SlideShare una empresa de Scribd logo

сзпдн первый шаг к ксиб

E
Expolink
1 de 20
Descargar para leer sin conexión
СЗПДн как первый шаг к комплексной системе ИБ Главный инженер департамента системной интеграции ООО «УЦСБ» Николай Домуховский www.USSC.ru 1
Содержание • Как «мы» строим СЗПДн? • Почему так строить не стоит? • А как можно строить? www.USSC.ru 2
Как «мы» строим СЗПДн Босс, мы нарушаем требования 152-ФЗ. Хорошо, сколько мне Нам надо строить это будет стоить? систему защиты ПДн, иначе нам грозят реальные штрафы! www.USSC.ru 3
С чем же начинается работа над СЗПДн • Бизнес: «это просто Сделайте это: обязательные траты» • Как можно дешевле • Служба ИТ: «это просто • С минимальным дополнительная влиянием на головная боль» существующие • Служба ИБ: «это не системы дает нам заниматься • Максимально реальными делами» быстро www.USSC.ru 4
СЗПДн – обязательная программа 1. Классификация ИСПДн 2. Разработка ЧМУ (включая модель нарушителя) 3. Определение уровня защищенности 4. Проектирование СЗПДн 5. Ввод в действие 6. Аттестация 7. Постоянная Эксплуатация www.USSC.ru 5
Организационные меры 1. Приказы о назначении (ответственных за защиту ПДн, за СКЗИ, администратора ИБ ИСПДн) 2. Приказ об утверждении списка лиц, которым необходим доступ к ПДн для выполнения служебных (трудовых) обязанностей 3. Положение о защите ПДн 4. Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн – Типовой перечень 5. Положение по организации контроля эффективности защиты есть готовые шаблоны! информации в компании 6. Положение об организации режима безопасности помещений, где осуществляется работа с ПДн 7. Положение о порядке хранения и уничтожения носителей ПДн 8. Регламент разграничения прав доступа 9. План внутренних проверок состояния защиты ПДн 10. ДИ персонала в части обеспечения безопасности ПДн 11. Акты классификации ИСПДн 12. Журнал учета средств защиты информации (СрЗИ) 13. Акты классификации ИСПДн www.USSC.ru 6
Технические меры Возьмем СКЗИ с соответствующим Поставим СрЗИ от НСД с Система защиты персональных данныхподешевле, и сертификатом (и соответствующим сертификатом поменьше) Управление Регистрация и Контроль Криптографичес доступом учет целостности кая защита Защита Анализ Антивирусная межсетевого защищенности защита взаимодействия А, ну это мы уже используем! А что в VPN шлюзе нет Что там у вас подешевле? МЭ? Экономия! www.USSC.ru 7
Итоговая схема www.USSC.ru 8
Содержание • Как «мы» строим СЗПДн? • Почему так строить не стоит? • А как можно строить? www.USSC.ru 9
Организационные меры - реальность • Шаблон универсален – значит… он не подходит никому • Кроме документов есть записи – а их надо вести постоянно • Документы не только должны быть – их должны знать и выполнять • Документ – это не только 3-4 кг высококачественной бумаги, но и формализация части бизнес процессов организации www.USSC.ru 10
Итоговая VPN клиентов VPN шлюзаперейти кластера серверов После того, как истекли сроки действия не позволял нормально сертификатов МЭ схема (немного позже) реализовать работу нового пришлось на схему с общим секретом ИСПДн, пришлось его убрать СрЗИ от НСД конфликтовало с прикладным ПО Никто не выделил средств на продление серверов и рабочих станций и пришлось его лицензии удалить www.USSC.ru 11
И тут приходит проверка (плановая) • Оказывается в документах уже не те даты, фамилии и т.п. – надо актуализировать • Никто не вел журналы – надо чем-то заполнять • Система по факту отключена – надо по новой ее запускать А не за это ли мы платили нашему подрядчику www.USSC.ru 12
Содержание • Как «мы» строим СЗПДн? • Почему так строить не стоит? • А как можно нужно строить? www.USSC.ru 13
Комплексное обеспечение ИБ Защита банковской тайны Защита ПДн Непрерывность бизнеса Защита коммерческой Защита КВО тайны Комплексность – решаем ряд разноплановых задач в рамках единой концепции www.USSC.ru 14
Комплексное обеспечение ИБ Равнопрочность Достаточность www.USSC.ru 15
Комплексное обеспечение ИБ Адекватность требованиям: • Законодательным Безопасность для бизнеса, а не • Отраслевым наоборот • Корпоративным: – Техническая политики – Требования по надежности системы – Требования к документированию – Интеграция со смежными системами –… www.USSC.ru 16
СЗПДн как первый шаг к построению КСИБ 1. Анализ и оптимизация бизнес процессов, связанных с обработкой ПДн 2. Разработка концепции КСИБ 3. Разработка ЧМУ (включая модель нарушителя) 4. Определение уровня защищенности 5. Эскизное проектирование КСИБ 6. Проектирование СЗПДн 7. Ввод в действие 8. Аттестация 9. Постоянная Эксплуатация и послегарантийное сопровождение www.USSC.ru 17
СЗПДн как первый шаг к построению КСИБ Управление информационной безопасностью Управление Управление Управление соответствием рисками докумениацией Централизованное управление и мониторинг Непрерывность функционирования www.USSC.ru 18
Жизненный цикл КСИБ Безопасность – это процесс, а не продукт (Б. Шнайер) Моделирование, подбор решений Разработка архитектуры Аудит Улучшение, подготовка, Проектирование планирование Разработка проектной Консалтинг документации Управ- ление Обучение Текущий ремонт Разработка пакета ОРД Постоянная Ввод в действие, эксплуатация модернизация Техническое обслуживание Инсталляция Подготовка к аттестации, www.USSC.ru сертификации 19
СЗПДн как первый шаг к комплексной системе ИБ Спасибо за внимание! Николай Домуховский Главный инженер департамента системной интеграции ООО «УЦСБ» 620026, Екатеринбург, ул. Красноармейская, д.78Б, оф.902 Тел.: +7 (343) 379-98-34 Факс: +7 (343) 264-19-53 info@ussc.ru www.USSC.ru 29.10.2012 www.USSC.ru 20

Recomendados

сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибсзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе иб
Expolink
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK
Компания УЦСБ
 
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...
Expolink
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
Vlad Styran
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
КРОК
 

Recomendados

сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибсзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе иб
Expolink
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK
Компания УЦСБ
 
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...
Expolink
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
Vlad Styran
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
КРОК
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
Solar Security
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
jet_information_security
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar Security
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
Solar Security
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
Solar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
Solar Security
 
Роль менеджера ИБ в построении системы защиты данных
Роль менеджера ИБ в построении системы защиты данныхРоль менеджера ИБ в построении системы защиты данных
Роль менеджера ИБ в построении системы защиты данных
MFISoft
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...
Expolink
 
интеллектуальный карьер инновации в горном деле и ИТ
интеллектуальный карьер инновации в горном деле и ИТинтеллектуальный карьер инновации в горном деле и ИТ
интеллектуальный карьер инновации в горном деле и ИТ
Dmitry Klebanov
 
М. Кузьмина (Русская медная компания) "Порядок за один клик".
М. Кузьмина (Русская медная компания) "Порядок за один клик".М. Кузьмина (Русская медная компания) "Порядок за один клик".
М. Кузьмина (Русская медная компания) "Порядок за один клик".
Expolink
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзор
Expolink
 
Гробница Тутанхамона
Гробница ТутанхамонаГробница Тутанхамона
Гробница Тутанхамона
fonelene elengone
 

Más contenido relacionado

La actualidad más candente

От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
jet_information_security
 

La actualidad más candente (17)

Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
 
Роль менеджера ИБ в построении системы защиты данных
Роль менеджера ИБ в построении системы защиты данныхРоль менеджера ИБ в построении системы защиты данных
Роль менеджера ИБ в построении системы защиты данных
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 

Destacado

комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...
Expolink
 
интеллектуальный карьер инновации в горном деле и ИТ
интеллектуальный карьер инновации в горном деле и ИТинтеллектуальный карьер инновации в горном деле и ИТ
интеллектуальный карьер инновации в горном деле и ИТ
Dmitry Klebanov
 
М. Кузьмина (Русская медная компания) "Порядок за один клик".
М. Кузьмина (Русская медная компания) "Порядок за один клик".М. Кузьмина (Русская медная компания) "Порядок за один клик".
М. Кузьмина (Русская медная компания) "Порядок за один клик".
Expolink
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзор
Expolink
 
Гробница Тутанхамона
Гробница ТутанхамонаГробница Тутанхамона
Гробница Тутанхамона
fonelene elengone
 
Kaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security centerKaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security center
Expolink
 
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Expolink
 
опыт построения крупных Vpn сетей на оборудовании код безопасности
опыт построения крупных Vpn сетей на оборудовании код безопасностиопыт построения крупных Vpn сетей на оборудовании код безопасности
опыт построения крупных Vpn сетей на оборудовании код безопасности
Expolink
 
Стратегия развития черной и цветной металлургии РФ 2014-2020
Стратегия развития черной и цветной металлургии РФ 2014-2020 Стратегия развития черной и цветной металлургии РФ 2014-2020
Стратегия развития черной и цветной металлургии РФ 2014-2020
Ilya Dolinin
 
Check point
Check pointCheck point
Check point
Expolink
 
Решения для металлургии
Решения для металлургииРешения для металлургии
Решения для металлургии
systemgroups
 
БУДУЩЕЕ БЕЛОЙ МЕТАЛЛУРГИИ: образовательный проект компании ЧТПЗ
БУДУЩЕЕ БЕЛОЙ МЕТАЛЛУРГИИ: образовательный проект компании ЧТПЗБУДУЩЕЕ БЕЛОЙ МЕТАЛЛУРГИИ: образовательный проект компании ЧТПЗ
БУДУЩЕЕ БЕЛОЙ МЕТАЛЛУРГИИ: образовательный проект компании ЧТПЗ
Группа ЧТПЗ
 
Prophix современный подход к автоматизации процессов бюджетирования
Prophix современный подход к автоматизации процессов бюджетированияProphix современный подход к автоматизации процессов бюджетирования
Prophix современный подход к автоматизации процессов бюджетирования
Expolink
 

Destacado (14)

комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...
 
интеллектуальный карьер инновации в горном деле и ИТ
интеллектуальный карьер инновации в горном деле и ИТинтеллектуальный карьер инновации в горном деле и ИТ
интеллектуальный карьер инновации в горном деле и ИТ
 
М. Кузьмина (Русская медная компания) "Порядок за один клик".
М. Кузьмина (Русская медная компания) "Порядок за один клик".М. Кузьмина (Русская медная компания) "Порядок за один клик".
М. Кузьмина (Русская медная компания) "Порядок за один клик".
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзор
 
Гробница Тутанхамона
Гробница ТутанхамонаГробница Тутанхамона
Гробница Тутанхамона
 
Kaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security centerKaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security center
 
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
Фродекс: Противодействие мошенничеству в системах дистанционного банковского ...
 
опыт построения крупных Vpn сетей на оборудовании код безопасности
опыт построения крупных Vpn сетей на оборудовании код безопасностиопыт построения крупных Vpn сетей на оборудовании код безопасности
опыт построения крупных Vpn сетей на оборудовании код безопасности
 
Денис Савенков (ЧТПЗ-ЦИТ) - Проблемы промышленной автоматизациии
Денис Савенков (ЧТПЗ-ЦИТ) - Проблемы промышленной автоматизациииДенис Савенков (ЧТПЗ-ЦИТ) - Проблемы промышленной автоматизациии
Денис Савенков (ЧТПЗ-ЦИТ) - Проблемы промышленной автоматизациии
 
Стратегия развития черной и цветной металлургии РФ 2014-2020
Стратегия развития черной и цветной металлургии РФ 2014-2020 Стратегия развития черной и цветной металлургии РФ 2014-2020
Стратегия развития черной и цветной металлургии РФ 2014-2020
 
Check point
Check pointCheck point
Check point
 
Решения для металлургии
Решения для металлургииРешения для металлургии
Решения для металлургии
 
БУДУЩЕЕ БЕЛОЙ МЕТАЛЛУРГИИ: образовательный проект компании ЧТПЗ
БУДУЩЕЕ БЕЛОЙ МЕТАЛЛУРГИИ: образовательный проект компании ЧТПЗБУДУЩЕЕ БЕЛОЙ МЕТАЛЛУРГИИ: образовательный проект компании ЧТПЗ
БУДУЩЕЕ БЕЛОЙ МЕТАЛЛУРГИИ: образовательный проект компании ЧТПЗ
 
Prophix современный подход к автоматизации процессов бюджетирования
Prophix современный подход к автоматизации процессов бюджетированияProphix современный подход к автоматизации процессов бюджетирования
Prophix современный подход к автоматизации процессов бюджетирования
 

Similar a сзпдн первый шаг к ксиб

сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибсзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе иб
Expolink
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
finopolis
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Вячеслав Аксёнов
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
Expolink
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Kaspersky
 
Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность?
Ivan Piskunov
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
Alexey Kachalin
 

Similar a сзпдн первый шаг к ксиб (20)

сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибсзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе иб
 
ИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решенияИБ КСИИ проблемы и решения
ИБ КСИИ проблемы и решения
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
JSOC мы строили-строили и построили
JSOC мы строили-строили и построилиJSOC мы строили-строили и построили
JSOC мы строили-строили и построили
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
Построение центров ГосСОПКА
Построение центров ГосСОПКАПостроение центров ГосСОПКА
Построение центров ГосСОПКА
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
 
Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность?
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4
 

Más de Expolink

Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Expolink
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Expolink
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Expolink
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
Expolink
 
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Expolink
 
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
Expolink
 
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Expolink
 
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Expolink
 

Más de Expolink (20)

Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
 
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
 
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
 
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
 
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
 
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
 
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
 
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
 
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
 
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
 
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
 
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
 

сзпдн первый шаг к ксиб

  • 1. СЗПДн как первый шаг к комплексной системе ИБ Главный инженер департамента системной интеграции ООО «УЦСБ» Николай Домуховский www.USSC.ru 1
  • 2. Содержание • Как «мы» строим СЗПДн? • Почему так строить не стоит? • А как можно строить? www.USSC.ru 2
  • 3. Как «мы» строим СЗПДн Босс, мы нарушаем требования 152-ФЗ. Хорошо, сколько мне Нам надо строить это будет стоить? систему защиты ПДн, иначе нам грозят реальные штрафы! www.USSC.ru 3
  • 4. С чем же начинается работа над СЗПДн • Бизнес: «это просто Сделайте это: обязательные траты» • Как можно дешевле • Служба ИТ: «это просто • С минимальным дополнительная влиянием на головная боль» существующие • Служба ИБ: «это не системы дает нам заниматься • Максимально реальными делами» быстро www.USSC.ru 4
  • 5. СЗПДн – обязательная программа 1. Классификация ИСПДн 2. Разработка ЧМУ (включая модель нарушителя) 3. Определение уровня защищенности 4. Проектирование СЗПДн 5. Ввод в действие 6. Аттестация 7. Постоянная Эксплуатация www.USSC.ru 5
  • 6. Организационные меры 1. Приказы о назначении (ответственных за защиту ПДн, за СКЗИ, администратора ИБ ИСПДн) 2. Приказ об утверждении списка лиц, которым необходим доступ к ПДн для выполнения служебных (трудовых) обязанностей 3. Положение о защите ПДн 4. Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн – Типовой перечень 5. Положение по организации контроля эффективности защиты есть готовые шаблоны! информации в компании 6. Положение об организации режима безопасности помещений, где осуществляется работа с ПДн 7. Положение о порядке хранения и уничтожения носителей ПДн 8. Регламент разграничения прав доступа 9. План внутренних проверок состояния защиты ПДн 10. ДИ персонала в части обеспечения безопасности ПДн 11. Акты классификации ИСПДн 12. Журнал учета средств защиты информации (СрЗИ) 13. Акты классификации ИСПДн www.USSC.ru 6
  • 7. Технические меры Возьмем СКЗИ с соответствующим Поставим СрЗИ от НСД с Система защиты персональных данныхподешевле, и сертификатом (и соответствующим сертификатом поменьше) Управление Регистрация и Контроль Криптографичес доступом учет целостности кая защита Защита Анализ Антивирусная межсетевого защищенности защита взаимодействия А, ну это мы уже используем! А что в VPN шлюзе нет Что там у вас подешевле? МЭ? Экономия! www.USSC.ru 7
  • 9. Содержание • Как «мы» строим СЗПДн? • Почему так строить не стоит? • А как можно строить? www.USSC.ru 9
  • 10. Организационные меры - реальность • Шаблон универсален – значит… он не подходит никому • Кроме документов есть записи – а их надо вести постоянно • Документы не только должны быть – их должны знать и выполнять • Документ – это не только 3-4 кг высококачественной бумаги, но и формализация части бизнес процессов организации www.USSC.ru 10
  • 11. Итоговая VPN клиентов VPN шлюзаперейти кластера серверов После того, как истекли сроки действия не позволял нормально сертификатов МЭ схема (немного позже) реализовать работу нового пришлось на схему с общим секретом ИСПДн, пришлось его убрать СрЗИ от НСД конфликтовало с прикладным ПО Никто не выделил средств на продление серверов и рабочих станций и пришлось его лицензии удалить www.USSC.ru 11
  • 12. И тут приходит проверка (плановая) • Оказывается в документах уже не те даты, фамилии и т.п. – надо актуализировать • Никто не вел журналы – надо чем-то заполнять • Система по факту отключена – надо по новой ее запускать А не за это ли мы платили нашему подрядчику www.USSC.ru 12
  • 13. Содержание • Как «мы» строим СЗПДн? • Почему так строить не стоит? • А как можно нужно строить? www.USSC.ru 13
  • 14. Комплексное обеспечение ИБ Защита банковской тайны Защита ПДн Непрерывность бизнеса Защита коммерческой Защита КВО тайны Комплексность – решаем ряд разноплановых задач в рамках единой концепции www.USSC.ru 14
  • 16. Комплексное обеспечение ИБ Адекватность требованиям: • Законодательным Безопасность для бизнеса, а не • Отраслевым наоборот • Корпоративным: – Техническая политики – Требования по надежности системы – Требования к документированию – Интеграция со смежными системами –… www.USSC.ru 16
  • 17. СЗПДн как первый шаг к построению КСИБ 1. Анализ и оптимизация бизнес процессов, связанных с обработкой ПДн 2. Разработка концепции КСИБ 3. Разработка ЧМУ (включая модель нарушителя) 4. Определение уровня защищенности 5. Эскизное проектирование КСИБ 6. Проектирование СЗПДн 7. Ввод в действие 8. Аттестация 9. Постоянная Эксплуатация и послегарантийное сопровождение www.USSC.ru 17
  • 18. СЗПДн как первый шаг к построению КСИБ Управление информационной безопасностью Управление Управление Управление соответствием рисками докумениацией Централизованное управление и мониторинг Непрерывность функционирования www.USSC.ru 18
  • 19. Жизненный цикл КСИБ Безопасность – это процесс, а не продукт (Б. Шнайер) Моделирование, подбор решений Разработка архитектуры Аудит Улучшение, подготовка, Проектирование планирование Разработка проектной Консалтинг документации Управ- ление Обучение Текущий ремонт Разработка пакета ОРД Постоянная Ввод в действие, эксплуатация модернизация Техническое обслуживание Инсталляция Подготовка к аттестации, www.USSC.ru сертификации 19
  • 20. СЗПДн как первый шаг к комплексной системе ИБ Спасибо за внимание! Николай Домуховский Главный инженер департамента системной интеграции ООО «УЦСБ» 620026, Екатеринбург, ул. Красноармейская, д.78Б, оф.902 Тел.: +7 (343) 379-98-34 Факс: +7 (343) 264-19-53 info@ussc.ru www.USSC.ru 29.10.2012 www.USSC.ru 20