Security regulations trends_risspa

2,113 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,113
On SlideShare
0
From Embeds
0
Number of Embeds
809
Actions
Shares
0
Downloads
37
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Security regulations trends_risspa

  1. 1. Регулирование ИБ в России: что было и что будет!?Лукацкий Алексей
  2. 2. Содержание
  3. 3. Содержание
  4. 4. Какова общая тенденция?
  5. 5. Чего боятся отечественныепроизводители средств защиты? Риски, связанные со все более укрепляющимся положением международных производителей на отечественном рынке программного обеспечения в сфере ИБ, особенно принимая во внимание фактическую либерализацию импорта СКЗИ Рост роли международных стандартов на национальном рынке информационной безопасности, перекос регулирования «экспорт/импорт» может привести к падению спроса на продукцию отечественных производителей программного обеспечения
  6. 6. Чего боятся в ФСБ/СоветеБезопасности? В российских информационно-коммуникационных технологиях используется до 98% зарубежных разработок и оборудования  Данные ФСБ для Совбеза РФ ФСБ не раз заявляла о том, что для борьбы с этой угрозой национальной безопасности будут использованы два основных механизмы  Недопущение на российский рынок западных продуктов  Сертификация средств защиты информации В качестве угрозы рассматривается использование несертифицированных отечественных и зарубежных ИТ, средств защиты информации, средств информатизации, телекоомуникации и связи при создании и развитии российской информационной инфраструктуры  Доктрина информационной безопасности РФ
  7. 7. О чем говорят властныеструктуры? Россия зависима от западных технологий  Их разработчики находятся под колпаком у западных спецслужб Невозможность бороться с киберпреступлениями  Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О борьбе с киберпреступностью», а потом отозвал свою подпись Готовятся кибервойны  США внесло в ООН предложение отвечать военными ударами на кибератаки Законодательство других стран дает право спецслужбам контролировать весь Интернет-трафик, проходящий через эти страны  В России такое же законодательство Западные страны пытаются вмешиваться в суверенитет России в Интернет-пространстве
  8. 8. Как поступают в другихстранах? Развивают свое, постепенно вытесняя все зарубежное и недоверенное  Пример: Китай Дают возможность применять для гражданского применения все, что угодно, контролируя наиболее критичные сферы (гостайна, КВО, оборонка), пытаясь внедрить в них собственные наработки
  9. 9. Что предлагают отечественныерегуляторы? Выработка мер по минимизации непосредственного участия иностранных компаний в информатизации процессов государственного управления Содействие развитию отечественного производства средств связи и телекоммуникаций, ПО, микроэлектронной базы и т.д. И еще 5 предложений По поводу СПО  ФСБ не раз заявляла, что уровень затрат на анализ СПО и проприетарного ПО в контексте ИБ одинаков  Основным поставщиком ПО для Сочи-2014 выбрана компания Microsoft – уже после принятия курса на СПО
  10. 10. Что происходит на самом деле вРоссии? Большое количество регуляторов Легитимный ввоз криптографии в соответствие с правилами Таможенного союза («ВТО») Использование легитимной криптографии Требования сертификации Локальные и закрытые нормативные акты Отсутствие учета рыночных потребностей Исторический бэкграунд
  11. 11. Регуляторы в области ИБГазпром- ФСТЭК РЖД серт ФСО ФСБ PCI ЦБ ИБ Council Минком- СВР связь Рос-Росатом МО стандарт
  12. 12. Что было?
  13. 13. Что происходило совсем недавно Новый ФЗ «О персональных данных» Финансовая отрасль  PCI DSS 2.0  СТО БР ИББС-1.0 v4  Письма КЦ АРБ ФЗ «О национальной платежной системе» ФЗ «Об электронной подписи» ФЗ «О госуслугах» и СМЭВ ФЗ по безопасности ТЭК НПА по УЭК Новый ФЗ о лицензировании Защита детей от информации
  14. 14. Что произошло с ФЗ о ПДн Конвенции и иные Директивы Евросоюза / Европейская Рекомендации международные Европарламент Конвенция ОЭСР договора а ФЗ №152 от 26.07.2006 Законы ФЗ №160 от 19.12.2005 Постановления №781 от №687 от №512 от Правительства 17.11.2007 15.09.2008 6.07.2008 2 открытых Регламенты Приказы и «Приказ трех» от документа и 1 2 открытых осуществления иные документы 13.02.2008 полуДСП от ФСТЭК документа ФСБ контроля и надзорар• «Старые» Постановления пока действуют• 2 новых отраслевых стандарта – НАУФОР и НАПФ
  15. 15. Что поменялось в ФЗ-152? Терминология  ПДн, биометрические ПДн, обезличивание, обработка, автоматизированная обработка, трансграничная передача Условия обработки ПДн без согласия Появление «обработчика» ПДн (ЛОПДПО) Условия обработки специальных категорий ПДн Условия трансграничной передачи ПДн Условия ограничения доступа субъекта к его ПДн Условия непредоставления субъекту сведений Контроль и надзор со стороны ФСТЭК и ФСБ Содержание уведомления в РКН Возмещение морального вреда
  16. 16. Что под вопросом после принятиянового ФЗ-152? Классификация ИСПДн – ее больше нет  Разные управления РКН считают по разному Моделирование угроз – его больше нельзя делать самостоятельно  Но ФСТЭК считает иначе Требования по защите ПДн – стало жестче  Или точнее могут стать Сертификация средств защиты – на уровне закона  Сертификация и оценка соответствия это не одно и тоже  Нечеткость терминологии и жесткость позиции регулятора Аттестация объектов информатизации – на уровне закона Лицензирование деятельности по защите информации  Об этом постоянно говорят регуляторы в лице ФСТЭК и ФСБ
  17. 17. Новые руководства для PCI DSS Новые указания по использованию виртуализации в рамках проектов по PCI DSS  Включая все технологии виртуализации, а не только для серверов  Включает раздел по облачным вычислениям Новые указания по использование телефонных технологий в рамках PCI  Включая центры обработки вызовов
  18. 18. Электронный документооборот госорганов Внутренний ЭД Межведомственный ЭД Приказ Минкомсвязи РФ от РФ 15.11.2011 N 22304 02.09.2011 № 221 «Об  Приказ Минкомсвязи РФ от утверждении Требований к 27.12.2010 № 190 «Об информационным системам утверждении технических электронного документооборота требований к взаимодействию ФОИВ, учитывающих в том числе систем в единой системе необходимость обработки межведомственного электронного посредством данных систем взаимодействия» служебной информации ограниченного распространения»  Зарегистрировано в Минюсте
  19. 19. Межведомственный электронныйдокументооборот Подсистема информационной безопасности каждой информационной системы, подключаемой к системе взаимодействия, должна обеспечивать установленные законодательством Российской Федерации уровни защищенности информации, обрабатываемой в этой системе  Пока не утверждены Каналы защищаются VPN-решениями класса не ниже КС3  Учитывайте, что речь идет о межведомственном, а не внутреннем электронном документообороте
  20. 20. Внутренний электронныйдокументооборот Защищенность от несанкционированного доступа в случаях, когда в СЭД предусмотрена обработка служебной информации ограниченного распространения - не ниже класса 1Г Для защиты служебной информации ограниченного распространения должны использоваться сертифицированные в соответствии с требованиями безопасности информации технические и (или) программные средства защиты информации Требования по защите информации и мероприятия по их выполнению, а также конкретные программно-технические средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности  Пока не установлены СЭД не должна иметь прямого (незащищенного) подключения к Интернет в соответствии с Указом Президента №351  Необходимо применение сертифицированных межсетевых экранов и VPN-решений (любого класса)
  21. 21. Электронная подпись и банки В соответствии с Указанием Банка России от 16 января 2004 года № 1375-У «О правилах составления и представления отчетности кредитными организациями в Центральный банк Российской» (далее - Указание № 1375-У) при составлении и представлении отчетности кредитных организаций в Банк России в электронном виде для подтверждения подлинности и контроля целостности электронного сообщения используется код аутентификации Код аутентификации является аналогом электронной подписи, отвечающим требованиям, предусмотренным пунктами 2 и 3 статьи 5 Федерального закона от 06.04.2011 года 63-Ф3 «Об электронной подписи» Учитывая изложенное, кредитным организациям при составлении и представлении отчетности в Банк России в электронном виде следует руководствоваться порядком, установленным Указанием Банка России от 24 января 2005 года № 1546-У «О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации»
  22. 22. Безопасность ТЭК 21 июля 2011 года Президент РФ подписал Федеральный Закон «О безопасности объектов топливно-энергетического комплекса», а также Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса» Статья 11 «Обеспечение безопасности информационных систем объектов топливно- энергетического комплекса»  Требования и состав комплекса защитных мер пока не определены
  23. 23. О лицензировании 4 мая (с дополнения от 11 июля) была подписана новая редакция закона о лицензировании, который серьёзно упрощает процедуру получения лицензий, повышает их прозрачность и существенно снижает число лицензируемых видов деятельности Тематика связанная с лицензированием деятельности по защите информации и криптографии осталась ;-(  Эти виды деятельности были укрупнены в два направления - криптографическая деятельность и защита от несанкционированного доступа к информации  Эти виды деятельности будут регулироваться отдельными новыми Постановлениями Правительства (проекты уже есть) Лицензии бессрочные
  24. 24. О лицензированиикриптографии Разработка, производство, распространение шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств  За исключением случая, если техническое обслуживание шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств, осуществляется для обеспечения собственных нужд юридического лица
  25. 25. «Финальное» мнение ФСТЭК о лицензировании Деятельность по ТЗКИ для собственных нужд организации является лицензируемой деятельностью, поскольку п.5 ч.1 ст.12 ФЗ «О лицензировании…» для лицензирования деятельности по ТЗКИ исключения «для обеспечения собственных нужд» не предусмотрено
  26. 26. О продукции отечественногопроизводства Приказ Минэкономразвития и Минпромторга, определяющий, что считать ИТ-продукцией отечественного производства Параметр Кимп (стоимость импортного сырья, материалов, комплектующих, имеющих отечественные аналоги) в формуле расчета либо не вычислим либо будет всегда очень большим (итог – низкий уровень локализации)  Не установлен орган сличения материалов и комплектующих иностранного и отечественного производства  Не определены каталога, считающиеся официальными  Не определены процедуры и орган, утверждающие о наличии отечественных аналогов
  27. 27. В России нет продукцииотечественного производства Иностранные вендоры в России – резиденты со 100%-м участием иностранных компаний  Приказ обязывает создавать СП с госорганами, муниципалами или Ростехнологиями  СП должны быть переданы права на документацию и ПО – передача интеллектуальных прав западной компании (особенно из США) практически невозможна Заявитель должен осуществлять полный цикл сборки печатных плат в России  В России таких предприятий (даже оборонных) практически нет  При наличии таких предприятий проще обратиться на Тайвань или в Китай – себестоимость ниже  Кстати, сборка печатных плат – экологически вредное производство
  28. 28. О встраивании криптоядра в VPN-продукты Можно ли использовать сертифицированное ФСБ криптоядро в составе VPN-решений (иностранного или отечественного производства)?  Можно Будет ли такое использование легитимным?  Нет!!!
  29. 29. Что будет?
  30. 30. Что будет происходить совсем скоро Персональные данные  Административные регламенты ФСБ и РКН Финансовая отрасль  СТО БР ИББС-1.0 v5 Требования по ИБ для национальной платежной системы Требования по УЦ и ЭП Новые постановления о лицензировании Социальные сети и контроль Интернет Защита детей от информации Облачные технологии
  31. 31. Текущая и будущая ситуация с ИБ ПДн 9 новых Постановлений Правительства  Два в части установления уровней защищенности и требования по ИБ За безопасность ПДн отвечают ФСТЭК и ФСБ  ФСТЭК выпустил приказ №58 – в 2012 г. планируется изменение  ФСБ выпустила 2 методических документа в области криптографии – в 2012 г. планируется изменение Подход регуляторов  Сертифицированные СЗИ и СКЗИ – подход не меняется, планируется законодательное ухудшение  Вновь появляется аттестация Отраслевые стандарты – тренд с неочевидной судьбой  СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития…  ФСТЭК и ФСБ по-прежнему поддерживают отраслевые стандарты
  32. 32. Проект нового приказа ФСБ Что такое ТО?  К деятельности по техническому обслуживанию шифровальных (криптографических) средств не относится эксплуатация СКЗИ в соответствии с требованиями эксплуатационной и технической документации, входящей в комплект поставки СКЗИ Не относится к лицензируемой деятельности  Передача СКЗИ клиентам и «дочкам»  Генерация и передача сгенерированных ключей
  33. 33. Аттестация дляконфиденциалки В четверокнижии ФСТЭК аттестация была обязательной для ИСПДн К1, К2 и распределенной К3 В приказе № 58 требования аттестации нет! Что такое «оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных»?  Ст.19 нового старого ФЗ-152 Во ФСТЭК готовятся документы по аттестации объектов информатизации, обрабатывающих конфиденциальную информацию
  34. 34. Развитие Комплекса стандартов Банка России Термины иКлассификатор определения 0.0 0.1 Рекомендации по выполнению законодательных требований при обработке ПДн  РС «Методика назначения и описания ролей» (принята)  РС «Методика классификация активов» (под вопросом)  РС «Требования по обеспечению безопасности СКЗИ» (план)
  35. 35. Перемены в вопросестандартизации ИБ банков В декабре 2010 года в России при Росстандарте создан новый технический комитет - ТК 122 «Стандартизация в области финансовых услуг»  ТК 122 соответствует ISO TC 68 “Financial Services» Базовая организация – Центральный банк Работы по стандартизации в области информационной безопасности в кредитно-финансовой сфере будут перенесены из ТК 362 и продолжены в рамках ПК1
  36. 36. Развитие регулирования ИБбанков Упор на отраслевые стандарты  Разработанные в рамках ТК 122 и рабочих групп ЦБ В середине ноября в ЦБ создана рабочая группа по разработке требования по защите участников Национальной платежной системы  Процессинг  ДБО  Платежные системы  Электронные и мгновенные платежи (включая мобильных операторов)  Карточный бизнес Банк России стал официальным регулятором  Требования СТО станут обязательными к применению Саморегуляция также возможна
  37. 37. Требования к УЦ и ЭП Проект приказа ФСБ «Об утверждении Требований к средствам электронной подписи» Проект приказа ФСБ «Об утверждении Требований к средствам удостоверяющего центра» Проект приказа ФСБ «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи»
  38. 38. Защита детей от Интернет ФЗ «О защите детей от негативной информации»  Вступление в силу с осени 2012 года Изменения в КоАП в части ответственности за невыполнение требований закона Новый регулятор – Роскомнадзор  Bдет оформление полномочий  Будет устанавливать требования к средствам фильтрации Требования к пунктам коллективного доступа использования средств фильтрации контента  Непонятно, что такое пункт коллективного доступа (по мнению Минкомсвязи – это только Почта России)
  39. 39. Мы могли принять «Общие критерии»… Изменения 2010-го года в техническое регулирование разрешали оценку соответствия по западным требованиям 24 января 2011 Президент подписал новый Указ о создании единого органа по сертификации…  исключая оценку соответствия средств защиты информации и иной продукции, перечисленной в ст.5 ФЗ «О техническом регулировании» Число нормативных актов, связанных с сертификацией средств защиты 15 10 5 0 1995 1996 1997 1998 1998 1999 2000 2001 2002 2003 2005 2006 2007 2008 2009 2010 2011* 2004
  40. 40. Мифическое ПостановлениеПравительства №330 ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)»  Постановление имеет гриф «Для служебного пользования»
  41. 41. Мнение Минкомсвязи по облакам «Помимо этого сервер, предоставляющий услугу облачных вычислений, должен находиться в России. В какой-то степени такие условия осложняют жизнь хостерам, потому что придется взаимодействовать с такими службами, как ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо сделать, чтобы облачные платформы в будущем имели возможность нормальной работы не только с госорганами, но и с другими структурами»  Илья Массух, советник министра связи и массовых коммуникаций на конференции «Защита персональных данных», 27 октября 2011 года
  42. 42. Облака заказали? Заказ Минкомсвязи №0173100007511000043  Разработка предложений по созданию системы персональной идентификации граждан в целях безопасного доступа к государственным и муниципальным сервисам в электронном виде  Разработка системы правил обеспечения защиты прав субъектов персональных данных при использовании облачных вычислений, в том числе, трансграничных  Исследование вопроса построения облачных трансграничных систем хранения данных для предоставления услуг хостинга интернет-сайтов и их влияния на национальную безопасность страны Максимальный срок выполнения работ – 5 дней Требования к участника – лицензии ФСБ и ФСТЭК
  43. 43. Контроль социальных сетей и Интернет Кодекс (Конвенция) поведения ООН в области ИБ  Инициирован Россией, Китаем, Узбекистаном и Таджикистаном  Запрет на вмешательство в национальное Интернет-пространство  Запрет на использования Интернет и социальных сетей для свержения правительств Социальные сети и Интернет надо контролировать  Юрий Чайка, Генеральная прокуратура Интернет не приемлет анонимности – надо контролировать  Патриарх Кирилл, Русская Православная Церковь Интернет не приемлет анонимности – надо контролировать  Рашид Нургалиев и Алексей Мошков, МВД Пользователи должны иметь Интернет-паспорта  Евгений Касперский Россия заблокировала Конвенцию ОБСЕ по «правам человека» в Интернет
  44. 44. Выводы
  45. 45. Что осталось за бортом? Универсальная электронная карта  Возможно уйдет под требования НПС Проект приказа Минкомсвязи «Об утверждении Требований к управлению сетями электросвязи»  Системы управления сетями связи должны быть сертифицированными Изменения 28 главы Уголовного Кодекса Принятие стандартов ISO (15408, 27005, 18045) в России  В рамках ТК362 Ростехрегулирования ГОСТ по моделированию угроз для операторов связи  ФСБ фактически запретила принятие этого стандарта Государственный образовательный стандарт по ИБ  А также стандарт АП КИТ по квалификациями специалистов по ИБ Инициатива АП КИТ в части ИБ облачных вычислений 45
  46. 46. Тенденции ИБ… два месяца назад Абсолютная непрогнозируемость изменений на рынке информационной безопасности
  47. 47. Текущие тенденции Закручивание Останется все,Либерализация гаек как есть• Вероятность - • Вероятность - • Вероятность - 20% (на 45% (на 30% (на данный данный данный момент) момент) момент)• Вероятность • Вероятность через 2 года - через 2 года - 25% и 10% (в 20% и 65% (в зависимости зависимости от победителя от победителя президентских президентских выборов) выборов) Экспертная оценка специалистов Cisco
  48. 48. Что все это значит для вас?! Регуляторы не откажутся от регулирования отрасли ИБ и только усилят свое влияние Потребители вынуждены будут увеличивать бюджеты на ИБ или будут более активно принимать риски несоблюдения законодательства  Безопасность все больше будет становиться бумажной, а не реальной Небольшие западные игроки рынка ИБ вероятно не выживут в условиях изменившихся правил игры  Или будут нарушать законодательство Крупные западные игроки рынка ИБ, которые не учли специфику регулирования вопросов ИБ в России столкнутся с серьезными трудностями по продвижению своих решений
  49. 49. Спасибо!!!

×