'

Сертификация СЭД на соответствие Закону «О персональных данных» Алексей Сидак, Центр безопасности информации Андрей Гриб, компания БОСС-Референт.

Понравилась презентация – покажи это...





Слайд 0


Слайд 1

Сертификация СЭД на соответствие Закону «О персональных данных» Алексей Сидак, Центр безопасности информации Андрей Гриб, компания БОСС-Референт


Слайд 2

3 Область автоматизации Прикладное ПО Системное ПО Системы хранения и передачи информации


Слайд 3

4 Нормативная база Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (Постановление Правительства РФ от 17.11.2007 г.) Порядок проведения классификации информационных систем персональных данных (Приказы ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20) Нормативные документы ФСТЭК России Нормативные документы ФСБ России + +


Слайд 4

Базирование на требованиях апробированных документов: РД АС РД СВТ РД МЭ РД НДВ СТР-К Учет уровня развития средств и способов защиты информации: Контроль защищенности Антивирусная защита Расширенные требования по управлению доступом, регистрации, сигнализации о нарушениях защиты Преемственность требований 5


Слайд 5

6 Общая схема подхода к защите персональных данных Обследование ИСПДн Категорирование ИСПДн Определение базового набора требований безопасности к ИСПДн (РД ФСТЭК, ФСБ) Разработка моделей угроз и нарушителя ТЗ на ИСПДн Профиль защиты ИСПДн Проект СЗИ ИСПДн на основе типовых решений по защите ИСПДн Реализация организационно-технических мер ЗИ Внедрение средств ЗИ Разработка организационно-распорядительной документации Аттестация ИСПДн


Слайд 6

Обследование объекта информатизации как правило является первым шагом на пути внедрения системы защиты персональных данных. По результатам обследования выдается Отчет об обследовании, показывающий проблемы, препятствующие развертыванию системы защиты персональных данных, а также – пути решения этих проблем. 7 Предпроектное обследование


Слайд 7

Определение класса системы обработки персональных данных Определение дополнительных классификационных признаков системы обработки персональных данных 8 Классификация системы


Слайд 8

По категории обрабатываемых персональных данных: 9 Определение класса системы


Слайд 9

По объему обрабатываемых персональных данных: 10 Определение класса системы


Слайд 10

11 Определение класса системы


Слайд 11

Определяются для каждой конкретной системы согласно Приказам ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20. 12 Классификационные признаки


Слайд 12

Результатом классификации системы обработки персональных данных является базовый набор требований по информационной безопасности. Базовый набор требований по информационной безопасности уточняется впоследствии по результатам разработки Модели угроз. 13 Результат классификации системы


Слайд 13

Модель угроз 14


Слайд 14

Разработка системы защиты персональных данных осуществляется по Техническому заданию в соответствии с порядком, определённым в СТР-К, нормативных документах ФСТЭК России по обеспечению безопасности персональных данных и национальных стандартах по созданию автоматизированных систем в защищенном исполнении. 15 Техническое задание


Слайд 15

Профиль защиты представляет собой совокупность минимальных требований для некоторого вида изделий или систем информационных технологий. Эта конструкция идеально подходит для задания обоснованных требований обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных. 16 Профиль защиты


Слайд 16

Включает следующие основные элементы: Информационную характеристику объекта защиты Требования, предъявляемые к системе защиты персональных данных Технические решения по построению системы защиты персональных данных, включая: Структуру и состав системы защиты Проектные решения по системе защиты Спецификацию средств защиты 17 Проект системы защиты


Слайд 17

Использование встраиваемых в СПО функций позволяет реализовать следующее: Управление доступом к персональным данным Регистрация доступа к персональным данным Учет записей персональных данных Сигнализация нарушения защиты персональных данных Контроль целостности встроенных средств защиты персональных данных и д.р. 18 Встраиваемые функции


Слайд 18

Возможность полного контроля персональных данных на уровне записей, полей записей и любых других форм хранения информации Сопровождение единым разработчиком Сертификационная поддержка Возможность построения комплексного решения Возможность широкого тиражирования Унификация многочисленных систем обработки персональных данных 19 Эффект встраиваемых функций


Слайд 19

Сертифицированная платформа (ОС, СУБД) Сертифицированное СПО со встроенными механизмами защиты Изложение организационных мероприятий для объекта информатизации Комплект эксплуатационных и организационно-распорядительных документов 20 Состав комплексного решения


Слайд 20

Гарантированное выполнение всех требований по защите персональных данных на множестве типовых объектов Возможность использования партнерской сети основных разработчиков для тиражирования решения Легкость в модернизации ранее созданных систем обработки персональных данных Сокращение стоимости и сроков внедрения в большое количество систем обработки персональных данных 21 Преимущества комплексного решения


Слайд 21

Организационно-технические меры по обеспечению безопасности персональных данных включают процедуры, регламенты, инструкции, положения которых должны выполняться на объекте информатизации, чтобы обеспечить достаточный уровень контроля и управлять информационной безопасностью. 22 Организационно-технические меры


Слайд 22

ОРД – организационно-распорядительная документация. Организационно-распорядительные документы содержат состав и содержание организационно-технических мероприятий по обеспечению безопасности персональных данных на объекте информатизации. Организационно-распорядительные документы должны быть разработаны до ввода объекта информатизации в эксплуатацию. 23 ОРД


Слайд 23

Аттестация – процесс подтверждения соответствия системы требованиям по безопасности информации, установленных соответствующими нормативными и руководящими документами регулирующих органов (ФСТЭК России, ФСБ России). 24 Аттестация


Слайд 24

Процесс аттестации информационных систем персональных данных процедурно ничем не отличается от процесса аттестации систем на другие классы защищенности, определяемые руководящими документами ФСТЭК России. Аттестатом может подтверждаться соответствие системы одновременно нескольким классам, например, классу 1Г в соответствии с РД АС и классу К3 для информационных систем персональных данных. 25 Аттестация


Слайд 25

26 2 1. Настоящим АТТЕСТАТОМ удостоверяется, что: Автоматизированная информационная система ……….. - «АС …» соответствует требованиям нормативной документации по безопасности информации в части защиты от несанкционированного доступа по классам защищенности: класс 1Г – в соответствии с классификацией Руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»; класс К3 – в соответствии с Порядком проведения классификации информационных систем персональных данных (утвержден приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20). Состав технических и программных средств АС … представлен в Техническом паспорте на Автоматизированную информационную систему …….. 2. Организационная структура, уровень подготовки специалистов, обеспечивают поддержание уровня защищенности АС … в процессе эксплуатации в соответствии с установленными требованиями. 3. Аттестация АС … выполнена в соответствии с “Программой и методикой аттестационных испытаний... ”, утвержденной Председателем Центра безопасности информации ___ ноября 2008 г. 4. С учетом результатов аттестационных испытаний в АС …. разрешается обработка конфиденциальной информации. 5. При эксплуатации АС …. запрещается без согласования с органом по аттестации: изменять состав технических и программных средств, входящих в АС ….; изменять установленный порядок доступа персонала к циркулирующей в АС … служебной и конфиденциальной информации и режим допуска лиц в помещения с оборудованием АС ….; осуществлять другие технические и организационные мероприятия, которые могут создать предпосылки для утечки защищаемой информации за счет несанкционированного доступа к информации. 6. Контроль за эффективностью реализованных мер и средств защиты возлагается на ответственных за обеспечение информационной безопасности АС …. 7. Подробные результаты аттестационных испытаний приведены в “Заключении по результатам аттестационных испытаний на соответствие требованиям по безопасности информации Автоматизированной информационной системы ……………………. 3 - «АС …» от ___ декабря 2009 г. 8. «Аттестат соответствия» выдан сроком на 3 года, в течение которого должна быть обеспечена неизменность условий функционирования АС ….. 9. Перечень характеристик, об изменениях которых требуется обязательно извещать орган по аттестации: состав и размещение технических и программных средств АС ….; состав и настройки установленных в АС ….. средств защиты от несанкционированного доступа к информации; изменения в технологическом процессе обработки информации в АС …... Руководитель аттестационной комиссии ______________ “__“ января 2009 г. Пример Аттестата соответствия


Слайд 26

Персональные данные в системах электронного документооборота Обработка обращений граждан Электронные административные регламенты и оказание госуслуг Обработка заявлений физических лиц в коммерческих организациях Данные о сотрудниках организации в модуле «Справочник организации»


Слайд 27

28 Оценка класса ИСПДн для систем электронного документооборота


Слайд 28

29 Прикладное ПО Системное ПО Системы хранения и передачи информации Аудит безопасности (FAU) Защита данных пользователей (FDP) Идентификация и аутентификация (FIA) Управление безопасностью (FMT) Защита ФБО (FPT) Доступ ОО (FTA) Распределение функций безопасности с системах электронного документооборота


Слайд 29

30 СЭД БОСС-Референт OpenReferent on SoftwareUnited (IBM Lotus Domino/Notes + Red Hat Enterprise Linux) Системы хранения и передачи информации ФСТЭК НДВ-4 ФСТЭК ОУД4 ФСТЭК НДВ-4 ФСТЭК ОУД2 Структура сертификации системы электронного документооборота на примере СЭД «БОСС-Референт» Системное ПО Прикладное ПО


Слайд 30

Сертификат ОУД (ФСТЭК) Официальное наименование: «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий», (Гостехкомиссия России, 2002 г.) – для оценочного уровня доверия Уровни: от 1 до 7 Что проверяется на сертификационных испытаниях: уровень защищенности ПО корректность работы функций безопасности


Слайд 31

Сертификат НДВ (ФСТЭК) Официальное наименование: «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) Уровни: от 4 до 1 Что проверяется на сертификационных испытаниях: Отсутствие «черных ходов» в программном коде


Слайд 32

Сведения, предоставляемые разработчиком на сертификационные испытания ОУД Задание по безопасности - основной документ, содержащий описание функций ПО в части безопасности. Описание проектных решений, относящихся к реализации функций безопасности ПО. Тесты, используемые разработчиком для проверки функций безопасности, и подтверждения, что используемые тесты покрывают весь заявленный функционал безопасности. Эксплуатационная документация. НДВ Исходные тексты продукта. Описание, из каких компонент состоит продукт до уровня отдельного исполняемого файла. Описание того, из каких файлов с исходными текстами собираются исполняемые файлы продукта. Описание процедур сборки из исходных текстов дистрибутива, предоставляемого конечным пользователям. Получающийся в результате сборки дистрибутив должен совпадать с тем, который распространяется разработчиком.


Слайд 33

Версионность сертифицированных программных продуктов При выпуске обновлений сертифицированного ПО проводится инспекционный контроль: ФБ затронуты ФБ не затронуты Разработчик ПО Новый сертификат Испытательная лаборатория Уведомление ФСТЭК и новые Контрольные суммы


Слайд 34

Производство сертифицированных программных продуктов Производство Комплектов сертифицированного ПО – процедура верификации дистрибутивов ПО, находящегося на физических носителях инсталляционного комплекта ПО и формирования Комплекта сертифицированного ПО. Комплект сертифицированного ПО: Верифицированный инсталляционный комплект ПО Эксплуатационная документация ПО, включая Руководство по безопасной настройке и контролю сертифицированного ПС Формуляр на сертифицированное ПС Лицензионное свидетельство ПС Набор информационных материалов Способы производства сертифицированного ПО: Серийное производство (требуется аттестация производства) Партия Единичный экземпляр


Слайд 35

36 Спасибо за внимание! Андрей Гриб Генеральный директор AGrib@boss-referent.ru 117218, г. Москва, ул. Кржижановского, д.21а тел. (495) 785-53-59 www.boss-referent.ru Алексей Сидак Директор департамента систем информационной безопасности Кандидат технических наук Sidak@cbi-info.ru 141090, Московская обл., г. Юбилейный ул. Пионерская, д. 1/4 тел. (495) 543-30-60 www.cbi-info.ru


×

HTML:





Ссылка: