Прозоров Андрей Ведущий эксперт по информационной безопасности

Законодательство РФ и ИБ:

Что нужно знать, внедряя

современные ИС в ВУЗах?

2014-08

Первая проблема законодательства РФ по ИТ и ИБ:

Требований слишком много, взаимосвязи документов не

всегда очевидны

Вторая проблема законодательства РФ по ИТ и ИБ:

Требования очень часто обновляются

Третья проблема законодательства РФ по ИТ и ИБ:

Сложно найти рекомендации

Регуляторы

ФСТЭК России

ФСБ России

РКН

Минобрнауки России

Рособрнадзор

Требования по ИБ для ВУЗов

1. Защита персональных данных (152-ФЗ, ПП1119, Приказ ФСТЭК России №21)

2. Защита информации в Государственных Информационных системах (149-ФЗ, Приказ ФСТЭК России №17)

3. Защита коммерческой тайны (98-ФЗ)

4. Контроль информации в сети Интернет (149-ФЗ)

Реестр ГосИС - http://rkn.gov.ru/it/register

Перечень ГосИС

№ Наименование ФГИС Оператор ФГИС Сайт

0022 АСИНИТ ФГАНУ ЦИТиС минобрнауки.рф

0023 АИС регистрации и учета НИОКР, выполненных за счет

собственных средств ФГУП и ОАО

ФГАНУ ЦИТиС минобрнауки.рф

0169 Государственный банк данных о детях, оставшихся без попечения

родителей

Минобрнауки России mon.gov.ru

0241 ФИС ГИА и приема Рособрнадзор www.obrnadzor.gov.ru

0242 ФИС Эксперты Рособрнадзор www.obrnadzor.gov.ru

0243 ИС БДНО Рособрнадзор www.obrnadzor.gov.ru

0244 ИС АКНД ОУ Рособрнадзор www.obrnadzor.gov.ru

0245 ИС ЛОД Рособрнадзор www.obrnadzor.gov.ru

0246 АКНД ПП Рособрнадзор www.obrnadzor.gov.ru

0248 ОСОКО Рособрнадзор www.obrnadzor.gov.ru

0249 ИС ГА Рособрнадзор www.obrnadzor.gov.ru

0250 ФРДО Рособрнадзор www.obrnadzor.gov.ru

0251 ФБДА Рособрнадзор www.obrnadzor.gov.ru

0252 ЕИИС Рособрнадзор www.obrnadzor.gov.ru

0253 ИС ПКС Рособрнадзор www.obrnadzor.gov.ru

0254 ТРС Рособрнадзор www.obrnadzor.gov.ru

0273 АИС Признание Рособрнадзор www.obrnadzor.gov.ru

0277 Автоматизированная система сбора, анализа и представления

информации о функционировании системы дополнительного

профессионального образования на базе учреждений

профессионального образования (ДПО, СПО и ВПО) в субъектах

Российской Федерации

ФГАУ ГНИИ ИТТ "Информика" минобрнауки.рф

ФСТЭК России http://fstec.ru/eksportnyj-kontrol/planovye-proverki • 14 университетов (МЭИ, МГТУ им.Баумана и пр.), 8

институтов, 4 отделения РАН… • Цель проведения проверки: «Предупреждение, выявление

и пресечение нарушений обязательных требований в области экспортного контроля»

РКН http://rkn.gov.ru/plan-and-reports/ • 25 университетов, 13 институтов, 8 академий, 3 отделения

РАН… • Цель проведения проверки:

– «Проверка соблюдения обязательных требований в сфере обработки персональных данных»

– «Проверка соблюдения лицензионных условий и обязательных требований в области связи, в области использования радиочастотного спектра»

Планы проверок на 2014

Подход ФСТЭК России

Приказ 17 2013

Приказ 21 2013

Приказ 31 (2014, АСУ ТП)

Меры защиты информации в государственных информационных системах 2014

СТР-К не отменен…

Меры защиты (Приказ 21)

I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) II. Управление доступом субъектов доступа к объектам доступа (УПД) III. Ограничение программной среды (ОПС) IV. Защита машинных носителей персональных данных (ЗНИ) V. Регистрация событий безопасности (РСБ) VI. Антивирусная защита (АВЗ) VII. Обнаружение вторжений (СОВ) VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

IX. Обеспечение целостности информационной системы и персональных данных (ОЦЛ) X. Обеспечение доступности персональных данных (ОДТ) XI. Защита среды виртуализации (ЗСВ) XII. Защита технических средств (ЗТС) XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) XIV. Выявление инцидентов и реагирование на них (ИНЦ) XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

1. Определите категорию информации, которая обрабатывается в ИС

2. Определите набор требований к обработке и защите данной информации

3. Разработайте Модель угроз 4. Решите вопрос с использованием

сертифицированного ПО и АО, а также «импортозамещением»

5. Спроектируйте систему защиты 6. Внедрите систему защиты

(средства защиты, документы, процессы) 7. Решите вопрос с аттестацией ИС

7 шагов по ИБ для ИС

«Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы

обладателем информации (заказчиком) и оператором при необходимости привлекаются организации,

имеющие лицензию на деятельность по технической защите конфиденциальной информации»

А может аутсорсинг?

Спасибо за внимание!

www.infowatch.ru

+7 495 22 900 22 Андрей Прозоров