Шибков Сергей Ильич Директор департамента ДЕПАРТАМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЗАО «РАМЭК-ВС» Федеральный Закон 152 «О персона

информатизации по требованиям безопасности информации

Проведение сертификации по требованиям безопасности информации

Проведение специальной экспертизы предприятий на право деятельности по созданию СЗИ

специальных работ

Отдел научно-исследовательских и опытно-конструкторских работ

Отдел разработки и внедрения комплексных систем безопасности информации

Отдел специальных экспертиз

Директор

Испытательная лаборатория

Сектор проектирования

Сектор внедрения

Сектор системных решений

Сектор защиты от НСД

Сектор защиты от ПЭМИН

Сектор криптографической защиты

Сектор аттестации объектов информатизации

Группа объектовых специальных работ

Группа контроля по НСД

Группа контроля по НДВ

Группа тестирования

(или) оказание услуг в области защиты государственной тайны (специальные работы)

Осуществление деятельности по выявлению электронных устройств предназначенных для не гласного получения информации в помещениях и технических средствах

Осуществление работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну
(монтаж, наладка, установка, распространение и ТО шифровальные средства)

Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (монтаж, наладка, установка, распространение и ТО шифровальные средства)

Деятельность в области создания средств защиты информации

Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации и ПДИТР)

Проведение работ, связанных с созданием средств защиты информации

деятельности по техническому обслуживанию шифровальных (криптографических) средств

Осуществление мероприятий и оказание услуг в области шифрования информации с использованием шифровальных (криптографических) средств

Осуществление деятельности по распространению шифровальных (криптографических) средств

Деятельность в области создания средств защиты информации

Деятельность по разработке и (или) производству средств защиты конфиденциальной информации

Деятельность по технической защите конфиденциальной информации

Министерство обороны Российской Федерации

и техническое обслуживание автоматизированных систем в защищенном исполнении

информационной безопасности (ИБ);
Проектирование информационных систем (автоматизированных систем управления производством, географических информационных систем и др.) и объектов в защищенном исполнении;
Создание защищённых информационных и телекоммуникационных систем и объектов любой сложности в соответствии с требованиями по безопасности информации, предъявляемыми руководящими документами ФСБ России, ФСТЭК России и Минобороны России;
Специальные проверки и специальные исследования технических средств и систем, предназначенных для хранения, обработки и передачи информации, составляющей государственную тайну, или предназначенных для размещения в помещениях, предназначенных для проведения мероприятий с обсуждением информации, составляющей государственную тайну;
Аттестация объектов информатизации по требованиям безопасности информации, составляющей государственную тайну и конфиденциальные сведения (в том числе персональные данные);
Подбор, поставку, настройку и установку аппаратных и программных средств защиты информации в соответствии с требованиями заказчика и разработанной политикой безопасности, разработке, созданию и вводу в строй систем защиты информации (СЗИ) эксплуатируемых и создаваемых локальных и глобальных автоматизированных систем, техническое сопровождение СЗИ в течение гарантийного срока эксплуатации, а также послегарантийное обслуживание;
Консалтинг в области информационной безопасности.
Сертификация автоматизированных систем, средств и комплексов защиты информации в системе сертификации МО РФ.
Экспертная оценка предприятий промышленности, организаций и компаний на соответствие требованиям МО РФ на право получения лицензий на деятельность в области защиты информации.

Баумана, МИФИ, МТУСИ, Высшие военные учебные заведения по командным и инженерным специальностям радиоэлектроники, РЭБ, электросвязи

Характеристика кадрового состава:

Сертификаты подтверждающие квалификацию (повышение квалификации):

обработки персональных данных Министерства социального развития Саратовской области
Проектно-изыскательские работы по модернизации информационной системы обработки персональных данных Государственного комитета социальной поддержки населения Саратовской области
Осуществление поставки средств защиты информации и работы по их установке для создания и развития информационной системы для предоставления государственных и муниципальных услуг на основе многофункциональных центров в Тамбовской области.
2007-2008 год
Разработка технического проекта на создание «Системы защиты информации, обрабатываемой в автоматизированной информационной системе «Государственный заказ» Ханты-Мансийского автономного округа.
Разработка концепции по Информационной безопасности администрации Ямало-ненецкого автономного округа.
Модернизация системы защиты информации в Управлении Федерального казначейства по Москве и Московской области, выполнение специальных работ, аттестация локальных вычислительных сетей УФК.
Выполнение работ по защите выделенных помещений, первых отделов в различных учреждениях, организациях, на предприятиях и компаниях. Аттестация объектов информатизации для обработки сведений составляющих государственную тайну.

ВЫПОЛНЕННЫЕ ПРОЕКТЫ

Коллектив Департамента – активно развивает направление по реализации 152 ФЗ «О защите персональных данных»

деятельности ООО «Газпром трансгаз Ставрополь»
Проектно-изыскательские работы по созданию «Защищенного узла доступа ООО «Газпром трансгаз Ставрополь»
Проектно-изыскательские работы по созданию «Системы управления доступом к сетевому оборудованию ООО «Газпром трансгаз Ставрополь»
2007-2008 год
Проектно-изыскательские работы по созданию «Системы информационной безопасности Региональной сети передачи данных ООО «Газпром ноябрьск добыча»
Проектно-изыскательские работы по созданию «Системы информационной безопасности информационно-вычислительной системы Объекта №4 ОАО «Газпром»
Проектно-изыскательские работы по созданию «Системы информационной безопасности информационно-вычислительной системы Объекта №5 ОАО «Газпром»
Проектно-изыскательские работы по созданию «Системы информационной безопасности информационно-вычислительной системы Объекта №6 ОАО «Газпром»
Внедрение Удостоверяющего центра в ООО «Новоуренгойский газохимический комплекс»
Участие в разработке проекта на создание «Системы защиты информации информационно-управляющей системы производственно-хозяйственной деятельности ООО «Надымгазпром».

Коллектив Департамента – участник комплексной целевой программы Службы корпоративной защиты ОАО «Газпром» по безопасности информации

техники
2009 год
Участие в проектах по созданию автоматизированной системы Вооруженных Сил Российской Федерации в части защиты информации и противодействия иностранным техническим разведкам
Выполнение опытно-конструкторских работ по созданию систем защиты информации комплексных систем тренажеров для отработки задач по управлению вооружением и военной техникой
Выполнение опытно-конструкторских работ по созданию систем защиты информации информационных и управляющих систем вооружения и военной техники
Выполнение объектовых специальных исследований на объектах информатизации органов военного управления Министерства обороны Российской Федерации.
2008-2007 год
Выполнение опытно-конструкторской работы по созданию системы защиты информации в функциональной системе освещения обстановки в составе интегрированной АСУ Военно-морского флота
Выполнение опытно-конструкторской работы по созданию системы защиты секретной информации специального назначения
Выполнение опытно-конструкторской работы по созданию «Системы информационной безопасности оперативно-тактического тренажерного комплекса ВМФ»
Участие в выполнении опытно-конструкторской работы по созданию системы защиты секретной информации боевого объекта ВМФ
Проведение сертификации специального программного обеспечения объектов вооружения и военной техники.

персональных данных

№152-ФЗ
«О персональных данных» с изменениями от 16.12.09 г.

Постановление правительства РФ от 17 ноября 2007 г. № 781
«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13 февраля 2008 г. №55/86/20 г.Москва
«Об утверждении порядка проведения классификации информационных систем персональных данных»

Документы ФСБ

Руководящие документы ФСТЭК

«Базовая модель угроз безопасности ПДн при их обработке в информационных системах персональных данных»

«Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах персональных данных»

«Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах персональных данных»

«Рекомендации по обеспечению безопасности ПДн при обработке в информационных системах персональных данных»

«Методические рекомендации по обеспечению с помощью криптографических средств безопасности ПДн при обработке в информационных системах персональных данных с использованием автоматизации»

«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств , предназначенных для защиты информации, не содержащих сведений составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных».

средств и информационных технологий обеспечить конфиденциальность, целостность и доступность ПДн при их обработке в информационных системах ПДн.

Система защиты персональных данных
Организационные меры и средства защиты информации (в том числе криптографические)
Средства предотвращающие несанкционированный доступ к информации
Средства предотвращающие утечку по техническим каналам

Средства предотвращающие программно-техническое воздействие на на ПАК обработки ПДн

Свойства используемых программно-технических информационных технологий ПДн

Функции органов государственной системы защиты ПДн

ФСТЭК

ФСБ

Оператор*

Разработка методов и способов защиты информации в информационных системах ПДН в пределах полномочий

Государственный контроль достаточности принятых мер по обеспечению безопасности ПДн
Обеспечение безопасности Пдн при их обработке путем выполнения требований системы защиты.
*Выполнение требований может быть поручена уполномоченному лицу, имеющему разрешительные документы на этот вид деятельности

сведений ПДн субъекта);
2.О ПДн, относящимися к субъекту и требовать
уточнения, а при необходимости уничтожения или
блокирования;
3.О процессе обработки ПДн субъекта (при запросе).
На принятие (непринятие) решения на
основании информации по ПДн на основании
Исключительно автоматизированной обработ-
ки его персональных данных;
Обжалование действий (бездействия) оператора по обеспечению безопасности ПДн.
*Право на ознакомление ограничивается:
1.Если обработка осуществляется в целях обороны страны, безопасности государства, охраны правопорядка;
2.Если обработка осуществляется органами, осуществляющими задержание субъекта по подозрению в совершении преступления;
3.Если это нарушает конституционные права других граждан.

Субъект персональных данных
Принимает решение о предоставлении своих ПДн и дает согласие на их обработку
Оператор персональных данных
Государственный орган, муниципальный орган, юридическое, или физическое лицо, организующее и (или) осуществляющее обработку ПДн

Имеет право:

Обязан:

Оставлять субъекту ПДн по его просьбе информацию по подтверждению обработки ПДн, способах обработки, сведения о лицах, допущенных к обработке, о перечне ПДн, сроках хранения, юридические последствия обработки;
Разъяснять юридические последствия в случаях отказа представления ПДн ;
Обеспечивать меры безопасности ПДн;
Безвозмездно представлять субъекту возможность ознакомления со своими ПДн, внесения изменений, уточнений, а в случае необходимости уничтожения или блокирование
В случае отказа в представлении ПДн, принадлежащий субъекту –мотивировать отказ;
Сообщать в уполномоченный орган по защите прав субъектов ПДн по его запросу, информацию необходимую для осуществления его деятельности.

№128-ФЗ от 8 августа 2001 года
«О лицензировании отдельных видов деятельности»
Постановления правительства РФ
от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»
от 31 августа 2006 г. № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»
от 29 декабря 2007 г. № 957 «О лицензировании отдельных видов деятельности связанных с шифровальными (криптографическими) средствами»

Лицензии ФСТЭК

На деятельность по технической защите конфиденциальной информации

На проведение работ, связанных с созданием средств защиты информации

Лицензии ФСБ

На осуществление технического обслуживания шифровальных (криптографических) средств

На осуществление распространения шифровальных (криптографических ) средств

На предоставление услуг в области шифрования информации

Наличие специалистов имеющих профильное образование или прошедших обучение (повышение квалификации)

Наличие необходимой нормативно-методической и руководящей документации

Наличие необходимого материально-технического обеспечения

(Хпд)

Определение объема Пдн (Хн пд)

Анализ заданных оператором характеристик безопасности ПДн

Анализ размещения (местоположения) технических средств обработки ПДн

Определение наличия подключения к сетям общего пользования и международного обмена

Анализ структуры информационной системы ПДн

Анализ режима обработки Пдн

Анализ режима разграничения прав доступа

Типовые
(по классам)

К1-значительные негативные последствия

К2-негативные последствия

К3-незначительные негативные последствия

К4-без негативных последствий

Акт оператора о присвоении класса ИС

Акт оператора о присвоении статуса специальной системы

По результатам анализа исходных данных определяется класс специальной информационной системы, а на основе модели угроз безопасности персональных данных в соответствии с методическими документами, уточняются требования по безопасности

Специальные

от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

*Класс специальной информационной системы определяется на основе анализа исходных данных, а на основе модели угроз безопасности персональных данных при обработке в информационных системах ПДн уточняются требования по защите .

гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность»

объектах обработки информации предприятий и организаций

систем в защищенном исполнении

Аттестация объектов информатизации по требованиям безопасности информации

Проведение научно-исследовательских и опытно-конструкторских работ

Сертификация программно-аппаратных комплексов по требованиям безопасности

А. Разработка, научные исследования:

Разработка моделей, методологии (концепций) защиты

Б. Практическая реализация:

Внедрение систем защиты от несанкционированного доступа

Оборудование объектов информатизации (выделенных, защищаемых помещений) средствами защиты от утечки по техническим каналам
Разработка организационно-распорядительной документации по защите информации

системы персональных данных

2

Разработка системы защиты персональных данных

классификация ИСПДн
формирование модели угроз безопасности
разработка требований по безопасности
проведение экспертизы в регулирующих органах (по желанию заказчика)

проектирование системы защиты
разработка организационно-распорядительной документации
отработка процессов функционирования системы, проведение испытаний и доводка на макетах и стендах (по желанию заказчика)

получение исходных качественных и количественных параметров для организации проектирования
оценка состояния системы по параметрам соответствия с требованиями руководящих документов ФСТЭК и ФСБ России

Отчет об обследовании (концепция)

Техническое задание на проектирование

Технический проект

3
ЗАО «РАМЭК-ВС» выполняет полный комплекс работ по созданию систем защиты ИСПДн и руководствуется экономической целесообразностью и эффективностью мер, обеспечивающих выполнение требований безопасности информации.

Технические решения по защите персональных данных разработанных на базе собственных аппaратно-программных комплекcов и сертифицированных продуктов ведущих российских и зарубежных компаний.

Аттестация объектов информатизации

Сервисное обслуживание

подготовка к аттестации, включая разработку разрешительной документации системы доступа, организационно-распорядительной документации, технической документации на объект в части касающейся ЗПДн
проведение аттестационных испытаний на соответствие требований безопасности информации, включая экспертное обследование объекта информатизации, исследований на предмет утечки по техническим каналам, комплексные испытания защищенности

4

6

Аттестат соответствия

Оперативное восстановление системы, периодический контроль

5

Действующая система защиты информации

стоимость СЗПДн

(ПЭВМ стандартной конфигурации) + 1 сервер + 4 СКЗИ
120 000-200 000 руб.

Органы управления
Промышленные предприятия

Государственные образовательные учреждения

Условные обозначения

Сбор и анализ исходных данных

Оборудование

Проектирование

Установка и настройка СЗИ и СКЗИ

Аттестация

на объектах обработки информации предприятий и организаций

счет использования централизованной архитектуры защиты и создания рабочих мест сотрудников при помощи терминальных клиентских устройств;
простота развертывания по сравнению самой ИСПДн и средств ЗИ по сравнению с традиционной архитектурой клиент-сервер;
масштабируемость архитектуры;
простота подключения новых пользователей и их сопровождения;
удобство администрирования и снижение операционных затрат за счет отсутствия необходимости локального развертывания ряда СрЗИ на терминалах ИСПДн.

Предлагаемые решения при внедрении «мягко» адаптируются в существующие информационные системы и не требуют изменения бизнес-процессов пользователей автоматизированной системы.

Целесообразность использования терминального доступа рассматривается на этапе предпроектного обследования. Если у компании система обработки персональных данных изначально организована с терминальным доступом, вопрос решается только в части создания защиты.

конфиденциальной информации. В комплекс входит поставка аппаратной части, системы защиты от НСД, установка и настройка программной части информационной системы (по требованиям заказчика)

На аппаратной части комплекса проведен полный комплекс специальных работ, включающий лабораторные специальные проверки и исследования.

Программная реализация Модуля доверенной загрузки не требует аппаратных средств, дополнительно устанавливаемых в ПЭВМ и проведения повторных СЛП.
Применение комплекса обеспечивает защиту многопользовательской АС с разными правами доступа по классу 1Г (обработка конфиденциальной информации).
Комплекс позволяет адаптироваться под обработку персональных данных любыми информационными системами, сертифицированными установленным порядком в ФСТЭК России.

месяцев!!!!
Необходимо уже сейчас начинать приводить все ИСПДн в соответствие
с требованиями ФЗ-152!

Что делать сейчас?