Aleksey Lukatskiy, profile picture
Uploaded byAleksey Lukatskiy
PDF, PPTX4,151 views

Текущий статус законодательства по безопасности критической инфраструктуры

Презентация Алексея Лукацкого описывает текущее состояние законодательства в области безопасности критической инфраструктуры, которое находится на начальной стадии разработки. В документе обсуждаются различные законопроекты и меры по защите, а также категории объектов критической информационной инфраструктуры и их статус в контексте государственного регулирования. Подчеркивается важность соблюдения новых требований и стандартов безопасности, которые будут внедрять различные регуляторы.

Law

Embed presentation

Download as PDF, PPTX
21 июля 2017 Бизнес-консультант по безопасности Законодательство по безопасности критической инфраструктуры Текущий статус Алексей Лукацкий
Disclaimer Презентация описывает законодательство, которое находится в самом начале своего развития. В связи с этим в будущем возможны изменения, по сравнению с описываемыми в презентации. Данная презентация описывает личную точку зрения автора и может не совпадать с точкой зрения его работодателя или иных официальных лиц, с которыми автора связывают какие-либо отношения!
И еще одно напоминание • Коммерческие предприятия действуют по принципу «все, что не запрещено, разрешено» • Государственные органы действуют по противоположному принципу «все, что не разрешено, запрещено» Если что-то не описано в НПА явно, то делать это госоргану нельзя ☝
4-я попытка роста числа инцидентов ИБ на объектах КИИ/КСИИ/КВО и изменение геополитической ситуации ситуация сдвинулась с мертвой точки Под влиянием 2006 • Первая попытка урегулировать КИИ 2012 • Законопроект ФСТЭК 2013 • Законопроект ФСБ 2016 • Законопроект ФСБ внесен в Госдуму 2017 - 2018 • Принятие законов и подзаконных актов
3 законопроекта Внесение в ГосДуму • Выполнение требований ФСБ по реагированию на инциденты • Присоедине- ние к сетям электросвязи • Новый регулятор • Категорирование объектов КИИ Декабрь 2016 • Присоединение к ГосСОПКЕ
Кто будет отнесен к КИИ? единообразия в терминологии в основных нормативных правовых актах – законопроекте о безопасности КИИ, основах госполитики в области безопасности АСУ ТП, приказе ФСТЭК №31 и документах МинЭнерго и МЧС Отсутствие
Что такое критическая информационная инфраструктура? Законопроект «О безопасности КИИ» 2013 • Совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов и обеспечивающих их взаимодействие информационно- телекоммуникационных сетей, а также информационных систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка 2014 • Совокупность информационных систем, информационно- телекоммуникационных сетей и сетей связи, прекращение или нарушение которых может повлечь отрицательные (негативные) последствия в политической, социальной, экономической, экологической сферах, а также в сфере обороноспособности, обеспечения безопасности государства и правопорядка, управления и предоставления государственных услуг 2016 • Совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой 2017 • Объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов
Объекты vs субъекты КИИ 1. Владельцы объекта КИИ 2. Лица или организации, обеспечивающие взаимодействие объектов КИИ между собой 3. Лицо, эксплуатирующее объект КИИ 4. Разработчики (проектировщики) объекта КИИ Субъекты 1. Информационные системы 2. Информационно- телекоммуникационные сети 3. Автоматизированные системы управления субъектов критической информационной инфраструктуры Объекты
Объекты КИИ образца 2017-го года Наука Оборонная промышленность Здравоохранение Транспорт Отрасль связи Банковская и финансовая сфера Энергетика ТЭК Атомная энергетика Ракетно-космическая промышленность Горнодобывающая промышленность Металлургическая промышленность Химическая промышленность Правоохранительные структуры МЧС Географические и навигационные системы Системы спецназначения Водоснабжение и гидротехнические сооружения Управление потенциально опасными объектами Системы телерадиовещания и информирования населения Общегосударственные кадастры и базы данных Лица, обеспечивающие взаимодействие указанных систем и сетей Госорганы и госучреждения По сравнению с КСИИ
А другие отрасли попадут? • Определение субъекта КИИ (а не отраслей) является закрытым и используется также в Стратегии развития информационного общества • Внесение в него изменений в обозримом будущем не предполагается • Непопавшие в список отраслей субъекты, не могут считаться владельцами КИИ • Почему в список не попал Пенсионный фонд?
Отдельные категории субъектов КИИ уже не перейдут под регулирование Банка России с его множеством нормативных документов по защите информации (дальше предложений дело не пошло) Финансовые организации подпадают под регулирование Министерства связи и массовых коммуникаций, которое разработает требования по защите по согласованию с ФОИВ по безопасности КИИ и с ФСБ в части ГосСОПКИ (могут не иметь объектов КИИ, но являются субъектами КИИ) Операторы связи
От чего зависит категория объекта КИИ? • социальной значимости (включая недоступность госуслуг) • политической значимости для РФ • экономической значимости • экологической значимости • значимости для обеспечения обороноспособности, безопасности государства и правопорядка Критерии на основании установленных критериев и в соответствии с утвержденными показателями этих критериев, осуществляют отнесение принадлежащих им на праве собственности или ином законном основании объектов КИИ к установленным категориям Субъекты КИИ
Парадокс • Объект (например, АСУВ) может иметь очень высокую значимость с точки зрения обороноспособности страны • Объект (например, ПФР) может иметь очень высокую социальную значимость • Объект (например, ГАС «Выборы») может иметь очень высокую политическую значимость • Объект (например, водохранилище) может иметь очень высокую экологическую значимость • но при этом не быть КИИ! 🤦
Объекты КИИ Субъект КИИ проводит категорирование в соответствие с установленными показателями критериев Что такое значимые объекты? Значимые объекты КИИ Любая из категорий значимости ?%
Когда будут известны критерии? • Проект Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры, значений таких показателей, а также порядка категорирования объектов критической информационной инфраструктуры» • Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ
А смогу ли я занизить категорию или вовсе не категорировать себя? 1. Субъект КИИ отправляет результаты категорирования регулятору, который может не согласиться с выставленной категорией 2. Регулятор может потребовать от организации провести категорирование, а дальше см.п.1
Кто регулятор? ФОИВ по безопасности КИИ • Правила ведения реестра • Проверка правильности категорирования • Требования по безопасности для каждой категории значимых объектов • Госконтроль ФОИВ по ГосСОПКЕ • Оценка состояния защищенности • Порядок реагирования на компьютерные инциденты • Порядок ликвидации последствий компьютерных атак • Порядок обмена информацией об инцидентах • Устанавливает на объектах КИИ и сетях электросвязи элементы ГосСОПКИ • Требования к ГосСОПКЕ Минкомсвязи • Требования по безопасности для объектов связи и ИТС • Порядок и техусловия установки элементов ГосСОПКИ на сетях электросвязи Правительство • Показатели критериев категорирования • Порядок категорирования • Порядок госконтроля значимых объектов • Порядок подготовки и использования сетей электросвязи для значимых объектов
Национальный координационный центр по компьютерным инцидентам НКЦКИ Субъекты КИИ Уполномоченные органы иностранных государств Международные и неправительственные организации Обмен информацией о компьютерных инцидентах
Парадокс • НКЦКИ обеспечивает обмен информацией об инцидентах между субъектами КИИ, субъектами КИИ и иностранными/международными организациями, а также уполномоченными органами иностранных государств • А обмен информации внутри между НКЦКИ и другими ФОИВами, например, по безопасности КИИ или Минкомсвязью, не предусмотрен 🤦
Что означает присоединение к ГосСОПКЕ? • Информирование об инцидентах • Установка средств обнаружения атак (вероятно, сертифицированных по требованиях ФСБ) • Выполнение правил реагирования на инциденты • Беспрепятственный доступ сотрудников ФСБ на объекты КИИ
Обратите внимание СОА СОВ Системы обнаружения атак Системы обнаружения вторжений
3 законопроекта Принятие в третьем чтении • Исключение из надзора по ФЗ- 294 • Уголовная ответственно сть • Отнесение к гостайне • Выполнение требований по ИБ Июль 2017 • Установка средств обнаружения атак на сетях операторов связи Подписание Президентом запланировано на конец июля – август 2017
Что будут относить к гостайне? • К гостайне относятся сведения о мерах по обеспечению безопасности КИИ и о состоянии ее защищенности от компьютерных атак • Должен быть принят нормативный акт, устанавливающий конкретный перечень сведений, относимых к гостайне • Это могут быть ТЗ, ТП, информация о госзакупках и тендерах, применяемые меры/средства защиты, результаты аудитов/пентестов и др. • Речь не идет о необходимости иметь сертификат на ГТ у средств защиты КИИ 🙈 🙉 🙊
Рынок кибербезопасности РФ 2000+ интеграторов 300+ производителей 100+ аудиторов 30+ образовательных центра 40+ испытательных лаборатории 9 органов по сертификации 440+ органов по аттестации Рынок кибербезопасности РФ Рынок кибербезопасности КИИ РФ 20+ интеграторов 15+ производителей 7+ аудиторов 3+ образовательных центра 10%
Опыт в безопасности КИИ и гостайны ГТ Рынок кибербезопасности АСУ ТП Рынок кибербезопасности РФ связанные с лицензией на работу со сведениями, составляющими гостайну • Персонал • Консалтинг • Технологии АСУ ТП • Технологии ИБ • Процессы Ограничения
Что надо делать для выполнения закона? ☔ Категорирование Обеспечение ИБ Присоединение к ГосСОПКЕ
Какие требования по защите? • Предотвращение неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения информации на объекте КИИ • Недопущение воздействия на тех.средства обработки информации, в результате которого может быть нарушено или прекращено функционирование объекта КИИ • Обнаружение и предупреждение компьютерных атак • Восстановление функционирования объекта КИИ, в том числе и за счет создания и хранения резервных копий информации • Непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ • Сбор, анализ и хранение сведений о проведенных атаках 🔏Зависят от категории
Надо ли мне защищаться, если у меня нет значимых объектов КИИ? • Необходимо обеспечить информирование ГосСОПКИ и Банка России (если речь идет о финансовых организациях) об инцидентах • Необходимо содействовать сотрудникам ФСБ при расследовании инцидентов • Порядок информирования и содействия должны быть еще разработаны
Иерархия требований по безопасности ФЗ ФОИВ в области безопасности КИИ Требования к АСУ ТП Деятельность по обеспечению безопасности Требования к информационным системам Минкомсвязь Требования к ИТС и сетям связи ФОИВ по ГосСОПКЕ Требования к элементам ГосСОПКИ Требования по реагированию на инциденты Требования по отражению атак Иные ФОИВы Дополняющие требования Субъект КИИ Корпоративные требования
Какие документы уже есть? • Документы ФСТЭК по КСИИ • Основы госполитики в области обеспечения безопасности АСУ ТП КВО • Указ Президента №31с • ПП-861 по уведомлению об инцидентах на объектах ТЭК • Методические рекомендации по созданию центров ГосСОПКИ • Приказы ФСТЭК №31 (2014) и №31 (2017) • РД на промышленные МСЭ Разработаны
Идентиф./аутентиф. Управление доступом Ограничение среды Защита носителей Регистрация событий Антивирусная защита Обнаружение вторж. Анализ защищенности Обеспеч.целостности Обеспечение доступн. Защита виртуализац. Защита техсредств Защита АСУ ТП SDLC Управление обновлен. Планирование Нештатные ситуации Нетехнические меры Как Сisco соответствует требованиям 31-го приказа ФСТЭК по АСУ ТП? Нетехнические меры Обучение / осведомл. Нетехнические меры Анализ рисков и угроз Управление инцидент. Нетехнические меры Управление конфигур.
Регуляторов может быть много имеют право по согласованию с ФОИВ по безопасности КИИ установить дополнительные требования по ИБ, учитывающие особенности функционирования объектов КИИ в установленных сферах деятельности Другие регуляторы МинЭнерго, Банк России, Минтранс уже ведут такую работу
Что субъекты КИИ могут ждать от регуляторов? Субъект КИИ ФОИВ по безопасности КИИ ФОИВ по ГосСОПКЕ Информация по: • Угрозам • Уязвимостям • требованиям ИБ Информация по: • средствам и способам атак • методам обнаружения и предупреждения • требованиям к ГосСОПКЕ
Какие документы планируется принять? • Постановления Правительства «Об утверждении показателей критериев категорирования элементов КИИ, значений таких показателей, а также порядка категорирования объектов КИИ» • Постановления Правительства «Об утверждении порядка осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ» +12 месяцев +12 месяцев
Какие документы планируется принять? • Приказ Минкомсвязи «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» • Постановление Правительства РФ «Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов критической информационной инфраструктуры Российской Федерации» +6 месяцев +12 месяцев
Какие документы планируется принять? • Приказ уполномоченного ФОИВ об утверждении требований по обеспечению безопасности значимых объектов КИИ • Приказ уполномоченного ФОИВ об утверждении формы предоставления сведений о проведенном категорировании • Приказ уполномоченного ФОИВ об утверждении формы реестра объектов КИИ и правил его ведения ( +12 месяцев
Требования ФСТЭК по сертификации промышленных СрЗИ • Предполагается установление требований по оценке соответствия средств защиты информации, используемых для защиты АСУ ТП • Для объектов КИИ требований по оценке соответствия закон не предусматривает Долгосрочная перспектива (2019+)
Cisco была первой в России • Smart Grid коммутатор и маршрутизатор • Коммутаторы IE3000 (как МСЭ) • Система предотвращения вторжений IPS for SCADA Первые сертификаты • Завершается сертификация Cisco Firepower NGIPS, поддерживающий около 20 промышленных протоколов и около 300 сигнатур атак для АСУ ТП и промышленного оборудования различных производителей
Какие документы планируется принять? • Об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на значимых объектах критической информационной инфраструктуры Российской Федерации • Об утверждении перечня сведений, предоставляемых в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и порядка их предоставления • Об утверждении порядка доступа к информации, содержащейся в государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации +9 месяцев
Какие документы планируется принять? • Об утверждении требований к техническим средствам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации • Об утверждении технических условий установки и эксплуатации технических средств государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации • Об утверждении Положения о Национальном координационном центре по компьютерным инцидентам +9 месяцев
Резюме по срокам • Закон вступает в силу с 1-го января 2018-го года • + полгода на определение регулятора • + еще полгода на определение показателей критериев категорирования • Оценка (минималистичная): начало 2019 года • Оценка (если если ФОИВ по ИБ КИИ - ФСТЭК): начало 2019 года • Оценка (если ФОИВ по ИБ КИИ - ФСБ): непредсказуемо ⏰
Уголовная ответственность • Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации • до пяти лет со штрафом 🎓
Уголовная ответственность • Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации • до шести лет со штрафом 🎓
Уголовная ответственность • Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно- телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно- телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации • до шести лет с лишением права занимать должность 🎓
Уголовная ответственность • Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения • до восьми лет с лишением права занимать должность 🎓
Уголовная ответственность • Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия • до десяти лет с лишением права занимать должность 🎓
Госконтроль и надзор • Выведен из под действия ФЗ-294 • Проводится ФОИВом по безопасности КИИ • Плановая проверка – раз в три года • Внеплановая проверка – истечение срока предписания, инцидент, поручение Президента, Правительства, требование прокурора +
Парадокс • Внеплановую проверку проводит ФОИВ по безопасности КИИ по причине инцидента • Но закон не предусматривает передачу информации об инцидентах между ГосСОПКОЙ и ФОИВ по безопасности КИИ! 🤦
Влияние законопроекта • Дополнительное регулирование • Новый надзорный орган и правила контроля • Рост ответственности (вплоть до уголовной) • Ограничение конкуренции (гостайна / сертификация / обмен информации об угрозах) • Раскрытие информации об инцидентах • Технологические ограничения (ГосСОПКА) • Дополнительные затраты
Статьи затрат • Категорирование объекта КИИ и оценка защищенности • Выполнение требований по ИБ • Присоединение к ГосСОПКЕ • Приобретение (замена) сертифицированных средств защиты информации (как минимум, СОА) • Выстраивание процесса реагирования на компьютерные атаки по документам ФСБ • Обязательное уведомление ГосСОПКИ об инцидентах • Сбор и хранение информации об атаках • Создание (аутсорсинг) первых отделов (под гостайну) • Обучение персонала Объем затрат пока не поддается прогнозу ввиду отсутствия перечня субъектов, попадающих под действие законопроекта
Что у вас есть? Чего вам не хватает? Что вам понадобится? Идентифицируйте имеющиеся у вас активы и используемые вами технологии ИБ, не забывая про моделирование угроз Проанализируйте разрыв между описанными в законе мерами защите (а также в 31-х приказах ФСТЭК) и составьте план поэтапной реализации (если вы еще этого не сделали) Начните реализацию 31-х приказов ФСТЭК (для АСУ ТП), 21-го (не для АСУ ТП) и документов ЦБ (для ФО), не дожидаясь принятия всех подзаконных актов. Внедрите процесс реагирования на инциденты. Донесите риски до руководства Что сделать после семинара?
Дополнительная информация Раздел «Брошюры» на сайте www.cisco.ru www.cisco.сom/go/industry
Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
Спасибо! alukatsk@cisco.com

More Related Content

PDF
Курс по законодательству в области ИБ
byAleksey Lukatskiy
 
PDF
Что нам ждать от законодательства по безопасности критической инфраструктуры
byAleksey Lukatskiy
 
PDF
Обзор тенденций ИБ-регулирования для телекома
byAleksey Lukatskiy
 
PDF
Основные направления регулирования ИБ в России
byAleksey Lukatskiy
 
PDF
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
byAleksey Lukatskiy
 
PDF
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
byRISClubSPb
 
PDF
Уральский форум по информационной безопасности финансовых организаций за 15 м...
byAleksey Lukatskiy
 
PDF
Категорирование критических инфраструктур в разных странах мира
byAleksey Lukatskiy
 
Курс по законодательству в области ИБ
byAleksey Lukatskiy
 
Что нам ждать от законодательства по безопасности критической инфраструктуры
byAleksey Lukatskiy
 
Обзор тенденций ИБ-регулирования для телекома
byAleksey Lukatskiy
 
Основные направления регулирования ИБ в России
byAleksey Lukatskiy
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
byAleksey Lukatskiy
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
byRISClubSPb
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
byAleksey Lukatskiy
 
Категорирование критических инфраструктур в разных странах мира
byAleksey Lukatskiy
 

What's hot

PDF
Information Security Legislations (BY)
byВячеслав Аксёнов
 
PDF
Что такое государственная информационная система?
byCisco Russia
 
PDF
Последние изменения законодательства по ИБ и его тенденции
byAleksey Lukatskiy
 
PDF
Нормативная база ИБ (кво, ксии, кии, асу)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Особенности обработки и защиты ПДн в медицине
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Регулирование ИБ в России во второй половине 2012 года
byAleksey Lukatskiy
 
PDF
Что такое государственная информационная система?
byAleksey Lukatskiy
 
PDF
Последние изменения в законодательстве о персональных данных
byAleksey Lukatskiy
 
PDF
пр Обзор законопроектов о КИИ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Ключевые тенденции законодательства России по защите данных
byAleksey Lukatskiy
 
PDF
Russia security regulations update
byCisco Russia
 
PDF
Последние законодательные инициативы по информационной безопасности
byAleksey Lukatskiy
 
PDF
Весь Магнитогорск за 15 минут (2015)
byAleksey Lukatskiy
 
PPTX
нн 2013 chugunov_v 1
byEkaterina Morozova
 
PDF
Последние изменения в законодательстве по персональным данным
byAleksey Lukatskiy
 
PDF
Актуальные вопросы защиты информации для государственных оранов
bySergey Borisov
 
PDF
пр мастер класс по пдн 2014-04
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
обучение в области защиты информации
bySergey Borisov
 
PDF
пр Обзор Методических рекомендаций по ГосСОПКА
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Аттестация объектов информатизации по требованиям безопасности информаци
bySoftline
 
Information Security Legislations (BY)
byВячеслав Аксёнов
 
Что такое государственная информационная система?
byCisco Russia
 
Последние изменения законодательства по ИБ и его тенденции
byAleksey Lukatskiy
 
Нормативная база ИБ (кво, ксии, кии, асу)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Особенности обработки и защиты ПДн в медицине
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Регулирование ИБ в России во второй половине 2012 года
byAleksey Lukatskiy
 
Что такое государственная информационная система?
byAleksey Lukatskiy
 
Последние изменения в законодательстве о персональных данных
byAleksey Lukatskiy
 
пр Обзор законопроектов о КИИ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Ключевые тенденции законодательства России по защите данных
byAleksey Lukatskiy
 
Russia security regulations update
byCisco Russia
 
Последние законодательные инициативы по информационной безопасности
byAleksey Lukatskiy
 
Весь Магнитогорск за 15 минут (2015)
byAleksey Lukatskiy
 
нн 2013 chugunov_v 1
byEkaterina Morozova
 
Последние изменения в законодательстве по персональным данным
byAleksey Lukatskiy
 
Актуальные вопросы защиты информации для государственных оранов
bySergey Borisov
 
пр мастер класс по пдн 2014-04
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
обучение в области защиты информации
bySergey Borisov
 
пр Обзор Методических рекомендаций по ГосСОПКА
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аттестация объектов информатизации по требованиям безопасности информаци
bySoftline
 

Similar to Текущий статус законодательства по безопасности критической инфраструктуры

PPTX
Система безопасности значимых объектов КИИ
bysudmal
 
PPTX
Система безопасности значимых объектов КИИ
bysudmal
 
PPTX
Система безопасности значимых объектов КИИ
bysudmal
 
PDF
Особенности обеспечения безопасности КИИ за рубежом
byAleksey Lukatskiy
 
PDF
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...
byOleg Demidov
 
PDF
ISACA Cyber Security Law Draft
byIsacaKyiv
 
PDF
Практика классификации АСУ ТП по требованиям защиты информации
byКомпания УЦСБ
 
PDF
Законопроект по безопасности критической инфраструктуры
byАйдар Гилязов
 
PDF
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
byAleksey Lukatskiy
 
PDF
Субъекты КИИ: торопитесь не торопясь!
byAlexey Komarov
 
PDF
Новая триада законодательства по финансовой безопасности
byAleksey Lukatskiy
 
PDF
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
byAleksey Lukatskiy
 
PDF
Проект Федерального закона о безопасности КИИ
byКомпания УЦСБ
 
PDF
КИИ 187-ФЗ: 
Итоги 2019 года и Вызовы 2020 года
byAlexey Komarov
 
PDF
Проект приказа ФСТЭК по защите информации в АСУ ТП
byAleksey Lukatskiy
 
PDF
Сопоставление приказов ФСТЭК по КСИИ и АСУ ТП
byAleksey Lukatskiy
 
PPTX
презентация доклада масановца
byMathmodels Net
 
PPTX
КВО ТЭК - Обоснованные требования регулятора
byAlexey Kachalin
 
PDF
Isaca cybers security_law_v12_vv
byAlexey Yankovski
 
PPTX
Защита критически важных объектов
byАлексей Кураленко
 
Система безопасности значимых объектов КИИ
bysudmal
 
Система безопасности значимых объектов КИИ
bysudmal
 
Система безопасности значимых объектов КИИ
bysudmal
 
Особенности обеспечения безопасности КИИ за рубежом
byAleksey Lukatskiy
 
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...
byOleg Demidov
 
ISACA Cyber Security Law Draft
byIsacaKyiv
 
Практика классификации АСУ ТП по требованиям защиты информации
byКомпания УЦСБ
 
Законопроект по безопасности критической инфраструктуры
byАйдар Гилязов
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
byAleksey Lukatskiy
 
Субъекты КИИ: торопитесь не торопясь!
byAlexey Komarov
 
Новая триада законодательства по финансовой безопасности
byAleksey Lukatskiy
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
byAleksey Lukatskiy
 
Проект Федерального закона о безопасности КИИ
byКомпания УЦСБ
 
КИИ 187-ФЗ: 
Итоги 2019 года и Вызовы 2020 года
byAlexey Komarov
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
byAleksey Lukatskiy
 
Сопоставление приказов ФСТЭК по КСИИ и АСУ ТП
byAleksey Lukatskiy
 
презентация доклада масановца
byMathmodels Net
 
КВО ТЭК - Обоснованные требования регулятора
byAlexey Kachalin
 
Isaca cybers security_law_v12_vv
byAlexey Yankovski
 
Защита критически важных объектов
byАлексей Кураленко
 

More from Aleksey Lukatskiy

PDF
Новая концепция кибербезопасности Zero Trust
byAleksey Lukatskiy
 
PDF
Презентация по ИБ для руководства компании
byAleksey Lukatskiy
 
PDF
От разрозненных фидов к целостной программе Threat intelligence
byAleksey Lukatskiy
 
PDF
ICS Cyber Security Effectiveness Measurement
byAleksey Lukatskiy
 
PDF
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
byAleksey Lukatskiy
 
PDF
Уральский форум 2020 за 15 минут
byAleksey Lukatskiy
 
PDF
Аутсорсинг. Управление рисками информационной безопасности
byAleksey Lukatskiy
 
PDF
Измерение эффективности SOC. 3 года спустя
byAleksey Lukatskiy
 
PDF
Один зеродей и тысяча ночей без сна
byAleksey Lukatskiy
 
PDF
Как правильно выборать аутсорсингового партнера
byAleksey Lukatskiy
 
PDF
Измерение эффективности ИБ промышленных систем
byAleksey Lukatskiy
 
PDF
13 советов, от которых зависит успешность вашего SOC
byAleksey Lukatskiy
 
PDF
Дашборды по ИБ АСУ ТП
byAleksey Lukatskiy
 
PDF
Бизнес-метрики ИБ для руководства финансовой организации
byAleksey Lukatskiy
 
PDF
4 сценария мониторинга ИБ изолированных промышленных площадок
byAleksey Lukatskiy
 
PDF
Кибербезопасность прорывных технологий
byAleksey Lukatskiy
 
PDF
Тенденции киберугроз. Что необходимо знать?
byAleksey Lukatskiy
 
PDF
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
byAleksey Lukatskiy
 
PDF
17 способов проникновения во внутреннюю сеть компании
byAleksey Lukatskiy
 
PDF
Как ловить кибермафию с помощью DNS
byAleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
byAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
byAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
byAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
byAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
byAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
byAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
byAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
byAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
byAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
byAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
byAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
byAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
byAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
byAleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
byAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
byAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
byAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
byAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
byAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
byAleksey Lukatskiy
 

Текущий статус законодательства по безопасности критической инфраструктуры

  • 1.
    21 июля 2017 Бизнес-консультантпо безопасности Законодательство по безопасности критической инфраструктуры Текущий статус Алексей Лукацкий
  • 2.
    Disclaimer Презентация описывает законодательство, которое находитсяв самом начале своего развития. В связи с этим в будущем возможны изменения, по сравнению с описываемыми в презентации. Данная презентация описывает личную точку зрения автора и может не совпадать с точкой зрения его работодателя или иных официальных лиц, с которыми автора связывают какие-либо отношения!
  • 3.
    И еще однонапоминание • Коммерческие предприятия действуют по принципу «все, что не запрещено, разрешено» • Государственные органы действуют по противоположному принципу «все, что не разрешено, запрещено» Если что-то не описано в НПА явно, то делать это госоргану нельзя ☝
  • 4.
    4-я попытка роста числа инцидентовИБ на объектах КИИ/КСИИ/КВО и изменение геополитической ситуации ситуация сдвинулась с мертвой точки Под влиянием 2006 • Первая попытка урегулировать КИИ 2012 • Законопроект ФСТЭК 2013 • Законопроект ФСБ 2016 • Законопроект ФСБ внесен в Госдуму 2017 - 2018 • Принятие законов и подзаконных актов
  • 5.
    3 законопроекта Внесение вГосДуму • Выполнение требований ФСБ по реагированию на инциденты • Присоедине- ние к сетям электросвязи • Новый регулятор • Категорирование объектов КИИ Декабрь 2016 • Присоединение к ГосСОПКЕ
  • 6.
    Кто будет отнесенк КИИ? единообразия в терминологии в основных нормативных правовых актах – законопроекте о безопасности КИИ, основах госполитики в области безопасности АСУ ТП, приказе ФСТЭК №31 и документах МинЭнерго и МЧС Отсутствие
  • 7.
    Что такое критическая информационнаяинфраструктура? Законопроект «О безопасности КИИ» 2013 • Совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов и обеспечивающих их взаимодействие информационно- телекоммуникационных сетей, а также информационных систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка 2014 • Совокупность информационных систем, информационно- телекоммуникационных сетей и сетей связи, прекращение или нарушение которых может повлечь отрицательные (негативные) последствия в политической, социальной, экономической, экологической сферах, а также в сфере обороноспособности, обеспечения безопасности государства и правопорядка, управления и предоставления государственных услуг 2016 • Совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой 2017 • Объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов
  • 8.
    Объекты vs субъектыКИИ 1. Владельцы объекта КИИ 2. Лица или организации, обеспечивающие взаимодействие объектов КИИ между собой 3. Лицо, эксплуатирующее объект КИИ 4. Разработчики (проектировщики) объекта КИИ Субъекты 1. Информационные системы 2. Информационно- телекоммуникационные сети 3. Автоматизированные системы управления субъектов критической информационной инфраструктуры Объекты
  • 9.
    Объекты КИИ образца2017-го года Наука Оборонная промышленность Здравоохранение Транспорт Отрасль связи Банковская и финансовая сфера Энергетика ТЭК Атомная энергетика Ракетно-космическая промышленность Горнодобывающая промышленность Металлургическая промышленность Химическая промышленность Правоохранительные структуры МЧС Географические и навигационные системы Системы спецназначения Водоснабжение и гидротехнические сооружения Управление потенциально опасными объектами Системы телерадиовещания и информирования населения Общегосударственные кадастры и базы данных Лица, обеспечивающие взаимодействие указанных систем и сетей Госорганы и госучреждения По сравнению с КСИИ
  • 10.
    А другие отраслипопадут? • Определение субъекта КИИ (а не отраслей) является закрытым и используется также в Стратегии развития информационного общества • Внесение в него изменений в обозримом будущем не предполагается • Непопавшие в список отраслей субъекты, не могут считаться владельцами КИИ • Почему в список не попал Пенсионный фонд?
  • 11.
    Отдельные категории субъектовКИИ уже не перейдут под регулирование Банка России с его множеством нормативных документов по защите информации (дальше предложений дело не пошло) Финансовые организации подпадают под регулирование Министерства связи и массовых коммуникаций, которое разработает требования по защите по согласованию с ФОИВ по безопасности КИИ и с ФСБ в части ГосСОПКИ (могут не иметь объектов КИИ, но являются субъектами КИИ) Операторы связи
  • 12.
    От чего зависиткатегория объекта КИИ? • социальной значимости (включая недоступность госуслуг) • политической значимости для РФ • экономической значимости • экологической значимости • значимости для обеспечения обороноспособности, безопасности государства и правопорядка Критерии на основании установленных критериев и в соответствии с утвержденными показателями этих критериев, осуществляют отнесение принадлежащих им на праве собственности или ином законном основании объектов КИИ к установленным категориям Субъекты КИИ
  • 13.
    Парадокс • Объект (например,АСУВ) может иметь очень высокую значимость с точки зрения обороноспособности страны • Объект (например, ПФР) может иметь очень высокую социальную значимость • Объект (например, ГАС «Выборы») может иметь очень высокую политическую значимость • Объект (например, водохранилище) может иметь очень высокую экологическую значимость • но при этом не быть КИИ! 🤦
  • 14.
    Объекты КИИ Субъект КИИпроводит категорирование в соответствие с установленными показателями критериев Что такое значимые объекты? Значимые объекты КИИ Любая из категорий значимости ?%
  • 15.
    Когда будут известныкритерии? • Проект Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры, значений таких показателей, а также порядка категорирования объектов критической информационной инфраструктуры» • Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ
  • 16.
    А смогу лия занизить категорию или вовсе не категорировать себя? 1. Субъект КИИ отправляет результаты категорирования регулятору, который может не согласиться с выставленной категорией 2. Регулятор может потребовать от организации провести категорирование, а дальше см.п.1
  • 17.
    Кто регулятор? ФОИВ по безопасностиКИИ • Правила ведения реестра • Проверка правильности категорирования • Требования по безопасности для каждой категории значимых объектов • Госконтроль ФОИВ по ГосСОПКЕ • Оценка состояния защищенности • Порядок реагирования на компьютерные инциденты • Порядок ликвидации последствий компьютерных атак • Порядок обмена информацией об инцидентах • Устанавливает на объектах КИИ и сетях электросвязи элементы ГосСОПКИ • Требования к ГосСОПКЕ Минкомсвязи • Требования по безопасности для объектов связи и ИТС • Порядок и техусловия установки элементов ГосСОПКИ на сетях электросвязи Правительство • Показатели критериев категорирования • Порядок категорирования • Порядок госконтроля значимых объектов • Порядок подготовки и использования сетей электросвязи для значимых объектов
  • 18.
    Национальный координационный центр покомпьютерным инцидентам НКЦКИ Субъекты КИИ Уполномоченные органы иностранных государств Международные и неправительственные организации Обмен информацией о компьютерных инцидентах
  • 19.
    Парадокс • НКЦКИ обеспечиваетобмен информацией об инцидентах между субъектами КИИ, субъектами КИИ и иностранными/международными организациями, а также уполномоченными органами иностранных государств • А обмен информации внутри между НКЦКИ и другими ФОИВами, например, по безопасности КИИ или Минкомсвязью, не предусмотрен 🤦
  • 20.
    Что означает присоединениек ГосСОПКЕ? • Информирование об инцидентах • Установка средств обнаружения атак (вероятно, сертифицированных по требованиях ФСБ) • Выполнение правил реагирования на инциденты • Беспрепятственный доступ сотрудников ФСБ на объекты КИИ
  • 21.
  • 22.
    3 законопроекта Принятие втретьем чтении • Исключение из надзора по ФЗ- 294 • Уголовная ответственно сть • Отнесение к гостайне • Выполнение требований по ИБ Июль 2017 • Установка средств обнаружения атак на сетях операторов связи Подписание Президентом запланировано на конец июля – август 2017
  • 23.
    Что будут относитьк гостайне? • К гостайне относятся сведения о мерах по обеспечению безопасности КИИ и о состоянии ее защищенности от компьютерных атак • Должен быть принят нормативный акт, устанавливающий конкретный перечень сведений, относимых к гостайне • Это могут быть ТЗ, ТП, информация о госзакупках и тендерах, применяемые меры/средства защиты, результаты аудитов/пентестов и др. • Речь не идет о необходимости иметь сертификат на ГТ у средств защиты КИИ 🙈 🙉 🙊
  • 24.
    Рынок кибербезопасности РФ 2000+ интеграторов 300+производителей 100+ аудиторов 30+ образовательных центра 40+ испытательных лаборатории 9 органов по сертификации 440+ органов по аттестации Рынок кибербезопасности РФ Рынок кибербезопасности КИИ РФ 20+ интеграторов 15+ производителей 7+ аудиторов 3+ образовательных центра 10%
  • 25.
    Опыт в безопасностиКИИ и гостайны ГТ Рынок кибербезопасности АСУ ТП Рынок кибербезопасности РФ связанные с лицензией на работу со сведениями, составляющими гостайну • Персонал • Консалтинг • Технологии АСУ ТП • Технологии ИБ • Процессы Ограничения
  • 26.
    Что надо делатьдля выполнения закона? ☔ Категорирование Обеспечение ИБ Присоединение к ГосСОПКЕ
  • 27.
    Какие требования позащите? • Предотвращение неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения информации на объекте КИИ • Недопущение воздействия на тех.средства обработки информации, в результате которого может быть нарушено или прекращено функционирование объекта КИИ • Обнаружение и предупреждение компьютерных атак • Восстановление функционирования объекта КИИ, в том числе и за счет создания и хранения резервных копий информации • Непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ • Сбор, анализ и хранение сведений о проведенных атаках 🔏Зависят от категории
  • 28.
    Надо ли мнезащищаться, если у меня нет значимых объектов КИИ? • Необходимо обеспечить информирование ГосСОПКИ и Банка России (если речь идет о финансовых организациях) об инцидентах • Необходимо содействовать сотрудникам ФСБ при расследовании инцидентов • Порядок информирования и содействия должны быть еще разработаны
  • 29.
    Иерархия требований побезопасности ФЗ ФОИВ в области безопасности КИИ Требования к АСУ ТП Деятельность по обеспечению безопасности Требования к информационным системам Минкомсвязь Требования к ИТС и сетям связи ФОИВ по ГосСОПКЕ Требования к элементам ГосСОПКИ Требования по реагированию на инциденты Требования по отражению атак Иные ФОИВы Дополняющие требования Субъект КИИ Корпоративные требования
  • 30.
    Какие документы ужеесть? • Документы ФСТЭК по КСИИ • Основы госполитики в области обеспечения безопасности АСУ ТП КВО • Указ Президента №31с • ПП-861 по уведомлению об инцидентах на объектах ТЭК • Методические рекомендации по созданию центров ГосСОПКИ • Приказы ФСТЭК №31 (2014) и №31 (2017) • РД на промышленные МСЭ Разработаны
  • 31.
    Идентиф./аутентиф. Управление доступом Ограничение среды Защитаносителей Регистрация событий Антивирусная защита Обнаружение вторж. Анализ защищенности Обеспеч.целостности Обеспечение доступн. Защита виртуализац. Защита техсредств Защита АСУ ТП SDLC Управление обновлен. Планирование Нештатные ситуации Нетехнические меры Как Сisco соответствует требованиям 31-го приказа ФСТЭК по АСУ ТП? Нетехнические меры Обучение / осведомл. Нетехнические меры Анализ рисков и угроз Управление инцидент. Нетехнические меры Управление конфигур.
  • 32.
    Регуляторов может бытьмного имеют право по согласованию с ФОИВ по безопасности КИИ установить дополнительные требования по ИБ, учитывающие особенности функционирования объектов КИИ в установленных сферах деятельности Другие регуляторы МинЭнерго, Банк России, Минтранс уже ведут такую работу
  • 33.
    Что субъекты КИИмогут ждать от регуляторов? Субъект КИИ ФОИВ по безопасности КИИ ФОИВ по ГосСОПКЕ Информация по: • Угрозам • Уязвимостям • требованиям ИБ Информация по: • средствам и способам атак • методам обнаружения и предупреждения • требованиям к ГосСОПКЕ
  • 34.
    Какие документы планируетсяпринять? • Постановления Правительства «Об утверждении показателей критериев категорирования элементов КИИ, значений таких показателей, а также порядка категорирования объектов КИИ» • Постановления Правительства «Об утверждении порядка осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ» +12 месяцев +12 месяцев
  • 35.
    Какие документы планируетсяпринять? • Приказ Минкомсвязи «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» • Постановление Правительства РФ «Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов критической информационной инфраструктуры Российской Федерации» +6 месяцев +12 месяцев
  • 36.
    Какие документы планируетсяпринять? • Приказ уполномоченного ФОИВ об утверждении требований по обеспечению безопасности значимых объектов КИИ • Приказ уполномоченного ФОИВ об утверждении формы предоставления сведений о проведенном категорировании • Приказ уполномоченного ФОИВ об утверждении формы реестра объектов КИИ и правил его ведения ( +12 месяцев
  • 37.
    Требования ФСТЭК посертификации промышленных СрЗИ • Предполагается установление требований по оценке соответствия средств защиты информации, используемых для защиты АСУ ТП • Для объектов КИИ требований по оценке соответствия закон не предусматривает Долгосрочная перспектива (2019+)
  • 38.
    Cisco была первойв России • Smart Grid коммутатор и маршрутизатор • Коммутаторы IE3000 (как МСЭ) • Система предотвращения вторжений IPS for SCADA Первые сертификаты • Завершается сертификация Cisco Firepower NGIPS, поддерживающий около 20 промышленных протоколов и около 300 сигнатур атак для АСУ ТП и промышленного оборудования различных производителей
  • 39.
    Какие документы планируетсяпринять? • Об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на значимых объектах критической информационной инфраструктуры Российской Федерации • Об утверждении перечня сведений, предоставляемых в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и порядка их предоставления • Об утверждении порядка доступа к информации, содержащейся в государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации +9 месяцев
  • 40.
    Какие документы планируетсяпринять? • Об утверждении требований к техническим средствам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации • Об утверждении технических условий установки и эксплуатации технических средств государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации • Об утверждении Положения о Национальном координационном центре по компьютерным инцидентам +9 месяцев
  • 41.
    Резюме по срокам •Закон вступает в силу с 1-го января 2018-го года • + полгода на определение регулятора • + еще полгода на определение показателей критериев категорирования • Оценка (минималистичная): начало 2019 года • Оценка (если если ФОИВ по ИБ КИИ - ФСТЭК): начало 2019 года • Оценка (если ФОИВ по ИБ КИИ - ФСБ): непредсказуемо ⏰
  • 42.
    Уголовная ответственность • Создание,распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации • до пяти лет со штрафом 🎓
  • 43.
    Уголовная ответственность • Неправомерныйдоступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации • до шести лет со штрафом 🎓
  • 44.
    Уголовная ответственность • Нарушениеправил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно- телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно- телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации • до шести лет с лишением права занимать должность 🎓
  • 45.
    Уголовная ответственность • Деяния,предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения • до восьми лет с лишением права занимать должность 🎓
  • 46.
    Уголовная ответственность • Деяния,предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия • до десяти лет с лишением права занимать должность 🎓
  • 47.
    Госконтроль и надзор •Выведен из под действия ФЗ-294 • Проводится ФОИВом по безопасности КИИ • Плановая проверка – раз в три года • Внеплановая проверка – истечение срока предписания, инцидент, поручение Президента, Правительства, требование прокурора +
  • 48.
    Парадокс • Внеплановую проверкупроводит ФОИВ по безопасности КИИ по причине инцидента • Но закон не предусматривает передачу информации об инцидентах между ГосСОПКОЙ и ФОИВ по безопасности КИИ! 🤦
  • 49.
    Влияние законопроекта • Дополнительноерегулирование • Новый надзорный орган и правила контроля • Рост ответственности (вплоть до уголовной) • Ограничение конкуренции (гостайна / сертификация / обмен информации об угрозах) • Раскрытие информации об инцидентах • Технологические ограничения (ГосСОПКА) • Дополнительные затраты
  • 50.
    Статьи затрат • Категорированиеобъекта КИИ и оценка защищенности • Выполнение требований по ИБ • Присоединение к ГосСОПКЕ • Приобретение (замена) сертифицированных средств защиты информации (как минимум, СОА) • Выстраивание процесса реагирования на компьютерные атаки по документам ФСБ • Обязательное уведомление ГосСОПКИ об инцидентах • Сбор и хранение информации об атаках • Создание (аутсорсинг) первых отделов (под гостайну) • Обучение персонала Объем затрат пока не поддается прогнозу ввиду отсутствия перечня субъектов, попадающих под действие законопроекта
  • 51.
    Что у вас есть? Чеговам не хватает? Что вам понадобится? Идентифицируйте имеющиеся у вас активы и используемые вами технологии ИБ, не забывая про моделирование угроз Проанализируйте разрыв между описанными в законе мерами защите (а также в 31-х приказах ФСТЭК) и составьте план поэтапной реализации (если вы еще этого не сделали) Начните реализацию 31-х приказов ФСТЭК (для АСУ ТП), 21-го (не для АСУ ТП) и документов ЦБ (для ФО), не дожидаясь принятия всех подзаконных актов. Внедрите процесс реагирования на инциденты. Донесите риски до руководства Что сделать после семинара?
  • 52.
    Дополнительная информация Раздел «Брошюры»на сайте www.cisco.ru www.cisco.сom/go/industry
  • 53.
    Пишите на security-request@cisco.com Бытьв курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
  • 54.