'

Технологии и продукты Microsoft в обеспечении ИБ

Понравилась презентация – покажи это...





Слайд 0

Технологии и продукты Microsoft в обеспечении ИБ Лекция 20. Организационно-правовые аспекты защиты информации


Слайд 1

2 Цели Познакомиться с законодательными и правовыми основами защиты информации Рассмотреть основные положения «Закона о персональных данных» Изучить принципы разработки политики безопасности Проанализировать причины инициативы Microsoft по предоставлению ФСБ и другим заинтересованным государственным организациям доступа к исходному коду своих продуктов ORG


Слайд 2

3 Критерии оценки безопасности Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности Требования действующего российского законодательства (РД ФСТЭК, СТР-К, ГОСТы) Требования отраслевых стандартов (СТО БР ИББС 1.0, базовый уровень информационной безопасности операторов связи) Рекомендации международных стандартов (ISO 17799, OCTAVE) Рекомендации компаний-производителей программного и аппаратного обеспечения (Microsoft, Oracle, Cisco и т.д.)


Слайд 3

4 Нормативно-правовое обеспечение информационной безопасности


Слайд 4

5 Что такое Политика ИБ? Политика информационной безопасности – официально принятая система взглядов на цели, задачи, основные принципы и направления деятельности в области защиты от возможных угроз одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности


Слайд 5

6 Цели Политики ИБ определение и ввод в операционное управление основных принципов, политик, стандартов, директив Политики безопасности определение приоритетов развития Компании в области обеспечения ИБ обеспечение осведомленности и координация деятельности сотрудников Компании в областях, имеющих влияние на ИБ


Слайд 6

7 Основные разделы Политики цели и задачи Политики безопасности общие сведения об активах модели угроз и нарушителей высокоуровневые требования ИБ санкции и последствия нарушений политики определение общих ролей и обязанностей, связанных с обеспечением ИБ перечень частных политик ИБ положения по контролю реализации политики ИБ ответственность за реализацию и поддержку документа условия пересмотра документа.


Слайд 7

8 Особенности создания Политики учитывается текущее состояние и ближайшие перспективы развития АС учитываются цели, задачи и правовые основы создания и эксплуатации АС учитываются режимы функционирования данной системы производится анализ рисков информационной безопасности для ресурсов АС Компании


Слайд 8

9 Нормативно-правовая основа Политики


Слайд 9

10 ФЗ «О персональных данных» Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных


Слайд 10

11 Работа с персональными данными должна производиться с соблюдением мер конфиденциальности и защиты Субъект персональных данных самостоятельно решает вопрос передачи кому-либо своих персональных данных Согласие на передачу оформляется документально Субъект персональных данных имеет полное право на доступ к своим персональным данным Государство создает Уполномоченный орган по защите прав субъектов персональных данных ФЗ «О персональных данных»


Слайд 11

12 Оператор обязан принимать организационные и технические меры, для защиты ПД от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке Федеральные органы в области обеспечения безопасности (ФСБ России, ФСТЭК России) осуществляют контроль и надзор Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность Меры по обеспечению безопасности персональных данных


Слайд 12

13 Аттестация АС на требования ФСТЭК «Аттестат соответствия» подтверждает, что объект соответствует требованиям стандартов, утвержденных ФСТЭК России. Дает право обработки информации с уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия» Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от НСД, в том числе от компьютерных вирусов, от утечки за счет побочных электpомагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электpомагнитное и pадиационное воздействие), от утечки или воздействия на нее за счет специальных устpойств, встpоенных в объекты инфоpматизации. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.


Слайд 13

14 Актуальность создания политики безопасности Разработка Политики безопасности является необходимым шагом на пути внедрения полноценной системы управления информационной безопасности компании


Слайд 14

15 Комплексная защита информации


Слайд 15

16 Комплексная защита информации


Слайд 16

17 Организационная политика обеспечения ИБ меры организационного характера, регламентирующие: процессы функционирования системы обработки данных, использование ее ресурсов, обучение сотрудников, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации Организационные (административные) меры защиты


Слайд 17

18 Регламенты в области ИБ Регламент резервного копирования информации Регламент расследования инцидентов в области информационной безопасности Регламент проведения аудита информационной безопасности Регламент управления документами в области ИБ


Слайд 18

19 Инструкции по безопасности Инструкция администратору безопасности Инструкция пользователю по обеспечению информационной безопасности


Слайд 19

20 Документационное обеспечение Уровень предприятия Политика безопасности Положение о конфиденциальности Перечень конфиденциальной информации Уровень подразделения Трудовые соглашения, определяющие ответственность сотрудников Должностные инструкции Уровень информационной системы Регламенты использования корпоративной информационной системы Регламенты предоставления доступа к конфиденциальной информации


Слайд 20

21 Меры по реализации политики ИБ Организационные меры – создание и изменение Регламентов Правил Инструкций и пр. Программно-технические меры - внедрение Антивирусной защиты Системы контроля доступа Подсистемы анализа уязвимостей и пр. Мероприятия по кадровому обеспечению Специализированные программы обучения Интранет-порталы Рассылка новостей


Слайд 21

22 Пример: нормативная основа создания защищённого документооборота Регламент работы Удостоверяющего центра Должностная Инструкции администратора Удостоверяющего центра Инструкция пользователю по работе с ключевым носителем информации


Слайд 22

23 Government Security Program (GSP) Программа , в рамках которой организациям, участвующим в государственных проектах по совершенствованию защищенных информационных систем, предоставляет доступ к исходным кодам продуктов Майкрософт.


Слайд 23

24 Предоставление исходных кодов Россия - первая страна в мире, подписавшая с Microsoft Соглашение GSP ( в 2002 г. - между Майкрософт и ФГУП НТЦ «Атлас», действует по н.вр.) Доступ к исходным кодам продуктов Microsoft ФСБ ФСТЭК Министерству обороны Министерству атомной промышленности другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.


Слайд 24

25 Сертифицированный в ФСБ продукт Обычный лицензионный продукт Microsoft Дополнительный «Service Pack Rus» для этого продукта Содержит криптопровайдеры компании Крипто-Про, позволяющие зашифровывать информацию и подписывать документы электронной цифровой подписью с использованием российских криптографических алгоритмов.


Слайд 25

26 Текущие результаты сертификации Windows XP Professional / Vista Windows Server 2003 /R2 Office 2003/2007 Professional ISA Server 2006 линейка антивирусных продуктов Forefront Forefront для Exchange Server, Forefront для SharePoint Server Forefront Client Exchange Server 2007 Office SharePoint Server 2007 BizTalk Server 2006 R2


Слайд 26

27 Использованные источники Сердюк В.А. Комплексный подход к защите компании от угроз информационной безопасности // Презентация, ДиалогНаука, 2008 Сердюк В.А. Система управления информационной безопасностью // Презентация, ДиалогНаука, 2008 Сердюк В.А. Политика информационной безопасности // Презентация, ДиалогНаука, 2008 Сердюк В.А. Новое в защите от взлома корпоративных систем. М.: Техносфера, 2007. http://www.microsoft.com/Rus/Security/Certificate/Default.mspx


Слайд 27

Спасибо за внимание! Вопросы?


×

HTML:





Ссылка: