Документ предоставляет обзор основных направлений регулирования информационной безопасности (ИБ) в России, включая изменения в законодательстве и новые требования к государственной информационной системе (ГИС). Основное внимание уделяется коррекции финансово-правовой базы, обременяющей организации, работающие с персональными данными, а также ужесточению контроля за соблюдением норм ИБ. В заключение подчеркивается растущее внимание к ИБ и ответственность за нарушения в этой области.

1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Основные направления
регулирования ИБ в России
Алексей Лукацкий
Бизнес-консультант по безопасности
Cisco

2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
2008
2010
2012 2013
2014
2015
Journey of building a stronger Security Business
2011
2000-е
Краткий обзор развития законодательства по ИБ
ПДн
СТОv4
382-П АСУ ТП
ПДн
БДУ
ГИС
ПДн
ПДн
CERTы
СОПКА
МИБАСУ ТП
КИИ
ПДн
СТОv5
СТО/РС
СТР-К
ПКЗ
2016:
• СТР
• СТО/РС
• РД МСЭ
2017:
• ФЗ-149/ГИС
• ГОСТы ЦБ / 382-П
• ГосСОПКА
• КИИ
• ПДн

3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Последние изменения в ИБ госорганов
Перечень поручений
Президента РФ по вопросу
совершенствования защиты
информации
Пр-2172 от 21.10.2015

4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Постановление Правительства №676
• Постановление Правительства РФ от 06.07.2015 №676
«О требованиях к порядку создания, развития, ввода в
эксплуатацию, эксплуатации и вывода из эксплуатации
государственных информационных систем и
дальнейшего хранения содержащейся в их базах данных
информации»
• Постановление Правительства РФ от 11.05.2017 №555
«О внесении изменений в требования к порядку
создания, развития, ввода в эксплуатацию, эксплуатации
и вывода из эксплуатации государственных
информационных систем и дальнейшего хранения
содержащейся в их базах данных информации»
Посвящен целиком вопросам защиты информации, в том числе
включает требование по согласованию моделей угроз для ГИС с
ФСТЭК и ФСБ
Проект нового ПП, вносящего
правки в ПП-676 (очень много
по защите информации)

5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Промежуточный новый 17-й приказ ФСТЭК
• Переход на 3 класса защищенности ГИС
• Привязка 3-х классов защищенности ГИС к 3-м
классам средств защиты
• Новые виды аттестационных испытаний
• Пентесты обязательны для ГИС 1 и 2 классов
• Запрет проведения аттестации тем же лицом, что и
проектирует/внедряет систему защиты
• Учет перехода на «Гособлако» и федеральные ЦОДы
• Синхронизированы требования по защите
информации в ГИС и ПП-676

6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Постановление Правительства №365
• Постановление Правительства РФ от 24.05.2010
№365 «О координации мероприятий по
использованию информационно-коммуникационных
технологий в деятельности государственных органов»
(вместе с «Положением о координации мероприятий
по использованию информационно-
коммуникационных технологий в деятельности
государственных органов», «Правилами подготовки
планов информатизации государственных органов и
отчетов об их выполнении»)
• Подготовлен проект изменений
Посвящен целиком вопросам защиты информации, в том числе
подключению госорганов к ГосСОПКЕ

7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Поправки в ФЗ-149
• Законопроект о внесении изменений в ФЗ-149 «Об
информации, информационных технологиях и защите
информации» расширяет сферу регулирования ФСТЭК и
ФСБ
Он будет распространяться не только на госорганы, но и на
организации, обрабатывающие информацию, обладателями которой
являются государственные органы
• На организации, в части касающейся, будут
распространяться требования 17-го приказа ФСТЭК, а
также требования оп обязательному уведомлению
ФСТЭК и ФСБ об инцидентах, в которых «участвует»
информация госорганов
Законопроект «подвис» в Госдуме – депутаты считают логичным
объединить данный законопроект с законопроектом по безопасности
критической информационной инфраструктуры

8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Основы регулирования ГосСОПКА
• Основные направления государственной политики в области обеспечения
безопасности автоматизированных систем управления производственными и
технологическими процессами критически важных объектов инфраструктуры
Российской Федерации
Утверждены Президентом РФ 3 февраля 2012 г. №803
• Указ Президента РФ от 15 января 2013 года № 31с
• Концепция государственной системы обнаружения, предупреждения и
ликвидации последствий компьютерных атак на информационные ресурсы
Российской Федерации
№К 1274 от 12 декабря 2014г.
• Указ Президента РФ от 22 мая 2015 года №260
• Проект ФЗ «О безопасности КИИ РФ»

9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Законопроект по безопасности КИИ
Внесение в ГосДуму
• Выполнение
требований ФСБ
по
реагированию
на инциденты
• Присоедине-
ние к сетям
электросвязи
• Новый
регулятор
(ФСТЭК или
ФСБ)
• Категорирование
объектов КИИ
Декабрь 2016
• Присоединение
к ГосСОПКЕ

10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Законопроект по безопасности КИИ
Принятие в первом
чтении
• Исключение из
надзора по ФЗ-
294
• Уголовная
ответственно
сть
• Отнесение к
гостайне
• Выполнение
требований по ИБ
Январь 2016
• Установка
средств
обнаружения
атак на сетях
операторов
связи
Принятие во втором
чтении запланировано
на весну/лето 2017

11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Иерархия требований по безопасности КИИ
ФЗ
ФОИВ в области
безопасности
КИИ
Требования к АСУ
ТП
Деятельность по
обеспечению
безопасности
Требования к
информационным
системам
Минкомсвязь
Требования к
ИТС и сетям
связи
ФОИВ по
ГосСОПКЕ
Требования к
элементам
ГосСОПКИ
Требования по
реагированию на
инциденты
Требования по
отражению атак
Иные ФОИВы
Дополняющие
требования
Субъект КИИ
Корпоративные
требования

12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Банк России тоже активно регулирует область ИБ

13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Финансовые организации под гнетом нормативки
ФОНПС
БТ
ПДн
ФСТЭК
ФСБ
PCI
DSS КИИ
ККТ
SWIFT
СПФС
УИК
• Новые ГОСТы по ИБ
• Новые требования
по квалификации
специалистов
• Новый 382-П
• Обязательная
сертификация
средств защиты
• Удаленная
идентификация

14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Требования к средствам защиты
Принято
• Системы
обнаружения
вторжений
• Антивирусы
• Средства
доверенной загрузки
• Средства контроля
съемных носителей
• Межсетевые экраны
Разрабатывается
• Операционные
системы (тип А
опубликован)
• СУБД
• Средства
виртуализации
• Средства
управления
потоками
В планах
• SIEM
• Средства
идентификации и
аутентификации
• DLP
• Средства контроля и
анализа
защищенности
• И др.

15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Усиление внимания к безопасности ПО
• Новые требования к СрЗИ со стороны ФСТЭК
• 3 ГОСТа по уязвимостям
• ГОСТ по SDLC – вступает в силу с лета
• Банк данных уязвимостей и угроз
• Методика обновления ПО, включая
сертифицированное
• Методика поиска НДВ и уязвимостей
• Проверка устранения уязвимостей в
сертифицированных СрЗИ
• Требование ЦБ по отсутствию уязвимостей в
прикладном ПО (платежных и банковских
приложениях)

16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Правонарушение
Нарушаемая статья
законодательства
Наказание для
должностных лиц
Наказание для юридических
лиц
Обработка, непредусмотренная
законодательством
ФЗ-152 5-10 тысяч рублей 30-50 тысяч рублей
Нарушение требований к согласию Ст.9 ФЗ-152 10-20 тысяч рублей 15-75 тысяч рублей
Обработка ПДн без согласия Ст.6 ФЗ-152 10-20 тысяч рублей 15-75 тысяч рублей
Незаконная обработка спецкатегорий ПДн Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей
Неопубликование политики в области ПДн Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей
Отказ в предоставлении информации
субъекту
Ст.14, ст.20 ФЗ-152 4-10 тысяч рублей 20-40 тысяч рублей
Отказ в уничтожении или блокировании
или уточнении ПДн
Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей
Нарушение правил хранения
материальных носителей ПДн
ПП-687 4-10 тысяч рублей 25-50 тысяч рублей
Нарушение правил обезличивания (для
госов)
ПП-211 и приказ РКН №996 3-6 тысяч рублей Не предусмотрено
ПДн: Закон по увеличению штрафов принят

17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Последние поправки в ФЗ-152
• После попытки принять Постановление Правительства
было принято решение о внесении соответствующих
поправок на уровне федерального закона
• Согласно проекту поправок устанавливать надзором
будет заниматься новый ФОИВ, которым, возможно,
будет Роскомнадзор
• Правила надзора должно установить Правительство РФ
• Уход от оценки соответствия «обработки персональных
данных требованиям настоящего Федерального закона»
в сторону оценки соответствия «обработки
персональных данных требованиям законодательства
Российской Федерации в области персональных
данных»
Более широкому кругу НПА, например, ст.86 и 88 ТК РФ

18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
Готовится новое Постановление Правительства
• Контроль и надзор за соответствием обработки ПДн
требованиям законодательства
• Явно исключается надзор в сфере надзора за
выполнением организационных и технических мер
защиты информации
• 3 типа проверок
Плановые
Внеплановые
Мероприятия систематического наблюдения

19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Что еще готовится в части ПДн?

20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
В качестве заключения
• Усиление внимания к
вопросам ИБ в разных
отраслях
• Рост числа обязательных
требований по ИБ
• Курс на изоляционизм
цифровой суверенитет
• Ужесточение контроля и
ответственности за
несоблюдение
требований

21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Благодарю
за внимание