'

Шибков Сергей Ильич Директор департамента ДЕПАРТАМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЗАО «РАМЭК-ВС» Федеральный Закон 152 «О персональных данных» и компетенции.

Понравилась презентация – покажи это...





Слайд 0

Шибков Сергей Ильич Директор департамента ДЕПАРТАМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЗАО «РАМЭК-ВС» Федеральный Закон №152 «О персональных данных» и компетенции ЗАО «РАМЭК-ВС» по обеспечению их защиты


Слайд 1

ТЕХНОЛОГИЧЕСКИЕ НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ Создание комплексных систем защиты конфиденциальной информации Научно-исследовательские и опытно-конструкторские работы Аттестация объектов информатизации по требованиям безопасности информации Проведение сертификации по требованиям безопасности информации Проведение специальной экспертизы предприятий на право деятельности по созданию СЗИ


Слайд 2

СТРУКТУРНЫЕ ПОДРАЗДЕЛЕНИЯ ДЕПАРТАМЕНТА Отдел маркетинга и управления проектами Отдел аттестации объектов информатизации и объектовых специальных работ Отдел научно-исследовательских и опытно-конструкторских работ Отдел разработки и внедрения комплексных систем безопасности информации Отдел специальных экспертиз Директор Испытательная лаборатория Сектор проектирования Сектор внедрения Сектор системных решений Сектор защиты от НСД Сектор защиты от ПЭМИН Сектор криптографической защиты Сектор аттестации объектов информатизации Группа объектовых специальных работ Группа контроля по НСД Группа контроля по НДВ Группа тестирования


Слайд 3

ЛИЦЕНЗИИ И СЕРТИФИКАТЫ В области защиты государст-венной тайны ФСБ ФСТЭК МО РФ Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (специальные работы) Осуществление деятельности по выявлению электронных устройств предназначенных для не гласного получения информации в помещениях и технических средствах Осуществление работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну (монтаж, наладка, установка, распространение и ТО шифровальные средства) Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (монтаж, наладка, установка, распространение и ТО шифровальные средства) Деятельность в области создания средств защиты информации Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации и ПДИТР) Проведение работ, связанных с созданием средств защиты информации


Слайд 4

В области защиты конфиден-циальной информации (в том числе защиты персональ-ных данных) ФСБ ФСТЭК МО РФ Осуществление деятельности по техническому обслуживанию шифровальных (криптографических) средств Осуществление мероприятий и оказание услуг в области шифрования информации с использованием шифровальных (криптографических) средств Осуществление деятельности по распространению шифровальных (криптографических) средств Деятельность в области создания средств защиты информации Деятельность по разработке и (или) производству средств защиты конфиденциальной информации Деятельность по технической защите конфиденциальной информации                                                                      Министерство обороны Российской Федерации


Слайд 5

Научно-испытательный институт систем обеспечения комплексной безопасности СЕРТИФИКАТ СООТВЕТСТВИЯ Проектирование , установка, пуско-наладочные работы и техническое обслуживание автоматизированных систем в защищенном исполнении


Слайд 6

ПАРТНЕРЫ


Слайд 7

УСЛУГИ Аудит состояния информационной безопасности информационных и телекоммуникационных систем, оценка рисков, выработка политик информационной безопасности (ИБ); Проектирование информационных систем (автоматизированных систем управления производством, географических информационных систем и др.) и объектов в защищенном исполнении; Создание защищённых информационных и телекоммуникационных систем и объектов любой сложности в соответствии с требованиями по безопасности информации, предъявляемыми руководящими документами ФСБ России, ФСТЭК России и Минобороны России; Специальные проверки и специальные исследования технических средств и систем, предназначенных для хранения, обработки и передачи информации, составляющей государственную тайну, или предназначенных для размещения в помещениях, предназначенных для проведения мероприятий с обсуждением информации, составляющей государственную тайну; Аттестация объектов информатизации по требованиям безопасности информации, составляющей государственную тайну и конфиденциальные сведения (в том числе персональные данные); Подбор, поставку, настройку и установку аппаратных и программных средств защиты информации в соответствии с требованиями заказчика и разработанной политикой безопасности, разработке, созданию и вводу в строй систем защиты информации (СЗИ) эксплуатируемых и создаваемых локальных и глобальных автоматизированных систем, техническое сопровождение СЗИ в течение гарантийного срока эксплуатации, а также послегарантийное обслуживание; Консалтинг в области информационной безопасности. Сертификация автоматизированных систем, средств и комплексов защиты информации в системе сертификации МО РФ. Экспертная оценка предприятий промышленности, организаций и компаний на соответствие требованиям МО РФ на право получения лицензий на деятельность в области защиты информации.


Слайд 8

СОТРУДНИКИ ВУЗЫ базового специального образования: Военная академия связи, Военно-воздушная академия им.Ю.А.Гагарина, МГТУ им. Баумана, МИФИ, МТУСИ, Высшие военные учебные заведения по командным и инженерным специальностям радиоэлектроники, РЭБ, электросвязи Характеристика кадрового состава: Сертификаты подтверждающие квалификацию (повышение квалификации):


Слайд 9

Федеральные и региональные органы исполнительной власти 2009 год Проектно-изыскательские работы по модернизации информационной системы обработки персональных данных Министерства социального развития Саратовской области Проектно-изыскательские работы по модернизации информационной системы обработки персональных данных Государственного комитета социальной поддержки населения Саратовской области Осуществление поставки средств защиты информации и работы по их установке для создания и развития информационной системы для предоставления государственных и муниципальных услуг на основе многофункциональных центров в Тамбовской области. 2007-2008 год Разработка технического проекта на создание «Системы защиты информации, обрабатываемой в автоматизированной информационной системе «Государственный заказ» Ханты-Мансийского автономного округа. Разработка концепции по Информационной безопасности администрации Ямало-ненецкого автономного округа. Модернизация системы защиты информации в Управлении Федерального казначейства по Москве и Московской области, выполнение специальных работ, аттестация локальных вычислительных сетей УФК. Выполнение работ по защите выделенных помещений, первых отделов в различных учреждениях, организациях, на предприятиях и компаниях. Аттестация объектов информатизации для обработки сведений составляющих государственную тайну. ВЫПОЛНЕННЫЕ ПРОЕКТЫ Коллектив Департамента – активно развивает направление по реализации 152 ФЗ «О защите персональных данных»


Слайд 10

2009 год Проектно-изыскательские работы по созданию «Комплексной системы защиты информации информационно-управляющей системы производственно-хозяйственной деятельности ООО «Газпром трансгаз Ставрополь» Проектно-изыскательские работы по созданию «Защищенного узла доступа ООО «Газпром трансгаз Ставрополь» Проектно-изыскательские работы по созданию «Системы управления доступом к сетевому оборудованию ООО «Газпром трансгаз Ставрополь» 2007-2008 год Проектно-изыскательские работы по созданию «Системы информационной безопасности Региональной сети передачи данных ООО «Газпром ноябрьск добыча» Проектно-изыскательские работы по созданию «Системы информационной безопасности информационно-вычислительной системы Объекта №4 ОАО «Газпром» Проектно-изыскательские работы по созданию «Системы информационной безопасности информационно-вычислительной системы Объекта №5 ОАО «Газпром» Проектно-изыскательские работы по созданию «Системы информационной безопасности информационно-вычислительной системы Объекта №6 ОАО «Газпром» Внедрение Удостоверяющего центра в ООО «Новоуренгойский газохимический комплекс» Участие в разработке проекта на создание «Системы защиты информации информационно-управляющей системы производственно-хозяйственной деятельности ООО «Надымгазпром». Коллектив Департамента – участник комплексной целевой программы Службы корпоративной защиты ОАО «Газпром» по безопасности информации


Слайд 11

Минобороны России Коллектив Департамента – разработчик систем защиты информации в АСУ вооружения и военной техники 2009 год Участие в проектах по созданию автоматизированной системы Вооруженных Сил Российской Федерации в части защиты информации и противодействия иностранным техническим разведкам Выполнение опытно-конструкторских работ по созданию систем защиты информации комплексных систем тренажеров для отработки задач по управлению вооружением и военной техникой Выполнение опытно-конструкторских работ по созданию систем защиты информации информационных и управляющих систем вооружения и военной техники Выполнение объектовых специальных исследований на объектах информатизации органов военного управления Министерства обороны Российской Федерации. 2008-2007 год Выполнение опытно-конструкторской работы по созданию системы защиты информации в функциональной системе освещения обстановки в составе интегрированной АСУ Военно-морского флота Выполнение опытно-конструкторской работы по созданию системы защиты секретной информации специального назначения Выполнение опытно-конструкторской работы по созданию «Системы информационной безопасности оперативно-тактического тренажерного комплекса ВМФ» Участие в выполнении опытно-конструкторской работы по созданию системы защиты секретной информации боевого объекта ВМФ Проведение сертификации специального программного обеспечения объектов вооружения и военной техники.


Слайд 12

Основные положения Федерального Закона №152 «О персональных данных» Правоотношения в сфере защиты персональных данных


Слайд 13

Нормативно-правовая база обеспечения безопасности персональных данных Федеральный закон РФ от 27июля 2006 г. №152-ФЗ «О персональных данных» с изменениями от 16.12.09 г. Постановление правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13 февраля 2008 г. №55/86/20 г.Москва «Об утверждении порядка проведения классификации информационных систем персональных данных» Документы ФСБ Руководящие документы ФСТЭК «Базовая модель угроз безопасности ПДн при их обработке в информационных системах персональных данных» «Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах персональных данных» «Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах персональных данных» «Рекомендации по обеспечению безопасности ПДн при обработке в информационных системах персональных данных» «Методические рекомендации по обеспечению с помощью криптографических средств безопасности ПДн при обработке в информационных системах персональных данных с использованием автоматизации» «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств , предназначенных для защиты информации, не содержащих сведений составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных».


Слайд 14

Безопасность персональных данных - состояние защищенности , характеризуемое способностью пользователей , технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность ПДн при их обработке в информационных системах ПДн. Система защиты персональных данных Организационные меры и средства защиты информации (в том числе криптографические) Средства предотвращающие несанкционированный доступ к информации Средства предотвращающие утечку по техническим каналам Средства предотвращающие программно-техническое воздействие на на ПАК обработки ПДн Свойства используемых программно-технических информационных технологий ПДн Функции органов государственной системы защиты ПДн ФСТЭК ФСБ Оператор* Разработка методов и способов защиты информации в информационных системах ПДН в пределах полномочий Государственный контроль достаточности принятых мер по обеспечению безопасности ПДн Обеспечение безопасности Пдн при их обработке путем выполнения требований системы защиты. *Выполнение требований может быть поручена уполномоченному лицу, имеющему разрешительные документы на этот вид деятельности


Слайд 15

Основные участники правоотношений в сфере персональных данных Ознакомления со сведениями*: 1.Об операторе (местонахождении, наличии сведений ПДн субъекта); 2.О ПДн, относящимися к субъекту и требовать уточнения, а при необходимости уничтожения или блокирования; 3.О процессе обработки ПДн субъекта (при запросе). На принятие (непринятие) решения на основании информации по ПДн на основании Исключительно автоматизированной обработ- ки его персональных данных; Обжалование действий (бездействия) оператора по обеспечению безопасности ПДн. *Право на ознакомление ограничивается: 1.Если обработка осуществляется в целях обороны страны, безопасности государства, охраны правопорядка; 2.Если обработка осуществляется органами, осуществляющими задержание субъекта по подозрению в совершении преступления; 3.Если это нарушает конституционные права других граждан. Субъект персональных данных Принимает решение о предоставлении своих ПДн и дает согласие на их обработку Оператор персональных данных Государственный орган, муниципальный орган, юридическое, или физическое лицо, организующее и (или) осуществляющее обработку ПДн Имеет право: Обязан: Оставлять субъекту ПДн по его просьбе информацию по подтверждению обработки ПДн, способах обработки, сведения о лицах, допущенных к обработке, о перечне ПДн, сроках хранения, юридические последствия обработки; Разъяснять юридические последствия в случаях отказа представления ПДн ; Обеспечивать меры безопасности ПДн; Безвозмездно представлять субъекту возможность ознакомления со своими ПДн, внесения изменений, уточнений, а в случае необходимости уничтожения или блокирование В случае отказа в представлении ПДн, принадлежащий субъекту –мотивировать отказ; Сообщать в уполномоченный орган по защите прав субъектов ПДн по его запросу, информацию необходимую для осуществления его деятельности.


Слайд 16

Требования к оператору (уполномоченному лицу) осуществляющему деятельность по защите ПДн. Федеральный закон РФ №128-ФЗ от 8 августа 2001 года «О лицензировании отдельных видов деятельности» Постановления правительства РФ от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» от 31 августа 2006 г. № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» от 29 декабря 2007 г. № 957 «О лицензировании отдельных видов деятельности связанных с шифровальными (криптографическими) средствами» Лицензии ФСТЭК На деятельность по технической защите конфиденциальной информации На проведение работ, связанных с созданием средств защиты информации Лицензии ФСБ На осуществление технического обслуживания шифровальных (криптографических) средств На осуществление распространения шифровальных (криптографических ) средств На предоставление услуг в области шифрования информации Наличие специалистов имеющих профильное образование или прошедших обучение (повышение квалификации) Наличие необходимой нормативно-методической и руководящей документации Наличие необходимого материально-технического обеспечения


Слайд 17

Определение класса информационной системы ПДн Этапы классификации Классификация Сбор и анализ исходных данных Документальное оформление Определение категории (Хпд) Определение объема Пдн (Хн пд) Анализ заданных оператором характеристик безопасности ПДн Анализ размещения (местоположения) технических средств обработки ПДн Определение наличия подключения к сетям общего пользования и международного обмена Анализ структуры информационной системы ПДн Анализ режима обработки Пдн Анализ режима разграничения прав доступа Типовые (по классам) К1-значительные негативные последствия К2-негативные последствия К3-незначительные негативные последствия К4-без негативных последствий Акт оператора о присвоении класса ИС Акт оператора о присвоении статуса специальной системы По результатам анализа исходных данных определяется класс специальной информационной системы, а на основе модели угроз безопасности персональных данных в соответствии с методическими документами, уточняются требования по безопасности Специальные


Слайд 18

Специальные информационные системы* Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). К специальным информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. *Класс специальной информационной системы определяется на основе анализа исходных данных, а на основе модели угроз безопасности персональных данных при обработке в информационных системах ПДн уточняются требования по защите .


Слайд 19

ФЗ 152 «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность»


Слайд 20

Услуги и решения ЗАО «РАМЭК-ВС» по созданию системы защиты персональных данных на объектах обработки информации предприятий и организаций


Слайд 21

Технологические направления по созданию систем защиты ИСПДн Разработка проектных решений по созданию информационных систем в защищенном исполнении Аттестация объектов информатизации по требованиям безопасности информации Проведение научно-исследовательских и опытно-конструкторских работ Сертификация программно-аппаратных комплексов по требованиям безопасности А. Разработка, научные исследования: Разработка моделей, методологии (концепций) защиты Б. Практическая реализация: Внедрение систем защиты от несанкционированного доступа Оборудование объектов информатизации (выделенных, защищаемых помещений) средствами защиты от утечки по техническим каналам Разработка организационно-распорядительной документации по защите информации


Слайд 22

Аудит информационной системы персональных данных, анализ соответствия нормативным требованиям 1 Разработка требований безопасности информационной системы персональных данных 2 Разработка системы защиты персональных данных классификация ИСПДн формирование модели угроз безопасности разработка требований по безопасности проведение экспертизы в регулирующих органах (по желанию заказчика) проектирование системы защиты разработка организационно-распорядительной документации отработка процессов функционирования системы, проведение испытаний и доводка на макетах и стендах (по желанию заказчика) получение исходных качественных и количественных параметров для организации проектирования оценка состояния системы по параметрам соответствия с требованиями руководящих документов ФСТЭК и ФСБ России Отчет об обследовании (концепция) Техническое задание на проектирование Технический проект 3 ЗАО «РАМЭК-ВС» выполняет полный комплекс работ по созданию систем защиты ИСПДн и руководствуется экономической целесообразностью и эффективностью мер, обеспечивающих выполнение требований безопасности информации.


Слайд 23

Внедрение проектных решений (установка, пуско-наладка аппаратных средств, инсталяция и настройка СПО) ЗАО «РАМЭК-ВС» предлагает Технические решения по защите персональных данных разработанных на базе собственных аппaратно-программных комплекcов и сертифицированных продуктов ведущих российских и зарубежных компаний. Аттестация объектов информатизации Сервисное обслуживание подготовка к аттестации, включая разработку разрешительной документации системы доступа, организационно-распорядительной документации, технической документации на объект в части касающейся ЗПДн проведение аттестационных испытаний на соответствие требований безопасности информации, включая экспертное обследование объекта информатизации, исследований на предмет утечки по техническим каналам, комплексные испытания защищенности 4 6 Аттестат соответствия Оперативное восстановление системы, периодический контроль 5 Действующая система защиты информации


Слайд 24

Масштаб ИСПДн Архитектура ИСПДн Угрозы в ИСПДн Категория ПДн Характеристики ИСПДн Требования к СЗПДн Стоимость СЗПДн Факторы, влияющие на стоимость СЗПДн


Слайд 25

Медицинские учреждения СТОИМОСТЬ РАБОТ ПО ЗАЩИТЕ ИСПДН приближенно-типового объекта в составе 20 АРМ (ПЭВМ стандартной конфигурации) + 1 сервер + 4 СКЗИ 120 000-200 000 руб. Органы управления Промышленные предприятия Государственные образовательные учреждения Условные обозначения Сбор и анализ исходных данных Оборудование Проектирование Установка и настройка СЗИ и СКЗИ Аттестация


Слайд 26

Решения ЗАО «РАМЭК-ВС» по снижению стоимости при создании системы защиты персональных данных на объектах обработки информации предприятий и организаций


Слайд 27

Отключение от сетей общего пользования


Слайд 28

Обезличивание персональных данных обрабатываемых в ИСПДн


Слайд 29

Сегментирование и оптимизация архитектуры ИСПДн.


Слайд 30

Сегментирование и оптимизация архитектуры ИСПДн.


Слайд 31

Решения ЗАО «РАМЭК-ВС» на базе «тонкого клиента» Преимуществами  терминального решения являются: сокращение стоимости за счет использования централизованной архитектуры защиты и создания рабочих мест сотрудников при помощи терминальных клиентских устройств; простота развертывания по сравнению самой ИСПДн и средств ЗИ по сравнению с традиционной архитектурой клиент-сервер; масштабируемость архитектуры; простота подключения новых пользователей и их сопровождения; удобство администрирования и снижение операционных затрат за счет отсутствия необходимости локального развертывания ряда СрЗИ на терминалах ИСПДн. Предлагаемые решения при внедрении «мягко» адаптируются в существующие информационные системы и не требуют изменения бизнес-процессов пользователей автоматизированной системы. Целесообразность использования терминального доступа рассматривается на этапе предпроектного обследования. Если у компании система обработки персональных данных изначально организована с терминальным доступом, вопрос решается только в части создания защиты.


Слайд 32

На базе ПЭВМ RAMEC разработан АРМ, который предназначен для автоматизации процессов обработки конфиденциальной информации. В комплекс входит поставка аппаратной части, системы защиты от НСД, установка и настройка программной части информационной системы (по требованиям заказчика) На аппаратной части комплекса проведен полный комплекс специальных работ, включающий лабораторные специальные проверки и исследования. Программная реализация Модуля доверенной загрузки не требует аппаратных средств, дополнительно устанавливаемых в ПЭВМ и проведения повторных СЛП. Применение комплекса обеспечивает защиту многопользовательской АС с разными правами доступа по классу 1Г (обработка конфиденциальной информации). Комплекс позволяет адаптироваться под обработку персональных данных любыми информационными системами, сертифицированными установленным порядком в ФСТЭК России.


Слайд 33

Закон не отменили! Выполнение работ по защите требует не менее 6 – 8 месяцев!!!! Необходимо уже сейчас начинать приводить все ИСПДн в соответствие с требованиями ФЗ-152! Что делать сейчас?


Слайд 34

Контакты (Санкт-Петербург) Центральный офис Адрес: 195220, Санкт-Петербург, ул. Обручевых, д. 1 Тел.: (812) 740-38-38 Факс: (812) 327-83-18 Задать вопрос Контакты (Москва) Московское представительство Адрес: 109316, Москва, Волгоградский пр. 2 Тел.: (495) 221-17-18 Факс: (495) 221-17-18 Задать вопрос Директор департамента ШИБКОВ СЕРГЕЙ ИЛЬИЧ (495) 221-17-18 * доб. 642, моб. (925)729-9556 Отдел проектирования и внедрения комплексных систем безопасности Начальник отдела Буянов Александр Иванович (495) 221-17-18 * доб. 616, моб. (925)011-13-01 Задать вопрос Отдел НИОКР Начальник отдела Варакин Юрий Васильевич (495) 221-17-18 * доб. 602, моб. (925)294-25-17 Задать вопрос Отдел аттестации объектов информатизации Начальник отдела Морозкин Андрей Борисович (495) 221-17-18 * доб. 689, моб. (925)010-40-84 Задать вопрос Отдел специальной экспертизы Начальник отдела Букреев Игорь Алексеевич (495) 221-17-18 * доб.606, моб. (925)010-40-85 Задать вопрос Испытательная лаборатория Главный специалист Остапенко Зоя Федоровна (495) 221-17-18 * доб.608 , моб. (926)106-86-34 Задать вопрос СПАСИБО ЗА ВНИМАНИЕ


×

HTML:





Ссылка: