№ | Слайд | Текст |
1 |
 |
Архитектура системы защиты персональных данныхПодсистема межсетевого экранирования Ростислав Рыжков ОАО «ЭЛВИС-ПЛЮС» 2010 год © ОАО «ЭЛВИС-ПЛЮС», 2010 г., |
2 |
 |
Вопросы презентацииРегуляторы о системе защиты персональных данных. Требования к средствам ИБ, применяемых в подсистемах Примеры решений Подсистема межсетевого экранирования, ее специфика и место в СЗПДн Как традиционно выглядит подсистема МЭ, и почему Проблемы ПМЭ для малых и больших ИС Управление ПМЭ, инфраструктура и обеспечивающие сервисы. Практика решений. Презентация нацелена на операторов персональных данных, в том числе и не имеющих достаточного опыта в вопросах информационной безопасности |
3 |
 |
Регуляторы о системе защиты персональных данных Подсистемы СЗПДнПодсистема управления доступом Подсистема регистрации и учета Подсистема обеспечения целостности Подсистема антивирусной защиты Подсистема обнаружения вторжений Подсистема криптографической защиты Подсистема защиты ПДн от утечки за счет ПЭМИН Предусмотрены однопользовательский и многопользовательский режимы обработки данных в ИСПДн, во втором случае – с равными либо разными правами доступа Подсистемы: Требования регуляторов ясно определяют состав ИСПДн и требования к ее подсистемам |
4 |
 |
Требования к средствам ИБ, применяемых в подсистемах, и примерырешений Рекомендации регуляторов по архитектуре СЗПДн. Подсистемы СЗПДн Подсистемы Требования Регистрации и учета Обеспечения целостности Антивирусной защиты Обнаружения вторжений Регистрация запросов на получение ПДн и их предоставления в электронном журнале, защита данных регистрации Резервное копирование ПДн на отчуждаемые носители в ИСПДн К1 иК2, с разными правами пользователей Антивирусное ПО должно быть сертифицировано по требованиям соответствующего уровня контроля НДВ, а также на соответствие ТУ с требованиями не ниже соответствующего класса ИСПДн Мероприятия по обнаружению вторжений в ИСПДн в соответствии с требованиями НД ФСБ. Для ИСПДн 3 класса рекомендуеются СОВ, использующие сигнатурные методы, для ИСПДН 1 и 2 класса – СОВ, использующие также методы выявления аномалий. |
5 |
 |
Управления доступомТребования к средствам ИБ, применяемых в подсистемах, и примеры решений Рекомендации регуляторов по архитектуре СЗПДн. Подсистемы СЗПДн Подсистемы Требования Защиты ПДн от утечки за счет ПЭМИН Криптографической защиты Шифрование ПДн в каналах связи и на съёмных носителях, в ИСПДн К1, с равными и разными правами пользователей Межсетевые экраны от 5 до 3 класса Далее - о двух последних подсистемах К2- в соответствии стандартам по ЭМС и санитарным нормам, К1- по СТР-К |
6 |
 |
Подсистема криптографической защиты Когда использовать криптографиюВ криптографической подсистеме……… должны использоваться сертифицированные средства криптографической защиты В системах, где АРМ или ЛВС объединены средствами связи. Необходимость криптографической защиты возникает при передаче информации в среду, в которой она может оказаться доступной нарушителю (незащищенные от НСД средства хранения информации, каналы связи) В системах, в которых в соответствии с моделью угроз возможно наличие инсайдера, а безопасность хранения и обработки не может быть гарантированно обеспечена другими средствами Шифрование файлов и папок не проблема – имеется много инструментов Шифрование баз данных – также решаемо. Решение о необходимости защиты ПДн с использованием криптографических средств принимается оператором |
7 |
 |
Подсистема управления доступом Межсетевые экраныВ зависимости от класса ИСПДн (1- 4 классы) и режима обработки данных (однопользовательский, многопользовательский) должны использоваться межсетевые экраны, сертифицированные ФСТЭК по классам от 5 до 3 (для межсетевых экранов) Пример текста в сертификате: «…по 3 классу для МЭ и по 3 уровню НДВ (может использоваться для защиты информации в ИСПДн до 1 класса включительно)» ПОДРОБНОСТИ http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls Конечно, подсистема включает не только МЭ, но регуляторы обращают внимание именно на них |
8 |
 |
Fire wall, он же – Брандмауэр 200 лет назад Сегодня так называютмежсетевой экран БРАНДМАУЭР Стена из несгораемого материала, разделяющая смежные строения или части одного строения в противопожарных целях |
9 |
 |
Традиционные средства межсетевого экранированияCisco Secure Private Internet Exchange (PIX) Firewall Firewalls D-Link CheckPoint Connectra Даже если снаружи все горит – у нас покой и порядок. В чем же проблема? |
10 |
 |
Требования регуляторов к межсетевым экранам и другим средствам защиты«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия» Постановление Правительства РФ от 17.11.2007 г. № 781, п.5 Прямой нормы, определяющей понятие «оценка соответствия» применительно к средствам защиты ПДн– нет, это порождает много вопросов, связанных с порядком такой оценки. Для разрешения проблемы юристы предлагают проверенный метод – применить аналогию закона (ст. 6 ГК РФ) Наличие сертификата - как будто и не обязательно |
11 |
 |
Требования регуляторов к межсетевым экранам и другим средствам защитыДля защиты персональных данных возможно применение не сертифицированных СЗИ, оценка соответствия которых осуществлена в форме декларирования соответствия. Порядок оценки соответствия устанавливается на основании стандартов (например, ГОСТ 34.601-90), устанавливающих порядок ввода в эксплуатацию ИС, а саму оценку необходимо проводить на соответствие выполняемых средством защиты функций, предусмотренных «Положением о методах и способах защиты информации в информационных системах персональных данных». Завершить работы по оценке надо проведением экспертизы результатов во ФСТЭК или ФСБ России НО! Наличие сертификата позволяет избежать экспертизы результатов оценки соответствия во ФСТЭК или ФСБ России |
12 |
 |
Межсетевые экраны для малых информационных систем Чего хотят владельцымалых ИСПДн? Функции управление доступом (фильтрация и преобразование фильтруемой информации) на сетевом уровне идентификация и аутентификация хостов и пользователей регистрация и учет администрирование Дополнительные требования Простота установки и администрирования невысокая стоимость соответствие требованиям регуляторов Недорогие межсетевые экраны – от 7000 рублей? Вспомним про экспертизу результатов оценки соответствия во ФСТЭК или ФСБ России Если уж применение межсетевых экранов в ИСПДн обязательно, хотелось бы иметь необходимую функциональность и минимум хлопот. |
13 |
 |
Межсетевое экранирование в крупных информационных системах Чтонеобходимо в крупных ИСПДН? Требования Соответствие требованиям регуляторов Эффективное, желательно централизованное, обновление ПО МЭ Простое, желательно централизованное администрирование Совместная работа с МЭ разных производителей Строгая аутентификация агентов Взаимодействие с агентами по защищенному каналу Протоколирование и анализ состояния агентов и событий сети Проблемы Наличие значительного числа квалифицированных администраторов Большие трудозатраты специалистов на обслуживание МЭ Содержательные журналы событий сетевой безопасности и средства их анализа Серьезная проблема крупных ИСПДн – администрирование сотен и тысяч межсетевых экранов |
14 |
 |
Организация работы межсетевых экранов Инфраструктура и обеспечивающиесервисы Что понадобится Как обеспечить Сертификаты цифрового ключа Криптопровайдер Политики безопасности и правила доступа Услуги администратора (администраторов) Инструменты администрирования и управления Проблемы начинаются, когда межсетевых экранов в ИСПДн становится много Организовать собственный удостоверяющий центр, или получать ключи в стороннем УЦ Входит в комплект поставки МЭ либо приобретается отдельно Правила доступа определяются владельцами ИСПДн (администраторами), соответствующие политики генерируются программно и устанавливаются на МЭ Силами собственных специалистов, или привлекая сторонних (аутсоурсинг) |
15 |
 |
Инструменты администрирования и управленияЛидеры рынка безопасности решают задачи администрирования и управления сетей и информационных систем с помощью специализированных инструментов |
16 |
 |
Межсетевые экраныЗадачи администрирования и управления Генерация глобальной и локальных политик безопасности (ГПБ, ЛПБ) Доставка ЛПБ на управляемые межсетевые экраны, ее активация и дезактивация Мониторинг и журналирование событий безопасности на управляемых МЭ Мониторинг статуса управляемых устройств и его оперативное изменение в случае необходимости В больших ИСПДн критически важно централизованное, удаленное управление межсетевыми экранами и средствами безопасности |
17 |
 |
Межсетевые экраныАдминистрирование и управление Подробнее – вчера, 14:40 – 15:00 «Централизованное управление сетевой безопасностью в распределенных информационных системах» и сегодня , здесь. Эффективно работает с 1000 -1500 агентами. В перспективе – до 5 000 агентов Управляет как собственными Агентами, так и маршрутизаторами Cisco, межсетевыми экранами Cisco PIX, и устройствами Check Point VPN-1/FireWall-1 Удаленно взаимодействует с агентами через Интернет по защищенному каналу Обеспечивает удаленное обновление ПО собственных АгентовАгентов |
18 |
 |
Спасибо за внимание 124460, МОСКВА, Зеленоград, Центральный проспект, 11 тел. 777-42-92, факс 531-8863 e-mail: mb@elvis.ru http://www.elvis.ru |
«Архитектура системы защиты персональных данных» |
http://900igr.net/prezentacija/mkhk/arkhitektura-sistemy-zaschity-personalnykh-dannykh-266198.html