УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
сзпдн первый шаг к ксиб
1. СЗПДн как первый шаг к
комплексной системе ИБ
Главный инженер департамента системной интеграции ООО «УЦСБ»
Николай Домуховский
www.USSC.ru 1
2. Содержание
• Как «мы» строим СЗПДн?
• Почему так строить не стоит?
• А как можно строить?
www.USSC.ru 2
3. Как «мы» строим СЗПДн
Босс, мы нарушаем
требования 152-ФЗ.
Хорошо, сколько мне
Нам надо строить
это будет стоить?
систему защиты ПДн,
иначе нам грозят
реальные штрафы!
www.USSC.ru 3
4. С чем же начинается работа над СЗПДн
• Бизнес: «это просто Сделайте это:
обязательные траты»
• Как можно дешевле
• Служба ИТ: «это
просто • С минимальным
дополнительная влиянием на
головная боль» существующие
• Служба ИБ: «это не системы
дает нам заниматься • Максимально
реальными делами» быстро
www.USSC.ru 4
5. СЗПДн – обязательная программа
1. Классификация ИСПДн
2. Разработка ЧМУ (включая модель
нарушителя)
3. Определение уровня защищенности
4. Проектирование СЗПДн
5. Ввод в действие
6. Аттестация
7. Постоянная Эксплуатация
www.USSC.ru 5
6. Организационные меры
1. Приказы о назначении (ответственных за защиту ПДн, за СКЗИ,
администратора ИБ ИСПДн)
2. Приказ об утверждении списка лиц, которым необходим доступ к ПДн
для выполнения служебных (трудовых) обязанностей
3. Положение о защите ПДн
4. Положение по организации и проведению работ по обеспечению
безопасности ПДн при их обработке в ИСПДн –
Типовой перечень
5. Положение по организации контроля эффективности защиты
есть готовые шаблоны!
информации в компании
6. Положение об организации режима безопасности помещений, где
осуществляется работа с ПДн
7. Положение о порядке хранения и уничтожения носителей ПДн
8. Регламент разграничения прав доступа
9. План внутренних проверок состояния защиты ПДн
10. ДИ персонала в части обеспечения безопасности ПДн
11. Акты классификации ИСПДн
12. Журнал учета средств защиты информации (СрЗИ)
13. Акты классификации ИСПДн
www.USSC.ru 6
7. Технические меры
Возьмем СКЗИ с соответствующим
Поставим СрЗИ от НСД с
Система защиты персональных данныхподешевле, и
сертификатом (и
соответствующим сертификатом
поменьше)
Управление Регистрация и Контроль Криптографичес
доступом учет целостности кая защита
Защита
Анализ Антивирусная
межсетевого
защищенности защита
взаимодействия
А, ну это мы уже используем!
А что в VPN шлюзе нет Что там у вас подешевле?
МЭ?
Экономия!
www.USSC.ru 7
9. Содержание
• Как «мы» строим СЗПДн?
• Почему так строить не стоит?
• А как можно строить?
www.USSC.ru 9
10. Организационные меры - реальность
• Шаблон универсален – значит…
он не подходит никому
• Кроме документов есть записи – а их надо
вести постоянно
• Документы не только должны быть – их
должны знать и выполнять
• Документ – это не только 3-4 кг
высококачественной бумаги, но и
формализация части бизнес процессов
организации
www.USSC.ru 10
11. Итоговая VPN клиентов VPN шлюзаперейти кластера серверов
После того, как истекли сроки действия не позволял нормально
сертификатов
МЭ
схема (немного позже)
реализовать работу нового
пришлось
на схему с общим секретом ИСПДн, пришлось его убрать
СрЗИ от НСД конфликтовало с прикладным ПО
Никто не выделил средств на продление
серверов и рабочих станций и пришлось его
лицензии
удалить
www.USSC.ru 11
12. И тут приходит проверка (плановая)
• Оказывается в документах уже не те даты,
фамилии и т.п. – надо актуализировать
• Никто не вел журналы – надо чем-то заполнять
• Система по факту отключена – надо по новой ее
запускать
А не за это ли мы платили нашему подрядчику
www.USSC.ru 12
13. Содержание
• Как «мы» строим СЗПДн?
• Почему так строить не стоит?
• А как можно нужно строить?
www.USSC.ru 13
14. Комплексное обеспечение ИБ
Защита банковской
тайны
Защита ПДн
Непрерывность бизнеса
Защита
коммерческой Защита КВО
тайны
Комплексность – решаем ряд разноплановых задач в рамках
единой концепции
www.USSC.ru 14
16. Комплексное обеспечение ИБ
Адекватность требованиям:
• Законодательным
Безопасность для бизнеса, а не
• Отраслевым наоборот
• Корпоративным:
– Техническая политики
– Требования по надежности системы
– Требования к документированию
– Интеграция со смежными системами
–…
www.USSC.ru 16
17. СЗПДн как первый шаг к построению КСИБ
1. Анализ и оптимизация бизнес процессов, связанных
с обработкой ПДн
2. Разработка концепции КСИБ
3. Разработка ЧМУ (включая модель нарушителя)
4. Определение уровня защищенности
5. Эскизное проектирование КСИБ
6. Проектирование СЗПДн
7. Ввод в действие
8. Аттестация
9. Постоянная Эксплуатация и послегарантийное
сопровождение
www.USSC.ru 17
18. СЗПДн как первый шаг к построению КСИБ
Управление информационной безопасностью
Управление Управление Управление
соответствием рисками докумениацией
Централизованное управление и мониторинг
Непрерывность функционирования
www.USSC.ru 18
19. Жизненный цикл КСИБ
Безопасность – это процесс, а не продукт (Б. Шнайер)
Моделирование, подбор
решений
Разработка
архитектуры
Аудит Улучшение,
подготовка, Проектирование
планирование Разработка проектной
Консалтинг документации
Управ-
ление Обучение
Текущий
ремонт Разработка
пакета ОРД
Постоянная Ввод в действие,
эксплуатация модернизация
Техническое
обслуживание Инсталляция
Подготовка
к аттестации,
www.USSC.ru
сертификации 19
20. СЗПДн как первый шаг к
комплексной системе ИБ
Спасибо за внимание!
Николай Домуховский
Главный инженер департамента системной интеграции
ООО «УЦСБ»
620026, Екатеринбург, ул. Красноармейская, д.78Б, оф.902
Тел.: +7 (343) 379-98-34
Факс: +7 (343) 264-19-53
info@ussc.ru
www.USSC.ru
29.10.2012 www.USSC.ru 20