ТРИ СТАНДАРТА. ЕДИНСТВО И БОРЬБА ПРОТИВОПОЛОЖНОСТЕЙ

Содержание

Слайд 2

© Авторские права защищаются
в соответствии с законодательством
Российской Федерации
При использовании ссылка

© Авторские права защищаются в соответствии с законодательством Российской Федерации При использовании ссылка на первоисточник обязательна
на первоисточник обязательна

Слайд 3

ВНИМАНИЕ!

В этой презентации не будет детального анализа требований, предъявляемых различными стандартами. Они,

ВНИМАНИЕ! В этой презентации не будет детального анализа требований, предъявляемых различными стандартами.
как правило, достаточно схожи и будут рассмотрены в последующих выступлениях.
Целью этого выступления является необходимость разъяснения того факта, что не надо строить три разные системы защиты, надо строить одну и она будет справедлива для всех требований.

Слайд 4

ВОПРОСЫ ПРЕЗЕНТАЦИИ

ВОПРОСЫ ПРЕЗЕНТАЦИИ

Слайд 5

ВОПРОСЫ ПРЕЗЕНТАЦИИ

Триединство нормативных документов
Краткий анализ нормативных документов
Основные факторы единства требований
Краткие выводы
Инструкции к

ВОПРОСЫ ПРЕЗЕНТАЦИИ Триединство нормативных документов Краткий анализ нормативных документов Основные факторы единства
исполнению

Слайд 6

ПРОЛОГ

С целью выполнения в организациях БС РФ требований ФЗ «О персональных

ПРОЛОГ С целью выполнения в организациях БС РФ требований ФЗ «О персональных
данных», ЦБ РФ при участии АРБ и Ассоциации «Россия» разработал отраслевые документы по приведению деятельности организаций БС РФ в соответствие с требованиями законодательства в области персональных данных.
«Письмо шести» от 28.06.2010 № 01-23/3148
В комплект отраслевых документов входят:
СТО БР ИББС-1.0-2010 (Общие положения)
СТО БР ИББС-1.2-2010 (Методика оценки)
РС БР ИББС-2.3 (Требования по защите ПДн)
РС БР ИББС-2.4 (Частная модель угроз)

Но есть и другие требования, которые необходимо выполнить для защиты ПДн. Что делать? Как поступать?

Слайд 7

PCI DSS

Комплекс документов
Банка России 2010г.
СТО БР ИББС-1.0
СТО БР ИББС-1.2
РС БР ИББС-2.3
РС

PCI DSS Комплекс документов Банка России 2010г. СТО БР ИББС-1.0 СТО БР
БР ИББС-2.4

Комплект документов по ФЗ-152
Приказ ФСТЭК России № 58, ФЗ-125,
Постановление № 781,
Постановление № 681

ПДн

КРАТКИЙ АНАЛИЗ Триединство требований

В разных нормативах имеются требования по защите информации, но все они защищают еще и ПДн

Слайд 8

СХОЖЕСТЬ И РАЗЛИЧИЕ Что защищаем (область применения)

Наиболее широкая область применения у документов

СХОЖЕСТЬ И РАЗЛИЧИЕ Что защищаем (область применения) Наиболее широкая область применения у документов ЦБ РФ
ЦБ РФ

Слайд 9

СХОЖЕСТЬ И РАЗЛИЧИЕ Правовой статус

Все документы имеют разный правовой статус.
Наиболее высокий

СХОЖЕСТЬ И РАЗЛИЧИЕ Правовой статус Все документы имеют разный правовой статус. Наиболее
статус имеют требования ФЗ-152

Слайд 10

СХОЖЕСТЬ И РАЗЛИЧИЕ Обязательность исполнения

Все документы по разному обязательны к исполнению. Ясно

СХОЖЕСТЬ И РАЗЛИЧИЕ Обязательность исполнения Все документы по разному обязательны к исполнению.
одно: Требования ФЗ-152 надо исполнять!

Слайд 11

СХОЖЕСТЬ И РАЗЛИЧИЕ «Суровость» санкций

Наиболее «суровые» санкции со стороны международных платежных ситем,

СХОЖЕСТЬ И РАЗЛИЧИЕ «Суровость» санкций Наиболее «суровые» санкции со стороны международных платежных
хотя и наш КоАП не слаб.

Слайд 12

СХОЖЕСТЬ И РАЗЛИЧИЕ Направленность требований

Во всех нормативах присутствуют конкретные технические требования по

СХОЖЕСТЬ И РАЗЛИЧИЕ Направленность требований Во всех нормативах присутствуют конкретные технические требования по защите ПДн
защите ПДн

Слайд 13

СХОЖЕСТЬ И РАЗЛИЧИЕ Способ подтверждения соответствия

Наиболее сложная процедура – по стандарту ЦБ

СХОЖЕСТЬ И РАЗЛИЧИЕ Способ подтверждения соответствия Наиболее сложная процедура – по стандарту
РФ, Наиболее затратная процедура – по стандарту PCI DSS

Слайд 14

Все три норматива признают, что защита должна объединять организационные и технические меры.

Все три норматива признают, что защита должна объединять организационные и технические меры.

«… Оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для защиты ПДн»
ФЗ-152, ст. 19, ч.1

«… Требования по обеспечению ПДн в общем случае реализуются комплексом организационных, технологических, технических и программных мер…»
РС БР ИББС-2.3-2010, п. 6.1.1

ВАЖНОЕ ЗАМЕЧАНИЕ I фактор единства

«… Должна быть разработана, опубликована и распространена поддерживаемая в актуальном состоянии политика безопасности. Политика безопасности должна учитывать все требования стандарта »
PCI DSS, п. 12.1

Слайд 15

Процедура моделирования угроз (оценки рисков) лежит в основе выбора требований к системе

Процедура моделирования угроз (оценки рисков) лежит в основе выбора требований к системе
защиты ПДн

«… Мероприятия по обеспечению безопасности ПДн при их обработке в ИС включают в себя … определение угроз безопасности ПДн при их обработке, формирование на их основе модели угроз…»
Постановление Правительства РФ от 17.11.2007 г. № 781, п.12.а

«… Модели угроз и нарушителей должны быть основным инструментом организации БС РФ при развертывании, поддержании и совершенствовании СОИБ…»
РС БР ИББС-1.0-2010, п. 6.1

ВАЖНОЕ ЗАМЕЧАНИЕ II фактор единства

«… Политика безопасности должна описывать ежегодно выполняемый процесс идентификации угроз, уязвимостей и результатов их реализации, в рамках формальной оценки рисков…»
PCI DSS, п. 12.1.2

Слайд 16

КРАТКИЙ АНАЛИЗ ТРЕБОВАНИЙ Состав предъявляемых технических требований

КРАТКИЙ АНАЛИЗ ТРЕБОВАНИЙ Состав предъявляемых технических требований

Слайд 17

СХОЖЕСТЬ И РАЗЛИЧИЕ III фактор единства

Таким образом, выполнив технические требования хотя бы

СХОЖЕСТЬ И РАЗЛИЧИЕ III фактор единства Таким образом, выполнив технические требования хотя
по одному стандарту, можно с уверенностью сказать. Что они будут выполнены и для остальных стандартов

Слайд 18

«Одним махом семерых побивахом!»

Исходя из анализа, приведенного в Приложении к Рекомендациям Центрального

«Одним махом семерых побивахом!» Исходя из анализа, приведенного в Приложении к Рекомендациям
Банка России РС БР ИББС-2.3-2010, видно, что выполнение этих рекомендаций гарантирует соответствие Вашей системы обеспечения информационной безопасности требованиям международных стандартов ISO/IEC 17799-2005 и ISO/IEC 27002-2005

В случае, если Комплекс БР ИББС вводится в организации БС РФ официально (решением) и система обеспечения информационной безопасности организации соответствует СТО БР ИББС-1.0, гарантировано, что и защита ПДн соответствует требованиям Регуляторов.

ВАЖНОЕ ЗАМЕЧАНИЕ Дополнительные преимущества для организаций БС РФ

Слайд 19

Принять решение о введении Комплекса БР ИББС
Уведомить ЦБ РФ о принятом решении
Привести

Принять решение о введении Комплекса БР ИББС Уведомить ЦБ РФ о принятом
систему в соответствие СТО БР ИББС-1,0
Выполнить рекомендации РС БР ИББС-2.3
Провести оценку соответствия требованиям СТО БР ИББС-1,0
Документ о подтверждении соответствия направить Регуляторам

И все это надо сделать не позже 1 июля 2011 года

ПРИВЕДЕНИЕ В СООТВЕТСТВИЕ ОРГАНИЗАЦИЙ БС РФ Последовательность действий

«Письмо шести» от 28.06.2010 г. № 23/3/3148

Имя файла: ТРИ-СТАНДАРТА.-ЕДИНСТВО-И-БОРЬБА-ПРОТИВОПОЛОЖНОСТЕЙ.pptx
Количество просмотров: 157
Количество скачиваний: 1