Юридические и практические аспекты защиты информации в сфере транспортной безопасности
Порядок действий
Законодательство
Принадлежность организации к субъектам КИИ
Создание комиссии и категорирование
Создание комплексной системы безопасности
Типовой перечень основных подсистем СИБ
Взаимодействие с НКЦКИ (ФСБ России)
Аттестация
Общий мастер-план
1.24M
Category: lawlaw
Similar presentations:
Юридические аспекты применения средств криптографической защиты информации
Юридические аспекты применения средств криптографической защиты информации
Основные документы в области информационной безопасности и технической защиты информации
Основные документы в области информационной безопасности и технической защиты информации
Общие положения законодательной и нормативно- правовой базы в области защиты информации
Общие положения законодательной и нормативно- правовой базы в области защиты информации
Классификация автоматизированных систем по требованиям безопасности информации
Классификация автоматизированных систем по требованиям безопасности информации
Защита персональных данных. Угрозы в области технической защиты информации. Оценка рисков
Защита персональных данных. Угрозы в области технической защиты информации. Оценка рисков
Аттестация объектов информатизации по требованиям безопасности информации
Аттестация объектов информатизации по требованиям безопасности информации
Сертифицированные решения для построения систем защиты персональных данных и конфиденциальной информации
Сертифицированные решения для построения систем защиты персональных данных и конфиденциальной информации
Аттестация объектов информатизации по требованиям безопасности информации. Лекция 2
Аттестация объектов информатизации по требованиям безопасности информации. Лекция 2
Информация как объект защиты. Методы защиты информации. Правовые аспекты (лекция 12)
Информация как объект защиты. Методы защиты информации. Правовые аспекты (лекция 12)
Информационная безопасность. Правовое обеспечение защиты информации
Информационная безопасность. Правовое обеспечение защиты информации

Юридические и практические аспекты защиты информации в сфере транспортной безопасности

1. Юридические и практические аспекты защиты информации в сфере транспортной безопасности

www.at-consulting.ru

2. Порядок действий

1
Определить принадлежность организации к субъектам
1.
критической инфраструктуры/ ГИС/ ИСПДн
2
3
Создать комиссию
и провести категорирование
объектов КИИ / классификацию ГИС
и определение УЗ для ИСПДн
5
4
Создать комплексную систему
безопасности
Организовать взаимодействие с
Национальным
координационным центром по
компьютерным инцидентам
(НКЦКИ) ФСБ России
Провести аттестацию системы
www.at-consulting.ru
2

3. Законодательство

КИИ
ГИС
ИСПДн
ФЗ-187
«О безопасности КИИ
Российской Федерации»
ФЗ-149
«Об информации,
ИТ и о ЗИ»
ФЗ -152
«О персональных
данных»
ПП- № 127
«Правила
категорирования
объектов КИИ…»
ПП- № 676
«Требования к порядку
создания, развития,
ввода ГИС…»
ПП -1119
«Требования по защите
ПДн»
Приказ ФСТЭК России
№ 235
«Требования к
созданию СБ КИИ РФ»
Приказ ФСТЭК России
№ 17
«ЗИ, не составляющей ГТ,
содержащейся в ГИС»
Приказ ФСТЭК России
№ 21
«О защите ПДн»
Приказ ФСТЭК России
№ 239
«Требования по обесп.
безопасности КИИ РФ»
www.at-consulting.ru
Приказ ФСБ России
№ 378
«Защита ПДн с
использованием СКЗИ»
3

4. Принадлежность организации к субъектам КИИ

Здравоохранение
Атомная энергия
Наука
Оборонная
промышленность
Транспорт
Связь
Банковская сфера
Космическая
промышленность
Финансовый рынок
Горнодобывающая
промышленность
ТЭК
Металлургия
Энергетика
Химическая
промышленность
www.at-consulting.ru
1
4

5. Создание комиссии и категорирование

2
Создание комиссии
Определение состава комиссии по категорированию объектов КИИ
Издание приказа о создании комиссии
Определение критических процессов
Выявление критических процессов в организации
(управленческий, технологический, производственный и т.п.)
Определение перечня объектов КИИ
Разработка перечня объектов, подлежащих категорированию
Согласование перечня с отраслевым Регулятором
Отправка перечня в ФСТЭК России
Определение угроз безопасности
Определение угроз безопасности
Определение перечня уязвимостей
Категорирование и классификация
Определение категории значимости, класса защищенности и уровня защищенности
Отправка в ФСТЭК России информации по категорированию объектов организации
www.at-consulting.ru
5

6. Создание комплексной системы безопасности

3
Определение требований
Определение требований в соответствии с категорией значимого и класса системы
Разработка ТЗ на систему защиты
Разработка мер защиты
Анализ угроз безопасности
Проектирование системы защиты
Разработка эксплуатационной документации
Внедрение мер защиты
Установка и настройка средств защиты
Разработка ОРД
Испытания системы защиты
Анализ уязвимостей
Эксплуатация
Обеспечение безопасности системы в ходе ее
эксплуатации
Реагирование на компьютерные инциденты
Обучение персонала
www.at-consulting.ru
6

7. Типовой перечень основных подсистем СИБ

3
Типовой перечень основных подсистем СИБ
SIEM
защита от утечки по
техническим
каналам (для ГТ)
защита
виртуализации
СКЗИ
защита от утечек
[DLP]
обнаружение
вторжений
(комп.атак) [IDS/IPS]
защита
информации от НСД
(УД, РСБ, ОЦ)
www.at-consulting.ru
поведенческий
анализ
контроль
привилегированных
пользователей
анализ
защищенности
межсетевое
экранирование
анализ исходного
кода
защита от
таргетированных атак
Однонаправленная
передача данных
антивирусная
защита
WAF/
DBAF
DDoS
защита мобильных
устройств [MDM]
7

8. Взаимодействие с НКЦКИ (ФСБ России)

Создание ведомственного
сегмента ГосСОПКА
Разработка Регламента
порядок информирования
перечень информации
Подключение к технической
инфраструктуре НКЦКИ
www.gov-cert.ru
www.at-consulting.ru
4
Персонал
Технические средства
Документация
Информационный обмен
Информация об атаках
Информация о возможных атаках
Экспертиза критических событий
8

9. Аттестация

5
Аттестация
Аттестация проводится в случае если:
Значимый объект КИИ является
государственной информационной системой
(ГИС)
Значимый объект КИИ
обрабатывает гостайну
В организации принято решение по
проведению аттестации
в остальных случаях:
Проводится подтверждение соответствия объекта КИИ требованиям законодательства в ходе приемочных испытаний
www.at-consulting.ru
9

10. Общий мастер-план

Создание комиссии
и проведение категорирования и классификации
Создание системы безопасности
Организация взаимодействия с НКЦКИ
Аттестация
Провести аттестацию Эксплуатация
системы
Месяц 4
Месяц 1
www.at-consulting.ru
Месяц 8
Месяц 12
10

11.

Спасибо за внимание!
127015, Россия, Москва,
ул. Большая Новодмитровская, д. 14, стр. 2
Офисный центр «Новодмитровский»
Тел.: +7 (495) 748-05-75
Факс: +7 (495) 748-01-25
e-mail: [email protected]
www.at-consulting.ru
English     Русский Rules