SlideShare ist ein Scribd-Unternehmen logo

Доклад на v воронежском форуме ver. 0.3

Als PPTX, PDF herunterladen
J
journalrubezh

Обеспечение информационной безопасности в государственных информационных системах в современных условиях

Business
1 von 22
Обеспечение информационной безопасности в государственных информационных системах в современных условиях Владимир Минаков ФАУ «ГНИИИ ПТЗИ ФСТЭК России» Межрегиональная практическая конференция Практические подходы в построении «Безопасного города»: вопросы организации защиты информации
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 2 Правовые аспекты построения и развития комплекса "Безопасный город" Распоряжение Правительства Российской Федерации от 3 декабря 2014 г. № 2446-р • Целью построения и развития комплекса "Безопасный город" является повышение общего уровня общественной безопасности … путём внедрения … комплексной информационной системы … Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года N 149-ФЗ • Государственные информационные системы – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов • Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются ФСБ России и ФСТЭК России, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 3 Методическое обеспечение Методические документы ФСТЭК России Национальные стандарты Нормативно-правовое, методическое и информационное обеспечение защиты государственных информационных систем Нормативно-правовое обеспечение «Требования о защите информации, содержащейся в государственных информационных системах», введены приказом ФСТЭК России от 11 февраля 2013 г. № 17 Информационное обеспечение База данных угроз безопасности информации База данных уязвимостей программного обеспечения государственных информационных систем
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 4 ТРЕБОВАНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ Приказ ФСТЭК России от 11 февраля 2013 г. № 17 Формирование требований к системе защиты информации Разработка системы защиты информации Реализация системы защиты информации Аттестация ИС и ввод в эксплуатацию Эксплуатация системы защиты информации Защита информации при выводе из эксплуатации Меры по защите информации Приложение 1 Определение класса защищённости ГосИС Приложение 2 Базовый состав мер по защите информации для классов защищённости ГосИС Нормативно-правовое обеспечение защиты государственных информационных систем
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 5 Меры защиты информации, содержащейся в государственных информационных системах (утверждены) Методические документы ФСТЭК России Методика определения угроз безопасности информации в государственных информационных системах (Срок окончания разработки – декабрь 2015 г.) Порядок аттестации информационных систем (перспектива разработки) Порядок обновления ПО в информационной системе (перспектива разработки) Порядок выявления и устранения уязвимостей в информационной системе (перспектива разработки) Порядок реагирования на инциденты, связанные с нарушением БИ (перспектива разработки) Защита информации в ИС при использовании мобильных устройств (перспектива разработки) Защита информации в ИС при применении устройств беспроводного доступа (перспектива разработки) Методическое обеспечение защиты государственных информационных систем ГОСТ Р «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем» (вводится в действие) Национальные стандарты ГОСТ Р «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей» (вводится в действие)
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 6 Угрозы информационной безопасности Основные угрозы информационной безопасности: • нарушение информационного обеспечения деятельности органов государственной власти, муниципальных предприятий и служб; • перехват трансляций телерадиовещания, систем оповещения и информирования населения; • несанкционированный доступ к информации о деятельности органов государственной власти, муниципальных предприятий и служб; • несанкционированный доступ к управлению информационными ресурсами; • оказание целенаправленного негативного информационного воздействия на население через средства массовой информации и сеть "Интернет"; • неполная реализация прав граждан в области получения и обмена достоверной информацией, в том числе манипулирование массовым сознанием с использованием информационно- психологического воздействия; • провоцирование социальной, межнациональной и религиозной напряжённости через деятельность отдельных (в том числе электронных) средств массовой информации; • распространение злоупотреблений в кредитно-финансовой сфере, связанных с проникновением в компьютерные системы и сети. Актуальность мероприятий по обеспечению общественной безопасности, правопорядка и безопасности среды обитания каждого субъекта Российской Федерации в целом и муниципального образования в частности обусловливается наличием различного рода угроз (Распоряжение Правительства Российской Федерации от 3 декабря 2014 г. № 2446-р)
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 7 Схема анализа угроз Базовые модели угроз Оценка возможностей нарушителя Оценка способа реализации угрозы Определение наличия уязвимостей ИС Оценка критичности уязвимостей ИС Актуальность угрозы безопасности информации Результаты анализа Этапы проведения анализа Национальные стандарты Банк данных угроз безопасности информации Частная модель угроз
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 8 Правовые аспекты создания Банка данных угроз безопасности информации Указ Президента России от 16.08.2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» • ФСТЭК России… проводит работы по выявлению угроз безопасности информации и формирует банк данных по этим вопросам, а также определяет порядок доступа к указанному банку данных Приказ ФСТЭК России от 11.02.2013 г. № 17 • угрозы безопасности информации определяются по результатам … анализа возможных уязвимостей информационной системы • при проектировании системы защиты ... обеспечивается устранение возможных уязвимостей Основаниями для создания и ведения Банка данных угроз безопасности информации являются:
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 9 Правовые аспекты создания Банка данных угроз безопасности информации Положение о банке данных угроз безопасности информации (утверждено Приказом ФСТЭК России № 9 2015 года) • Положение определяет организацию работ по формированию банка данных угроз …, а также порядок доступа к банку данных … • Банк … включает базу данных уязвимостей информационных и коммуникационных технологий, а также перечень и описание угроз БИ, наиболее характерных для ГосИС, ИСПДн и АСУ ТП на КВО • В банке данных … содержится информация об уязвимостях и угрозах БИ, полученная по результатам анализа данных, опубликованных в общедоступных источниках, в том числе в информационно-телекоммуникационной сети Интернет
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 10 Цель и задачи банка данных • Создание единой системы учета, хранения и предоставления информации об угрозах безопасности информации и уязвимостях программного обеспечения государственных ИС и КСИИ Цель создания и ведения Банка данных угроз • Выявление, анализ и проверка сведений об уязвимостях • Внесение сведений об уязвимостях и угрозах • Поддержание информации об уязвимостях в актуальном состоянии • Предоставление доступа к хранимой информации • Своевременное информирование о новых уязвимостях и организация работ по их устранению Задачи, решаемые при ведении банка данных угроз • Сведения об уязвимостях программного обеспечения только государственных ИС и КСИИ; • «Одна уязвимость – одно программное обеспечение» Используемые подходы
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 11 Пользователи • В рамках полномочийОрганы власти • Разработка моделей угроз для информационных систем • Контроль защищённости информационных систем на этапе эксплуатации Обладатели информации, заказчики и (или) операторы информационных систем • Разработка моделей угроз для информационных систем • Проектирование информационных систем Разработчики информационных систем • Сертификационные испытания средств защиты информации Разработчики средств ЗИ, заявители на сертификацию средств ЗИ, органы по сертификации, испытательные лаборатории • Повышение уровня знаний об уязвимостях и угрозах безопасности информации Специалисты по защите информации
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 12 Отличительный аспект Аналоги • NVD/CVE • Security Tracker • OSVDB • Secunia Advisory • Positive Security Advisory • ISS X-Force • RedTeam Pentesting • RedHat Security Announce Отличительная особенность Банка данных угроз • Целевая направленность – «во главу угла» определено программное обеспечение ГосИС, ИСПДн и АСУ ТП в КВО
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 13 Интернет Банк данных угроз безопасности информации Пользователи Банка данных База данных уязвимостей База данных угроз Базы данных RSS/Atom Термины и определения Web-интерфейс Калькулятор CVSS Документы Архитектура банка данных
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 14 Описание угроз • Угроза <действия> <над объектом>Название угрозы • Описание действий по реализации угрозыОписание угрозы • нарушитель с потенциаломИсточник угрозы • Данные/программы/системы/аппаратура Объект воздействия (защиты) • Нарушение конфиденциальности и(или) целостности и(или) доступности Последствия реализации угрозы Внутренний Внешний высоким средним низким Поле Правило
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 15 Пример описания угрозы
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 16 Описание уязвимостей Поля описаний уязвимостей: Обязательные • Наименование уязвимости • Идентификатор уязвимости • Описание уязвимости Рекомендуемые • Идентификаторы других систем описаний уязвимостей • Тип ошибки • Класс уязвимости • Наименование операционной системы и тип аппаратной платформы • Базовый вектор уязвимости • Уровень опасности уязвимости • Наименование программного обеспечения • Версия программного обеспечения • Дата выявления уязвимости • Возможные меры по устранению уязвимости • Статус уязвимости • Наличие «эксплойта» • Информация об устранении уязвимости • Ссылки на источники информации • Производитель/разработчик • Прочая информация
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 17 Пример описания уязвимости
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 18 Заполнение банка данных Потребители Банка данных угроз Банк данных угроз безопасности информации Поставщики сведений для Банка данных угроз Федеральные органы исполнительной власти Организации, осуществляющие работы по созданию ИС Органы власти - обладателями информации, заказчиками и (или) операторами ИС Организации, осуществляющие работы по защите информации Заявители на обязательную сертификацию средств ЗИ Организации, осуществляющие создание программно- технических средств, ПО и средств ЗИ Органы по сертификации и испытательные лаборатории Стенд для анализа и подтверждения уязвимостей Исполнители НИР по Заказам ФСТЭК России ФАУ «ГНИИИ ПТЗИ ФСТЭК России» Организации, специализирующиеся на поиске уязвимостей Частные исследователи
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 19 Статистика Угрозы Количество: 175 Статистические данные актуальны по состоянию на 17.08.2015 г. 63% 32% 5% Потенциал нарушителя Низкий Средний Высокий 28% 27% 45% Соотношение внешних и внутренних нарушителей Внешний нарушитель Внутренний нарушитель Внутренний или внешний нарушители
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 20 Статистика Уязвимости Количество: 11628 (ОС:11527/ЗС:101) Статистические данные актуальны по состоянию на 17.08.2015 г. 4% 32% 46% 18% Распределение по уровню опасности Низкий (CVSS < 4) Средний (4 <= CVSS < 7) Высокий (7 <= CVSS < 10) Критический (CVSS = 10) 80% 2% 4% 12% 2% Распределение по типу программного обеспечения Операционные системы ПО виртуализации Сетевое ПО Прикладное ПО ПО других типов
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 21 Определение угроз безопасности информации На основе Банка данных угроз Базовый перечень угроз (175) Выборка перечня угроз с сайта Отсечение угроз, реализуемых нарушителями слишком высоких уровней Усечённый перечень угрозПеречень угроз после первой фильтрации Отсечение угроз, связанных с использованием конкретных ИТ, конкретных видов объектов защиты Усечённый перечень угрозПеречень угроз после второй фильтрации Отсечение угроз, не реализуемых ввиду конкретных структурно- функциональных характеристик ИС, подключений к Интернет Усечённый перечень угрозПеречень угроз после третьей фильтрации Модель угроз База данных угроз (bdu.fstec.ru)
V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 22 Определение угроз безопасности информации На основе Банка данных угроз • Быстрота формирования перечня угроз • Формализованность (единообразие всех моделей угроз безопасности информации) • Обоснованность (перечень потенциальных угроз сформирован по результатам проведённых НИР) Преимущества • Отсутствие полноты всех существующих угроз в Банке данных • Необходимость экспертного контроля и (при необходимости) дополнения сформированного автоматизированным путём перечня угроз • Необходимость оценки актуальности угроз для конкретной системы Недостатки

Empfohlen

Тюркин Михаил
Тюркин МихаилТюркин Михаил
Тюркин Михаилalevashov
 
Решения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системРешения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системCisco Russia
 
Организация профессиональной переподготовки по направлению «Информационная бе...
Организация профессиональной переподготовки по направлению «Информационная бе...Организация профессиональной переподготовки по направлению «Информационная бе...
Организация профессиональной переподготовки по направлению «Информационная бе...ATOL Drive
 
17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭКАлексей Кураленко
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
Концепция информационной безопасности Кыргызской Республики на 2019-2023 годы
Концепция информационной безопасности Кыргызской Республики на 2019-2023 годыКонцепция информационной безопасности Кыргызской Республики на 2019-2023 годы
Концепция информационной безопасности Кыргызской Республики на 2019-2023 годыakipress
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхAleksey Lukatskiy
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхУчебный центр "Эшелон"
 

Empfohlen

Тюркин Михаил
Тюркин МихаилТюркин Михаил
Тюркин Михаилalevashov
 
Решения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системРешения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системCisco Russia
 
Организация профессиональной переподготовки по направлению «Информационная бе...
Организация профессиональной переподготовки по направлению «Информационная бе...Организация профессиональной переподготовки по направлению «Информационная бе...
Организация профессиональной переподготовки по направлению «Информационная бе...ATOL Drive
 
17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭКАлексей Кураленко
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
Концепция информационной безопасности Кыргызской Республики на 2019-2023 годы
Концепция информационной безопасности Кыргызской Республики на 2019-2023 годыКонцепция информационной безопасности Кыргызской Республики на 2019-2023 годы
Концепция информационной безопасности Кыргызской Республики на 2019-2023 годыakipress
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхAleksey Lukatskiy
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхУчебный центр "Эшелон"
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Защита ГИС
Защита ГИСЗащита ГИС
Защита ГИСАлексей Кураленко
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Вячеслав Аксёнов
 
GDPR: Intro (Ru)
GDPR: Intro (Ru)GDPR: Intro (Ru)
GDPR: Intro (Ru)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациSoftline
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данныхSoftline
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиВячеслав Аксёнов
 
Fomchenkov
FomchenkovFomchenkov
FomchenkovAKlimchuk
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеguestfa9aa
 
Олег Чувардин (ФСТЭК) "Обеспечение безопасности информации в государственных ...
Олег Чувардин (ФСТЭК) "Обеспечение безопасности информации в государственных ...Олег Чувардин (ФСТЭК) "Обеспечение безопасности информации в государственных ...
Олег Чувардин (ФСТЭК) "Обеспечение безопасности информации в государственных ...Expolink
 
пр DPO (GDPR)
пр DPO (GDPR)пр DPO (GDPR)
пр DPO (GDPR)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхАлексей Кураленко
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в ИнтернетеMatevosyan Artur
 
доктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерациидоктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерацииАркадий Захаров
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
 
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Expolink
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 

Weitere ähnliche Inhalte

Was ist angesagt?

Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациSoftline
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данныхSoftline
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиВячеслав Аксёнов
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеguestfa9aa
 
Олег Чувардин (ФСТЭК) "Обеспечение безопасности информации в государственных ...
Олег Чувардин (ФСТЭК) "Обеспечение безопасности информации в государственных ...Олег Чувардин (ФСТЭК) "Обеспечение безопасности информации в государственных ...
Олег Чувардин (ФСТЭК) "Обеспечение безопасности информации в государственных ...Expolink
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в ИнтернетеMatevosyan Artur
 
доктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерациидоктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерацииАркадий Захаров
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
 
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Expolink
 

Was ist angesagt? (20)

Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012
 
Защита ГИС
Защита ГИСЗащита ГИС
Защита ГИС
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)
 
GDPR: Intro (Ru)
GDPR: Intro (Ru)GDPR: Intro (Ru)
GDPR: Intro (Ru)
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirements
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данных
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в Беларуси
 
Fomchenkov
FomchenkovFomchenkov
Fomchenkov
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли проще
 
Олег Чувардин (ФСТЭК) "Обеспечение безопасности информации в государственных ...
Олег Чувардин (ФСТЭК) "Обеспечение безопасности информации в государственных ...Олег Чувардин (ФСТЭК) "Обеспечение безопасности информации в государственных ...
Олег Чувардин (ФСТЭК) "Обеспечение безопасности информации в государственных ...
 
пр DPO (GDPR)
пр DPO (GDPR)пр DPO (GDPR)
пр DPO (GDPR)
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
 
доктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерациидоктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерации
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ
 
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
 

Andere mochten auch

PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
С чего начать свой путь этичного хакера?
С чего начать свой путь этичного хакера?С чего начать свой путь этичного хакера?
С чего начать свой путь этичного хакера?Vadym_Chakrian
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
РОЗ’ЯСНЕННЯ щодо застосування окремих положень Закону України «Про запобіганн...
РОЗ’ЯСНЕННЯ щодо застосування окремих положень Закону України «Про запобіганн...РОЗ’ЯСНЕННЯ щодо застосування окремих положень Закону України «Про запобіганн...
РОЗ’ЯСНЕННЯ щодо застосування окремих положень Закону України «Про запобіганн...Olexiy Ladyka
 

Andere mochten auch (6)

Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
С чего начать свой путь этичного хакера?
С чего начать свой путь этичного хакера?С чего начать свой путь этичного хакера?
С чего начать свой путь этичного хакера?
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
РОЗ’ЯСНЕННЯ щодо застосування окремих положень Закону України «Про запобіганн...
РОЗ’ЯСНЕННЯ щодо застосування окремих положень Закону України «Про запобіганн...РОЗ’ЯСНЕННЯ щодо застосування окремих положень Закону України «Про запобіганн...
РОЗ’ЯСНЕННЯ щодо застосування окремих положень Закону України «Про запобіганн...
 

Ähnlich wie Доклад на v воронежском форуме ver. 0.3

Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
Проблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользованияПроблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользованияAlexander Dorofeev
 
005 воронеж 2015
005 воронеж 2015005 воронеж 2015
005 воронеж 2015journalrubezh
 
06 статьев-рнт- новосибирск 24-04-2013+
06 статьев-рнт- новосибирск 24-04-2013+06 статьев-рнт- новосибирск 24-04-2013+
06 статьев-рнт- новосибирск 24-04-2013+Marina_creautor
 
Перспективы развития Беларуси в условиях информационного общества
Перспективы развития Беларуси в условиях информационного обществаПерспективы развития Беларуси в условиях информационного общества
Перспективы развития Беларуси в условиях информационного обществаПётр Ситник
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
 
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Expolink
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБSolar Security
 
Минсязь - отчет по программе Информационное общество 2011
Минсязь - отчет по программе Информационное общество 2011Минсязь - отчет по программе Информационное общество 2011
Минсязь - отчет по программе Информационное общество 2011Victor Gridnev
 
презентация доклада масановца
презентация доклада масановцапрезентация доклада масановца
презентация доклада масановцаMathmodels Net
 
Финцерт БР РФ
Финцерт БР РФ Финцерт БР РФ
Финцерт БР РФ malvvv
 
Концепция Безгород с моими комментариями
Концепция Безгород с моими комментариямиКонцепция Безгород с моими комментариями
Концепция Безгород с моими комментариямиSergei Seleznev
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...SelectedPresentations
 
Презентация Л.Д. Реймана "информационное общество" 2009
Презентация Л.Д. Реймана "информационное общество" 2009Презентация Л.Д. Реймана "информационное общество" 2009
Презентация Л.Д. Реймана "информационное общество" 2009Victor Gridnev
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
TTK DDOS FREE Roman Emelyanov
TTK DDOS FREE Roman EmelyanovTTK DDOS FREE Roman Emelyanov
TTK DDOS FREE Roman EmelyanovRoman Emelyanov
 

Ähnlich wie Доклад на v воронежском форуме ver. 0.3 (20)

Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных оранов
 
пр законодательство по иб для вузов 2014 08
пр законодательство по иб для вузов 2014 08пр законодательство по иб для вузов 2014 08
пр законодательство по иб для вузов 2014 08
 
пр Импортозамещение в ИБ
пр Импортозамещение в ИБпр Импортозамещение в ИБ
пр Импортозамещение в ИБ
 
Проблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользованияПроблемы при подключении к сетям общего пользования
Проблемы при подключении к сетям общего пользования
 
005 воронеж 2015
005 воронеж 2015005 воронеж 2015
005 воронеж 2015
 
06 статьев-рнт- новосибирск 24-04-2013+
06 статьев-рнт- новосибирск 24-04-2013+06 статьев-рнт- новосибирск 24-04-2013+
06 статьев-рнт- новосибирск 24-04-2013+
 
Перспективы развития Беларуси в условиях информационного общества
Перспективы развития Беларуси в условиях информационного обществаПерспективы развития Беларуси в условиях информационного общества
Перспективы развития Беларуси в условиях информационного общества
 
ВНИИПВТИ. Опыт и Компетенция
ВНИИПВТИ. Опыт и КомпетенцияВНИИПВТИ. Опыт и Компетенция
ВНИИПВТИ. Опыт и Компетенция
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИ
 
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБ
 
Минсязь - отчет по программе Информационное общество 2011
Минсязь - отчет по программе Информационное общество 2011Минсязь - отчет по программе Информационное общество 2011
Минсязь - отчет по программе Информационное общество 2011
 
презентация доклада масановца
презентация доклада масановцапрезентация доклада масановца
презентация доклада масановца
 
Финцерт БР РФ
Финцерт БР РФ Финцерт БР РФ
Финцерт БР РФ
 
Концепция Безгород с моими комментариями
Концепция Безгород с моими комментариямиКонцепция Безгород с моими комментариями
Концепция Безгород с моими комментариями
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
 
Презентация Л.Д. Реймана "информационное общество" 2009
Презентация Л.Д. Реймана "информационное общество" 2009Презентация Л.Д. Реймана "информационное общество" 2009
Презентация Л.Д. Реймана "информационное общество" 2009
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
 
TTK DDOS FREE Roman Emelyanov
TTK DDOS FREE Roman EmelyanovTTK DDOS FREE Roman Emelyanov
TTK DDOS FREE Roman Emelyanov
 

Mehr von journalrubezh

Итоги деятельности Ространснадзора за 2017 год
Итоги деятельности Ространснадзора за 2017 годИтоги деятельности Ространснадзора за 2017 год
Итоги деятельности Ространснадзора за 2017 годjournalrubezh
 
Hanwha introduction pt(may)
Hanwha introduction pt(may)Hanwha introduction pt(may)
Hanwha introduction pt(may)journalrubezh
 
Отчет о работе Главгосэкспертизы за 2015 год
Отчет о работе Главгосэкспертизы за 2015 годОтчет о работе Главгосэкспертизы за 2015 год
Отчет о работе Главгосэкспертизы за 2015 годjournalrubezh
 
Итоги работы Ростехнадзора
Итоги работы РостехнадзораИтоги работы Ростехнадзора
Итоги работы Ростехнадзораjournalrubezh
 
16 9 масалович а.и.
16 9 масалович а.и.16 9 масалович а.и.
16 9 масалович а.и.journalrubezh
 
16 9 сягин д.в
16 9 сягин д.в16 9 сягин д.в
16 9 сягин д.вjournalrubezh
 
16 9 минин в.в
16 9 минин в.в16 9 минин в.в
16 9 минин в.вjournalrubezh
 
16 9 былинкин а.а
16 9 былинкин а.а16 9 былинкин а.а
16 9 былинкин а.аjournalrubezh
 
16 9 борисов в.и
16 9 борисов в.и16 9 борисов в.и
16 9 борисов в.иjournalrubezh
 
16 9 болдырев в.и
16 9 болдырев в.и16 9 болдырев в.и
16 9 болдырев в.иjournalrubezh
 
16 9 басов д.в
16 9 басов д.в16 9 басов д.в
16 9 басов д.вjournalrubezh
 
16 9 злотя в.п. презентация сп 2016 111
16 9 злотя в.п. презентация сп 2016 11116 9 злотя в.п. презентация сп 2016 111
16 9 злотя в.п. презентация сп 2016 111journalrubezh
 
16 9 аксенов а.н
16 9 аксенов а.н16 9 аксенов а.н
16 9 аксенов а.нjournalrubezh
 
иста тарасов V_02
иста тарасов V_02иста тарасов V_02
иста тарасов V_02journalrubezh
 
16 9 остробород э.б
16 9 остробород э.б16 9 остробород э.б
16 9 остробород э.бjournalrubezh
 
16 9 кочнева и.м
16 9 кочнева и.м16 9 кочнева и.м
16 9 кочнева и.мjournalrubezh
 
16 9 заславская в.л
16 9 заславская в.л16 9 заславская в.л
16 9 заславская в.лjournalrubezh
 
16 9 соляков о.в
16 9 соляков о.в16 9 соляков о.в
16 9 соляков о.вjournalrubezh
 
16 9 смирнов д.с
16 9 смирнов д.с16 9 смирнов д.с
16 9 смирнов д.сjournalrubezh
 
16 9 семенов в.е
16 9 семенов в.е16 9 семенов в.е
16 9 семенов в.еjournalrubezh
 

Mehr von journalrubezh (20)

Итоги деятельности Ространснадзора за 2017 год
Итоги деятельности Ространснадзора за 2017 годИтоги деятельности Ространснадзора за 2017 год
Итоги деятельности Ространснадзора за 2017 год
 
Hanwha introduction pt(may)
Hanwha introduction pt(may)Hanwha introduction pt(may)
Hanwha introduction pt(may)
 
Отчет о работе Главгосэкспертизы за 2015 год
Отчет о работе Главгосэкспертизы за 2015 годОтчет о работе Главгосэкспертизы за 2015 год
Отчет о работе Главгосэкспертизы за 2015 год
 
Итоги работы Ростехнадзора
Итоги работы РостехнадзораИтоги работы Ростехнадзора
Итоги работы Ростехнадзора
 
16 9 масалович а.и.
16 9 масалович а.и.16 9 масалович а.и.
16 9 масалович а.и.
 
16 9 сягин д.в
16 9 сягин д.в16 9 сягин д.в
16 9 сягин д.в
 
16 9 минин в.в
16 9 минин в.в16 9 минин в.в
16 9 минин в.в
 
16 9 былинкин а.а
16 9 былинкин а.а16 9 былинкин а.а
16 9 былинкин а.а
 
16 9 борисов в.и
16 9 борисов в.и16 9 борисов в.и
16 9 борисов в.и
 
16 9 болдырев в.и
16 9 болдырев в.и16 9 болдырев в.и
16 9 болдырев в.и
 
16 9 басов д.в
16 9 басов д.в16 9 басов д.в
16 9 басов д.в
 
16 9 злотя в.п. презентация сп 2016 111
16 9 злотя в.п. презентация сп 2016 11116 9 злотя в.п. презентация сп 2016 111
16 9 злотя в.п. презентация сп 2016 111
 
16 9 аксенов а.н
16 9 аксенов а.н16 9 аксенов а.н
16 9 аксенов а.н
 
иста тарасов V_02
иста тарасов V_02иста тарасов V_02
иста тарасов V_02
 
16 9 остробород э.б
16 9 остробород э.б16 9 остробород э.б
16 9 остробород э.б
 
16 9 кочнева и.м
16 9 кочнева и.м16 9 кочнева и.м
16 9 кочнева и.м
 
16 9 заславская в.л
16 9 заславская в.л16 9 заславская в.л
16 9 заславская в.л
 
16 9 соляков о.в
16 9 соляков о.в16 9 соляков о.в
16 9 соляков о.в
 
16 9 смирнов д.с
16 9 смирнов д.с16 9 смирнов д.с
16 9 смирнов д.с
 
16 9 семенов в.е
16 9 семенов в.е16 9 семенов в.е
16 9 семенов в.е
 

Доклад на v воронежском форуме ver. 0.3

  • 1. Обеспечение информационной безопасности в государственных информационных системах в современных условиях Владимир Минаков ФАУ «ГНИИИ ПТЗИ ФСТЭК России» Межрегиональная практическая конференция Практические подходы в построении «Безопасного города»: вопросы организации защиты информации
  • 2. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 2 Правовые аспекты построения и развития комплекса "Безопасный город" Распоряжение Правительства Российской Федерации от 3 декабря 2014 г. № 2446-р • Целью построения и развития комплекса "Безопасный город" является повышение общего уровня общественной безопасности … путём внедрения … комплексной информационной системы … Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года N 149-ФЗ • Государственные информационные системы – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов • Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются ФСБ России и ФСТЭК России, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям
  • 3. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 3 Методическое обеспечение Методические документы ФСТЭК России Национальные стандарты Нормативно-правовое, методическое и информационное обеспечение защиты государственных информационных систем Нормативно-правовое обеспечение «Требования о защите информации, содержащейся в государственных информационных системах», введены приказом ФСТЭК России от 11 февраля 2013 г. № 17 Информационное обеспечение База данных угроз безопасности информации База данных уязвимостей программного обеспечения государственных информационных систем
  • 4. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 4 ТРЕБОВАНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ Приказ ФСТЭК России от 11 февраля 2013 г. № 17 Формирование требований к системе защиты информации Разработка системы защиты информации Реализация системы защиты информации Аттестация ИС и ввод в эксплуатацию Эксплуатация системы защиты информации Защита информации при выводе из эксплуатации Меры по защите информации Приложение 1 Определение класса защищённости ГосИС Приложение 2 Базовый состав мер по защите информации для классов защищённости ГосИС Нормативно-правовое обеспечение защиты государственных информационных систем
  • 5. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 5 Меры защиты информации, содержащейся в государственных информационных системах (утверждены) Методические документы ФСТЭК России Методика определения угроз безопасности информации в государственных информационных системах (Срок окончания разработки – декабрь 2015 г.) Порядок аттестации информационных систем (перспектива разработки) Порядок обновления ПО в информационной системе (перспектива разработки) Порядок выявления и устранения уязвимостей в информационной системе (перспектива разработки) Порядок реагирования на инциденты, связанные с нарушением БИ (перспектива разработки) Защита информации в ИС при использовании мобильных устройств (перспектива разработки) Защита информации в ИС при применении устройств беспроводного доступа (перспектива разработки) Методическое обеспечение защиты государственных информационных систем ГОСТ Р «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем» (вводится в действие) Национальные стандарты ГОСТ Р «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей» (вводится в действие)
  • 6. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 6 Угрозы информационной безопасности Основные угрозы информационной безопасности: • нарушение информационного обеспечения деятельности органов государственной власти, муниципальных предприятий и служб; • перехват трансляций телерадиовещания, систем оповещения и информирования населения; • несанкционированный доступ к информации о деятельности органов государственной власти, муниципальных предприятий и служб; • несанкционированный доступ к управлению информационными ресурсами; • оказание целенаправленного негативного информационного воздействия на население через средства массовой информации и сеть "Интернет"; • неполная реализация прав граждан в области получения и обмена достоверной информацией, в том числе манипулирование массовым сознанием с использованием информационно- психологического воздействия; • провоцирование социальной, межнациональной и религиозной напряжённости через деятельность отдельных (в том числе электронных) средств массовой информации; • распространение злоупотреблений в кредитно-финансовой сфере, связанных с проникновением в компьютерные системы и сети. Актуальность мероприятий по обеспечению общественной безопасности, правопорядка и безопасности среды обитания каждого субъекта Российской Федерации в целом и муниципального образования в частности обусловливается наличием различного рода угроз (Распоряжение Правительства Российской Федерации от 3 декабря 2014 г. № 2446-р)
  • 7. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 7 Схема анализа угроз Базовые модели угроз Оценка возможностей нарушителя Оценка способа реализации угрозы Определение наличия уязвимостей ИС Оценка критичности уязвимостей ИС Актуальность угрозы безопасности информации Результаты анализа Этапы проведения анализа Национальные стандарты Банк данных угроз безопасности информации Частная модель угроз
  • 8. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 8 Правовые аспекты создания Банка данных угроз безопасности информации Указ Президента России от 16.08.2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» • ФСТЭК России… проводит работы по выявлению угроз безопасности информации и формирует банк данных по этим вопросам, а также определяет порядок доступа к указанному банку данных Приказ ФСТЭК России от 11.02.2013 г. № 17 • угрозы безопасности информации определяются по результатам … анализа возможных уязвимостей информационной системы • при проектировании системы защиты ... обеспечивается устранение возможных уязвимостей Основаниями для создания и ведения Банка данных угроз безопасности информации являются:
  • 9. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 9 Правовые аспекты создания Банка данных угроз безопасности информации Положение о банке данных угроз безопасности информации (утверждено Приказом ФСТЭК России № 9 2015 года) • Положение определяет организацию работ по формированию банка данных угроз …, а также порядок доступа к банку данных … • Банк … включает базу данных уязвимостей информационных и коммуникационных технологий, а также перечень и описание угроз БИ, наиболее характерных для ГосИС, ИСПДн и АСУ ТП на КВО • В банке данных … содержится информация об уязвимостях и угрозах БИ, полученная по результатам анализа данных, опубликованных в общедоступных источниках, в том числе в информационно-телекоммуникационной сети Интернет
  • 10. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 10 Цель и задачи банка данных • Создание единой системы учета, хранения и предоставления информации об угрозах безопасности информации и уязвимостях программного обеспечения государственных ИС и КСИИ Цель создания и ведения Банка данных угроз • Выявление, анализ и проверка сведений об уязвимостях • Внесение сведений об уязвимостях и угрозах • Поддержание информации об уязвимостях в актуальном состоянии • Предоставление доступа к хранимой информации • Своевременное информирование о новых уязвимостях и организация работ по их устранению Задачи, решаемые при ведении банка данных угроз • Сведения об уязвимостях программного обеспечения только государственных ИС и КСИИ; • «Одна уязвимость – одно программное обеспечение» Используемые подходы
  • 11. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 11 Пользователи • В рамках полномочийОрганы власти • Разработка моделей угроз для информационных систем • Контроль защищённости информационных систем на этапе эксплуатации Обладатели информации, заказчики и (или) операторы информационных систем • Разработка моделей угроз для информационных систем • Проектирование информационных систем Разработчики информационных систем • Сертификационные испытания средств защиты информации Разработчики средств ЗИ, заявители на сертификацию средств ЗИ, органы по сертификации, испытательные лаборатории • Повышение уровня знаний об уязвимостях и угрозах безопасности информации Специалисты по защите информации
  • 12. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 12 Отличительный аспект Аналоги • NVD/CVE • Security Tracker • OSVDB • Secunia Advisory • Positive Security Advisory • ISS X-Force • RedTeam Pentesting • RedHat Security Announce Отличительная особенность Банка данных угроз • Целевая направленность – «во главу угла» определено программное обеспечение ГосИС, ИСПДн и АСУ ТП в КВО
  • 13. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 13 Интернет Банк данных угроз безопасности информации Пользователи Банка данных База данных уязвимостей База данных угроз Базы данных RSS/Atom Термины и определения Web-интерфейс Калькулятор CVSS Документы Архитектура банка данных
  • 14. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 14 Описание угроз • Угроза <действия> <над объектом>Название угрозы • Описание действий по реализации угрозыОписание угрозы • нарушитель с потенциаломИсточник угрозы • Данные/программы/системы/аппаратура Объект воздействия (защиты) • Нарушение конфиденциальности и(или) целостности и(или) доступности Последствия реализации угрозы Внутренний Внешний высоким средним низким Поле Правило
  • 15. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 15 Пример описания угрозы
  • 16. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 16 Описание уязвимостей Поля описаний уязвимостей: Обязательные • Наименование уязвимости • Идентификатор уязвимости • Описание уязвимости Рекомендуемые • Идентификаторы других систем описаний уязвимостей • Тип ошибки • Класс уязвимости • Наименование операционной системы и тип аппаратной платформы • Базовый вектор уязвимости • Уровень опасности уязвимости • Наименование программного обеспечения • Версия программного обеспечения • Дата выявления уязвимости • Возможные меры по устранению уязвимости • Статус уязвимости • Наличие «эксплойта» • Информация об устранении уязвимости • Ссылки на источники информации • Производитель/разработчик • Прочая информация
  • 17. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 17 Пример описания уязвимости
  • 18. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 18 Заполнение банка данных Потребители Банка данных угроз Банк данных угроз безопасности информации Поставщики сведений для Банка данных угроз Федеральные органы исполнительной власти Организации, осуществляющие работы по созданию ИС Органы власти - обладателями информации, заказчиками и (или) операторами ИС Организации, осуществляющие работы по защите информации Заявители на обязательную сертификацию средств ЗИ Организации, осуществляющие создание программно- технических средств, ПО и средств ЗИ Органы по сертификации и испытательные лаборатории Стенд для анализа и подтверждения уязвимостей Исполнители НИР по Заказам ФСТЭК России ФАУ «ГНИИИ ПТЗИ ФСТЭК России» Организации, специализирующиеся на поиске уязвимостей Частные исследователи
  • 19. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 19 Статистика Угрозы Количество: 175 Статистические данные актуальны по состоянию на 17.08.2015 г. 63% 32% 5% Потенциал нарушителя Низкий Средний Высокий 28% 27% 45% Соотношение внешних и внутренних нарушителей Внешний нарушитель Внутренний нарушитель Внутренний или внешний нарушители
  • 20. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 20 Статистика Уязвимости Количество: 11628 (ОС:11527/ЗС:101) Статистические данные актуальны по состоянию на 17.08.2015 г. 4% 32% 46% 18% Распределение по уровню опасности Низкий (CVSS < 4) Средний (4 <= CVSS < 7) Высокий (7 <= CVSS < 10) Критический (CVSS = 10) 80% 2% 4% 12% 2% Распределение по типу программного обеспечения Операционные системы ПО виртуализации Сетевое ПО Прикладное ПО ПО других типов
  • 21. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 21 Определение угроз безопасности информации На основе Банка данных угроз Базовый перечень угроз (175) Выборка перечня угроз с сайта Отсечение угроз, реализуемых нарушителями слишком высоких уровней Усечённый перечень угрозПеречень угроз после первой фильтрации Отсечение угроз, связанных с использованием конкретных ИТ, конкретных видов объектов защиты Усечённый перечень угрозПеречень угроз после второй фильтрации Отсечение угроз, не реализуемых ввиду конкретных структурно- функциональных характеристик ИС, подключений к Интернет Усечённый перечень угрозПеречень угроз после третьей фильтрации Модель угроз База данных угроз (bdu.fstec.ru)
  • 22. V Воронежский форум инфокоммуникационных и цифровых технологий Воронежская область,Сити-парк «Град», 20 августа 2015 г. 22 Определение угроз безопасности информации На основе Банка данных угроз • Быстрота формирования перечня угроз • Формализованность (единообразие всех моделей угроз безопасности информации) • Обоснованность (перечень потенциальных угроз сформирован по результатам проведённых НИР) Преимущества • Отсутствие полноты всех существующих угроз в Банке данных • Необходимость экспертного контроля и (при необходимости) дополнения сформированного автоматизированным путём перечня угроз • Необходимость оценки актуальности угроз для конкретной системы Недостатки