Без темы
<<  Архаичные культурные Традиции Кореи Б.И. Нигматулин профессор Московский экономический форум «Несырьевое будущее» Доклад на тему: «Коррупция: как обуздать неуемные аппетиты чиновников»  >>
Архитектура системы защиты персональных данных
Архитектура системы защиты персональных данных
Вопросы презентации
Вопросы презентации
Регуляторы о системе защиты персональных данных Подсистемы СЗПДн
Регуляторы о системе защиты персональных данных Подсистемы СЗПДн
Требования к средствам ИБ, применяемых в подсистемах, и примеры
Требования к средствам ИБ, применяемых в подсистемах, и примеры
Управления доступом
Управления доступом
Подсистема криптографической защиты Когда использовать криптографию
Подсистема криптографической защиты Когда использовать криптографию
Подсистема управления доступом Межсетевые экраны
Подсистема управления доступом Межсетевые экраны
Fire wall, он же – Брандмауэр 200 лет назад Сегодня так называют
Fire wall, он же – Брандмауэр 200 лет назад Сегодня так называют
Традиционные средства межсетевого экранирования
Традиционные средства межсетевого экранирования
Требования регуляторов к межсетевым экранам и другим средствам защиты
Требования регуляторов к межсетевым экранам и другим средствам защиты
Требования регуляторов к межсетевым экранам и другим средствам защиты
Требования регуляторов к межсетевым экранам и другим средствам защиты
Межсетевые экраны для малых информационных систем Чего хотят владельцы
Межсетевые экраны для малых информационных систем Чего хотят владельцы
Межсетевое экранирование в крупных информационных системах Что
Межсетевое экранирование в крупных информационных системах Что
Организация работы межсетевых экранов Инфраструктура и обеспечивающие
Организация работы межсетевых экранов Инфраструктура и обеспечивающие
Инструменты администрирования и управления
Инструменты администрирования и управления
Межсетевые экраны
Межсетевые экраны
Межсетевые экраны
Межсетевые экраны
Спасибо за внимание
Спасибо за внимание

Презентация: «Архитектура системы защиты персональных данных». Автор: Ryzhkov. Файл: «Архитектура системы защиты персональных данных.ppt». Размер zip-архива: 10918 КБ.

Архитектура системы защиты персональных данных

содержание презентации «Архитектура системы защиты персональных данных.ppt»
СлайдТекст
1 Архитектура системы защиты персональных данных

Архитектура системы защиты персональных данных

Подсистема межсетевого экранирования

Ростислав Рыжков ОАО «ЭЛВИС-ПЛЮС» 2010 год

© ОАО «ЭЛВИС-ПЛЮС», 2010 г.,

2 Вопросы презентации

Вопросы презентации

Регуляторы о системе защиты персональных данных. Требования к средствам ИБ, применяемых в подсистемах Примеры решений Подсистема межсетевого экранирования, ее специфика и место в СЗПДн Как традиционно выглядит подсистема МЭ, и почему Проблемы ПМЭ для малых и больших ИС Управление ПМЭ, инфраструктура и обеспечивающие сервисы. Практика решений.

Презентация нацелена на операторов персональных данных, в том числе и не имеющих достаточного опыта в вопросах информационной безопасности

3 Регуляторы о системе защиты персональных данных Подсистемы СЗПДн

Регуляторы о системе защиты персональных данных Подсистемы СЗПДн

Подсистема управления доступом Подсистема регистрации и учета Подсистема обеспечения целостности Подсистема антивирусной защиты Подсистема обнаружения вторжений Подсистема криптографической защиты Подсистема защиты ПДн от утечки за счет ПЭМИН

Предусмотрены однопользовательский и многопользовательский режимы обработки данных в ИСПДн, во втором случае – с равными либо разными правами доступа

Подсистемы:

Требования регуляторов ясно определяют состав ИСПДн и требования к ее подсистемам

4 Требования к средствам ИБ, применяемых в подсистемах, и примеры

Требования к средствам ИБ, применяемых в подсистемах, и примеры

решений Рекомендации регуляторов по архитектуре СЗПДн. Подсистемы СЗПДн

Подсистемы

Требования

Регистрации и учета

Обеспечения целостности

Антивирусной защиты

Обнаружения вторжений

Регистрация запросов на получение ПДн и их предоставления в электронном журнале, защита данных регистрации

Резервное копирование ПДн на отчуждаемые носители в ИСПДн К1 иК2, с разными правами пользователей

Антивирусное ПО должно быть сертифицировано по требованиям соответствующего уровня контроля НДВ, а также на соответствие ТУ с требованиями не ниже соответствующего класса ИСПДн

Мероприятия по обнаружению вторжений в ИСПДн в соответствии с требованиями НД ФСБ. Для ИСПДн 3 класса рекомендуеются СОВ, использующие сигнатурные методы, для ИСПДН 1 и 2 класса – СОВ, использующие также методы выявления аномалий.

5 Управления доступом

Управления доступом

Требования к средствам ИБ, применяемых в подсистемах, и примеры решений Рекомендации регуляторов по архитектуре СЗПДн. Подсистемы СЗПДн

Подсистемы

Требования

Защиты ПДн от утечки за счет ПЭМИН

Криптографической защиты

Шифрование ПДн в каналах связи и на съёмных носителях, в ИСПДн К1, с равными и разными правами пользователей

Межсетевые экраны от 5 до 3 класса

Далее - о двух последних подсистемах

К2- в соответствии стандартам по ЭМС и санитарным нормам, К1- по СТР-К

6 Подсистема криптографической защиты Когда использовать криптографию

Подсистема криптографической защиты Когда использовать криптографию

В криптографической подсистеме……… должны использоваться сертифицированные средства криптографической защиты

В системах, где АРМ или ЛВС объединены средствами связи. Необходимость криптографической защиты возникает при передаче информации в среду, в которой она может оказаться доступной нарушителю (незащищенные от НСД средства хранения информации, каналы связи) В системах, в которых в соответствии с моделью угроз возможно наличие инсайдера, а безопасность хранения и обработки не может быть гарантированно обеспечена другими средствами

Шифрование файлов и папок не проблема – имеется много инструментов Шифрование баз данных – также решаемо.

Решение о необходимости защиты ПДн с использованием криптографических средств принимается оператором

7 Подсистема управления доступом Межсетевые экраны

Подсистема управления доступом Межсетевые экраны

В зависимости от класса ИСПДн (1- 4 классы) и режима обработки данных (однопользовательский, многопользовательский) должны использоваться межсетевые экраны, сертифицированные ФСТЭК по классам от 5 до 3 (для межсетевых экранов)

Пример текста в сертификате: «…по 3 классу для МЭ и по 3 уровню НДВ (может использоваться для защиты информации в ИСПДн до 1 класса включительно)» ПОДРОБНОСТИ http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls

Конечно, подсистема включает не только МЭ, но регуляторы обращают внимание именно на них

8 Fire wall, он же – Брандмауэр 200 лет назад Сегодня так называют

Fire wall, он же – Брандмауэр 200 лет назад Сегодня так называют

межсетевой экран

БРАНДМАУЭР Стена из несгораемого материала, разделяющая смежные строения или части одного строения в противопожарных целях

9 Традиционные средства межсетевого экранирования

Традиционные средства межсетевого экранирования

Cisco Secure Private Internet Exchange (PIX) Firewall

Firewalls D-Link

CheckPoint Connectra

Даже если снаружи все горит – у нас покой и порядок. В чем же проблема?

10 Требования регуляторов к межсетевым экранам и другим средствам защиты

Требования регуляторов к межсетевым экранам и другим средствам защиты

«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия» Постановление Правительства РФ от 17.11.2007 г. № 781, п.5 Прямой нормы, определяющей понятие «оценка соответствия» применительно к средствам защиты ПДн– нет, это порождает много вопросов, связанных с порядком такой оценки. Для разрешения проблемы юристы предлагают проверенный метод – применить аналогию закона (ст. 6 ГК РФ)

Наличие сертификата - как будто и не обязательно

11 Требования регуляторов к межсетевым экранам и другим средствам защиты

Требования регуляторов к межсетевым экранам и другим средствам защиты

Для защиты персональных данных возможно применение не сертифицированных СЗИ, оценка соответствия которых осуществлена в форме декларирования соответствия. Порядок оценки соответствия устанавливается на основании стандартов (например, ГОСТ 34.601-90), устанавливающих порядок ввода в эксплуатацию ИС, а саму оценку необходимо проводить на соответствие выполняемых средством защиты функций, предусмотренных «Положением о методах и способах защиты информации в информационных системах персональных данных». Завершить работы по оценке надо проведением экспертизы результатов во ФСТЭК или ФСБ России

НО! Наличие сертификата позволяет избежать экспертизы результатов оценки соответствия во ФСТЭК или ФСБ России

12 Межсетевые экраны для малых информационных систем Чего хотят владельцы

Межсетевые экраны для малых информационных систем Чего хотят владельцы

малых ИСПДн?

Функции управление доступом (фильтрация и преобразование фильтруемой информации) на сетевом уровне идентификация и аутентификация хостов и пользователей регистрация и учет администрирование

Дополнительные требования Простота установки и администрирования невысокая стоимость соответствие требованиям регуляторов

Недорогие межсетевые экраны – от 7000 рублей? Вспомним про экспертизу результатов оценки соответствия во ФСТЭК или ФСБ России

Если уж применение межсетевых экранов в ИСПДн обязательно, хотелось бы иметь необходимую функциональность и минимум хлопот.

13 Межсетевое экранирование в крупных информационных системах Что

Межсетевое экранирование в крупных информационных системах Что

необходимо в крупных ИСПДН?

Требования Соответствие требованиям регуляторов Эффективное, желательно централизованное, обновление ПО МЭ Простое, желательно централизованное администрирование Совместная работа с МЭ разных производителей Строгая аутентификация агентов Взаимодействие с агентами по защищенному каналу Протоколирование и анализ состояния агентов и событий сети

Проблемы Наличие значительного числа квалифицированных администраторов Большие трудозатраты специалистов на обслуживание МЭ Содержательные журналы событий сетевой безопасности и средства их анализа

Серьезная проблема крупных ИСПДн – администрирование сотен и тысяч межсетевых экранов

14 Организация работы межсетевых экранов Инфраструктура и обеспечивающие

Организация работы межсетевых экранов Инфраструктура и обеспечивающие

сервисы

Что понадобится

Как обеспечить

Сертификаты цифрового ключа

Криптопровайдер

Политики безопасности и правила доступа

Услуги администратора (администраторов)

Инструменты администрирования и управления

Проблемы начинаются, когда межсетевых экранов в ИСПДн становится много

Организовать собственный удостоверяющий центр, или получать ключи в стороннем УЦ

Входит в комплект поставки МЭ либо приобретается отдельно

Правила доступа определяются владельцами ИСПДн (администраторами), соответствующие политики генерируются программно и устанавливаются на МЭ

Силами собственных специалистов, или привлекая сторонних (аутсоурсинг)

15 Инструменты администрирования и управления

Инструменты администрирования и управления

Лидеры рынка безопасности решают задачи администрирования и управления сетей и информационных систем с помощью специализированных инструментов

16 Межсетевые экраны

Межсетевые экраны

Задачи администрирования и управления

Генерация глобальной и локальных политик безопасности (ГПБ, ЛПБ) Доставка ЛПБ на управляемые межсетевые экраны, ее активация и дезактивация Мониторинг и журналирование событий безопасности на управляемых МЭ Мониторинг статуса управляемых устройств и его оперативное изменение в случае необходимости

В больших ИСПДн критически важно централизованное, удаленное управление межсетевыми экранами и средствами безопасности

17 Межсетевые экраны

Межсетевые экраны

Администрирование и управление

Подробнее – вчера, 14:40 – 15:00 «Централизованное управление сетевой безопасностью в распределенных информационных системах» и сегодня , здесь.

Эффективно работает с 1000 -1500 агентами. В перспективе – до 5 000 агентов Управляет как собственными Агентами, так и маршрутизаторами Cisco, межсетевыми экранами Cisco PIX, и устройствами Check Point VPN-1/FireWall-1 Удаленно взаимодействует с агентами через Интернет по защищенному каналу Обеспечивает удаленное обновление ПО собственных АгентовАгентов

18 Спасибо за внимание

Спасибо за внимание

124460, МОСКВА, Зеленоград, Центральный проспект, 11 тел. 777-42-92, факс 531-8863 e-mail: mb@elvis.ru http://www.elvis.ru

«Архитектура системы защиты персональных данных»
http://900igr.net/prezentacija/mkhk/arkhitektura-sistemy-zaschity-personalnykh-dannykh-266198.html
cсылка на страницу

Без темы

207 презентаций
Урок

МХК

58 тем
Слайды
900igr.net > Презентации по МХК > Без темы > Архитектура системы защиты персональных данных