Сертификация СЭД на соответствие Закону «О персональных данных» Алексей Сидак, Центр безопасности информации Андрей Гриб, компан

Содержание

Слайд 2

Сертификация СЭД на соответствие Закону «О персональных данных»

Алексей Сидак, Центр безопасности информации
Андрей

Сертификация СЭД на соответствие Закону «О персональных данных» Алексей Сидак, Центр безопасности
Гриб, компания БОСС-Референт

Слайд 3

Область автоматизации

Прикладное ПО

Системное ПО

Системы хранения и передачи информации

Область автоматизации Прикладное ПО Системное ПО Системы хранения и передачи информации

Слайд 4

Нормативная база

Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»

Положение

Нормативная база Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных
об обеспечении безопасности персональных данных
при их обработке в информационных системах персональных данных
(Постановление Правительства РФ от 17.11.2007 г.)

Порядок проведения классификации информационных систем персональных данных
(Приказы ФСТЭК России, ФСБ России, Мининформсвязи России
от 13 февраля 2008 г. № 55/86/20)

Нормативные документы ФСТЭК России

Нормативные документы
ФСБ России

+

+

Слайд 5

Базирование на требованиях апробированных документов:
РД АС
РД СВТ
РД МЭ
РД НДВ
СТР-К
Учет уровня развития средств

Базирование на требованиях апробированных документов: РД АС РД СВТ РД МЭ РД
и способов защиты информации:
Контроль защищенности
Антивирусная защита
Расширенные требования по управлению доступом, регистрации, сигнализации о нарушениях защиты

Преемственность требований

Слайд 6

Общая схема подхода к защите персональных данных

Обследование ИСПДн

Категорирование ИСПДн

Определение базового набора требований

Общая схема подхода к защите персональных данных Обследование ИСПДн Категорирование ИСПДн Определение
безопасности к ИСПДн
(РД ФСТЭК, ФСБ)

Разработка моделей угроз и нарушителя

ТЗ на ИСПДн

Профиль защиты ИСПДн

Проект СЗИ ИСПДн
на основе типовых решений по защите ИСПДн

Реализация организационно-технических мер ЗИ

Внедрение
средств ЗИ

Разработка организационно-распорядительной документации

Аттестация ИСПДн

Слайд 7

Обследование объекта информатизации как правило является первым шагом на пути внедрения системы

Обследование объекта информатизации как правило является первым шагом на пути внедрения системы
защиты персональных данных.
По результатам обследования выдается Отчет об обследовании, показывающий проблемы, препятствующие развертыванию системы защиты персональных данных, а также – пути решения этих проблем.

Предпроектное обследование

Слайд 8

Определение класса системы обработки персональных данных
Определение дополнительных классификационных признаков системы обработки персональных

Определение класса системы обработки персональных данных Определение дополнительных классификационных признаков системы обработки персональных данных Классификация системы
данных

Классификация системы

Слайд 9

По категории обрабатываемых персональных данных:

Определение класса системы

По категории обрабатываемых персональных данных: Определение класса системы

Слайд 10

По объему обрабатываемых персональных данных:

Определение класса системы

По объему обрабатываемых персональных данных: Определение класса системы

Слайд 11

Определение класса системы

Определение класса системы

Слайд 12

Определяются для каждой конкретной системы согласно Приказам ФСТЭК России, ФСБ России, Мининформсвязи России

Определяются для каждой конкретной системы согласно Приказам ФСТЭК России, ФСБ России, Мининформсвязи
от 13 февраля 2008 г. № 55/86/20.

Классификационные признаки

Слайд 13

Результатом классификации системы обработки персональных данных является базовый набор требований по информационной

Результатом классификации системы обработки персональных данных является базовый набор требований по информационной
безопасности.
Базовый набор требований по информационной безопасности уточняется впоследствии по результатам разработки Модели угроз.

Результат классификации системы

Слайд 14

Модель угроз

Модель угроз

Слайд 15

Разработка системы защиты персональных данных осуществляется по Техническому заданию в соответствии с

Разработка системы защиты персональных данных осуществляется по Техническому заданию в соответствии с
порядком, определённым в СТР-К, нормативных документах ФСТЭК России по обеспечению безопасности персональных данных и национальных стандартах по созданию автоматизированных систем в защищенном исполнении.

Техническое задание

Слайд 16

Профиль защиты представляет собой совокупность минимальных требований для некоторого вида изделий или

Профиль защиты представляет собой совокупность минимальных требований для некоторого вида изделий или
систем информационных технологий.
Эта конструкция идеально подходит для задания обоснованных требований обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

Профиль защиты

Слайд 17

Включает следующие основные элементы:
Информационную характеристику объекта защиты
Требования, предъявляемые к системе защиты персональных

Включает следующие основные элементы: Информационную характеристику объекта защиты Требования, предъявляемые к системе
данных
Технические решения по построению системы защиты персональных данных, включая:
Структуру и состав системы защиты
Проектные решения по системе защиты
Спецификацию средств защиты

Проект системы защиты

Слайд 18

Использование встраиваемых в СПО функций позволяет реализовать следующее:
Управление доступом к персональным данным
Регистрация

Использование встраиваемых в СПО функций позволяет реализовать следующее: Управление доступом к персональным
доступа к персональным данным
Учет записей персональных данных
Сигнализация нарушения защиты персональных данных
Контроль целостности встроенных средств защиты персональных данных и д.р.

Встраиваемые функции

Слайд 19

Возможность полного контроля персональных данных на уровне записей, полей записей и любых

Возможность полного контроля персональных данных на уровне записей, полей записей и любых
других форм хранения информации
Сопровождение единым разработчиком
Сертификационная поддержка
Возможность построения комплексного решения
Возможность широкого тиражирования
Унификация многочисленных систем обработки персональных данных

Эффект встраиваемых функций

Слайд 20

Сертифицированная платформа (ОС, СУБД)
Сертифицированное СПО со встроенными механизмами защиты
Изложение организационных мероприятий для

Сертифицированная платформа (ОС, СУБД) Сертифицированное СПО со встроенными механизмами защиты Изложение организационных
объекта информатизации
Комплект эксплуатационных и организационно-распорядительных документов

Состав комплексного решения

Слайд 21

Гарантированное выполнение всех требований по защите персональных данных на множестве типовых объектов
Возможность

Гарантированное выполнение всех требований по защите персональных данных на множестве типовых объектов
использования партнерской сети основных разработчиков для тиражирования решения
Легкость в модернизации ранее созданных систем обработки персональных данных
Сокращение стоимости и сроков внедрения в большое количество систем обработки персональных данных

Преимущества комплексного решения

Слайд 22

Организационно-технические меры по обеспечению безопасности персональных данных включают процедуры, регламенты, инструкции, положения

Организационно-технические меры по обеспечению безопасности персональных данных включают процедуры, регламенты, инструкции, положения
которых должны выполняться на объекте информатизации, чтобы обеспечить достаточный уровень контроля и управлять информационной безопасностью.

Организационно-технические меры

Слайд 23

ОРД – организационно-распорядительная документация.
Организационно-распорядительные документы содержат состав и содержание организационно-технических мероприятий по

ОРД – организационно-распорядительная документация. Организационно-распорядительные документы содержат состав и содержание организационно-технических мероприятий
обеспечению безопасности персональных данных на объекте информатизации.
Организационно-распорядительные документы должны быть разработаны до ввода объекта информатизации в эксплуатацию.

ОРД

Слайд 24

Аттестация – процесс подтверждения соответствия системы требованиям по безопасности информации, установленных соответствующими

Аттестация – процесс подтверждения соответствия системы требованиям по безопасности информации, установленных соответствующими
нормативными и руководящими документами регулирующих органов (ФСТЭК России, ФСБ России).

Аттестация

Слайд 25

Процесс аттестации информационных систем персональных данных процедурно ничем не отличается от процесса

Процесс аттестации информационных систем персональных данных процедурно ничем не отличается от процесса
аттестации систем на другие классы защищенности, определяемые руководящими документами ФСТЭК России.
Аттестатом может подтверждаться соответствие системы одновременно нескольким классам, например, классу 1Г в соответствии с РД АС и классу К3 для информационных систем персональных данных.

Аттестация

Слайд 26

2
1. Настоящим АТТЕСТАТОМ удостоверяется, что:
Автоматизированная информационная система ……….. - «АС …» соответствует

2 1. Настоящим АТТЕСТАТОМ удостоверяется, что: Автоматизированная информационная система ……….. - «АС
требованиям нормативной документации по безопасности информации в части защиты от несанкционированного доступа по классам защищенности:
класс 1Г – в соответствии с классификацией Руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
класс К3 – в соответствии с Порядком проведения классификации информационных систем персональных данных (утвержден приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20).
Состав технических и программных средств АС … представлен в Техническом паспорте на Автоматизированную информационную систему ……..
2. Организационная структура, уровень подготовки специалистов, обеспечивают поддержание уровня защищенности АС … в процессе эксплуатации в соответствии с установленными требованиями.
3. Аттестация АС … выполнена в соответствии с “Программой и методикой аттестационных испытаний... ”, утвержденной Председателем Центра безопасности информации ___ ноября 2008 г.
4. С учетом результатов аттестационных испытаний в АС …. разрешается обработка конфиденциальной информации.
5. При эксплуатации АС …. запрещается без согласования с органом по аттестации:
изменять состав технических и программных средств, входящих в АС ….;
изменять установленный порядок доступа персонала к циркулирующей в АС … служебной и конфиденциальной информации и режим допуска лиц в помещения с оборудованием АС ….;
осуществлять другие технические и организационные мероприятия, которые могут создать предпосылки для утечки защищаемой информации за счет несанкционированного доступа к информации.
6. Контроль за эффективностью реализованных мер и средств защиты возлагается на ответственных за обеспечение информационной безопасности АС ….
7. Подробные результаты аттестационных испытаний приведены в “Заключении по результатам аттестационных испытаний на соответствие требованиям по безопасности информации Автоматизированной информационной системы …………………….

3
- «АС …» от ___ декабря 2009 г.
8. «Аттестат соответствия» выдан сроком на 3 года, в течение которого должна быть обеспечена неизменность условий функционирования АС …..
9. Перечень характеристик, об изменениях которых требуется обязательно извещать орган по аттестации:
состав и размещение технических и программных средств АС ….;
состав и настройки установленных в АС ….. средств защиты от несанкционированного доступа к информации;
изменения в технологическом процессе обработки информации в АС …...
Руководитель аттестационной комиссии
______________
“__“ января 2009 г.

Пример Аттестата соответствия

Слайд 27

Персональные данные в системах электронного документооборота

Обработка обращений граждан
Электронные административные регламенты и оказание

Персональные данные в системах электронного документооборота Обработка обращений граждан Электронные административные регламенты
госуслуг
Обработка заявлений физических лиц в коммерческих организациях
Данные о сотрудниках организации в модуле «Справочник организации»

Слайд 28

Оценка класса ИСПДн для систем электронного документооборота

Оценка класса ИСПДн для систем электронного документооборота

Слайд 29

Прикладное ПО

Системное ПО

Системы хранения и передачи информации

Аудит безопасности (FAU)
Защита данных пользователей (FDP)

Идентификация

Прикладное ПО Системное ПО Системы хранения и передачи информации Аудит безопасности (FAU)
и аутентификация (FIA)
Управление безопасностью (FMT)
Защита ФБО (FPT)
Доступ ОО (FTA)

Распределение функций
безопасности с системах электронного документооборота

Слайд 30

СЭД БОСС-Референт

OpenReferent on SoftwareUnited
(IBM Lotus Domino/Notes +
Red Hat Enterprise Linux)

Системы хранения

СЭД БОСС-Референт OpenReferent on SoftwareUnited (IBM Lotus Domino/Notes + Red Hat Enterprise
и передачи информации

ФСТЭК НДВ-4
ФСТЭК ОУД4

ФСТЭК НДВ-4
ФСТЭК ОУД2

Структура сертификации
системы электронного документооборота
на примере СЭД «БОСС-Референт»

Системное ПО

Прикладное ПО

Слайд 31

Сертификат ОУД (ФСТЭК)

Официальное наименование:
«Безопасность информационных технологий. Критерии оценки безопасности информационных технологий», (Гостехкомиссия

Сертификат ОУД (ФСТЭК) Официальное наименование: «Безопасность информационных технологий. Критерии оценки безопасности информационных
России, 2002 г.) – для оценочного уровня доверия
Уровни: от 1 до 7
Что проверяется на сертификационных испытаниях:
уровень защищенности ПО
корректность работы функций безопасности

Слайд 32

Сертификат НДВ (ФСТЭК)

Официальное наименование:
«Защита от несанкционированного доступа к информации. Часть 1. Программное

Сертификат НДВ (ФСТЭК) Официальное наименование: «Защита от несанкционированного доступа к информации. Часть
обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.)
Уровни: от 4 до 1
Что проверяется на сертификационных испытаниях:
Отсутствие «черных ходов» в программном коде

Слайд 33

Сведения, предоставляемые разработчиком на сертификационные испытания

ОУД
Задание по безопасности - основной документ, содержащий описание

Сведения, предоставляемые разработчиком на сертификационные испытания ОУД Задание по безопасности - основной
функций ПО в части безопасности.
Описание проектных решений, относящихся к реализации функций безопасности ПО.
Тесты, используемые разработчиком для проверки функций безопасности, и подтверждения, что используемые тесты покрывают весь заявленный функционал безопасности.
Эксплуатационная документация.
НДВ
Исходные тексты продукта.
Описание, из каких компонент состоит продукт до уровня отдельного исполняемого файла.
Описание того, из каких файлов с исходными текстами собираются исполняемые файлы продукта.
Описание процедур сборки из исходных текстов дистрибутива, предоставляемого конечным пользователям. Получающийся в результате сборки дистрибутив должен совпадать с тем, который распространяется разработчиком.

Слайд 34

Версионность сертифицированных программных продуктов

При выпуске обновлений сертифицированного ПО проводится инспекционный контроль:

ФБ затронуты

ФБ не

Версионность сертифицированных программных продуктов При выпуске обновлений сертифицированного ПО проводится инспекционный контроль:
затронуты

Разработчик ПО

Новый
сертификат

Испытательная
лаборатория

Уведомление
ФСТЭК и новые
Контрольные
суммы

Слайд 35

Производство сертифицированных программных продуктов

Производство Комплектов сертифицированного ПО – процедура верификации дистрибутивов ПО, находящегося

Производство сертифицированных программных продуктов Производство Комплектов сертифицированного ПО – процедура верификации дистрибутивов
на физических носителях инсталляционного комплекта ПО и формирования Комплекта сертифицированного ПО.
Комплект сертифицированного ПО:
Верифицированный инсталляционный комплект ПО
Эксплуатационная документация ПО, включая Руководство по безопасной настройке и контролю сертифицированного ПС
Формуляр на сертифицированное ПС
Лицензионное свидетельство ПС
Набор информационных материалов
Способы производства сертифицированного ПО:
Серийное производство (требуется аттестация производства)
Партия
Единичный экземпляр
Имя файла: Сертификация-СЭД-на-соответствие-Закону-«О-персональных-данных»-Алексей-Сидак,-Центр-безопасности-информации-Андрей-Гриб,-компан.pptx
Количество просмотров: 183
Количество скачиваний: 0
- Предыдущая
Выполнил: Толстых Александр, Ученик 4 класса МОУ «Наумовская СОШ» Руководитель: Тимощенко Ирина Владимировна.
Следующая -
Социальная справедливость в условиях электронного государства: проблема цифрового равенства

Похожие презентации

Через тернии – к звёздам.
Навыки ведущего телепрограмм
ranniy-vozrast-1-3-goda — копия
Настройка ПИД-регулятора
Наука и искусство
Докладчик:
Особливості святкування Пасхи в Україні та Англії Підготував Козарь Дмитро
Раздел 3. Конспекты уроковКонспект урока по русскому языку в 3-а классе по системе Эльконина-Давыдова
Евгений Михайлович Рачев
Совесть
Марийская республиканская организация Профсоюза работников народного образования и науки Российской Федерации
Презентация на тему Архитектура классицизма в России МХК 11 класс
Президент України
Рефлексия на уроке как совместная деятельность учителя и ученика
Основные итоги работы 2011 года. Задачи на 2012 год
Қазақстан халқы ассамблеясы
Сифат. Көҙ
Биологическая активность коньюгатов циклодекстрина с противовоспалительными веществами
Аварийно химически опасные вещества (АХОВ), их классификация
КРАСИВЫЙ СТАРТ2 января – 2 февраля
Двугранный угол
Правовая основа деятельности наблюдателей на выборах
20161216_naselenie_zemli
Презентация на тему Классификация компьютеров по функциональным возможностям
Восток в европейском искусстве XVIII—XIX веков
Многообразие видов познавательных способностей
Опыт, знание, сила OZON.ru
Скульптура и рельеф Древней Греции
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть