'

ТРИ СТАНДАРТА. ЕДИНСТВО И БОРЬБА ПРОТИВОПОЛОЖНОСТЕЙ

Понравилась презентация – покажи это...





Слайд 0

ТРИ СТАНДАРТА. ЕДИНСТВО И БОРЬБА ПРОТИВОПОЛОЖНОСТЕЙ (Триединство требований) © ОАО «ЭЛВИС-ПЛЮС», 2010 г., Сергей ВИХОРЕВ, Роман КОБЦЕВ ОАО «ЭЛВИС-ПЛЮС» 2011 год


Слайд 1

© Авторские права защищаются в соответствии с законодательством Российской Федерации При использовании ссылка на первоисточник обязательна


Слайд 2

ВНИМАНИЕ! В этой презентации не будет детального анализа требований, предъявляемых различными стандартами. Они, как правило, достаточно схожи и будут рассмотрены в последующих выступлениях. Целью этого выступления является необходимость разъяснения того факта, что не надо строить три разные системы защиты, надо строить одну и она будет справедлива для всех требований.


Слайд 3

ВОПРОСЫ ПРЕЗЕНТАЦИИ


Слайд 4

ВОПРОСЫ ПРЕЗЕНТАЦИИ Триединство нормативных документов Краткий анализ нормативных документов Основные факторы единства требований Краткие выводы Инструкции к исполнению


Слайд 5

ПРОЛОГ С целью выполнения в организациях БС РФ требований ФЗ «О персональных данных», ЦБ РФ при участии АРБ и Ассоциации «Россия» разработал отраслевые документы по приведению деятельности организаций БС РФ в соответствие с требованиями законодательства в области персональных данных. «Письмо шести» от 28.06.2010 № 01-23/3148 В комплект отраслевых документов входят: СТО БР ИББС-1.0-2010 (Общие положения) СТО БР ИББС-1.2-2010 (Методика оценки) РС БР ИББС-2.3 (Требования по защите ПДн) РС БР ИББС-2.4 (Частная модель угроз) Но есть и другие требования, которые необходимо выполнить для защиты ПДн. Что делать? Как поступать?


Слайд 6

PCI DSS Комплекс документов Банка России 2010г. СТО БР ИББС-1.0 СТО БР ИББС-1.2 РС БР ИББС-2.3 РС БР ИББС-2.4 Комплект документов по ФЗ-152 Приказ ФСТЭК России № 58, ФЗ-125, Постановление № 781, Постановление № 681 ПДн КРАТКИЙ АНАЛИЗ Триединство требований В разных нормативах имеются требования по защите информации, но все они защищают еще и ПДн


Слайд 7

СХОЖЕСТЬ И РАЗЛИЧИЕ Что защищаем (область применения) Наиболее широкая область применения у документов ЦБ РФ


Слайд 8

СХОЖЕСТЬ И РАЗЛИЧИЕ Правовой статус Все документы имеют разный правовой статус. Наиболее высокий статус имеют требования ФЗ-152


Слайд 9

СХОЖЕСТЬ И РАЗЛИЧИЕ Обязательность исполнения Все документы по разному обязательны к исполнению. Ясно одно: Требования ФЗ-152 надо исполнять!


Слайд 10

СХОЖЕСТЬ И РАЗЛИЧИЕ «Суровость» санкций Наиболее «суровые» санкции со стороны международных платежных ситем, хотя и наш КоАП не слаб.


Слайд 11

СХОЖЕСТЬ И РАЗЛИЧИЕ Направленность требований Во всех нормативах присутствуют конкретные технические требования по защите ПДн


Слайд 12

СХОЖЕСТЬ И РАЗЛИЧИЕ Способ подтверждения соответствия Наиболее сложная процедура – по стандарту ЦБ РФ, Наиболее затратная процедура – по стандарту PCI DSS


Слайд 13

Все три норматива признают, что защита должна объединять организационные и технические меры. «… Оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для защиты ПДн» ФЗ-152, ст. 19, ч.1 «… Требования по обеспечению ПДн в общем случае реализуются комплексом организационных, технологических, технических и программных мер…» РС БР ИББС-2.3-2010, п. 6.1.1 ВАЖНОЕ ЗАМЕЧАНИЕ I фактор единства «… Должна быть разработана, опубликована и распространена поддерживаемая в актуальном состоянии политика безопасности. Политика безопасности должна учитывать все требования стандарта » PCI DSS, п. 12.1


Слайд 14

Процедура моделирования угроз (оценки рисков) лежит в основе выбора требований к системе защиты ПДн «… Мероприятия по обеспечению безопасности ПДн при их обработке в ИС включают в себя … определение угроз безопасности ПДн при их обработке, формирование на их основе модели угроз…» Постановление Правительства РФ от 17.11.2007 г. № 781, п.12.а «… Модели угроз и нарушителей должны быть основным инструментом организации БС РФ при развертывании, поддержании и совершенствовании СОИБ…» РС БР ИББС-1.0-2010, п. 6.1 ВАЖНОЕ ЗАМЕЧАНИЕ II фактор единства «… Политика безопасности должна описывать ежегодно выполняемый процесс идентификации угроз, уязвимостей и результатов их реализации, в рамках формальной оценки рисков…» PCI DSS, п. 12.1.2


Слайд 15

КРАТКИЙ АНАЛИЗ ТРЕБОВАНИЙ Состав предъявляемых технических требований


Слайд 16

СХОЖЕСТЬ И РАЗЛИЧИЕ III фактор единства Таким образом, выполнив технические требования хотя бы по одному стандарту, можно с уверенностью сказать. Что они будут выполнены и для остальных стандартов


Слайд 17

«Одним махом семерых побивахом!» Исходя из анализа, приведенного в Приложении к Рекомендациям Центрального Банка России РС БР ИББС-2.3-2010, видно, что выполнение этих рекомендаций гарантирует соответствие Вашей системы обеспечения информационной безопасности требованиям международных стандартов ISO/IEC 17799-2005 и ISO/IEC 27002-2005 В случае, если Комплекс БР ИББС вводится в организации БС РФ официально (решением) и система обеспечения информационной безопасности организации соответствует СТО БР ИББС-1.0, гарантировано, что и защита ПДн соответствует требованиям Регуляторов. ВАЖНОЕ ЗАМЕЧАНИЕ Дополнительные преимущества для организаций БС РФ


Слайд 18

Принять решение о введении Комплекса БР ИББС Уведомить ЦБ РФ о принятом решении Привести систему в соответствие СТО БР ИББС-1,0 Выполнить рекомендации РС БР ИББС-2.3 Провести оценку соответствия требованиям СТО БР ИББС-1,0 Документ о подтверждении соответствия направить Регуляторам И все это надо сделать не позже 1 июля 2011 года ПРИВЕДЕНИЕ В СООТВЕТСТВИЕ ОРГАНИЗАЦИЙ БС РФ Последовательность действий «Письмо шести» от 28.06.2010 г. № 23/3/3148


Слайд 19

Спасибо за внимание ! 124460, МОСКВА, Зеленоград, Центральный проспект, 11 тел. 777-42-92, факс 531-8863 e-mail: vsv@elvis.ru http://www.elvis.ru


×

HTML:





Ссылка: