Отдел безопасности информационных систем Департамент информационных технологий

Павел Викторович
Информационная безопасность

(далее – ИБ)
Нормативно-правовые основы обеспечения ИБ в Российской Федерации

Обеспечение информационной

безопасности в Минпромторге России
Инциденты информационной безопасности
Реализация комплексной системы защиты информации
Организационные меры защиты
Архитектура системы защиты информации ИКС
Обучение и программа осведомленности по вопросам обеспечения ИБ

Программа семинара

система обеспечения информационной безопасности
1

технического характера направленных на обеспечение информационной безопасности

Управление ИБ – процесс

направленный на обеспечение конфиденциальности, целостности и доступности активов, информации, данных и деятельности организации

Основные понятия и определения

Информационная безопасность – это состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры

Угрозы – потенциальные возможности определенным образом нарушить ИБ

руководящие документы государственных
органов России
Стандарты информационной
безопасности
Организационно – распорядительные документы

по информационной
безопасности Минпромторга России

Конституция

Федеральные законы
(включая федеральные конституционные законы, кодексы)

Указа Президента

Международные договоры

Приказы и руководящие документы
ФСБ России

Приказы и руководящие документы
ФСТЭК России

Государственные стандарты России

Международные стандарты

Регламенты

Положения

Концепция ИБ

Инструкции

Российской Федерации от 05.03.1992 г. № 2446-1 «О безопасности»
Федеральный закон Российской Федерации от 27.07.2006 г. № 149-ФЗ

«Об информации, информационных технологиях и о защите информации»
Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных»
Федеральный закон Российской Федерации от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»
Гражданский, Трудовой и Уголовный кодексы Российской Федерации
Указы Президента Российской Федерации
Постановления Правительства Российской Федерации
и т.д.

Нормативно-правовые акты Российской Федерации в области ИБ

Информационная безопасность

6

конфиденциальной информации (СТР-К). Утвержден Приказом Государственной технической комиссии при Президенте

Российской Федерации от 30.08.2002 г. № 282-дсп.
Руководящие документы. Защита информации от НСД.
Требования по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Утверждены Приказом ФСТЭК России от 11.02.2013 г. № 17 и т.д.

Методические, руководящие документы ФСТЭК России и ФСБ России

Документы ФСТЭК России

Требования по защите информации, содержащейся в информационных системах общего пользования. Утверждены Приказом ФСБ России № 416, ФСТЭК России № 489 от 31.08.2010 г.
Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 21.02.2008 г. № 149/5-144.
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств……, от 21.02.2008 г. № 149/6/6-622 и т.д.

Документы ФСБ России

Объект информатизации. Факторы, воздействующие на информацию»
ГОСТ Р 5158-2000 «Порядок создания автоматизированных систем

в защищенном исполнении»
ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении»
ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении»
ГОСТ Р 51624-2000 «Автоматизированные системы в защищенном исполнении»
ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»

ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»
ГОСТ Р ИСО/МЭК 15408-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»

Стандарты информационной безопасности

системы защиты информации
Обеспечение безопасности при работе в ИКС
Архитектура системы защиты

информации ИКС
Обучение и программа осведомленности

Ряд крупных российских ведомств, связанных с международной торговлей, столкнулись со

сбоями в работе оборудования. 
Причиной послужил отказ американских поставщиков программного обеспечения от его поддержки из-за санкций в отношении России.
Апрель 2016 года
Взломана база данных управления Федеральной службы государственной регистрации кадастра и картографии (Росреестр) по Кабардино-Балкарии.
Хакеры зарегистрировали права собственности на земельные участки и недвижимое имущество, расположенные на территории республики.
Проведена атака на пресс-службу УФСКН по Челябинской области.
Неизвестные разослали от имени пресс-службы УФСКН по Челябинской области сообщение об аресте высокопоставленного должностного лица из кадрового управления ГУ МВД по региону. Согласно поддельному пресс-релизу, чиновник был задержан за крупную взятку и наркотики.
Май 2016 года
Почтовые ящики ряда сотрудников Министерства энергетики России подверглись хакерской атаке.
В частности, были вскрыты почтовые ящики замминистра Антона Инюцына. По словам специалистов, скопирован и похищен весь личный архив с 2008 года.

доменной структуре единой службы каталогов информационно-коммуникационной системы Минпромторга России. Утверждено

Приказом от 11.06.2015 г. № 1502

Каждый пользователь в ЕСК ИКС имеет собственную учетную запись

Пароль должен отвечать требованиям сложности:
не содержит имя учетной записи пользователя
не содержит частей полного имени пользователя длинной более двух рядом стоящих знаков
иметь длину пароля не менее 8 знаков
не должен повторяться

Пароль имеет ограниченный срок действия – 3 месяца
Для авторизации учетной записи предоставляется - 10 попыток

В ДС ЕСК ИКС по умолчанию создаются информационные ресурсы на сетевом диске для каждого структурного подразделения

На АРМ пользователей запрещается обработка информации и сведений, составляющих государственную тайну

служебная проверка в соответствии с порядком, установленным Минпромторгом России.
Положение

о Подсистеме ведомственной электронной почты доменной структуры единой службы каталогов информационно-коммуникационной системы Минпромторга России.
Утверждено Приказом от 15.06.2015 г. № 1537

безопасности при использовании информационно-коммуникационных сетей международного информационного обмена в Минпромторге

России.
Утверждено Приказом от 11.04.2015 г. № 432

vk.com, instagram.com, facebook.com, ivi.ru, kino.ru
ТОП – 10 нарушителей месяца (средний

трафик 4,5 Gb):

Передача прав доступа к своему почтовому ящику
Работа под учетной записью другого сотрудника

устройств)
Контроль доступа пользователей к сетевым ресурсам ИКС
Антивирусный контроль
Контроль сервиса электронной

почты
Контроль времени и доступа пользователей к ресурсам сети Интернет
Контроль объема скаченного трафика
Контроль тематики посещаемых сайтов

несанкционированного
доступа
Подсистема защиты среды
виртуализации
Подсистема межсетевого
экранирования и обнаружения
вторжений

в среде
виртуализации

Подсистема криптографической
защиты информации

Подсистема межсетевого экранирования и обнаружения вторжений

Подсистема антивирусной
защиты и анти-спама

ИБ
Скринсейверы
Флеш-ролики
Календари и плакаты

В сентябре 2016 г. в Минпромторге России запланирован

тренинг по программе осведомленности

сентябрь 2016 г.
Цели обучения:
понимание причин, по которым необходимо уделять

внимание кибербезопасности;
умение различать безопасные и небезопасные формы поведения;
позитивные примеры «как нужно делать», а не только «как нельзя»;
понимание того, какую информацию хотят заполучить киберпреступники.

План мероприятия:
За 1 неделю до начала обучения для тестовой группы 60 человек запускаем «Онлайн платформу обучения навыкам кибербезопасности». Для подключения требуются подключить сотрудников к онлайн-платформе (прислать в «Лабораторию Касперского» внутренний e-mail сотрудников).

Сотрудникам в почту приходят уведомления о добавлении их в онлайн-платформу и просьба пройти обучающие модули.

Далее 25.09.2016 г. очное обучение на котором отрабатываются ситуации позволяющие получить навыки по информационной безопасности (игра соревновательная, будут победители и проигравшие. Победителям подарки от «Лаборатории Касперского»).

aut es et litem que ligent odissita cones
Риски безопасности мобильных

устройств

Информационная безопасность

Риски, возникающие при утрате устройства:
Утечка конфиденциальной информации (ЭП, календарь, IM, адресная книга..)
Утечка аутентификационной информации (корпоративная сеть, мобильный банкинг)


Риски, возникающие при использовании устройства:
Заражение устройства вредоносным ПО
Использование устройства для доступа к корпоративной сети