Security apocalypse

3. • Риски, связанные со все более укрепляющимся положением международных производителей на отечественном рынке программного обеспечения в сфере ИБ, особенно принимая во внимание фактическую либерализацию импорта СКЗИ • Рост роли международных стандартов на национальном рынке информационной безопасности, перекос регулирования «экспорт/импорт» может привести к падению спроса на продукцию отечественных производителей программного обеспечения © Cisco, 2010. Все права защищены. 374

4. • В российских информационно-коммуникационных технологиях используется до 98% зарубежных разработок и оборудования Данные Совбеза РФ • ФСБ не раз заявляла о том, что для борьбы с этой угрозой национальной безопасности будут использованы два основных механизмы – недопущение на российский рынок западных продуктов и сертификация средств защиты информации • Угроза - использование несертифицированных отечественных и зарубежных ИТ, средств защиты информации, средств информатизации, телекоомуникации и связи при создании и развитии российской информационной инфраструктуры Доктрина информационной безопасности РФ © Cisco, 2010. Все права защищены. 474

5. • Россия зависима от западных технологий Их разработчики находятся под колпаком у западных спецслужб • Невозможность бороться с киберпреступлениями Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О борьбе с киберпреступностью», а потом отозвал свою подпись • Готовятся кибервойны США внесло в ООН предложение отвечать военными ударами на кибератаки • Законодательство других стран дает право спецслужбам контролировать весь Интернет-трафик, проходящий через эти страны В России такое же законодательство © Cisco, 2010. Все права защищены. 574

6. • Развивать свое, постепенно вытесняя все зарубежное недоверенное Пример: Китай • Дать возможность применять для гражданского применения все, что угодно, контролируя наиболее критичные сферы (гостайна, КВО, оборонка), пытаясь внедрить в них собственные наработки Запад Бизнес ИТ ИБ ИТ ИБ Россия © Cisco, 2010. Все права защищены. 674

7. • Выработка мер по минимизации непосредственного участия иностранных компаний в информатизации процессов государственного управления • Содействие развитию отечественного производства средств связи и телекоммуникаций, ПО, микроэлектронной базы и т.д. • И еще 5 предложений • По поводу СПО ФСБ не раз заявляла, что уровень затрат на анализ СПО и проприетарного ПО в контексте ИБ одинаков Основным поставщиком ПО для Сочи-2014 выбрана компания Microsoft – уже после принятия курса на СПО © Cisco, 2010. Все права защищены. 774

8. Большое количество регуляторов Легитимный ввоз криптографии в соответствие с правилами Таможенного союза Использование легитимной криптографии Требования сертификации Локальные и закрытые нормативные акты Отсутствие учета рыночных потребностей Исторический бэкграунд © Cisco, 2010. Все права защищены. 874

11. • Персональные данные • Финансовая отрасль PCI DSS СТО БР ИББС-1.0 ФЗ «О национальной платежной системе» • Электронная подпись • Критически важные объекты • Госуслуги и УЭК • Новый ФЗ о лицензировании • И др. © Cisco, 2010. Все права защищены. 1174

12. Конвенции и иные Директивы Евросоюза / Европейская Рекомендации международные договора Европарламента Конвенция ОЭСР ФЗ №152 от 26.07.2006 Законы ФЗ №160 от 19.12.2005 Постановления №781 от №687 от №512 от Правительства 17.11.2007 15.09.2008 6.07.2008 2 открытых Регламенты Приказы и «Приказ трех» от документа и 1 2 открытых осуществления иные документы 13.02.2008 полуДСП от ФСТЭК документа ФСБ контроля и надзорар • Готовится 9 новых Постановлений Правительства © Cisco, 2010. Все права защищены. 1274

13. • Терминология ПДн, биометрические ПДн, обезличивание, обработка, автоматизированная обработка, трансграничная передача • Условия обработки ПДн без согласия • Появление «обработчика» ПДн (ЛОПДПО) • Условия обработки специальных категорий ПДн • Условия трансграничной передачи ПДн • Условия ограничения доступа субъекта к его ПДн • Условия непредоставления субъекту сведений • Контроль и надзор со стороны ФСТЭК и ФСБ • Содержание уведомления в РКН • Возмещение морального вреда © Cisco, 2010. Все права защищены. 1374

14. • Классификация ИСПДн – ее больше нет • Моделирование угроз – его больше нельзя делать самостоятельно • Требования по защите ПДн – стало жестче • Сертификация средств защиты – на уровне закона • Аттестация объектов информатизации – на уровне закона • Лицензирование деятельности по защите информации Об этом постоянно говорят регуляторы в лице ФСТЭК и ФСБ © Cisco, 2010. Все права защищены. 1474

15. • Безопасность персданных является обязательным условием обработки ПДн • За безопасность ПДн отвечают ФСТЭК и ФСБ ФСТЭК выпустил приказ №58 – планируется изменение ФСБ выпустила 2 методических документа в области криптографии – планируется изменение • Подход регуляторов Сертифицированные СЗИ и СКЗИ – изменений не планируется Вновь появляется аттестация • Отраслевые стандарты – прошлый тренд СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития… © Cisco, 2010. Все права защищены. 1574

16. ISO 15408:1999 («Общие критерии») в России (ГОСТ Р ИСО/МЭК 15408) так и не заработал Перевод СоДИТ ISO 15408:2009 – судьба неизвестна ;-( ПП-608 разрешает признание западных сертификатов – не работает ФЗ «О техническом регулировании» разрешает оценку по западным стандартам – не работает ПП-455 обязывает ориентироваться на международные нормы – не работает © Cisco, 2010. Все права защищены. 1674

17. • В четверокнижии ФСТЭК аттестация была обязательной для ИСПДн К1, К2 и распределенной К3 • В приказе № 58 требования аттестации нет! • Что такое «оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных»? Ст.19 нового старого ФЗ-152 • Во ФСТЭК готовятся документы по аттестации объектов информатизации, обрабатывающих конфиденциальную информцию © Cisco, 2010. Все права защищены. 1774

18. • Старые НПА «говорят» преимущественно о сертификации, а новые – об оценке соответствия • Оценка соответствия ≠ сертификация • Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту • Оценка соответствия регулируется ФЗ-184 «О техническом регулировании» © Cisco, 2010. Все права защищены. 1874

19. Требования Требования закрыты (часто секретны). Даже лицензиаты открыты зачастую не имеют их, оперируя выписками из выписок ФСТЭК ФСБ МО СВР Все, кроме СКЗИ Все для нужд Тайна, покрытая криптографии МСЭ оборонного ведомства мраком Антивирусы IDS BIOS Сетевое оборудование А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ, «АйТиСертифика» (ЕВРААС) и Ecomex © Cisco, 2010. Все права защищены. 1974

20. Число нормативных актов с требованиями сертификации по требованиям безопасности 8 7 6 5 4 3 2 1 0 * - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.) 20 © Cisco, 2010. Все права защищены. 2074

21. • Стоимость СЗИ на 1 ПК – от 3,4 тысяч (Windows 7) до 5-8 тысяч рублей +15-25% на годовую поддержку • Стоимость СЗИ на 1 сервер – от 9 тысяч (Windows 2008 Server) до 30-35 тысяч рублей • Стоимость сканера защищенности – 9 тысяч рублей на 10 IP • Антивирус на 1 ПК – 900-1000 рублей Если не брать Total Security, Endpoint Security и т.п. • Стоимость МСЭ – от 10 тысяч до 10 миллионов рублей • Стоимость IPS – от 45 -60 тысяч рублей © Cisco, 2010. Все права защищены. 2174

22. • Несколько офисов? 120-140 тысяч рублей на VPN «точка- точка» 10 офисов – 900-1200 тысяч рублей • Стоимость оргмер (модели угроз, обследование, классификация, обучение...) составит 540 тысяч рублей • Стоимость аттестации 10 ПК составит около 200 тысяч рублей При невозможности вносить в систему изменения • Итого (в год) 10 ПК + 1 сервер + Интернет = 900 тысяч рублей 100 ПК + 3 сервера + Интернет = 3915 тысяч рублей 100 ПК + 3 сервера + Интернет + 10 офисов = 5 миллионов рублей © Cisco, 2010. Все права защищены. 2274

24. • Кодекс (Конвенция) поведения ООН в области ИБ Инициирован Россией, Китаем, Узбекистаном и Таджикистаном Запрет на вмешательство в национальное Интернет-пространство Запрет на использования Интернет и социальных сетей для свержения правительств • Социальные сети и Интернет надо контролировать Юрий Чайка, Генеральная прокуратура • Интернет не приемлет анонимности – надо контролировать Кирилл, Русская Православная Церковь • Интернет не приемлет анонимности – надо контролировать Рашид Нургалиев, МВД • Пользователи должны иметь Интернет-паспорта Евгений Касперский © Cisco, 2010. Все права защищены. 2474

26. • Приказ, определяющий, что считать ИТ-продукцией отечественного производства • Параметр Кимп (стоимость импортного сырья, материалов, комплектующих, имеющих отечественные аналоги) в формуле расчета либо не вычислим либо будет всегда очень большим (итог – низкий уровень локализации) Не установлен орган сличения материалов и комплектующих иностранного и отечественного производства Не определены каталога, считающиеся официальными Не определены процедуры и орган, утверждающие о наличии отечественных аналогов © Cisco, 2010. Все права защищены. 2674

27. • Иностранные вендоры в России – резиденты со 100%-м участием иностранных компаний Приказ обязаывает создавать СП с госорганами, муниципалоами или Ростехнологиями СП должны быть переданы права на документацию и ПО – передача интеллектуальных прав западной компании (особенно из США) практически невозможна • Заявитель должен осуществлять полный цикл сборки печатных плат в России В России таких предприятий (даже оборонных) практически нет При наличии таких предприятий проще обратиться на Тайвань или в Китай – себестоимость ниже Кстати, сборка печатных плат – экологически вредное производство © Cisco, 2010. Все права защищены. 2774

29. Изменения Статика Динамика Технологии Закрытые АС Облака, mobility Формат Файлы Мультимедиа Что? Гостайна КТ, БТ, ПДн С кем? ИТР Инсайдер, хакер Как? Закрытость Открытость Сколько? Неважно ROI, TCO, NPV Кто? КГБ эксКГБ © Cisco, 2010. Все права защищены. 2974

31. Закручивание Останется все, Либерализация гаек как есть • Вероятность - • Вероятность - • Вероятность - 20% (на 45% (на 30% (на данный данный данный момент) момент) момент) • Вероятность • Вероятность через 2 года - через 2 года - 25% и 10% (в 20% и 65% (в зависимости от зависимости от победителя победителя президентских президентских выборов) выборов) Экспертная оценка специалистов Cisco © Cisco, 2010. Все права защищены. 3174

32. http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco © Cisco, 2010. Все права защищены. 3274

33. Praemonitus praemunitus! Спасибо за внимание! security-request@cisco.com

Security apocalypse

You are reading a preview.

Check these out next

Security apocalypse

More Related Content

Slideshows for you (20)

Viewers also liked (20)

Similar to Security apocalypse (20)

More from Aleksey Lukatskiy (20)

Recently uploaded (12)