Документ обобщает требования по информационной безопасности в России, упоминая законы и правила, действующие на сегодняшний день, а также предстоящие изменения. Основное внимание уделяется защите персональных данных и нововведениям в законодательстве, касающимся финансового контроля и кибербезопасности. Обсуждаются также актуальные проблемы, связанные с обновлением нормативных актов и ролью различных государственных регуляторов.

1. ​Требования по информационной
безопасности сегодня и завтра:
что ожидать от российских
регуляторов?
Прозоров Андрей
2014-04

3. • 149-ФЗ «Об информации, ИТ и защите информации»
• 152-ФЗ «О персональных данных»
• 98-ФЗ «О Коммерческой тайне»
• 126-ФЗ «О связи»
• ФЗ № 395-1 «О банках и банковской деятельности»
• 161-ФЗ «О национальной платежной системе»
• …
• ПП 1119 «Об утверждении требований к защите ПДн при
их обработке ИСПДн»
• ПП 2036-р «Об утверждении Стратегии развития отрасли
ИТ в РФ на 2014 - 2020 годы и на перспективу до 2025
года»
• …
Законов много

4. Военно-промышленная комиссия при Правительстве Российской Федерации (ВПК),
Госкорпорации, ГУСП, ГФС России, МВД России, МИД России, Минвостокразвития России,
Минздрав России, Минкомсвязь России, Минкультуры России, Минобороны России,
Минобрнауки России, Минприроды России, Минпромторг России, Минрегион России,
Минсельхоз России, Минспорт России, Минстрой России, Минтранс России, Минтруд
России, Минфин России, Минэкономразвития России, Минэнерго России, Минюст России,
МЧС России, Пенсионный фонд Российской Федерации, Росавиация, Росавтодор,
Росаккредитация, Росалкогольрегулирование, Росархив, Росводресуры, Росгидромет,
Росграница, Росжелдор, Росздравнадзор, Росимущество, Роскомнадзор, Роскосмос,
Рослесхоз, Росмолодежь, Росморречфлот, Роснедра, Рособоронзаказ, Рособоронпоставка,
Рособрнадзор, Роспатент, Роспечать, Роспотребназор, Росприроднадзор, Росреестр,
Росрезерв, Росрыболовство, Россвязь, Россельхознадзор, Россотрудничество, Росстандарт,
Росстат, Ростехнадзор, Ространснадзор, Роструд, Ростуризм, Росфинмониторинг,
Росфиннадзор, СВР России, Следственный комитет Российской Федерации, Спецстрой
России, Управление делами Президента РФ, ФАНО России, ФАС России, Федеральная
служба по интеллектуальной собственности, патентам и товарным знакам, Федеральное
казначейство, Федеральный фонд обязательного медицинского страхования, ФМБА
России, ФМС России, ФНС России, Фонд социального страхования Российской Федерации,
ФСБ России, ФСВТС России, ФСИН России, ФСКН России, ФСО России, ФССП России, ФСТ
России, ФСТЭК России, ФСФР России, ФТС России, Центральный банк Российской
Федерации
Ведомственных приказов много

5. Регуляторы ИБ
Общие
…
Отраслевые
ФСБ России
ФСТЭК России
РКН

6. Проблема не только в количестве
документов, но и в их обновлении…

7. Законы часто обновляются
• 98-ФЗ (от 2004 года) – 4+1 раз
• 149-ФЗ (от 2006 года) – 9 раз
(большинство про блокировки сайтов Интернет и ГосИС)
• 152-ФЗ (от 2006 года) – 11 раз
• 126-ФЗ (от 2003 года) – 40 раз

8. Изменение подхода по защите ПДн
4-книжие
ФСТЭК (2008)
Приказ 58
(2010)
ПП1119
(2012) +
Приказ 21
(2013)
…

9. Как уследить за всеми
обновлениями и новостями?

10. Форумы и блоги ИБ в РФ
20+ площадок, на которых обсуждаются
вопросы ИБ
130+ блогов по ИБ
bit.ly/1jofF7G

11. Твиттер
Мой твиттер - @3dwave
Список экспертов ИБ в РФ - bit.ly/1fF5QiZ

12. Другие социальные сети
Мой ФБ - www.facebook.com/andrey.prozorov.7

13. Regulation.gov.ru
• Единый портал для размещения информации
о разработке федеральными органами
исполнительной власти проектов
нормативных правовых актов и результатов их
общественного обсуждения
• Настраиваемые уведомления

14. А если подробнее

15. Главные темы
• ПДн
• ГосИС (350+)
• КТ
• Интернет
• КВО
• Банки
• НПС

16. Тренды
• Увеличение требований и рекомендаций
• Общественные обсуждения документов
(+рабочие группы)
• Отечественное ПО, АО (и СЗИ)
• Контроль сети Интернет
• Новые технологии и СЗИ
(виртуализация, cloud, BYOD, DLP…)
• Кибербезопасность
• Центры реагирования на инциденты

17. Законопроект по ПДн
• Законопроект №416052-6 о внесении
изменений в 152-ФЗ и ст.28.3 КоАП
• Декабрь 2013
• Члены Совета Федерации В.И.Матвиенко,
Р.У.Гаттаров, А.А.Клишас, Л.Н.Бокова,
Ю.В.Шамков, К.Э.Добрынин
• Депутаты Государственной Думы Д.Ф.Вяткин,
З.А.Муцоев
• Текст и подробности - http://bit.ly/1hwCsN8

18. Что ожидаем от закона по ПДн1
• Понятие «обработчик» (лицо, осуществляющее
обработку ПДн по поручению оператора).
Обработчик не обязан дополнительно получать
согласие субъекта ПДн
• Не требуется защищать конфиденциальность
общедоступных и обезличенных ПДн
• Конкретнее про биометрические ПДн
(автоматическая идентификация субъекта)
• Возможность получение согласия дистанционно
• Конкретнее про трансграничную передачу

19. Что ожидаем от закона по ПДн2
• Чуть больше внимания гос.органам
(расширен их перечень в ст.18.1 п.3),
• Упрощение мер защиты (п.19)
(«может достигаться» вместо «достигается»)
• Операторы могут сами определять угрозы ПДн до
выхода документов регуляторов (ст.19.5)
• Уведомление РКН об утечках ПДн
(«факт неправомерного раскрытия»)
• +? РКН предоставляется право на возбуждение
дел по КоАП ст.13.11 (ПДн)

20. Штрафы сейчас
• КоАП Статья 13.11. Нарушение
установленного законом порядка сбора,
хранения, использования или
распространения информации о гражданах
(персональных данных)
• Для юр.лиц штраф 5 000-10 000 рублей

21. Правки в КоАП по ПДн (проект)
ID: 00/03-10560/12-13/4-13-4
Увеличение штрафов (юр.лица):
• Обработка ПДн с нарушением требований к
содержанию согласия субъектов ПДн -
15 000 - 50 000 рублей
• Обработка ПДн без согласия субъектов ПДн (если
оно нужно) - 30 000 - 50 000 рублей
• Незаконная обработка специальных категорий ПДн
(в случаях, не предусмотренных законодательством
РФ) - 150 000 - 300 000 рублей

22. Новые статьи КоАП по ПДн (проект)1
Статья 13.11.2. Непредставление оператором
информации и (или) доступа к сведениям,
предусмотренных законодательством РФ о ПДн.
• Необеспечение неограниченного доступа
к политике в области ПДн и сведениях о
реализуемых мерах защиты - 15 000 - 30 000
рублей
• Непредоставление субъекту ПДн информации,
касающейся обработки его ПДн - 20 000 - 40 000
рублей

23. Новые статьи КоАП по ПДн (проект)2
Статья 13.11.3. Несоблюдение требований
законодательства РФ о ПДн по обеспечению
безопасности ПДн.
• Невыполнение обязанностей по соблюдению условий,
обеспечивающих сохранность ПДн при хранении материальных
носителей, если с ПДн произошел инцидент (при отсутствии
признаков уголовно наказуемого деяния) - 25 000 - 50 000 рублей
• Невыполнение обязанностей по защите ПДн при
автоматизированной обработке если с ПДн произошел инцидент
(при отсутствии признаков уголовно наказуемого деяния) - 100 000 -
200 000 рублей
• Инциденты с ПДн в государственных и муниципальных учреждениях
- штраф на должностное лицо в размере 30 000 - 50 000 рублей

24. Новый подход ФСТЭК России
Приказ 21
2013
Приказ 17
2013
Проект
Приказа по
АСУ ТП
Меры защиты информации в государственных
информационных системах 2014
СТР-К не отменен…

25. Другое про ФСТЭК России
• Приказ N 55/86/20 о классификации ИСПДн
официально утратил силу
• Готовится новая методика определения
актуальных угроз (для всех типов
информации)
• Подготовлен проект «Рекомендации по
обновлению сертифицированных СЗИ»
• Готовятся документы по защите среды
виртуализации и облачных вычислений
• …

26. Новости ФСБ России
• Заканчивается пересмотр проекта приказа
по защите ПДн (про использование СКЗИ)
• СКЗИ для защиты ПДн должны быть
сертифицированы
• Рекомендаций и разъяснений
разрабатывать не собираются
• Планируется изменение подхода по
сертификации СКЗИ

27. Изменения по КТ1
Утвержден Федеральный закон от 12.03.2014
№ 35-ФЗ "О внесении изменений в части
первую, вторую и четвертую Гражданского
кодекса Российской Федерации и отдельные
законодательные акты Российской
Федерации". Документ помимо прочего вносит
правки в закон № 98-ФЗ "О коммерческой
тайне" (начало действия правок - 01.10.2014).

28. Изменения по КТ2
Информация, составляющую
секрет производства (ноу-хау)
Информация, которая имеет
действительную или
потенциальную коммерческую
ценность в силу неизвестности
ее третьим лицам
секрет производства = ноу-хау = информация, составляющая коммерческую тайну/

29. Изменения по КТ3
• +ст. 6.1. "Права обладателя информации,
составляющей коммерческую тайну“
• Вернули положения про возмещение
причиненные работодателю убытков, если
работник виновен в разглашении ИКТ
(в.т.ч. в отношении работников,
прекративших трудовые отношения)

30. Банки и ИБ
• Ожидаем обновления 382-П и СТО БР ИББС 1.0
• Методика составления МУ подготовлена и
согласована со ФСТЭК России
• Подготовлены проекты новых рекомендаций:
– управление инцидентами
– предотвращение утечек
– ИБ на всех этапах жизненного цикла
приложений
– защита виртуализации
– ресурсное обеспечение
– …

31. Основания для блокировки сайтов
• Наркотики
• Призывы к суициду
• Порно с несовершеннолетними
• Фильмы, защищенные исключительными
правами
• Наличие призывов к массовым
беспорядкам, экстремизм
• …
• Размещение ложной
информации о банках (проект)

32. КВО
ФСТЭК России и ФСБ России