Практические аспекты проведения аудита с целью оценки соответствия требованиям ФЗ «О персональных данных»

Содержание

Слайд 2

предпроектная стадия, включающая предпроектное обследование ИСПДн (аудит), а также разработку технического задания

предпроектная стадия, включающая предпроектное обследование ИСПДн (аудит), а также разработку технического задания
на ее создание
стадия проектирования и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн
стадия ввода в действие СЗПДн, включающая опытную эксплуатацию
приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации

Стадии создания системы защиты персональных данных

Слайд 3

Анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн
Определение используемых средств

Анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн Определение используемых
защиты ПДн, и оценка их соответствия требованиям нормативных документов РФ
Определение перечня ПДн, подлежащих защите
Определение перечня ИСПДн, обрабатывающих ПДн
Определение степени участия персонала в обработке ПДн, характера взаимодействия персонала между собой

Обследование ИСПДн

Слайд 4

сбор существующей нормативной документации Заказчика регулирующей порядок обработки и обеспечения защиты ПДн
сбор

сбор существующей нормативной документации Заказчика регулирующей порядок обработки и обеспечения защиты ПДн
существующей нормативной документации Заказчика описывающей состав, структуру и функциональные возможности, технические характеристики и организацию использования ИСПДн и средств защиты ИСПДн, а так же регламентирующие порядок их взаимодействия
анализ существующей нормативной документации Заказчика в области обработки и защиты ПДн на предмет соответствия требованием нормативных документов РФ

Анализ внутренних нормативных документов

Слайд 5

На данном этапе определяется перечень ИСПДн и их основные свойства, такие как:
Структура

На данном этапе определяется перечень ИСПДн и их основные свойства, такие как:
ИС
Подключение к сетям общего доступа
Режим обработки ПДн
Режим разграничения прав доступа пользователей ИС
Местонахождение технических средств информационной системы
Заданные оператором характеристики безопасности персональных данных, обрабатываемых в ИС

Определение перечня ИСПДн

Слайд 6

Перечень ПДн, обрабатываемых в ИСПДн Заказчика, подлежащих защите включает в себя:
цели обработки

Перечень ПДн, обрабатываемых в ИСПДн Заказчика, подлежащих защите включает в себя: цели
ПДн
категории ПДн
категории субъектов, ПДн которых обрабатываются
правового основания обработки ПДн
перечня действий с ПДн, общего описания используемых Заказчиком способов обработки ПДн
сведений о лицах, которые имеют доступ к ПДн или которым может быть предоставлен такой доступ
источника получения ПДн

Определение перечня ПДн

Слайд 7

Сбор данных о:
Составе и функциональных возможностях используемых СЗПДн
Технических характеристиках и организации использования

Сбор данных о: Составе и функциональных возможностях используемых СЗПДн Технических характеристиках и
СЗПДн
Условиях эксплуатации СЗПДн в составе ИСПДн
Оценка соответствия используемых средств и методов защиты ПДн нормативным требованиям РФ

Определение используемых средств защиты

Слайд 8

Основные этапы работ
Заключение соглашения о неразглашении (NDA)
Разработка регламента, устанавливающего порядок и рамки

Основные этапы работ Заключение соглашения о неразглашении (NDA) Разработка регламента, устанавливающего порядок
проведения работ
Сбор исходной информации об автоматизированной системе компании
Анализ полученной информации
Проведение инструментальной части аудита
Подготовка отчётных материалов
Презентация и защита результатов проекта

Слайд 9

Структура регламента

Состав рабочих групп от Исполнителя и Заказчика, участвующих в процессе проведения

Структура регламента Состав рабочих групп от Исполнителя и Заказчика, участвующих в процессе
аудита
Перечень информации, которая будет предоставлена Исполнителю для проведения аудита
Список объектов информатизации Заказчика, аудит которых должен провести Исполнитель
Перечень информационных систем, которые рассматриваются Исполнителем в качестве объектов защиты
Порядок и время проведения инструментального обследования
Порядок проведения совещаний по проекту

Слайд 10

Состав исходных данных

Информация об организационной структуре компании
Организационно-распорядительная и нормативно-методическая документация по вопросам

Состав исходных данных Информация об организационной структуре компании Организационно-распорядительная и нормативно-методическая документация
информационной безопасности
Информация об ИС, обрабатывающих персональные данные
Информация об аппаратном, общесистемном и прикладном обеспечении ИСПДн
Информация о средствах защиты, установленных в ИСПДн
Информация о топологии ИСПДн

Слайд 11

Методы сбора исходных данных

Предоставление опросных листов по определённой тематике, самостоятельно заполняемых сотрудниками

Методы сбора исходных данных Предоставление опросных листов по определённой тематике, самостоятельно заполняемых
Заказчика
Интервьюирование сотрудников Заказчика, обладающих необходимой информацией
Анализ существующей организационно-технической документации, используемой Заказчиком
Использование специализированных программных средств

Слайд 12

Инструментальный анализ защищенности

Для чего предназначен:
Инвентаризация сетевых сервисов ИСПДн (устройства, ОС, службы, ПО)
Идентификация

Инструментальный анализ защищенности Для чего предназначен: Инвентаризация сетевых сервисов ИСПДн (устройства, ОС,
и анализ технологических уязвимостей ИСПДн
Типы используемых для анализа средств:
Сетевые сканеры безопасности
Хостовые сканеры безопасности (проверка ОС и приложений)
Утилиты удаленного администрирования
Утилиты для верификации найденных уязвимостей
Утилиты для инвентаризации ресурсов

Слайд 13

Инструментальный анализ защищенности

Анализ средств защиты информации
Анализ VPN-шлюзов
Анализ антивирусных средств защиты
Анализ систем обнаружения

Инструментальный анализ защищенности Анализ средств защиты информации Анализ VPN-шлюзов Анализ антивирусных средств
атак IDS/IPS
Анализ межсетевых экранов
Анализ систем защиты от утечки конфиденциальной информации
Анализ безопасности сетевой инфраструктуры
Анализ безопасности коммутаторов
Анализ безопасности маршрутизаторов
Анализ безопасности SAN-сетей
Анализ безопасности сетей WLAN

Слайд 14

Инструментальный анализ защищенности

Анализ безопасности общесистемного программного обеспечения
Анализ ОС Windows
Анализ ОС UNIX
Анализ ОС

Инструментальный анализ защищенности Анализ безопасности общесистемного программного обеспечения Анализ ОС Windows Анализ
Novell Netware
Анализ безопасности прикладного программного обеспечения
Анализ безопасности баз данных
Анализ безопасности почтовых серверов
Анализ безопасности Web-серверов
Анализ безопасности Web-приложений

Слайд 15

Особенности использования инструментальных средств для сбора информации

Заранее оговариваются рамки проведения инструментального аудита

Особенности использования инструментальных средств для сбора информации Заранее оговариваются рамки проведения инструментального

Результаты анализируются и интерпретируются экспертами
Производится фильтрация полученных данных
Используется несколько средств анализа защищённости
Проверка критически важных систем проводится во внерабочие часы, в присутствии администратора с обязательным резервным копированием информации

Слайд 16

Пример элемента методики

Средства защиты от вредоносного кода
Описание: Должны быть внедрены средства определения,

Пример элемента методики Средства защиты от вредоносного кода Описание: Должны быть внедрены
предотвращения и восстановления для защиты против вредоносного кода и соответствующие процедуры предупреждения пользователей.
Документальная проверка: документы, отражающие положения по антивирусной защиты информационных систем; должностные инструкции; документы, фиксирующие приобретение антивирусных средств защиты информации.
Инструментальный контроль: методика инструментальной проверки средств защиты от вредоносного и мобильного кода.
Результат: отчет; отчет об инструментальном анализе (детальная информация об эффективности применяемых средств защиты)

Слайд 17

Критерии оценки

Критерии оценки

Слайд 18

Тест на проникновение (Penetration testing)

Тест на проникновение позволяет получить независимую оценку безопасности

Тест на проникновение (Penetration testing) Тест на проникновение позволяет получить независимую оценку
ИСПДн по отношению к внешнему нарушителю
Исходные данные
IP-адреса внешних серверов
Анализ проводится с внешнего периметра
Собираемая информация
Топология сети
Используемые ОС и версии ПО
Запущенные сервисы
Открытые порты, конфигурация и т.д.

Слайд 19

получение информации из открытых источников

сканирование внешнего периметра

поиск / создание эксплойтов

взлом внешнего периметра

получение информации из открытых источников сканирование внешнего периметра поиск / создание эксплойтов
/ DMZ

сканирование внутренней сети

поиск / создание эксплойта

взлом узла локальной сети

вступление в контакт с персоналом

обновление троянской программы

атака на человека

получение доступа к узлу локальной сети

Получение доступа к персональным данным

Техническая составляющая

Социальная составляющая

Обобщенный план теста на проникновение

Слайд 20

Структура итогового отчёта

Границы проведения аудита безопасности
Описание ИСПДн Заказчика
Методы и средства проведения аудита
Результаты

Структура итогового отчёта Границы проведения аудита безопасности Описание ИСПДн Заказчика Методы и
классификации ИСПДн
Частная модель угроз безопасности ПДн
Требования по защите персональных данных
Рекомендации по совершенствованию системы защиты персональных данных
План мероприятий по созданию системы защиты персональных данных

Слайд 21

Продолжительность этапов

Продолжительность этапов

Слайд 22

Дальнейшие действия по результатам

Результаты аудита являются основой для проведения дальнейших работ по

Дальнейшие действия по результатам Результаты аудита являются основой для проведения дальнейших работ
повышению информационной безопасности:
Совершенствование организационно-правового обеспечения Заказчика (разработка Политики безопасности, должностных инструкций, регламентов и т.д.)
Проектирование, разработка, внедрение и сопровождение систем защиты, устраняющих уязвимости, выявленные в процессе проведения аудита безопасности
Обучение персонала Заказчика
Имя файла: Практические-аспекты-проведения-аудита-с-целью-оценки-соответствия-требованиям-ФЗ-«О-персональных-данных».pptx
Количество просмотров: 134
Количество скачиваний: 0