуникационных сетей международного
информационного обмена”
в) государственные органы в целях защиты общедоступной информации,
размещаемой в информационно-телекоммуникационных сетях
международного информационного обмена, используют только средства
защиты информации, прошедшие в установленном законодательством
Российской Федерации порядке сертификацию в Федеральной службе
безопасности Российской Федерации и (или) получившие подтверждение
соответствия в Федеральной службе по техническому и экспортному контролю
Задачи обеспечения
ЦЕЛОСТНОСТИ+ДОСТУПНОСТИ
Информация ограниченного доступа
Сведения,
составляющие
государственную
тайну
Коммерческая
тайна
Информация для
служебного
пользования
Персональные
данные
Ряд рассматриваемых данных, попадает под действие федеральных законов, а следовательно
подлежит защите
Особенности функционирования рассматриваемых
автоматизированных систем
Защита данных для служебного пользования регламентируется
действием нормативно-правового документа:
“Специальные требования и рекомендации по технической защите
конфиденциальной информации” СТР-К
Особенности совеременных государственных и
муниципальных информационных систем:
- Территориально-распределенные
- Многопользовательские
- Гетерогенные (сложные, состоящие из разнородных
компонент)
Территориально-распределенные системы
* Осуществляется передача данных вне пределов
контролируемых зон объектов
*Использование методов шифрования данных. В указанных системах только механизмы
шифрования государственного стандарта, сертифицированные в установленном порядке
ФСБ России
Многопользовательские
*Обычно, несколько пользователей с разными правами
доступа работают с информационной системой
*Обычно, информационные системы имеют выход в сеть
интернет
Необходимо отработать требования руководящих документов
ФСТЭК России, которые включают в себя требования:
- использование средств межсетевого экранирования
- использование средств разграничения доступа к ресурсам
- использование систем по регистрации действий пользователей
и т.д.
*Применяемые средства защиты информации должны быть сертифицированы в
установленном порядке ФСБ и ФСТЭК России
Гетерогенные
* Используются разные сетевые технологии, разные
операционные системы, разные аппаратные платформы и
т.д.
* Для внедрения систем защиты информации, часто
требуется довольно долгая проработка технического
решения и тщательное проектирование
*Достаточно сложно соблюдать все требования руководящих документов
по защите информации, поэтому приходится искать “золотую середину”
внедрения СЗИ удовлетворяющую:
1.
2.
3.
Владельца системы
Пользователей
Контролирующие организации
Рекомендации по защите автоматизированных систем
• Сторонние средства защиты информации являются
наложенными. Поэтому, при создании системы, необходимо
продумывать вместе с разработчиками как можно
использовать существующие штатные механизмы защиты
•Необходимо четко представлять себе технологических
процесс обработки информации
•Необходимо осуществлять анализ и документирование
процесса обработки информации
•Необходимо ограничить количество пользователей
системы
Федеральный закон Российской Федерации от 27 июля
2006 г. N 152-ФЗ “О персональных данных”
Для реализации требований по защите персональных
данных дополнительно отрабатываются требования
нормативных документов:
Системы обработки данных персонального характера
Своя система классификации (К1, К2, К3, К4)
Специальные системы (обеспечение целостности и
доступности)
наследуют все характеристики обычных систем
Системы обработки данных персонального характера
Территориально-распределенные
Многопользовательские
Модель актуальных угроз,
разработанная по требованиям
ФСБ России
Модель актуальных угроз,
разработанная по требованиям
ФСТЭК России
Федеральный закон Российской Федерации от 27 июля
2006 г. N 152-ФЗ “О персональных данных”
Основные трудности реализации ФЗ – 152 лежат не в
технических плоскостях. Анализ и обоснование существования
информационных систем.
Регулирующие органы
Уполномоченный
орган по защите
прав субъектов
Роскомнадзор
Уполномоченный
орган в части
технической
защиты
информации
ФСТЭК
Уполномоченный
орган в части
защиты
информации
криптографически
ми методами
ФСБ
Спасибо за внимание!
ООО “Стандарт безопасности”
г. Ярославль,
ул. Угличская, 39В офис 211
тел.: (4852) 587-300
факс: 587-302
www.yarsec.ru
Рачков Михаил
группа компаний
“Стандарт безопасности”
город Ярославль
Скачать