Successfully reported this slideshow.

Russia Security furure regulations

3,931 views

Published on

Published in: Business, Technology
  • Really trustworthy blog. Please keep updating with great posts like this one. I have booked marked your site and am about to email it to a few friends of mine that I know would enjoy reading..
    http://www.seslidesin.com
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Russia Security furure regulations

  1. 1. Что происходит и будет происходить в России на ниве ИБ? Алексей Лукацкий Бизнес-консультант по безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 1/66
  2. 2. Общая тенденция Абсолютная непрогнозируемость изменений на рынке информационной безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 2/66
  3. 3. Что происходит и будет происходить?  Персональные данные  Финансовая отрасль PCI DSS СТО БР ИББС-1.0 ФЗ «О национальной платежной системе»  КВО и госуслуги  ВТО  Оценка соответствия, а также контроль и надзор  Образование Security Training © 2008 Cisco Systems, Inc. All rights reserved. 3/66
  4. 4. Персональные данные Security Training © 2008 Cisco Systems, Inc. All rights reserved. 4/66
  5. 5. Последние изменения  ПДн для судебных приставов (законопроект № 332033-5)  ПДн авиапасажиров (законопроект № 373481-5)  ПДн переписи (законопроект № 364120-5)  ПП-125 от 4 марта 2010 г. О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию  Законопроект Резника Security Training © 2008 Cisco Systems, Inc. All rights reserved. 5/66
  6. 6. Предложения Резника  Трансграничная передача - передача персональных данных через Государственную границу Российской Федерации Согласно ФЗ «О государственной границе» эта граница является географическим понятием, неприменимым к Интернет  Обработка ПДн с целью удовлетворения собственных потребностей, предполагающее обработку персональных данных при условии, что при этом не нарушаются права субъекта персональных данных Без согласия субъекта ПДн Согласие вообще требуется только при договорных  отношениях Security Training © 2008 Cisco Systems, Inc. All rights reserved. 6/66
  7. 7. Предложения Резника (продолжение)  Соглашение /об обработке ПДн/ может быть  заключено в устной форме или посредством совершения конклюдентных действий, либо путем акцепта субъектом персональных данных условий договора, оферта которого предложена оператором Письменная форма согласия для трансграничной передачи, обработки специальных категорий ПДн и обработке с юридическими последствиями не обязательна Security Training © 2008 Cisco Systems, Inc. All rights reserved. 7/66
  8. 8. Предложения Резника (продолжение)  Оператор вправе продекларировать условия соглашения путем его размещения в форме, доступной для ознакомления неограниченному кругу  лиц, или путем его предоставления по требованию лица намерившегося вступить в отношения с оператором Ключевое отличие законопроекта Резника – многие вызывающие сейчас вопросы могут быть описаны в соглашении Security Training © 2008 Cisco Systems, Inc. All rights reserved. 8/66
  9. 9. Предложения Резника (продолжение)  Лицо, предоставляющее ПДн иного субъекта ПДн должно подтвердить свои полномочия по передачи таких ПДн или представить подтверждение получения согласия субъекта ПДн на обработку его ПДн, за исключением случаев установленных федеральными законами  Оператор обязан рассмотреть возражение… в течение семи рабочих дней со дня его получения и уведомить субъекта ПДн о результатах рассмотрения такого возражения, если иное не определено соглашением Security Training © 2008 Cisco Systems, Inc. All rights reserved. 9/66
  10. 10. Предложения Резника (продолжение)  Если ПДн были получены не от субъекта ПДн, за исключением случаев, если ПДн были предоставлены оператору на основании федерального закона или если ПДн являются общедоступными или ПДн были предоставлены на основании соглашения для установления или реализации договорных отношений, оператор до начала обработки таких ПДн обязан предоставить субъекту ПДн следующую информацию…  Требования по безопасности ПДн в государственных и  муниципальных ИСПДн устанавливает Правительство, а в договорных отношениях - договор Security Training © 2008 Cisco Systems, Inc. All rights reserved. 10/66
  11. 11. Предложения Резника (продолжение)  В случае достижения цели обработки ПДн оператор обязан незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий трех рабочих дней с даты достижения цели обработки ПДн, если иное не предусмотрено федеральными законами или не определено соглашением  Обеспечение конфиденциальности ПДн не требуется… в случаях, определенных соглашением субъекта ПДн и оператора Security Training © 2008 Cisco Systems, Inc. All rights reserved. 11/66
  12. 12. Предложения Резника (окончание)  Исключение требований уведомления субъекта ПДн и РКН по фактам уничтожения ПДн и устранения нарушений в обработке ПДн  Исключить упоминание неавтоматизированной обработки ПДн   Перестать называть операторами обработчиков ПДн Security Training © 2008 Cisco Systems, Inc. All rights reserved. 12/66
  13. 13. Варианты создания отраслевых рекомендаций Документы ФСТЭК без изменений, но применительно к Полная переработка в нуждам отрасли соответствие с потребностями отрасли  Рособразование  Финансы  Минсоцздравразвитие  Операторы связи Security Training © 2008 Cisco Systems, Inc. All rights reserved. 13/66
  14. 14. Комплекс стандартов ИБ СТО РС Отраслевая Рекомендации Руководство Методика частная Общие по по самооценке Методика Требования Аудит ИБ оценки модель угроз положения документации соответствия оценки рисков по ИБ ПДн 1.1 соответствия безопасности 1.0 в области ИБ ИБ 2.2 2.3 1.2 ПДн 2.0 2.1 2.4  СТО – стандарт организации  РС – рекомендации по стандартизации Security Training © 2008 Cisco Systems, Inc. All rights reserved. 14/66
  15. 15. Регулирование ИБ в финансовой отрасли Термины и Классификатор определения 0.0 0.1 Рекомендации по выполнению законодательных требований при обработке ПДн  В планах (возможно) отдельные стандарты и рекомендации (или добавление в СТО 1.0) по безопасности для участников национальной платежной системы и т.д. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 15/66
  16. 16. 3 новых документа  Отраслевая частная модель угроз  Требования по безопасности ПДн  Рекомендации по выполнению законодательных требований  Также созданы новые пп.7.10-7.11 в СТО БР ИББС- 1.0 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 16/66
  17. 17. Рекомендации  Программа действий по приведению в соответствие с ФЗ-152 14 шагов  Рекомендации по классификации ИСПДн  8 алгоритмов обезличивания ПДн  Перечень из 38-ми требуемых документов Предлагаются типовые шаблоны документов Имеется план приведения в соответствия из 49 пунктов Типовой перечень ПДн с указанием целей обработки  Перечень из 20 типовых ошибок при реализации требований законодательства о ПДн Security Training © 2008 Cisco Systems, Inc. All rights reserved. 17/66
  18. 18. Интересные особенности  Своя классификация ИСПДн и ПДн Отличная от «Приказа трех» Все ИСПДн специальные  При условии принятия СТО требования регуляторов не применяются Т.к. уже учтены и согласованы в СТО В противном случае применяются требования всех трех регуляторов  Лицензирование, аттестация не требуются  Сертифицированными должны быть только СКЗИ Остальные СЗИ на усмотрение руководства организации Security Training © 2008 Cisco Systems, Inc. All rights reserved. 18/66
  19. 19. Операторы связи - НИР Тритон  Наиболее полный набор документов по защите ПДн 18 иерархически выстроенных документов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 19/66
  20. 20. Концепция  Рекомендации По формированию целей обработки ПДн По определению категорий субъектов ПДн и самих ПДн По формированию модели угроз  Описывает 16 принципов защиты ПДн Законность, непрерывность, адекватность, гибкость и т.п.  Реверанс в сторону нормативных документов ФСТЭК и ФСБ Оставлена суть; ненужные или избыточные детали убраны  Описание информационных систем операторов связи  Требуется контроль эффективности В форме аттестации, декларирования соответствия или внешнего государственного контроля Security Training © 2008 Cisco Systems, Inc. All rights reserved. 20/66
  21. 21. Информационная модель Отчет для ФОМС Справочник работников Отчет для ПФР Отчет для ФНС Отчет для ФМС + Фамилия + Фамилия + Номер пенс. страхования + ИНН + Фамилия + Имя + Имя + Фамилия + Фамилия + Имя + Отчетство + Отчество + Имя + Имя + Отчество + Адрес регистрации + Должность + Отчество + Отчество + Пол + Подразделение + Документ + Дата рождения + Внутренний контакт + Адрес регистрации + Место рождения + Фотография + Гражданство + Удостоверяющий документ + Квалификация + Должность Государственный орган <<include>> <<include>> <<include>> <<include>> <<include>> Государственный орган, Работник : 2 Деятельность Орган, осуществляющий получающий данные по связи оператора + Табельный номер оперативно-розыскную + Фамилия персоналу Военно-учетный стол + Имя деятельность + Отчество + Должность + <<1.1>> Подразделение + ИНН Управление + Пенс.страхование <<include>> <<include>> продажами : 1 + Семейное положение + Воинская обязанность + Пенсионный фонд <<include>> Фотография Федеральная налогвая + Гражданство служба + Бизнес-аттрибуты <<1>> <<2>> Работа с абонентами Управление организацией связи <<include>> Федеральная <<include>> <<1.2>> Фонд обязательного Управление миграционная служба медицинского <<2.2.>> взаимоотношенияи с <<include>> <<include>> Управление абонентами : 1 страхования безопасностью : 1 <<1.3>> <<2.1>> Расчеты с абонентами : 1 Управление персоналом : 1 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 21/66
  22. 22. Классификатор ИСПДн  Выделены внешние и внутренние ИСПДн  Всего 17 типов разных ИСПДн Биллинг Борьба с мошенничеством CRM АРМ пользователей СОРМ И т.п.  Описаны особенности каждого типа ИСПДн с учетом требований по защите Security Training © 2008 Cisco Systems, Inc. All rights reserved. 22/66
  23. 23. Анализ рисков  Методики высокоуровневой и низкоуровневой оценки рисков безопасности ПДн Также включает оценку потенциального ущерба для субъектов и операторов ПДн Учитываются юридические и финансовые риски  Высокоуровневый анализ рисков проводится в целях определения возможного ущерба с учетом всех внешних факторов, без учета влияния ИТ  Низкоуровневый анализ рисков основан на экспертной оценке размера ущерба, вероятности реализации угроз безопасности ПДн и уровня уязвимости ИСПДн Также содержит описание каналов реализации угроз и систематизированный перечень угроз с оценкой вероятности их реализации Security Training © 2008 Cisco Systems, Inc. All rights reserved. 23/66
  24. 24. Методика минимизации требований  Снижение категории и объема ПДн  Обезличивание ПДн  Логическое структурирование ИСПДн и инфраструктуры  Классификация ИСПДн как специальных С разработкой для них своего перечня требований  Анализ необходимости применения СКЗИ  Разделение зон ответственности между оператором связи и внешней организацией Security Training © 2008 Cisco Systems, Inc. All rights reserved. 24/66
  25. 25. ТЭО средств защиты ПДн  Обоснование оптимального набора средств защиты ПДн  Оценка годового ущерба до и после внедрения средств защиты ПДн  Оценка эффективности средств защиты ПДн Security Training © 2008 Cisco Systems, Inc. All rights reserved. 25/66
  26. 26. Резюме по рекомендациям НИР Тритон  Документы согласованы с ФСТЭК, ФСБ и Минкомсвязью  Разработано 3 модели угроз и 3 профиля защиты от них  Интересные особенности Учитывается отраслевая специфика ПДн не выделяются, как особая категория защищаемой информации Фокусировка только на защите ПДн (в отличии от защиты прав субъектов ПДн) Большое количество рекомендаций по снижению затрат Security Training © 2008 Cisco Systems, Inc. All rights reserved. 26/66
  27. 27. Национальная платежная система Security Training © 2008 Cisco Systems, Inc. All rights reserved. 27/66
  28. 28. ФЗ «О национальной платежной системе»  Цель - регулировать деятельность организаций - операторов по переводу денежных средств, операторов по приему платежей, операторов платежных систем, операторов услуг платежной инфраструктуры и определить требования к функционированию платежной системы  Банк России вправе устанавливать требования к деятельности операционных центров значимых платежных систем, включая требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям Ст.9 законопроекта Security Training © 2008 Cisco Systems, Inc. All rights reserved. 28/66
  29. 29. ФЗ «О национальной платежной системе»  Чтобы стать участником платежной системы надо будет выполнить ряд условий, в т.ч. и требования по ИБ. Все участники "обязаны выполнять требования по оценке и управлению рисками, предусмотренные правилами платежной системы« К обычным участникам платежной системы относятся операторы по переводу денежных средств и приему платежей, участники рынка ценных бумаг, почта и т.п.  Операторы платежной системы обязаны обеспечить оценку и управление рисками, а также разработать меры обеспечения информационной безопасности в платежной системе и обеспечить контроль их соблюдения Security Training © 2008 Cisco Systems, Inc. All rights reserved. 29/66
  30. 30. ФЗ «О национальной платежной системе»  Своя платежная карта – свой аналог Visa, который «разрабатывает и принимает стандарты ...обеспечения информационной безопасности, обеспечивает контроль за их соблюдением» Security Training © 2008 Cisco Systems, Inc. All rights reserved. 30/66
  31. 31. КСИИ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 31/66
  32. 32. Термины и определения  Ключевая (критически важная) система информационной инфраструктуры – информационно- управляющая или информационно- телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями Security Training © 2008 Cisco Systems, Inc. All rights reserved. 32/66
  33. 33. Номенклатура документов по КСИИ Указы Приказ от 30.03.2002 Указ от 16.08.2004 Указ от 11.08.2003 «Основы» от Президента №Пр-578 №1085 №960 28.09.2006 Иные Проект Секретарь СовБеза РФ документы закона (снят) от 08.11.2005 Распоряжения №411-рс от №1314-р от Правительства 23.03.2006 27.08.2005 Отраслевые 4 «закрытых» документа документы ФСТЭК Security Training © 2008 Cisco Systems, Inc. All rights reserved. 33/66
  34. 34. Нормативные документы ФСТЭК  Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах  Общие требования по обеспечению безопасности информации в ключевых системах информационных инфраструктурах  Базовая модель угроз безопасности информации в ключевых системах информационных инфраструктурах  Рекомендации по обеспечению безопасности информации в ключевых системах информационных инфраструктурах Утверждены 18 мая 2007 года Security Training © 2008 Cisco Systems, Inc. All rights reserved. 34/66
  35. 35. Отнесение систем к КСИИ  В документе определяются признаки отнесения объектов к критически важным Но финальная классификация отсутствует  Критически важные объекты делятся на 3 типа в зависимости назначения, функционирующих в их составе ИТКС  Перечень критически важных объектов определен в секретном Распоряжении Правительства от 23.03.2006 №411-рс «Перечень критически важных объектов Российской Федерации»  Реестр КСИИ ведется ФСТЭК Security Training © 2008 Cisco Systems, Inc. All rights reserved. 35/66
  36. 36. Отнесение систем к КСИИ  КСИИ делятся на группы Системы сбора открытой информации, на основании которой принимаются управленческие решения Системы хранения открытой информации Системы управления СМИ Системы управления критически важным объектом  Уровень важности КСИИ определяется в соответствии с «Системой признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий», утвержденной Секретарем Совета Безопасности 08.11.2005 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 36/66
  37. 37. Требования по безопасности  Требования по обеспечению безопасности информации в КСИИ отличаются в зависимости от их типа и между собой не пересекаются (!!!) 1-й тип – системы сбора и хранения открытой информации, а также системы управления СМИ 2-й тип – системы управления критически важными объектами  Требования по обеспечению безопасности информации в КСИИ различных уровней важности соответствуют требованиям для различных классов защищенности АС и МСЭ или уровней контроля отсутствия НДВ Исключение составляют требования, для которых у ФСТЭК отсутствуют руководящие документы – антивирусная защита, анализ защищенности, обнаружение вторжений и требования доверия к безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 37/66
  38. 38. Требования по защите КСИИ 1-го типа Уровень важности КСИИ Группы требований 3 2 1 Управление доступом 1Г 1В 1Б Регистрация и учет 1Г 1В 1Б Обеспечение целостности 1Г 1В 1Б Обеспечение безопасного межсетевого 4 3 2 взаимодействия в КСИИ Уровень контроля отсутствия НДВ 4 3 2 Антивирусная защита + + + Анализ защищенности + + + Обнаружение вторжений + + + Требования доверия к безопасности + + + Security Training © 2008 Cisco Systems, Inc. All rights reserved. 38/66
  39. 39. Требования по защите КСИИ 2-го типа Уровень важности КСИИ Группы требований 3 2 1 Планирование обеспечения безопасности + + + Действия в непредвиденных ситуациях + + + Реагирование на инциденты + + + Оценка рисков + + + Защита носителей информации + + + Обеспечение целостности + + + Физическая защита и защиты среды + + + Безопасность и персонал + + + Информирование и обучение по вопросам ИБ + + + Защита коммуникаций + + + Аудит безопасности + + + Security Training © 2008 Cisco Systems, Inc. All rights reserved. 39/66
  40. 40. Контроль государственных ресурсов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 40/66
  41. 41. Контроль госорганов  Постановления и законы ПП-424 от 18.05.2009 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям» Проект ФЗ «О государственных информационных ресурсах»  Госорганы обязаны обеспечить защиту информации… от уничтожения, изменения и блокирования доступа к ней постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более 8 часов использование … СЗИ, прошедших оценку соответствия (в том числе в установленных случаях сертификацию)… Security Training © 2008 Cisco Systems, Inc. All rights reserved. 41/66
  42. 42. Контроль госорганов  Федеральной службе безопасности Российской Федерации совместно с Федеральной службой по техническому и экспортному контролю в 3-месячный срок утвердить требования о защите информации, содержащейся в информационных системах общего пользования ПП-424  Где прописаны требования по ИБ Спорный СТР-К от ФСТЭК Приказ Минкомсвязи России от 25.08.2009 г № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования» (зарегистрирован в МинЮсте) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 42/66
  43. 43. Госуслуги  Постановление Правительства РФ от 22 сентября 2009 г. № 754 «Об утверждении Положения о системе межведомственного электронного документооборота» Главный регулятор – Федеральная служба охраны (ФСО) Основной акцент на целостности и конфиденциальности  Законопроект «Об общих принципах организации предоставления государственных (муниципальных) услуг и исполнения государственных (муниципальных) функций» Никто не понимает, что такое госуслуга. Нет объекта защиты, как можно говорить о защите? Безопасность госуслуг – для многих это ЭЦП и УЦ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 43/66
  44. 44. Скандал в благородном семействе  «Системный проект на создание и эксплуатацию инфраструктуры электронного правительства» был разработан Минкомсвязи и представлен в Совет при президенте РФ по развитию информационного общества в России Президентский Совет (ФСБ, ФСО и т.д.) признали проект неудовлетворительным и дорогом (100 рублей за букву – всего 120 миллионов рублей на разработку) Разработчик проекта – Ростелеком  Минкомсвязь заявил, что «проект нужно обсуждать не на президентском совете, а в среде профессионалов, исключив тем самым из числа специалистов представителей администрации президента и руководителей министерств и ведомств» Security Training © 2008 Cisco Systems, Inc. All rights reserved. 44/66
  45. 45. ВТО Security Training © 2008 Cisco Systems, Inc. All rights reserved. 45/66
  46. 46. ВТО  Всемирная Торговая Организация (ВТО) - международная организация, созданная для урегулирования торговых проблем в соответствии с соглашением крупнейших торговых стран мира о снижении экспортных и импортных барьеров  Процедура присоединения к ВТО, выработанная за полвека существования ГАТТ/ВТО, многопланова и состоит из нескольких этапов Как показывает опыт стран-соискателей, этот процесс занимает в среднем 5-7 лет Security Training © 2008 Cisco Systems, Inc. All rights reserved. 46/66
  47. 47. Вступление в ВТО  На первом этапе в рамках специальных рабочих групп происходит детальное рассмотрение на многостороннем уровне экономического механизма и торгово-политического режима присоединяющейся страны на предмет их соответствия нормам и правилам ВТО  После этого начинаются консультации и переговоры об условиях членства страны-соискателя в данной организации. Эти консультации и переговоры, как правило, проводятся на двустороннем уровне со всеми заинтересованными странами-членами рабочих групп Security Training © 2008 Cisco Systems, Inc. All rights reserved. 47/66
  48. 48. Уступки и обязательства  Прежде всего переговоры касаются "коммерчески значимых" уступок, которые присоединяющаяся страна будет готова предоставить членам ВТО по доступу на ее рынки (фиксируются в двусторонних Протоколах по доступу на рынки товаров и услуг), а также по формату и срокам принятия на себя обязательств по Соглашениям, вытекающих из членства в ВТО (оформляется в Докладе Рабочей группы) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 48/66
  49. 49. Основные принципы ВТО  взаимное предоставление режима наибольшего благоприятствования в торговле  взаимное предоставление национального режима товарам и услугам иностранного происхождения  регулирование торговли преимущественно тарифными методами  отказ от использования количественных и иных ограничений  прозрачность торговой политики  разрешение торговых споров путем консультаций и переговоров и т.д. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 49/66
  50. 50. Многосторонние торговые отношения  Все страны-члены ВТО принимают обязательства по выполнению основных соглашений и юридических документов, объединенных термином "Многосторонние торговые соглашения«  Наиболее интересные с точки зрения ИБ Соглашение по техническим барьерам в торговле Генеральное соглашение по торговле услугами Security Training © 2008 Cisco Systems, Inc. All rights reserved. 50/66
  51. 51. Соглашение по техническим барьерам  Упор на следование международным стандартам на использование международных систем оценки соответствия на создание технических регламентов и стандартов, не создающих препятствий для международной торговли на создание импортируемым продуктам тех же условий, что и внутренним  «Не должно создаваться препятствий для принятия мер, необходимых для защиты ее важнейших интересов в области безопасности»  Исключения допускаются, но они не должны Приводить к дискриминации стран Скрыто ограничивать международную торговлю Security Training © 2008 Cisco Systems, Inc. All rights reserved. 51/66
  52. 52. ВТО и Россия Security Training © 2008 Cisco Systems, Inc. All rights reserved. 52/66
  53. 53. Россия и ВТО: история отношений  В 2007/8-м году Россия отказалась входить в ВТО самостоятельно  Создание Единого таможенного союза (Россия, Казахстан, Белоруссия) и намерение вступать в ВТО в составе союза  Договоренность Медведева и Обамы о вступлении России в ВТО в середине осени И.Айвазовский. Хаос. Сотворение мира Security Training © 2008 Cisco Systems, Inc. All rights reserved. 53/66
  54. 54. Россия и ВТО  Россия подала заявку на вступление в ВТО в 1993 году  По итогам завершившихся переговоров Россия согласилась принять обязательства примерно по 110 секторам услуг из 155 секторов, предусмотренных классификацией ВТО  В некоторых случаях позиция России предусматривает более жесткие условия работы иностранных поставщиков услуг на российском рынке по сравнению с условиями, предусмотренными действующим законодательством Такая позиция позволит, при необходимости, использовать дополнительные инструменты защиты национальных поставщиков услуг от иностранной конкуренции в будущем Security Training © 2008 Cisco Systems, Inc. All rights reserved. 54/66
  55. 55. Россия и ВТО  Переговоры по системным вопросам посвящены определению мер, которые Россия должна будет предпринять в области законодательства и его правоприменения для выполнения своих обязательств как будущего члена ВТО  Запросные требования стран ВТО в целом можно разделить на несколько групп, из них запросы отдельных стран-членов РГ, выходящие за рамки обязательств многосторонних торговых соглашений ВТО (требования “ВТО+”)  По принятию каждого требования предусмотрен переходный период – от 1-го года до 5-ти лет (в ряде случае 6-7 лет) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 55/66
  56. 56. Запросы членов рабочей группы  Либерализация мер нетарифного регулирования с точки зрения правил лицензирования в такой области как импорт средств связи и шифровальной техники Россия обязалась создать более прозрачную систему для импорта электронных товаров, использующих шифрование – требование США  Приведение режимов технических барьеров в торговле в России в соответствие с правилами ВТО, совершенствование правоприменения в указанных сферах (в первую очередь касательно обязательной сертификации и регистрации, процедур повторной сертификации, подтверждения сертификатов соответствия) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 56/66
  57. 57. Электронная торговля  В рамках ВТО многие страны приняли обязательства по электронной торговле, преодолении торговых барьеров и обеспечении доступа стран-членов ВТО к электронной коммерции  Что надо решить: Единые стандарты по безопасности платежей Единые стандарты ЭЦП Security Training © 2008 Cisco Systems, Inc. All rights reserved. 57/66
  58. 58. Либерализация криптографии Security Training © 2008 Cisco Systems, Inc. All rights reserved. 58/66
  59. 59. С чем согласилась Россия  Отсутствие дискриминации и прозрачность всех процедур, связанных с импортом криптографии  Соблюдение Вассенаарского соглашения То что должно ввозиться свободно по Вассенаару, не должно ограничиваться при импорте в Россию (например, защита интеллектуальной собственности в DVD и т.п., мобильные телефоны и т.д.) Категория 5, часть 2, список товаров двойного применения  Вся импортируемая криптография делится на 2 части Ввозимая по уведомлению Ввозимая после получения лицензии на импорт Security Training © 2008 Cisco Systems, Inc. All rights reserved. 59/66
  60. 60. Уведомительная схема  Аутентификация Шифрование паролей и других идентификационных данных  ЭЦП  Симметричная криптография с длиной ключа до 56 бит  Ассиметричная криптография На базе факторизации целых чисел - с длиной ключа до 512 бит На базе вычисления дискретного логарифма в мультипликативной группе конечного поля - с длиной ключа до 512 бит На базе вычисления дискретного логарифма в группах отличной от предыдущего пункта, - с длиной ключа до 112 бит Security Training © 2008 Cisco Systems, Inc. All rights reserved. 60/66
  61. 61. Уведомительная схема  Продукты для массового рынка Критерии отнесения к массовому рынку пока не определены  ПО, включая ОС, в котором криптография не может быть изменена пользователем и оно не требует поддержки со стороны производителя  Шифрование технологических каналов  Шифрование с целью управления сетями и системами  Беспроводные сети с диапазоном до 400 метров DECT, Bluetooth, 802.11  Продукты, в которых соответствующая функциональность заблокирована Security Training © 2008 Cisco Systems, Inc. All rights reserved. 61/66
  62. 62. Детали уведомительной схемы  Нотификация отсылается В ФСБ Перед первой поставкой На каждый продукт  Если в течение 10 дней реакции нет, то «зеленый свет» На практике регистрация нотификации занимает около 2-3 недель Security Training © 2008 Cisco Systems, Inc. All rights reserved. 62/66
  63. 63. Детали лицензионной схемы  Лицензия на импорт выдается На партию Генеральная (только по межправительственным соглашениям)  Для получения лицензии требуется пройти однократную техническую экспертизу импортируемого продукта  Отсутствие исходных кодов не является препятствием для импорта  Анализ проводит не ФСБ, а отдельная организация Стоимость услуг прозрачна  Срок получения лицензии – не более 3 месяцев Включая экспертизу Security Training © 2008 Cisco Systems, Inc. All rights reserved. 63/66
  64. 64. Российская практика  Сегодня в России только крупные вендоры ввозят шифровальные средства официально Cisco HP IBM И некоторые другие  Все остальное контрабанда ;-( Достаточно запросить у поставщика ГТД  Риски для поставщиков Ст.188 УК РФ, ст.16.2, 16.3, 16.7 КоАП + отзыв лицензии на распространение + арест контрабанды  Риски для потребителей (только для лицензиатов) Отзыв лицензии ФСБ на оказание услуг + ст.14.1 КоАП Security Training © 2008 Cisco Systems, Inc. All rights reserved. 64/66
  65. 65. Усиление роли ФСБ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 65/66
  66. 66. О встраивании криптоядра в VPN  Можно ли использовать сертифицированное криптоядро в составе VPN-решений? Можно  Будет ли такое использование легитимным? Нет!!! Security Training © 2008 Cisco Systems, Inc. All rights reserved. 66/66
  67. 67. Есть ли у вас лицензия на ТО СКЗИ?  А нужна ли? Представители 8-го Центра ФСБ заявляют о ненужности лицензии для собственных нужд Security Training © 2008 Cisco Systems, Inc. All rights reserved. 67/66
  68. 68. Есть ли у вас лицензия на ТО СКЗИ?  Что такое ТО? К деятельности по техническому обслуживанию шифровальных (криптографических) средств не относится эксплуатация СКЗИ в соответствии с требованиями эксплуатационной и технической документации, входящей в комплект поставки СКЗИ  Не относится к лицензируемой деятельности Передача СКЗИ клиентам и «дочкам» Генерация и передача сгенерированных ключей Security Training © 2008 Cisco Systems, Inc. All rights reserved. 68/66
  69. 69. Кто отвечает за IDS?  ФСТЭК имеет профиль защиты по IDS И уже разработал новые РД по IDS и антивирусам  В списке сертифицированных СЗИ находится около 20 сертификатов на IDS В т.ч. вся линейка Cisco IPS (4200 и AIM)  ФСБ планирует забрать эту тему под себя У ФСБ существует всего две сертифицированных IDS – «Ручеек» и «Аргус» (проект «Упырь») Security Training © 2008 Cisco Systems, Inc. All rights reserved. 69/66
  70. 70. За что еще хочет отвечать ФСБ?  Антивирусы Существуют требования по сертификации антивирусов Существует требование по использованию во всех госорганах сертифицированных антивирусов и IDS  Межсетевые экраны Существуют требования по сертификации МСЭ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 70/66
  71. 71. Об образовании в области ИБ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 71/66
  72. 72. Деятельность Минкомсвязи  Минкомсвязь заказал АП КИТ профессиональный стандарт по профессии «Специалист по информационной безопасности» Данный профессиональный стандарт будет отражать современные квалификационные требования работодателей и использоваться для целей подготовки рабочих кадров и специалистов, оценки (сертификации), составления должностных инструкций, тарификации и пр.  Стандарт нужен для Оценки квалификации и сертификации сотрудников Формирования госстандартов профессионального образования Управления персоналом Стандартизации и унификации требований к содержанию и качеству профессиональной деятельности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 72/66
  73. 73. Квалификационные уровни  Национальная квалификация описывает 7 уровней В области ИБ квалификация начинается с 3-го уровня Наименование Уровень Краткое описание работ должности 3-й Участие в работах. Проведение Техник по ЗИ проверок. Наладка и регулировка. 4-й Сопровождение. Выполнение Специалист по ЗИ сложных работ. Анализ потребностей 5-й Управление работами по Инженер по ЗИ проектированию и внедрению СЗИ. Подбор литературы 6-й Работа в команде. Разработка Начальник отдела ЗИ оргмер. Руководство. Организация аттестаций, спецпроверок. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 73/66
  74. 74. Квалификационные уровни  Национальная квалификация описывает 7 уровней В области ИБ квалификация начинается с 3-го уровня Наименование Уровень Краткое описание работ должности 7-й Работа в команде. Руководство Главный специалист работами по ЗИ. Создание по ЗИ технологий ИБ. Контроль. Оценка эффективности. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 74/66
  75. 75. Деятельность Минобразнауки  Минобразование с осени внедряет государственные образовательные стандарты третьего поколения  В области ИБ вопросы создания стандартов курирует УМО вузов РФ по образованию в области ИБ (организатор ИКСИ)  Образование по ИБ организуется на трех уровнях Высшее профессиональное образование (ВПО) – университеты и институты Среднее профессиональное образование (СПО) – колледжи и лицеи Начальное профессиональное образование (НПО) – училища и техникумы (только один прецедент в России) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 75/66
  76. 76. Направления образования  2 направления обучения в рамках ВПО Специалист – 5,5 лет Бакалавриат / магистратура – 3 / 5 лет  Программы (стандарты) образования Информационная безопасность телекоммуникационных систем Информационная безопасность автоматизированных систем Организация и технология защиты информации Информационно-аналитические системы безопасности Компьютерная безопасность Криптография Противодействие действиям иностранных технических разведок  В каждой программе существуют свои специализации Grid, АСУ ТП, транспорт, мобильные технологии… Security Training © 2008 Cisco Systems, Inc. All rights reserved. 76/66
  77. 77. Особенности подготовки стандартов  По задумке ФГОС рассчитывается на 10-15 лет  Бизнес практически не участвует в подготовке требований Стандарты формируют ВУЗы В стандарт попало только то, что ВУЗы готовы преподавать сейчас Security Training © 2008 Cisco Systems, Inc. All rights reserved. 77/66
  78. 78. Что еще?.. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 78/66
  79. 79. Что еще?  ПП-266 от 21 апреля 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации … об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации» Основной регулятор – Служба внешней разведки (СВР) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 79/66
  80. 80. Что еще?  ПП-330 от 15 мая 2010 г. «Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, отнесенных к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие гостайну» ДСП  Оценка соответствия проводится в формах обязательной сертификации и государственного контроля (надзора) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 80/66
  81. 81. Генпрокуратора – новый регулятор  Генпрокуратура – новый регулятор на рынке безопасности Порядок согласования с органом прокуратуры проведения проверок установлен приказом Генерального прокурора Российской Федерации от 27 марта 2009 г. № 93  Все плановые и внеплановые проверки должны быть согласованы с Генпрокуратурой Плановые – до 31 декабря года, предшествующего Внеплановые – за 3 суток до проверки  Сегодня в списке проверок есть только Роскомнадзор ФСТЭК и ФСБ не любит упоминаний Генпрокуратуры Потребители не хотят оспаривать незаконные проверки Security Training © 2008 Cisco Systems, Inc. All rights reserved. 81/66
  82. 82. Генпрокуратора – новый регулятор  Генпрокуратура – новый регулятор на рынке безопасности Порядок согласования с органом прокуратуры проведения проверок установлен приказом Генерального прокурора Российской Федерации от 27 марта 2009 г. № 93  Все плановые и внеплановые проверки должны быть согласованы с Генпрокуратурой Плановые – до 31 декабря года, предшествующего Внеплановые – за 3 суток до проверки  Сегодня в списке проверок есть только Роскомнадзор ФСТЭК и ФСБ не любит упоминаний Генпрокуратуры Потребители не хотят оспаривать незаконные проверки Security Training © 2008 Cisco Systems, Inc. All rights reserved. 82/66
  83. 83. Новости Cisco Security Training © 2008 Cisco Systems, Inc. All rights reserved. 83/66
  84. 84. Одна из последних разработок  Компаниями Cisco Systems и С- Терра СиЭсПи разработан http://www.s-terra.com/ VPNшлюз на базе сетевого модуля NME-RVPN (МСМ) и сервера Cisco UCS, с российской криптографией Поддержка Cisco ISR 2800, 2900, 3800 и 3900 Поддержка всей линейки VPN- решений компании S-Terra CSP  Производительность от 95 Мбит/сек (NME-RVPN) до 3,2 Гбит/сек (UCS)  Сертификат ФСБ СФ/114- 1411 от 20 марта 2010 года Security Training © 2008 Cisco Systems, Inc. All rights reserved. 84/66
  85. 85. Cisco + Лаборатория Касперского  Компаниями Cisco Systems и Лабораторией Касперского создан модуль «антивирус + антиспам» для маршрутизаторов Cisco Поддержка маршрутизаторов Cisco ISR 2811, 2821, 2851, 3825, 3845, а также 800 Series  Форм-фактор AXP-NME AXP-AIM Security Training © 2008 Cisco Systems, Inc. All rights reserved. 85/66
  86. 86. Соответствие требованиям по ИБ 450+ сертификатов ФСТЭК Сертификация по РД, ТУ, ГОСТ Р ИСО 15408, Минкомсвязь Сертификация одиночных образцов, партий и производства Сертификация в ФСБ Сертификация по НДВ (закладки) Соответствие требованиям по ПДн, КСИИ, СТР-К, СТО БР ИББС, ISO 2700x, COBIT, ITIL, PCI DSS Security Training © 2008 Cisco Systems, Inc. All rights reserved. 86/66
  87. 87. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 87/66
  88. 88. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 88/66

×