Безопасная обработка данных в государственных и муниципальных
advertisement
Безопасная обработка данных в государственных и муниципальных автоматизированных системах ООО “Стандарт безопасности” г. Ярославль, ул. Угличская, 39В офис 211 тел.: (4852) 587-300 факс: 587-302 www.yarsec.ru Рачков Михаил группа компаний “Стандарт безопасности” г. Ярославль Государственные и муниципальные автоматизированные системы Автоматизи́рованная систе́ма (АС) — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. Собственниками государственных и муниципальных автоматизированные системы являются государственные и муниципальные учреждения. Обеспечение безопасности в указанных системах производится по правилам, определенным федеральными законами и другими нормативно-правовыми документами. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации Информация , ст. 5 п. 2 Общедоступная Информация ограниченного доступа Информация ограниченного доступа – доступ к которой ограничен федеральными законами Общедоступная информация Указ Президента РФ от 17 марта 2008 г. № 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационнотелекоммуникационных сетей международного информационного обмена” в) государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю Задачи обеспечения ЦЕЛОСТНОСТИ+ДОСТУПНОСТИ Информация ограниченного доступа Сведения, составляющие государственную тайну Коммерческая тайна Информация для служебного пользования Персональные данные Ряд рассматриваемых данных, попадает под действие федеральных законов, а следовательно подлежит защите Особенности функционирования рассматриваемых автоматизированных систем Защита данных для служебного пользования регламентируется действием нормативно-правового документа: “Специальные требования и рекомендации по технической защите конфиденциальной информации” СТР-К Особенности совеременных государственных и муниципальных информационных систем: - Территориально-распределенные - Многопользовательские - Гетерогенные (сложные, состоящие из разнородных компонент) Территориально-распределенные системы * Осуществляется передача данных вне пределов контролируемых зон объектов *Использование методов шифрования данных. В указанных системах только механизмы шифрования государственного стандарта, сертифицированные в установленном порядке ФСБ России Многопользовательские *Обычно, несколько пользователей с разными правами доступа работают с информационной системой *Обычно, информационные системы имеют выход в сеть интернет Необходимо отработать требования руководящих документов ФСТЭК России, которые включают в себя требования: - использование средств межсетевого экранирования - использование средств разграничения доступа к ресурсам - использование систем по регистрации действий пользователей и т.д. *Применяемые средства защиты информации должны быть сертифицированы в установленном порядке ФСБ и ФСТЭК России Гетерогенные * Используются разные сетевые технологии, разные операционные системы, разные аппаратные платформы и т.д. * Для внедрения систем защиты информации, часто требуется довольно долгая проработка технического решения и тщательное проектирование *Достаточно сложно соблюдать все требования руководящих документов по защите информации, поэтому приходится искать “золотую середину” внедрения СЗИ удовлетворяющую: 1. 2. 3. Владельца системы Пользователей Контролирующие организации Рекомендации по защите автоматизированных систем • Сторонние средства защиты информации являются наложенными. Поэтому, при создании системы, необходимо продумывать вместе с разработчиками как можно использовать существующие штатные механизмы защиты •Необходимо четко представлять себе технологических процесс обработки информации •Необходимо осуществлять анализ и документирование процесса обработки информации •Необходимо ограничить количество пользователей системы Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных” Для реализации требований по защите персональных данных дополнительно отрабатываются требования нормативных документов: Системы обработки данных персонального характера Своя система классификации (К1, К2, К3, К4) Специальные системы (обеспечение целостности и доступности) наследуют все характеристики обычных систем Системы обработки данных персонального характера Территориально-распределенные Многопользовательские Модель актуальных угроз, разработанная по требованиям ФСБ России Модель актуальных угроз, разработанная по требованиям ФСТЭК России Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных” Основные трудности реализации ФЗ – 152 лежат не в технических плоскостях. Анализ и обоснование существования информационных систем. Регулирующие органы Уполномоченный орган по защите прав субъектов Роскомнадзор Уполномоченный орган в части технической защиты информации ФСТЭК Уполномоченный орган в части защиты информации криптографически ми методами ФСБ Спасибо за внимание! ООО “Стандарт безопасности” г. Ярославль, ул. Угличская, 39В офис 211 тел.: (4852) 587-300 факс: 587-302 www.yarsec.ru Рачков Михаил группа компаний “Стандарт безопасности” город Ярославль
