Технологии и продукты Microsoft в обеспечении ИБ презентация

Содержание

Цели Познакомиться с законодательными и правовыми основами защиты информации Рассмотреть основные положения «Закона о персональных данных» Изучить принципы разработки политики безопасности Проанализировать причины инициативы Microsoft по предоставлению ФСБ и другим

Слайд 1Технологии и продукты Microsoft в обеспечении ИБ
Лекция 20. Организационно-правовые аспекты

защиты информации

Слайд 2Цели
Познакомиться с законодательными и правовыми основами защиты информации
Рассмотреть основные положения «Закона

о персональных данных»
Изучить принципы разработки политики безопасности
Проанализировать причины инициативы Microsoft по предоставлению ФСБ и другим заинтересованным государственным организациям доступа к исходному коду своих продуктов

ORG


Слайд 3Критерии оценки безопасности
Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности
Требования действующего российского

законодательства (РД ФСТЭК, СТР-К, ГОСТы)
Требования отраслевых стандартов (СТО БР ИББС 1.0, базовый уровень информационной безопасности операторов связи)
Рекомендации международных стандартов (ISO 17799, OCTAVE)
Рекомендации компаний-производителей программного и аппаратного обеспечения (Microsoft, Oracle, Cisco и т.д.)

Слайд 4Нормативно-правовое обеспечение информационной безопасности


Слайд 5Что такое Политика ИБ?
Политика информационной безопасности –
официально принятая система взглядов на

цели, задачи, основные принципы и направления деятельности в области защиты от возможных угроз

одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности


Слайд 6Цели Политики ИБ
определение и ввод в операционное управление основных принципов, политик,

стандартов, директив Политики безопасности
определение приоритетов развития Компании в области обеспечения ИБ
обеспечение осведомленности и координация деятельности сотрудников Компании в областях, имеющих влияние на ИБ

Слайд 7Основные разделы Политики
цели и задачи Политики безопасности
общие сведения об активах
модели угроз

и нарушителей
высокоуровневые требования ИБ
санкции и последствия нарушений политики
определение общих ролей и обязанностей, связанных с обеспечением ИБ
перечень частных политик ИБ
положения по контролю реализации политики ИБ
ответственность за реализацию и поддержку документа
условия пересмотра документа.



Слайд 8Особенности создания Политики
учитывается текущее состояние и ближайшие перспективы развития АС
учитываются цели,

задачи и правовые основы создания и эксплуатации АС
учитываются режимы функционирования данной системы
производится анализ рисков информационной безопасности для ресурсов АС Компании

Слайд 9Нормативно-правовая основа Политики


Слайд 10ФЗ «О персональных данных»
Персональные данные - любая информация, относящаяся к определенному

или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных

Слайд 11Работа с персональными данными должна производиться с соблюдением мер конфиденциальности и

защиты
Субъект персональных данных самостоятельно решает вопрос передачи кому-либо своих персональных данных
Согласие на передачу оформляется документально
Субъект персональных данных имеет полное право на доступ к своим персональным данным
Государство создает Уполномоченный орган по защите прав субъектов персональных данных

ФЗ «О персональных данных»


Слайд 12Оператор обязан принимать организационные и технические меры, для защиты ПД от

НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий
Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке
Федеральные органы в области обеспечения безопасности (ФСБ России, ФСТЭК России) осуществляют контроль и надзор
Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность

Меры по обеспечению безопасности персональных данных


Слайд 13Аттестация АС на требования ФСТЭК
«Аттестат соответствия» подтверждает, что объект соответствует требованиям

стандартов, утвержденных ФСТЭК России. Дает право обработки информации с уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия»
Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от НСД, в том числе от компьютерных вирусов, от утечки за счет побочных электpомагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электpомагнитное и pадиационное воздействие), от утечки или воздействия на нее за счет специальных устpойств, встpоенных в объекты инфоpматизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

Слайд 14Актуальность создания политики безопасности
Разработка Политики безопасности является необходимым шагом на пути

внедрения полноценной системы управления информационной безопасности компании

Слайд 15Комплексная защита информации


Слайд 16Комплексная защита информации


Слайд 17Организационная политика обеспечения ИБ
меры организационного характера, регламентирующие:
процессы функционирования системы обработки

данных,
использование ее ресурсов,
обучение сотрудников,
деятельность обслуживающего персонала,
а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации

Организационные (административные) меры защиты


Слайд 18Регламенты в области ИБ
Регламент резервного копирования информации
Регламент расследования инцидентов в области

информационной безопасности
Регламент проведения аудита информационной безопасности
Регламент управления документами в области ИБ


Слайд 19Инструкции по безопасности
Инструкция администратору безопасности
Инструкция пользователю по обеспечению информационной безопасности


Слайд 20Документационное обеспечение
Уровень предприятия
Политика безопасности
Положение о конфиденциальности
Перечень конфиденциальной информации
Уровень подразделения
Трудовые соглашения,

определяющие ответственность сотрудников
Должностные инструкции
Уровень информационной системы
Регламенты использования корпоративной информационной системы
Регламенты предоставления доступа к конфиденциальной информации

Слайд 21Меры по реализации политики ИБ
Организационные меры – создание и изменение
Регламентов
Правил
Инструкций

и пр.
Программно-технические меры - внедрение
Антивирусной защиты
Системы контроля доступа
Подсистемы анализа уязвимостей и пр.
Мероприятия по кадровому обеспечению
Специализированные программы обучения
Интранет-порталы
Рассылка новостей

Слайд 22Пример: нормативная основа создания защищённого документооборота
Регламент работы Удостоверяющего центра

Должностная Инструкции администратора

Удостоверяющего центра

Инструкция пользователю по работе с ключевым носителем информации

Слайд 23Government Security Program (GSP)
Программа , в рамках которой организациям, участвующим в

государственных проектах по совершенствованию защищенных информационных систем, предоставляет доступ к исходным кодам продуктов Майкрософт.

Слайд 24Предоставление исходных кодов
Россия - первая страна в мире, подписавшая с Microsoft

Соглашение GSP ( в 2002 г. - между Майкрософт и ФГУП НТЦ «Атлас», действует по н.вр.)
Доступ к исходным кодам продуктов Microsoft
ФСБ
ФСТЭК
Министерству обороны
Министерству атомной промышленности
другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.

Слайд 25Сертифицированный в ФСБ продукт
Обычный лицензионный продукт Microsoft
Дополнительный «Service Pack Rus» для

этого продукта
Содержит криптопровайдеры компании Крипто-Про, позволяющие зашифровывать информацию и подписывать документы электронной цифровой подписью с использованием российских криптографических алгоритмов.



Слайд 26Текущие результаты сертификации
Windows XP Professional / Vista
Windows Server 2003 /R2
Office 2003/2007

Professional
ISA Server 2006
линейка антивирусных продуктов Forefront
Forefront для Exchange Server,
Forefront для SharePoint Server
Forefront Client
Exchange Server 2007
Office SharePoint Server 2007
BizTalk Server 2006 R2

Слайд 27Использованные источники
Сердюк В.А. Комплексный подход к защите компании от угроз информационной

безопасности // Презентация, ДиалогНаука, 2008
Сердюк В.А. Система управления информационной безопасностью // Презентация, ДиалогНаука, 2008
Сердюк В.А. Политика информационной безопасности // Презентация, ДиалогНаука, 2008
Сердюк В.А. Новое в защите от взлома корпоративных систем. М.: Техносфера, 2007.
http://www.microsoft.com/Rus/Security/Certificate/Default.mspx

Слайд 28Спасибо за внимание!
Вопросы?


Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика