Security regulations trends_risspa

Регулирование ИБ в России: что было и что будет!?Лукацкий Алексей

Содержание

Какова общая тенденция?

Чего боятся отечественныепроизводители средств защиты? Риски, связанные со все более укрепляющимся положением международных производителей на отечественном рынке программного обеспечения в сфере ИБ, особенно принимая во внимание фактическую либерализацию импорта СКЗИ Рост роли международных стандартов на национальном рынке информационной безопасности, перекос регулирования «экспорт/импорт» может привести к падению спроса на продукцию отечественных производителей программного обеспечения

Чего боятся в ФСБ/СоветеБезопасности? В российских информационно-коммуникационных технологиях используется до 98% зарубежных разработок и оборудования  Данные ФСБ для Совбеза РФ ФСБ не раз заявляла о том, что для борьбы с этой угрозой национальной безопасности будут использованы два основных механизмы  Недопущение на российский рынок западных продуктов  Сертификация средств защиты информации В качестве угрозы рассматривается использование несертифицированных отечественных и зарубежных ИТ, средств защиты информации, средств информатизации, телекоомуникации и связи при создании и развитии российской информационной инфраструктуры  Доктрина информационной безопасности РФ

О чем говорят властныеструктуры? Россия зависима от западных технологий  Их разработчики находятся под колпаком у западных спецслужб Невозможность бороться с киберпреступлениями  Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О борьбе с киберпреступностью», а потом отозвал свою подпись Готовятся кибервойны  США внесло в ООН предложение отвечать военными ударами на кибератаки Законодательство других стран дает право спецслужбам контролировать весь Интернет-трафик, проходящий через эти страны  В России такое же законодательство Западные страны пытаются вмешиваться в суверенитет России в Интернет-пространстве

Как поступают в другихстранах? Развивают свое, постепенно вытесняя все зарубежное и недоверенное  Пример: Китай Дают возможность применять для гражданского применения все, что угодно, контролируя наиболее критичные сферы (гостайна, КВО, оборонка), пытаясь внедрить в них собственные наработки

Что предлагают отечественныерегуляторы? Выработка мер по минимизации непосредственного участия иностранных компаний в информатизации процессов государственного управления Содействие развитию отечественного производства средств связи и телекоммуникаций, ПО, микроэлектронной базы и т.д. И еще 5 предложений По поводу СПО  ФСБ не раз заявляла, что уровень затрат на анализ СПО и проприетарного ПО в контексте ИБ одинаков  Основным поставщиком ПО для Сочи-2014 выбрана компания Microsoft – уже после принятия курса на СПО

Что происходит на самом деле вРоссии? Большое количество регуляторов Легитимный ввоз криптографии в соответствие с правилами Таможенного союза («ВТО») Использование легитимной криптографии Требования сертификации Локальные и закрытые нормативные акты Отсутствие учета рыночных потребностей Исторический бэкграунд

Регуляторы в области ИБГазпром- ФСТЭК РЖД серт ФСО ФСБ PCI ЦБ ИБ Council Минком- СВР связь Рос-Росатом МО стандарт

Что было?

Что происходило совсем недавно Новый ФЗ «О персональных данных» Финансовая отрасль  PCI DSS 2.0  СТО БР ИББС-1.0 v4  Письма КЦ АРБ ФЗ «О национальной платежной системе» ФЗ «Об электронной подписи» ФЗ «О госуслугах» и СМЭВ ФЗ по безопасности ТЭК НПА по УЭК Новый ФЗ о лицензировании Защита детей от информации

Что произошло с ФЗ о ПДн Конвенции и иные Директивы Евросоюза / Европейская Рекомендации международные Европарламент Конвенция ОЭСР договора а ФЗ №152 от 26.07.2006 Законы ФЗ №160 от 19.12.2005 Постановления №781 от №687 от №512 от Правительства 17.11.2007 15.09.2008 6.07.2008 2 открытых Регламенты Приказы и «Приказ трех» от документа и 1 2 открытых осуществления иные документы 13.02.2008 полуДСП от ФСТЭК документа ФСБ контроля и надзорар• «Старые» Постановления пока действуют• 2 новых отраслевых стандарта – НАУФОР и НАПФ

Что поменялось в ФЗ-152? Терминология  ПДн, биометрические ПДн, обезличивание, обработка, автоматизированная обработка, трансграничная передача Условия обработки ПДн без согласия Появление «обработчика» ПДн (ЛОПДПО) Условия обработки специальных категорий ПДн Условия трансграничной передачи ПДн Условия ограничения доступа субъекта к его ПДн Условия непредоставления субъекту сведений Контроль и надзор со стороны ФСТЭК и ФСБ Содержание уведомления в РКН Возмещение морального вреда

Что под вопросом после принятиянового ФЗ-152? Классификация ИСПДн – ее больше нет  Разные управления РКН считают по разному Моделирование угроз – его больше нельзя делать самостоятельно  Но ФСТЭК считает иначе Требования по защите ПДн – стало жестче  Или точнее могут стать Сертификация средств защиты – на уровне закона  Сертификация и оценка соответствия это не одно и тоже  Нечеткость терминологии и жесткость позиции регулятора Аттестация объектов информатизации – на уровне закона Лицензирование деятельности по защите информации  Об этом постоянно говорят регуляторы в лице ФСТЭК и ФСБ

Новые руководства для PCI DSS Новые указания по использованию виртуализации в рамках проектов по PCI DSS  Включая все технологии виртуализации, а не только для серверов  Включает раздел по облачным вычислениям Новые указания по использование телефонных технологий в рамках PCI  Включая центры обработки вызовов

Электронный документооборот госорганов Внутренний ЭД Межведомственный ЭД Приказ Минкомсвязи РФ от РФ 15.11.2011 N 22304 02.09.2011 № 221 «Об  Приказ Минкомсвязи РФ от утверждении Требований к 27.12.2010 № 190 «Об информационным системам утверждении технических электронного документооборота требований к взаимодействию ФОИВ, учитывающих в том числе систем в единой системе необходимость обработки межведомственного электронного посредством данных систем взаимодействия» служебной информации ограниченного распространения»  Зарегистрировано в Минюсте

Межведомственный электронныйдокументооборот Подсистема информационной безопасности каждой информационной системы, подключаемой к системе взаимодействия, должна обеспечивать установленные законодательством Российской Федерации уровни защищенности информации, обрабатываемой в этой системе  Пока не утверждены Каналы защищаются VPN-решениями класса не ниже КС3  Учитывайте, что речь идет о межведомственном, а не внутреннем электронном документообороте

Внутренний электронныйдокументооборот Защищенность от несанкционированного доступа в случаях, когда в СЭД предусмотрена обработка служебной информации ограниченного распространения - не ниже класса 1Г Для защиты служебной информации ограниченного распространения должны использоваться сертифицированные в соответствии с требованиями безопасности информации технические и (или) программные средства защиты информации Требования по защите информации и мероприятия по их выполнению, а также конкретные программно-технические средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности  Пока не установлены СЭД не должна иметь прямого (незащищенного) подключения к Интернет в соответствии с Указом Президента №351  Необходимо применение сертифицированных межсетевых экранов и VPN-решений (любого класса)

Электронная подпись и банки В соответствии с Указанием Банка России от 16 января 2004 года № 1375-У «О правилах составления и представления отчетности кредитными организациями в Центральный банк Российской» (далее - Указание № 1375-У) при составлении и представлении отчетности кредитных организаций в Банк России в электронном виде для подтверждения подлинности и контроля целостности электронного сообщения используется код аутентификации Код аутентификации является аналогом электронной подписи, отвечающим требованиям, предусмотренным пунктами 2 и 3 статьи 5 Федерального закона от 06.04.2011 года 63-Ф3 «Об электронной подписи» Учитывая изложенное, кредитным организациям при составлении и представлении отчетности в Банк России в электронном виде следует руководствоваться порядком, установленным Указанием Банка России от 24 января 2005 года № 1546-У «О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации»

Безопасность ТЭК 21 июля 2011 года Президент РФ подписал Федеральный Закон «О безопасности объектов топливно-энергетического комплекса», а также Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса» Статья 11 «Обеспечение безопасности информационных систем объектов топливно- энергетического комплекса»  Требования и состав комплекса защитных мер пока не определены

О лицензировании 4 мая (с дополнения от 11 июля) была подписана новая редакция закона о лицензировании, который серьёзно упрощает процедуру получения лицензий, повышает их прозрачность и существенно снижает число лицензируемых видов деятельности Тематика связанная с лицензированием деятельности по защите информации и криптографии осталась ;-(  Эти виды деятельности были укрупнены в два направления - криптографическая деятельность и защита от несанкционированного доступа к информации  Эти виды деятельности будут регулироваться отдельными новыми Постановлениями Правительства (проекты уже есть) Лицензии бессрочные

О лицензированиикриптографии Разработка, производство, распространение шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств  За исключением случая, если техническое обслуживание шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств, осуществляется для обеспечения собственных нужд юридического лица

«Финальное» мнение ФСТЭК о лицензировании Деятельность по ТЗКИ для собственных нужд организации является лицензируемой деятельностью, поскольку п.5 ч.1 ст.12 ФЗ «О лицензировании…» для лицензирования деятельности по ТЗКИ исключения «для обеспечения собственных нужд» не предусмотрено

О продукции отечественногопроизводства Приказ Минэкономразвития и Минпромторга, определяющий, что считать ИТ-продукцией отечественного производства Параметр Кимп (стоимость импортного сырья, материалов, комплектующих, имеющих отечественные аналоги) в формуле расчета либо не вычислим либо будет всегда очень большим (итог – низкий уровень локализации)  Не установлен орган сличения материалов и комплектующих иностранного и отечественного производства  Не определены каталога, считающиеся официальными  Не определены процедуры и орган, утверждающие о наличии отечественных аналогов

В России нет продукцииотечественного производства Иностранные вендоры в России – резиденты со 100%-м участием иностранных компаний  Приказ обязывает создавать СП с госорганами, муниципалами или Ростехнологиями  СП должны быть переданы права на документацию и ПО – передача интеллектуальных прав западной компании (особенно из США) практически невозможна Заявитель должен осуществлять полный цикл сборки печатных плат в России  В России таких предприятий (даже оборонных) практически нет  При наличии таких предприятий проще обратиться на Тайвань или в Китай – себестоимость ниже  Кстати, сборка печатных плат – экологически вредное производство

О встраивании криптоядра в VPN-продукты Можно ли использовать сертифицированное ФСБ криптоядро в составе VPN-решений (иностранного или отечественного производства)?  Можно Будет ли такое использование легитимным?  Нет!!!

Что будет?

Что будет происходить совсем скоро Персональные данные  Административные регламенты ФСБ и РКН Финансовая отрасль  СТО БР ИББС-1.0 v5 Требования по ИБ для национальной платежной системы Требования по УЦ и ЭП Новые постановления о лицензировании Социальные сети и контроль Интернет Защита детей от информации Облачные технологии

Текущая и будущая ситуация с ИБ ПДн 9 новых Постановлений Правительства  Два в части установления уровней защищенности и требования по ИБ За безопасность ПДн отвечают ФСТЭК и ФСБ  ФСТЭК выпустил приказ №58 – в 2012 г. планируется изменение  ФСБ выпустила 2 методических документа в области криптографии – в 2012 г. планируется изменение Подход регуляторов  Сертифицированные СЗИ и СКЗИ – подход не меняется, планируется законодательное ухудшение  Вновь появляется аттестация Отраслевые стандарты – тренд с неочевидной судьбой  СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития…  ФСТЭК и ФСБ по-прежнему поддерживают отраслевые стандарты

Проект нового приказа ФСБ Что такое ТО?  К деятельности по техническому обслуживанию шифровальных (криптографических) средств не относится эксплуатация СКЗИ в соответствии с требованиями эксплуатационной и технической документации, входящей в комплект поставки СКЗИ Не относится к лицензируемой деятельности  Передача СКЗИ клиентам и «дочкам»  Генерация и передача сгенерированных ключей

Аттестация дляконфиденциалки В четверокнижии ФСТЭК аттестация была обязательной для ИСПДн К1, К2 и распределенной К3 В приказе № 58 требования аттестации нет! Что такое «оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных»?  Ст.19 нового старого ФЗ-152 Во ФСТЭК готовятся документы по аттестации объектов информатизации, обрабатывающих конфиденциальную информацию

Развитие Комплекса стандартов Банка России Термины иКлассификатор определения 0.0 0.1 Рекомендации по выполнению законодательных требований при обработке ПДн  РС «Методика назначения и описания ролей» (принята)  РС «Методика классификация активов» (под вопросом)  РС «Требования по обеспечению безопасности СКЗИ» (план)

Перемены в вопросестандартизации ИБ банков В декабре 2010 года в России при Росстандарте создан новый технический комитет - ТК 122 «Стандартизация в области финансовых услуг»  ТК 122 соответствует ISO TC 68 “Financial Services» Базовая организация – Центральный банк Работы по стандартизации в области информационной безопасности в кредитно-финансовой сфере будут перенесены из ТК 362 и продолжены в рамках ПК1

Развитие регулирования ИБбанков Упор на отраслевые стандарты  Разработанные в рамках ТК 122 и рабочих групп ЦБ В середине ноября в ЦБ создана рабочая группа по разработке требования по защите участников Национальной платежной системы  Процессинг  ДБО  Платежные системы  Электронные и мгновенные платежи (включая мобильных операторов)  Карточный бизнес Банк России стал официальным регулятором  Требования СТО станут обязательными к применению Саморегуляция также возможна

Требования к УЦ и ЭП Проект приказа ФСБ «Об утверждении Требований к средствам электронной подписи» Проект приказа ФСБ «Об утверждении Требований к средствам удостоверяющего центра» Проект приказа ФСБ «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи»

Защита детей от Интернет ФЗ «О защите детей от негативной информации»  Вступление в силу с осени 2012 года Изменения в КоАП в части ответственности за невыполнение требований закона Новый регулятор – Роскомнадзор  Bдет оформление полномочий  Будет устанавливать требования к средствам фильтрации Требования к пунктам коллективного доступа использования средств фильтрации контента  Непонятно, что такое пункт коллективного доступа (по мнению Минкомсвязи – это только Почта России)

Мы могли принять «Общие критерии»… Изменения 2010-го года в техническое регулирование разрешали оценку соответствия по западным требованиям 24 января 2011 Президент подписал новый Указ о создании единого органа по сертификации…  исключая оценку соответствия средств защиты информации и иной продукции, перечисленной в ст.5 ФЗ «О техническом регулировании» Число нормативных актов, связанных с сертификацией средств защиты 15 10 5 0 1995 1996 1997 1998 1998 1999 2000 2001 2002 2003 2005 2006 2007 2008 2009 2010 2011* 2004

Мифическое ПостановлениеПравительства №330 ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)»  Постановление имеет гриф «Для служебного пользования»

Мнение Минкомсвязи по облакам «Помимо этого сервер, предоставляющий услугу облачных вычислений, должен находиться в России. В какой-то степени такие условия осложняют жизнь хостерам, потому что придется взаимодействовать с такими службами, как ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо сделать, чтобы облачные платформы в будущем имели возможность нормальной работы не только с госорганами, но и с другими структурами»  Илья Массух, советник министра связи и массовых коммуникаций на конференции «Защита персональных данных», 27 октября 2011 года

Облака заказали? Заказ Минкомсвязи №0173100007511000043  Разработка предложений по созданию системы персональной идентификации граждан в целях безопасного доступа к государственным и муниципальным сервисам в электронном виде  Разработка системы правил обеспечения защиты прав субъектов персональных данных при использовании облачных вычислений, в том числе, трансграничных  Исследование вопроса построения облачных трансграничных систем хранения данных для предоставления услуг хостинга интернет-сайтов и их влияния на национальную безопасность страны Максимальный срок выполнения работ – 5 дней Требования к участника – лицензии ФСБ и ФСТЭК

Контроль социальных сетей и Интернет Кодекс (Конвенция) поведения ООН в области ИБ  Инициирован Россией, Китаем, Узбекистаном и Таджикистаном  Запрет на вмешательство в национальное Интернет-пространство  Запрет на использования Интернет и социальных сетей для свержения правительств Социальные сети и Интернет надо контролировать  Юрий Чайка, Генеральная прокуратура Интернет не приемлет анонимности – надо контролировать  Патриарх Кирилл, Русская Православная Церковь Интернет не приемлет анонимности – надо контролировать  Рашид Нургалиев и Алексей Мошков, МВД Пользователи должны иметь Интернет-паспорта  Евгений Касперский Россия заблокировала Конвенцию ОБСЕ по «правам человека» в Интернет

Выводы

Что осталось за бортом? Универсальная электронная карта  Возможно уйдет под требования НПС Проект приказа Минкомсвязи «Об утверждении Требований к управлению сетями электросвязи»  Системы управления сетями связи должны быть сертифицированными Изменения 28 главы Уголовного Кодекса Принятие стандартов ISO (15408, 27005, 18045) в России  В рамках ТК362 Ростехрегулирования ГОСТ по моделированию угроз для операторов связи  ФСБ фактически запретила принятие этого стандарта Государственный образовательный стандарт по ИБ  А также стандарт АП КИТ по квалификациями специалистов по ИБ Инициатива АП КИТ в части ИБ облачных вычислений 45

Тенденции ИБ… два месяца назад Абсолютная непрогнозируемость изменений на рынке информационной безопасности

Текущие тенденции Закручивание Останется все,Либерализация гаек как есть• Вероятность - • Вероятность - • Вероятность - 20% (на 45% (на 30% (на данный данный данный момент) момент) момент)• Вероятность • Вероятность через 2 года - через 2 года - 25% и 10% (в 20% и 65% (в зависимости зависимости от победителя от победителя президентских президентских выборов) выборов) Экспертная оценка специалистов Cisco

Что все это значит для вас?! Регуляторы не откажутся от регулирования отрасли ИБ и только усилят свое влияние Потребители вынуждены будут увеличивать бюджеты на ИБ или будут более активно принимать риски несоблюдения законодательства  Безопасность все больше будет становиться бумажной, а не реальной Небольшие западные игроки рынка ИБ вероятно не выживут в условиях изменившихся правил игры  Или будут нарушать законодательство Крупные западные игроки рынка ИБ, которые не учли специфику регулирования вопросов ИБ в России столкнутся с серьезными трудностями по продвижению своих решений

Спасибо!!!

http://www.risspa.ru	482
http://risspa.ru	2
http://risspa.org	1

Security regulations trends_risspa

by RISSPA on Dec 14, 2011

Accessibility

Upload Details

Usage Rights

3 Embeds 485

Statistics

Security regulations trends_risspa — Presentation Transcript