Защита информации
<<  Социальная защита семьи Персональные данные работников  >>
Соответствие требованиям российских нормативных документов по защите
Соответствие требованиям российских нормативных документов по защите
Соответствие требованиям российских нормативных документов по защите
Соответствие требованиям российских нормативных документов по защите
Содержание
Содержание
Перечень сведений конфиденциального характера Указ Президента РФ от 06
Перечень сведений конфиденциального характера Указ Президента РФ от 06
Структура информации, чья защита регламентируется нормативными
Структура информации, чья защита регламентируется нормативными
ФЗ ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ (27
ФЗ ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ (27
Руководящие документы
Руководящие документы
Основные типы информации, защищаемые с помощью СКЗИ
Основные типы информации, защищаемые с помощью СКЗИ
Положение о сертификации средств защиты информации Утверждено
Положение о сертификации средств защиты информации Утверждено
Положение о разработке, производстве, реализации и эксплуатации
Положение о разработке, производстве, реализации и эксплуатации
Положение о разработке, производстве, реализации и эксплуатации
Положение о разработке, производстве, реализации и эксплуатации
Указ президента российской федерации о мерах по обеспечению
Указ президента российской федерации о мерах по обеспечению
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ по обеспечению с помощью криптосредств
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ по обеспечению с помощью криптосредств
Сертифицированные СКЗИ
Сертифицированные СКЗИ
Сценарии
Сценарии
VPN: Удалённый доступ к сети предприятия
VPN: Удалённый доступ к сети предприятия
VPN: Объединение филиалов в единую сеть
VPN: Объединение филиалов в единую сеть
Возможности IPSec
Возможности IPSec
Изоляция серверов и доменов (SDI)
Изоляция серверов и доменов (SDI)
Сегментация на основе политики
Сегментация на основе политики
UAG предоставляет безопасный удаленный доступ из любой точки мира к
UAG предоставляет безопасный удаленный доступ из любой точки мира к
Архитектура Forefront UAG
Архитектура Forefront UAG
Публикация с помощью Forefront TMG
Публикация с помощью Forefront TMG
Совместная работа UAG и AD FS
Совместная работа UAG и AD FS
Что нужно для соответствия требованиям
Что нужно для соответствия требованиям
Что такое EFS
Что такое EFS
Ключевые факты о EFS
Ключевые факты о EFS
Как работает EFS
Как работает EFS
Формат зашифрованного файла
Формат зашифрованного файла
Дополнительные возможности КриптоПро EFS
Дополнительные возможности КриптоПро EFS
Список продуктов, имеющих сертификат ФСТЭК
Список продуктов, имеющих сертификат ФСТЭК
Список продуктов, имеющих сертификат ФСТЭК (продолжение)
Список продуктов, имеющих сертификат ФСТЭК (продолжение)
Сертификация в ФСБ
Сертификация в ФСБ
Как купить сертифицированный продукт
Как купить сертифицированный продукт
Выводы
Выводы
Ресурсы
Ресурсы
Официальные курсы и сертификация Microsoft
Официальные курсы и сертификация Microsoft
Специальные предложения
Специальные предложения
Обратная связь
Обратная связь
Вопросы
Вопросы
Соответствие требованиям российских нормативных документов по защите
Соответствие требованиям российских нормативных документов по защите

Презентация на тему: «Соответствие требованиям российских нормативных документов по защите информации». Автор: . Файл: «Соответствие требованиям российских нормативных документов по защите информации.pptx». Размер zip-архива: 3323 КБ.

Соответствие требованиям российских нормативных документов по защите информации

содержание презентации «Соответствие требованиям российских нормативных документов по защите информации.pptx»
СлайдТекст
1 Соответствие требованиям российских нормативных документов по защите
2 Соответствие требованиям российских нормативных документов по защите

Соответствие требованиям российских нормативных документов по защите

информации

IS 304

Павел Смирнов

Андрей Иванов

Microsoft Россия

Крипто-Про

3 Содержание

Содержание

Требования регуляторов Защита конфиденциальной информации при передаче Виртуальные частные сети (VPN) Изоляция серверов и доменов Защищённый удалённый доступ к ресурсам и приложениям Защита конфиденциальной информации при хранении Выводы

4 Перечень сведений конфиденциального характера Указ Президента РФ от 06

Перечень сведений конфиденциального характера Указ Президента РФ от 06

03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера"

Персональные данные Коммерческая тайна Служебная тайна Банковская тайна Налоговая тайна Профессиональная тайна (предварительного следствия, судопроизводства, страхования, врачебная…) Иная тайна (усыновления, исповеди…)

5 Структура информации, чья защита регламентируется нормативными

Структура информации, чья защита регламентируется нормативными

документами

Вид информации

Требования к защите

Государственная тайна

Тайна, охраняемая законом

Тайна, охраняемая законом

Тайна, охраняемая законом

Тайна, охраняемая законом

Персональные данные

Коммерческая тайна

Служебная тайна, профессиональная тайна

Сведения ограниченного доступа (служебная информация фирмы)

Принадлежность информации к сведениям ограниченного доступа и меры защиты определяет организация

6 ФЗ ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ (27

ФЗ ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ (27

июля 2006 года N 149-ФЗ)

Статья 9. Ограничение доступа к информации … 3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне. 4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение. … 9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

7 Руководящие документы

Руководящие документы

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации Руководящий документ автоматизированные системы (РД АС) защита от несанкционированного доступа к информации классификация автоматизированных систем и требования по защите информации Руководящий документ средства вычислительной техники (РД СВТ) защита от несанкционированного доступа к информации показатели защищенности от несанкционированного доступа к информации Руководящий документ (РД НДВ) Защита от несанкционированного доступа к информации Часть 1 Программное обеспечение средств защиты информации Классификация по уровню контроля отсутствия недекларированных возможностей

8 Основные типы информации, защищаемые с помощью СКЗИ

Основные типы информации, защищаемые с помощью СКЗИ

9 Положение о сертификации средств защиты информации Утверждено

Положение о сертификации средств защиты информации Утверждено

постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 (с изменениями и дополнениями от 23 апреля 1996 г. № 509; от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808)

Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации. (В редакции постановлений Правительства Российской Федерации от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808)

10 Положение о разработке, производстве, реализации и эксплуатации

Положение о разработке, производстве, реализации и эксплуатации

шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)

Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее – информация конфиденциального характера) Шифровальные (криптографические) средства защиты информации конфиденциального характера в настоящем Положении именуются средствами криптографической защиты информации (далее – СКЗИ). К СКЗИ относятся: * а) средства шифрования б) средства имитозащиты в) средства электронной цифровой подписи г) средства кодирования д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации); е) ключевые документы (независимо от вида носителя ключевой информации).

11 Положение о разработке, производстве, реализации и эксплуатации

Положение о разработке, производстве, реализации и эксплуатации

шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) (продолжение)

Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях: при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации (далее – государственные органы); при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее – организации, выполняющие государственные заказы); Для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российской Федерации.

12 Указ президента российской федерации о мерах по обеспечению

Указ президента российской федерации о мерах по обеспечению

информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена (в ред. Указа Президента РФ от 21.10.2008 N 1510)

В целях обеспечения информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей, позволяющих осуществлять передачу информации через государственную границу Российской Федерации, в том числе при использовании международной компьютерной сети "Интернет", постановляю: 1. Установить, что: … б) при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте "а" настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники

13 МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ по обеспечению с помощью криптосредств

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ по обеспечению с помощью криптосредств

безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации

Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства. В случае отсутствия готовых сертифицированных криптосредств, функционально пригодных для обеспечения безопасности персональных данных при их обработке в конкретной информационной системе, на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной системы с участием оператора и предполагаемого разработчика криптосредства готовится обоснование целесообразности разработки нового типа криптосредства и определяются требования к его функциональным свойствам. Разработка нового типа криптосредства осуществляется в соответствии с Положением ПКЗ-2005.

14 Сертифицированные СКЗИ

Сертифицированные СКЗИ

Используются Для защиты государственной тайны любого уровня При защите ПДн с использованием криптографических средств При защите конфиденциальной и общедоступной информации в государственных структурах …

15 Сценарии

Сценарии

16 VPN: Удалённый доступ к сети предприятия

VPN: Удалённый доступ к сети предприятия

Client-to-site

L2TP + IPSec

17 VPN: Объединение филиалов в единую сеть

VPN: Объединение филиалов в единую сеть

Site-to-site

L2TP + IPSec

18 Возможности IPSec

Возможности IPSec

Защита передаваемых данных Аутентификация сторон и защита целостности – AH Защита конфиденциальности, целостности и аутентификация – ESP Способы выработки сеансовых ключей и аутентификации сторон в КриптоПро IPSec Предварительно распределённый ключ Сертификат открытого ключа

19 Изоляция серверов и доменов (SDI)

Изоляция серверов и доменов (SDI)

Изоляция серверов

Изоляция доменов

Защищает выделенные особо ценные серверы и данные

Защищает управляемые компьютеры от неуправляемых

20 Сегментация на основе политики

Сегментация на основе политики

21 UAG предоставляет безопасный удаленный доступ из любой точки мира к

UAG предоставляет безопасный удаленный доступ из любой точки мира к

любым бизнес-приложениям, повышая эффективность работы пользователей, не снижая общего уровня безопасности

22 Архитектура Forefront UAG

Архитектура Forefront UAG

Интернет

Корпоративная сеть

Exchange CRM SharePoint IIS based IBM, SAP, Oracle

Мобильные устройства

Интернет-киоски

Terminal / Remote Desktop Services

Не-web

Бизнес-партнеры

AD, ADFS, RADIUS, LDAP….

NPS, ILM

Мобильные сотрудники

HTTPS / HTTP

Layer3 VPN

HTTPS (443)

23 Публикация с помощью Forefront TMG

Публикация с помощью Forefront TMG

SSL/TLS

24 Совместная работа UAG и AD FS

Совместная работа UAG и AD FS

Adatum Account Forest

Trey Research Resource Forest

adfsresource.treyresearch.net

adfsuag.treyresearch.net

Федеративные отношения

AD FS

KCD

UAG

CRM

25 Что нужно для соответствия требованиям

Что нужно для соответствия требованиям

AD FS 2.0 UAG SP1 (конец этого года) КриптоПро CSP КриптоПро Sharpei

26 Что такое EFS

Что такое EFS

E - Encrypting F - File S - System

27 Ключевые факты о EFS

Ключевые факты о EFS

Шифрование на уровне файловой системы Данные файла зашифрованы на симметричном ключе (FEK), который защищён с применением асимметричного ключа Возможно назначение уполномоченного агента для восстановления файлов Данные файла не защищены при передаче по сети

28 Как работает EFS

Как работает EFS

RPC

RPC

Ядро Windows

NTFS

Файлы

Процессы пользователя

Службы Windows

CreateFile

Пользователь

29 Формат зашифрованного файла

Формат зашифрованного файла

30 Дополнительные возможности КриптоПро EFS

Дополнительные возможности КриптоПро EFS

Используются российские криптографические алгоритмы, реализованные в сертифицированном СКЗИ КриптоПро CSP Богатый выбор ключевых носителей Контроль целостности зашифрованных файлов

31 Список продуктов, имеющих сертификат ФСТЭК

Список продуктов, имеющих сертификат ФСТЭК

Все продукты Майкрософт сертифицированы «как есть», без изменений, и могут быть использованы для построения автоматизированных систем уровня защищенности 1Г: Windows 7 Pro, Ent, Ult * Windows Server 2008 и R2* (Std, Ent, DataCenter) Windows XP Professional русская версия Windows Vista русская версия Windows Server 2003 и R2 (Standard и Enterprise) русские версии SQL Server 2000 и SQL Server 2005 (Standard и Enterprise) русские версии Office 2003 и 2007 Standard, Professional, Plus русские версии ISA Server 2006 (Standard) русская версия Антивирусные продукты Forefront (Client, для Exchange и для SharePoint) – русские версии * - Соответствие закону о ПД (до 2 класса включительно)указано непосредственно в сертификате

32 Список продуктов, имеющих сертификат ФСТЭК (продолжение)

Список продуктов, имеющих сертификат ФСТЭК (продолжение)

Exchange Server 2007 * BizTalk Server 2006 R2 * SharePoint Server 2007 * SQL Server 2008 (Standard, Enterprise) ** System Center Operation Manager 2007 ** System Center Configuration Manager 2007 R2 ** System Center Data Protection Manager 2007 ** System Center Virtual Machine Manager 2008 ** * - на сайте ФСТЭК помечены, как соответствующие Закону о ПД (до 2 класса включительно) ** - на сайте ФСТЭК помечены, как соответствующие Закону о ПД (до 3 класса включительно)

33 Сертификация в ФСБ

Сертификация в ФСБ

Сертифицированы: Windows XP Professional Windows Server 2003 Enterprise SharePoint Server 2007 Каждый сертифицированный продукт включает в себя, кроме продукта Майкрософт, соответствующий продукту «Secure Pack Rus» Работы и планы: SQL Server 2008 – работы закончены, идет экспертиза Майкрософт будет сертифицировать все продукты для построения защищенного документооборота в органах государственной власти, удовлетворяющего требованиям ФСБ

34 Как купить сертифицированный продукт

Как купить сертифицированный продукт

Сертифицированный продукт отличается от лицензионного Каждый экземпляр сертифицированного продукта имеет пакет документов государственного образца о том, что данный продукт является сертифицированным, включая голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов. Он дороже, так как включает в себя подписку на получение сертифицированных обновлений с защищенного специализированного сайта За покупкой надо обращаться в ООО «Сертифицированные информационные системы» генеральный директор Сергей Груданов sg@c-i-s.ru – они владельцы сертификатов, работают только через партнеров

35 Выводы

Выводы

В ряде случаев для защиты информации требуется использование сертифицированного ПО У Майкрософт уже есть платформа сертифицированных по российским требованиям продуктов Майкрософт продолжает сертификацию продуктов Продукты компании Крипто-Про обеспечивают соответствие требованиям ФСБ к используемым при хранении и передаче информации криптосредствам

36 Ресурсы

Ресурсы

Дополнительные сессии по теме DC 202: Построение систем защищенного взаимодействия (16:00-17:00, Синий Конгресс-зал) CT 306: Реализация доступа для удаленных пользователей на базе Windows 7 DirectAccess и Forefront UAG (17:30-18:30, Зона интерактивных сессий) Блоги http://blogs.technet.com/mamykin http://blogs.technet.com/securityrus

37 Официальные курсы и сертификация Microsoft

Официальные курсы и сертификация Microsoft

Более 300 официальных курсов Microsoft доступно в России. Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft под руководством опытного сертифицированного инструктора Microsoft интенсивное обучение с акцентом на практику более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы) Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя . Microsoft предлагает гибкую систему сертификаций. Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning

38 Специальные предложения

Специальные предложения

Сертификационный пакет со вторым шансом Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком. Сэкономьте 15% на сертификации вашей ИТ-команды Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками. Microsoft Certified Career Conference Первая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г. Сессии по технологиям и построению карьеры Скидка 50% для сертифицированных специалистов Microsoft и студентов Бесплатная подписка на TechNet для слушателей официальных курсов Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008 Детали: www.microsoft.com/rus/learning

С 22 ноября 2010 г. – подписка TechNet бесплатно для слушателей курсов. Количество ограничено!

39 Обратная связь

Обратная связь

Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала Спасибо!

40 Вопросы

Вопросы

IS 304 Андрей Иванов, MBA Microsoft Павел Смирнов, к.т.н. Крипто-Про Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада

41 Соответствие требованиям российских нормативных документов по защите
«Соответствие требованиям российских нормативных документов по защите информации»
http://900igr.net/prezentacija/informatika/sootvetstvie-trebovanijam-rossijskikh-normativnykh-dokumentov-po-zaschite-informatsii-264192.html
cсылка на страницу
Урок

Информатика

130 тем
Слайды
900igr.net > Презентации по информатике > Защита информации > Соответствие требованиям российских нормативных документов по защите информации