Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Обзор тенденций ИБ-регулирования для телекома

625 views

Published on

Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи

Published in: Law
  • Be the first to comment

  • Be the first to like this

Обзор тенденций ИБ-регулирования для телекома

  1. 1. 5 декабря 2017 Бизнес-консультант по безопасности Ключевые тенденции развития законодательства по ИБ для телекома Алексей Лукацкий
  2. 2. Какие требования по защите установлены законодательством РФ? • До 2006-го года требования по защите были установлены только для гостайны и конфиденциальной информации в госорганах • В 2006-м году был принят закон о персональных данных • В 2007-м году были утверждены требования по КСИИ • В 2008-м году были утверждены требования для операторов связи • В 2012-м году были приняты требования по защите в НПС • В 2017-м году приняты требования по КИИ Требования ПДн НПС ГИС/МИС АСУ ТП / КСИИ Операторы связи ГТ Иные
  3. 3. Что сейчас регулирует вопросы ИБ в телекоме? + закон «О связи»
  4. 4. Что могло появиться? • Минкомсвязи не раз пыталось включиться в регулирование вопросов защиты информации на сетях электросвязи
  5. 5. Сдвиг в сторону регулирования Интернет
  6. 6. 2008 2010 2012 2013 2014 2015 2011 2000-е Краткий обзор развития НПА по ИБ (без ГТ) ПДн СТОv4 382-П АСУ ТП ПДн БДУ ГИС ПДн ПДн CERTы СОПКА МИБАСУ ТП КИИ ПДн СТОv5 СТО/РС СТР-К ПКЗ 2016: • СТР • СТО/РС • РД МСЭ 2017: • ФЗ-149/ГИС • ГОСТы ЦБ • СОПКА • КИИ • ПДн
  7. 7. КИИ vs КИР: это не одно и тоже • Законопроект • Будет распространяться на операторов связи и связанных с ним лиц Критическая инфраструктура Рунета • Закон ФЗ-187, ФЗ- 193, ФЗ-194 • Распространяется на 13 отраслей, включая и операторов связи Критическая информационная инфраструктура
  8. 8. 3 закона по БКИИ • Закон вступает в силу • Разработка подзаконных актов должна быть завершена к 1-му января 2018-го года • Выполнение требований ФСБ по реагированию на инциденты • Присоедине- ние к сетям электросвязи • Новый регулятор • Категорирование объектов КИИ 1 января 2018 • Присоединение к ГосСОПКЕ
  9. 9. Операторы связи в контексте КИИ 1. Владельцы объекта КИИ 2. Лица или организации, обеспечивающие взаимодействие объектов КИИ между собой 3. Лицо, эксплуатирующее объект КИИ Субъект КИИ подпадают под регулирование Министерства связи и массовых коммуникаций, которое разработает требования по защите по согласованию с ФОИВ по безопасности КИИ (ФСТЭК) и с ФСБ в части ГосСОПКИ (могут не иметь объектов КИИ, но являются субъектами КИИ) Операторы связи 1. Информационные системы 2. Информационно- телекоммуникационные сети 3. Автоматизированные системы управления субъектов критической информационной инфраструктуры Объект КИИ
  10. 10. Что надо делать для выполнения закона? ☔ Категорирование Обеспечение ИБ Присоединение к ГосСОПКЕ
  11. 11. От чего зависит категория объекта КИИ? • социальной значимости (включая недоступность госуслуг) • политической значимости для РФ • экономической значимости • экологической значимости • значимости для обеспечения обороноспособности, безопасности государства и правопорядка Критерии на основании установленных критериев и в соответствии с утвержденными показателями этих критериев, осуществляют отнесение принадлежащих им на праве собственности или ином законном основании объектов КИИ к установленным категориям Субъекты КИИ
  12. 12. Критерий социальной значимости
  13. 13. Подключение к сети электросвязи • Только для значимых объектов КИИ • Для подключения значимых объектов КИИ используются Выделенные сети связи Технологические сети связи Сети связи специального назначения • Возможно и через сети связи общего пользования, но по согласованию с ФСТЭК
  14. 14. Подключение к сети электросвязи • Необходимость присоединения определяется субъектом КИИ • При запросе оператору направляется модель угроз и модель нарушителя для значимого объекта КИИ • Если оператор не способен подключить субъекта с указанными требованиями по ИБ, то следует мотивированный отказ • Доведение оператора до нужного уровня ИБ осуществляется за счет субъекта КИИ
  15. 15. 3 закона по БКИИ ФЗ-193 ФЗ-194 • Исключение из надзора по ФЗ- 294 • Уголовная ответственно сть • Отнесение к гостайне • Выполнение требований по ИБ 27 июля 2017 • Установка средств обнаружения атак на сетях операторов связи
  16. 16. Резюме по срокам • Закон вступает в силу с 1-го января 2018-го года • Определение регулятора – ноябрь 2017 • Определение показателей критериев категорирования – декабрь 2017 • Требования по надзору – первый квартал 2018 • Завершение категорирования – июля 2019 ⏰
  17. 17. Правонарушение Нарушаемая статья законодательства Наказание для должностных лиц Наказание для юридических лиц Обработка, непредусмотренная законодательством ФЗ-152 5-10 тысяч рублей 30-50 тысяч рублей Нарушение требований к согласию Ст.9 ФЗ-152 10-20 тысяч рублей 15-75 тысяч рублей Обработка ПДн без согласия Ст.6 ФЗ-152 10-20 тысяч рублей 15-75 тысяч рублей Незаконная обработка спецкатегорий ПДн Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей Неопубликование политики в области ПДн Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей Отказ в предоставлении информации субъекту Ст.14, ст.20 ФЗ-152 4-10 тысяч рублей 20-40 тысяч рублей Отказ в уничтожении или блокировании или уточнении ПДн Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей Нарушение правил хранения материальных носителей ПДн ПП-687 4-10 тысяч рублей 25-50 тысяч рублей Нарушение правил обезличивания (для госов) ПП-211 и приказ РКН №996 3-6 тысяч рублей Не предусмотрено ПДн: закон по штрафам принят
  18. 18. Что вам грозит?.. • Статья 13.11 переходит от прокуратуры к «новому» ФОИВ (возможно, РКН) • Текущий текст ст.13.11 начинается с «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)…» • Это означает, что нарушений может быть много, а наказание всего одно • Новый текст просто перечисляет составы правонарушений, что означает, что каждое нарушение может быть квалифицировано отдельно
  19. 19. Борьба с неидентифицированными SIM • ПП-1295 от 25 октября 2017-го года о порядке подтверждения соответствия персональных данных абонентов, заявленных в договорах об оказании услуг связи, фактическим данным пользователей услугами связи • Уже начались массовые отключения неидентифицированных абонентов – номера немедленно удаляются из базы абонентов
  20. 20. И еще про SIM-карты • В случае хищения денежных средств с банковского счета путем замены СИМ- карты, ответственность лежит на операторе связи • Оператор мобильной связи несет ответственность за неправомерные действия по выдаче дубликата сим- карты с абонентским номером пользователя другому лицу, последствием которых является получение таким лицом доступа к банковским счетам гражданина, использующего этот абонентский номер с подключением к нему услуги «мобильный банк» http://www.vsrf.ru/vscourt_detale.php?id=11571#
  21. 21. Новая ответственность • 13.11 КоАП – ПДн (до 500 тысяч ₽) • 13.6 КоАП – несертифицированные средства шифрования на сетях связи (до 1 млн.₽) – при наличии 13.12 • 274.1 УК РФ – несоблюдение мер защиты КИИ 🎓
  22. 22. Закон Яровой • Введение ответственности за использование несертифицированных средств шифрования (кодирования) на сетях связи в тех случаях, когда сертификация обязательна • Ст.13.6 – до 1 миллиона рублей • Уже существует ст.13.12 с более широким применением, но меньшим штрафом • Требование передачи информации, требуемой для декодирования электронных сообщений, для организаторов распространения информации • Порядок пока не определен • Нестыковки с поручением Президента, в котором говорится о передаче ключей шифрования • Непонятно, как реализовать технически при сквозном шифровании и сеансовых ключах • Telegram – первый прецедент
  23. 23. Приказ №1 тоже ждет изменение
  24. 24. В качестве резюме • Государство не откажется от регулирования вопросов обеспечения кибербезопасности (информационной безопасности) • Регуляторами ИБ для телекома является не только Минкомсвязь и Роскомнадзор, но и ФСТЭК, ФСБ и, в ряде случаев, Банк России • Геополитическая ситуация и курс на цифровой суверенитет только усложняют вопросы соответствия требованиям текущего и планируемого законодательства по кибербезопасности
  25. 25. Спасибо! alukatsk@cisco.com

×