More Related Content
Similar to Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности клиентов? Взгляд на ИБ с точки зрения Cisco и бизнеса (20)
More from Cisco Russia (20)
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности клиентов? Взгляд на ИБ с точки зрения Cisco и бизнеса
- 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Тенденции развития
законодательства по ИБ
Алексей Лукацкий
Бизнес-консультант по безопасности
21 January 2016
- 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
2008
2010
2012 2013
2014
2015
Journey of building a stronger Security Business
2011
2000-е
Краткий обзор развития законодательства по ИБ
ПДн
СТОv4
382-П АСУ ТП
ПДн
БДУ
ГИС
ПДн
ПДн
CERTы
СОПКА
МИБАСУ ТП
КИИ
ПДн
СТОv5
СТО/РС
СТР-К
ПКЗ
- 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
3© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Доктринальные документы
- 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Настало время изменения доктринальных документов
Что было?
• Душанбинская декларация о МИБ от
имени ШОС
• Основы госполитики в области МИБ
• Двусторонние соглашения по МИБ с
Кубой, Беларусью и Бразилией
• CERT для ОДКБ
• Сотрудничество по ИБ в рамках СНГ
• Соглашение о мерах доверия в
киберпространстве с США
• «Пакт о ненападении в
киберпространстве» ООН
Что будет?
• Двусторонние соглашения по МИБ с
Китаем
• Гармонизация законодательства по
ИБ в рамках ОДКБ
• Конвенция по МИБ для стран-
участниц БРИКС
• Доктрина ИБ
• Основы госполитики в области
формирования культуры ИБ
- 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Новая Доктрина информационной безопасности
§ Является доктринальным документом,
определяющим развитие ИБ в России на долгие
годы вперед
§ Принятие запланировано на конец 2015-го года
Если не будет замечаний у Президента РФ
§ Реализация начнется в 2016-м году
- 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
6© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Национальная платежная
система и банки
- 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Изменения по направлению НПС/банковской тайны
Что было?
• 382-П (3361-У)
• 42-Т
• 49-Т
• 242-П (3241-У)
• 437-П
• СТО БР ИББС 1.0 и 1.2
• Отмена РС 2.3 и 2.4
• Принятие новых РС 2.5, 2.6, 2.7
и 2.8
Что будет?
• Новые РС
• Требования для организаций
финансового рынка
• FinCERT
• Отраслевая модель угроз ПДн
• НСПК
• Поправки в УК, УПК…
• Оценка соответствия
приложений
• Смена «владельца» 382-П (?)
- 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Новые РС – 2.7 и 2.8
§ Рекомендации в области стандартизации Банка
России «Обеспечение информационной
безопасности организаций банковской системы
Российской Федерации. Обеспечение
информационной безопасности при
использовании технологий виртуализации» (РС БР
ИББС-2.7-2014)
§ Рекомендации в области стандартизации Банка
России «Обеспечение информационной
безопасности организаций банковской системы
Российской Федерации. Ресурсное обеспечение
информационной безопасности» (РС БР
ИББС-2.8-2014)
- 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Новости стандартизации
§ ЦБ готовит в 2015-2016 гг. РС по
предотвращению утечек, по антифроду, по
распределению ролей, по облакам и
аутсорсингу, по расследованию инцидентов
РС по классификации информации частично вошла в РС по
предотвращению утечек
§ ЦБ планирует пересмотреть СТО БР
ИББС-1.1, РС БР ИББС-2.0, РС БР ИББС-2.1,
РС БР ИББС-2.2
§ ЦБ планирует расширить действие СТО 1.0 и
1.2 на все отрасли, которые попали под ЦБ
после слияния с ФСФР
- 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Что с отраслевой моделью угроз ПДн?
§ Проект Указания Банка России «Об определении
угроз безопасности персональных данных,
актуальных при обработке персональных данных
в информационных системах персональных
данных»
Полностью переиграли документ в условиях текущей
геополитической ситуации
Угрозы 1-го и 2-го типа уже не считаются неактуальными
изначально – решение отдается на откуп банкам
Заново отправлен на согласование в ФСТЭК и ФСБ
§ Переподписание «письма шести»
После актуализации СТО БР
- 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Информационная безопасность НСПК
§ НСПК – часть НПС и подчиняется требованиям 382-П
§ Отдельных документов по безопасности НСПК пока не планируется
1 этап
• Реализация отечественного HSM,
повторяющего функционал
импортных аналогов с
использованием отечественных
криптоалгоритмов только в
автономных режимах
2 этап
• Реализация в отечественном HSM
набора дополнительных команд с
использованием отечественных
криптоалгоритмов
• Реализация с использованием
отечественного HSM трёхуровневой
PKI инфраструктуры с
использованием импортных и
отечественных крипто алгоритмов
• Реализация корневого УЦ НПС
(аналога УЦ МПС Visa или
MasterCard)
3 этап
• Разработка отечественной чиповой
карты
• Разработка спецификаций и
приложений с поддержкой
отечественных криптоалгоритмов
для всех устройств, участвующих в
поддержке платежных транзакций.
• Разработка программы подготовки к
эмиссии карт НПС и поэтапного
перевода всех устройств на работу с
двумя криптографическими
алгоритмами
- 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Противодействие преступлениям в финансовой сфере
§ Подготовлены изменения в законодательство
направленное на противодействие
преступлениям в финансовой сфере с
применением современных технологий
ФЗ-395-1, ФЗ-86, ФЗ-161
В статьи 159.3 УК РФ, 187 УК РФ, 272 УК РФ, статью 152
УПК РФ, проекты статей 183.1 УК РФ и 183.2 УК РФ
Изменения в АПК
Подготовлены предложения по проекту ФЗ «О внесении
изменений в некоторые законодательные акты РФ (в части
противодействия хищению денежных средств)»
- 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Российский PADSS? Когда?
§ Вновь поднимается идея об оценке качества
ПО АБС и платежных приложений
Распоряжение Совета Безопасности
Не до конца проработан механизм оценки – через СРО или
сертификацию?
§ Кто будет входить в СРО?
Разработчики ПО
Интеграторы
Аудиторы
§ Много открытых вопросов про СРО или оценке
соответствия
Как минимум, требуется изменение законодательства
- 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Контроль качества данных и ПО
§ Проект Положения Банка России «О порядке расчёта величины кредитного
риска на основе внутренних рейтингов» – первый нормативный документ
Банка России, в котором планируется реализовать требования абз. 1 ст. 72.1
Федерального закона РФ от 10.07.2002 №86-ФЗ
§ Банк обеспечивает в течение всего периода функционирования ИС защиту от
несанкционированных и нерегламентированных изменений и удалений
данных путем принятия мер инф. безопасности (ИБ):
мер по обеспечению ИБ на всех стадиях жизненного цикла ИС,
мер по управлению доступом к данным и его регистрацией,
мер по применению средств защиты от воздей-я вредоносного кода,
мер по обеспечению ИБ при использовании сети Интернет,
мер по обеспечению ИБ путем экспл-и ср-в крипт. защиты инф-и,
мер по обнаружению и реагированию на инциденты ИБ,
мер по мониторингу обеспечения ИБ
- 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Новости по отчетности
§ Вопрос о слиянии 258-й и 203-й форм так и
не решен
Т.к. они разработаны для разных целей – развития и
надзора в НПС
§ Результаты 202-й и 203-й отчетности
должны были быть опубликованы в марте
2015 года
Но видимо уже и не будут
§ Передавать (отменять) 203-ю отчетность
под FinCERT пока не планируется
И цели у 203-й отчетности иные, и FinCERT пока не
заработал
- 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Готовится методика проверки по вопросам безопасности
- 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
FinCERT начал работу с 1-го июля 2015-го года
§ Задержка с созданием FinCERT связана с
Крымом и текущей экономической ситуацией
§ Не только НСПК
§ Большое количество вопросов, связанных с
функционированием FinCERT, порядок
предоставления в него информации,
ответственности/обязанности,
предоставляемой из FinCERT информации
Только техническая информация (черные списки, домены,
IP, анализ malware, Threat Intelligence и т.п.) или правила
антифрода?
§ Интеграция с ГосСОПКА
- 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
ФСТЭК и Банк России: схожесть подходов
Банк России
• РС по виртуализации
• РС по утечкам
• РС по облакам
• РС по жизненному циклу
• РС по менеджменту
инцидентов
• РС по ресурсному
обеспечению
ФСТЭК
• ГОСТ по виртуализации
• РД по утечкам
• ГОСТ по облакам
• ГОСТы по SDLC и
управлению уязвимостями
• Методичка по управлению
инцидентами
• ГОСТ по показателям
качества
- 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
19© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Планы ФСТЭК
- 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
Изменения по направлению ГИС
Что было?
• Приказ ФСТЭК №17 по защите
информации в ГИС
• Методический документ по мерам
защиты информации в
государственных
информационных системах
Что будет?
• Порядок моделирования угроз
безопасности информации в
информационных системах
• Новая редакция приказа №17 и
«мер защиты в ГИС»
• Методические и руководящие
документы ФСТЭК
• Законопроекты о запрете хостинга
ГИС за пределами РФ, о
служебной тайне, по
импортозамещению…
- 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Меры по защите информации: общее
Защитная мера ПДн ГИС АСУ ТП
Идентификация и аутентификация субъектов доступа и объектов доступа
+ + +
Управление доступом субъектов доступа к объектам доступа
+ + +
Ограничение программной среды
+ + +
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ
+ + +
Регистрация событий безопасности
+ + +
Антивирусная защита
+ + +
Обнаружение (предотвращение) вторжений
+ + +
Контроль (анализ) защищенности персональных данных
+ + +
Обеспечение целостности информационной системы и КИ
+ + +
Обеспечение доступности персональных данных
+ + +
Защита среды виртуализации
+ + +
Защита технических средств
+ + +
Защита информационной системы, ее средств, систем связи и передачи данных
+ + +
- 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Меры по защите информации: различия
Защитная мера ПДн ГИС АСУ ТП
Управление инцидентами
+ +
Управление конфигурацией информационной системы и системы защиты КИ
+ +
Безопасная разработка прикладного и специального программного обеспечения разработчиком
+
Управление обновлениями программного обеспечения
+
Планирование мероприятий по обеспечению защиты информации
+
Обеспечение действий в нештатных (непредвиденных) ситуациях
+
Информирование и обучение пользователей
+
Анализ угроз безопасности информации и рисков от их реализации
+
• Планы
– Унификация перечня защитных мер для всех трех приказов
– Выход на 2-хлетний цикл обновления приказов
§ Завершаются работы по подготовке второй редакции 17-го приказа
В первой половине 2016-го года планируется принятие
§ Предполагается унифицировать набор защитных мер во всех 3-х
приказах
- 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
Новые требования к средствам защиты
§ Совершенствование сертификации
средств защиты информации
Планируется разработка большого количества РД
с требованиями к средствам защиты
Изменение подходов к сертификации
Совершенствование порядка аккредитации
органов по сертификации и испытательных
лабораторий
Совершенствование порядка сертификации
Уточнение порядка обновления
сертифицированных средств защиты информации
А также
• Требования к средствам защиты виртуализации,
BIOS
• Требования к средствам защиты информации от
утечки по техническим каналам
- 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
Планируемые методические документы ФСТЭК
§ Порядок аттестации информационных систем
§ Порядок обновления программного обеспечения
и информационных систем
§ Порядок выявления и устранения уязвимостей в
информационных системах
§ Защита информации в информационной системе при
использовании мобильных устройств
§ Порядок реагирования на инциденты, связанных с
нарушением функционирования информационной
системы
§ Защита информации в информационных системах при
применении устройств беспроводного доступа
Разработка
запланирована
на второй квартал
2015 года
- 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Усиление внимания к безопасности ПО
§ Новые требования к СрЗИ
§ 3 ГОСТа по уязвимостям
§ Проект ГОСТа по SDLC – планируется принятие
в конце года
§ Банк данных уязвимостей и угроз
§ Методика обновления ПО, включая
сертифицированное
- 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Методика моделирования угроз
§ Методика определения угроз безопасности
информации в информационных системах
§ Распространяется на
ГИС / МИС
ИСПДн
§ Не распространяется на угрозы СКЗИ и ПЭМИН
§ Отменяет «методику определения актуальных
угроз…» 2008-го года
§ Применяется совместно с банком данных угроз
ФСТЭК
- 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Процедура моделирования угроз
§ Определить область применения методики моделирования угроз
§ Идентифицировать источники и угрозы безопасности
Определение типа и вида нарушителя
Определение возможных способов реализации угроз
§ Оценить возможности реализации и опасности угрозы
Определение возможности реализации угроз
Определение уровня защищенности
Определение потенциала нарушителя
Определение уровня опасности угрозы
§ Мониторить и переоценивать угрозы
- 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
Приложения к методике моделирования угроз
§ Рекомендации по формированию экспертной группы и по повышению
качества экспертной оценки
§ Структура модели угроз
§ Определение потенциала нарушителя
- 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Новые ГОСТы по защите информации
§ Готовящиеся ГОСТы
Безопасность суперкомпьютерных и грид-технологий
ИБ виртуализации
ИБ «облачных вычислений»
Документация по технической защите информации на объекте
информатизации
Угрозы безопасности информации
Номенклатура показателей качества
Основные термины и определения
Гармонизация 72-х стандартов ISO
- 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
30© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
АСУ ТП, КСИИ, КИИ и КВО
- 31. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31
Изменения по направлению КИИ / КСИИ / КВО / АСУ ТП
Что было?
• Приказ ФСТЭК №31 по защите
АСУ ТП
• Концепция государственной
системы обнаружения,
предупреждения и ликвидации
последствий компьютерных атак
на информационные ресурсы
РФ
Что будет?
• Законопроект по безопасности
критических информационных
инфраструктур
• Законопроект о внесении
изменений в связи с принятием
закона о безопасности КИИ
• Подзаконные акты
• Приказы и методички ФСБ
• Методические документы
ФСТЭК
- 32. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32
А будет ли закон?
§ Неоднократные слухи об отказе от разработки
проекта закона «О безопасности критической
информационной инфраструктуры»
Слишком много непонятных моментов в законопроекте – кто
регулятор, кто крайний, как делить ответственность между
регуляторами по ИБ и ПБ?
§ Активизация 8-го Центра ФСБ в части разработки
требований к ГосСОПКА и обязательному
подключению к ней государственных органов и
компаний
- 33. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33
Поправки в связи с принятием закона о безопасности КИИ
§ Поправки в УК РФ и УПК РФ
Внесение изменений в статьи 272, 274, 151 (УПК)
§ Поправки в закон «О государственной тайне»
Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени
опасности
§ Поправки в 294-ФЗ
Выведение из под порядка проведения проверок КИИ
§ Поправки в 184-ФЗ
Исключение двойного регулирования
- 34. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34
Что еще готовится в связи с законопроектом о
безопасности КИИ?
§ Определение ФОИВ, уполномоченного в области безопасности КИИ
Через 6 месяцев после принятия закона
§ Постановления Правительства «Об утверждении показателей критериев
категорирования элементов критической информационной инфраструктуры»
Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности
КИИ
§ Постановление Правительства «Об утверждении порядка подготовки и
использования ресурсов единой сети связи электросвязи для обеспечения
функционирования и взаимодействия объектов КИИ»
§ Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи
- 35. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35
Планируемые приказы уполномоченного ФОИВа
§ Приказ уполномоченного ФОИВ об утверждении требований по
безопасности КИИ
Это не 31-й приказ!!!
§ Приказ уполномоченного ФОИВ об аккредитации организаций,
уполномоченных проводить оценку защищенности КИИ
§ Приказ уполномоченного ФОИВ о представлении сведений для
категорирования
§ Приказ уполномоченного ФОИВ о контроле/надзоре
§ Приказ уполномоченного ФОИВ о реестре объектов КИИ
- 36. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36
Планируемые приказы ФСБ (8-й Центр)
§ Приказ ФСБ об утверждении порядка реагирования на компьютерные
инциденты и ликвидации последствий компьютерных атак на объектах КИИ
§ Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА
§ Приказ ФСБ о порядке доступа к информации в СОПКА
§ Приказ ФСБ об утверждении требований к техсредствам СОПКА
§ Приказ ФСБ об установке и эксплуатации техсредств СОПКА
§ Приказ ФСБ о национальном CERT
§ Приказ о порядке и периодичности проведения мероприятий по оценке
степени защищенности критической информационной инфраструктуры
- 37. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37
Планируемые методические документы ФСБ (8-й Центр)
§ Методика обнаружения компьютерных атак на информационные системы и
информационно-телекоммуникационные сети
§ Порядок обмена информацией между федеральными органами
исполнительной власти о компьютерных инцидентах
§ Порядок обмена информацией между федеральными органами
исполнительной власти и уполномоченными органами иностранных
государств (международными организациями) о компьютерных инцидентах
§ Методические рекомендации по организации защиты критической
информационной инфраструктуры Российской Федерации от компьютерных
атак
- 38. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38
Планируемые методические документы ФСТЭК
§ Применение «старых» документов ФСТЭК по КСИИ в качестве
рекомендательных и методических
«Рекомендации…» и «Методика определения актуальных угроз…»
§ Порядок выявления и устранения уязвимостей в АСУ ТП
§ Методика определения угроз безопасности информации в АСУ ТП
§ Порядок реагирования на инциденты, связанные с нарушением
безопасности информации
§ Меры защиты информации в АСУ ТП
По аналогии с «Мерами защиты в ГИС»
2016 год
- 39. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39
39© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Персональные данные
- 40. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40
Изменения по направлению ПДн
Что было?
• Приказ ФСТЭК №21 по защите
ПДн в ИСПДн
• Приказ об отмене «приказа трех»
по классификации ИСПДн
• Приказ и методичка РКН по
обезличиванию
• Закон 242-ФЗ о запрете хранения
ПДн россиян за границей
• Письмо Банка России 42-Т
• Приказ ФСБ №378 по
использованию СКЗИ для защиты
ПДн
• ПП-911 по отмене обязательного
обезличивания
Что могло быть?
• Работа Межведомственного
экспертного совета при
Минкомсвязи по
совершенствованию
законодательства в области
регулирования отношений,
связанных с обработкой ПДн
• Отраслевые модели угроз
• Ратификация дополнительного
протокола Евроконвенции (181)
• Законопроект по ответственности
за неуведомление о утечке ПДн
• Законопроект по запрету отказа от
предоставления услуг при отказе
от дачи согласия на обработку
ПДн
• Поправки в ФЗ-242
Что есть и будет?
• Законопроект Совета Федерации
по внесению изменений в ФЗ-152
• Законопроект по внесению
изменений в КоАП
• Постановление Правительства по
надзору в сфере ПДн
• Выход РКН из под действия 294-
ФЗ
• Изменения в приказ №21
• Совет Европы примет новый
вариант ЕвроКонвенции
• Методичка ФСТЭК по
моделированию угроз
• Методичка ФСБ по
моделированию угроз
• Методичка РКН о порядке
организации и осуществления
контроля за обработкой ПДн
• Постатейный комментарий РКН
- 41. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41
Правонарушение
Нарушаемая статья
законодательства
Наказание для
должностных лиц
Наказание для
юридических лиц
Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей
Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей
Незаконная обработка
спецкатегорий ПДн
Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей
Неопубликование политики в
области ПДн
Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей
Отказ в предоставлении
информации субъекту
Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей
Отказ в уничтожении или
блокировании ПДн
Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей
Нарушение правил хранения
материальных носителей ПДн
ПП-687 4-10 тысяч рублей 25-50 тысяч рублей
Нарушение правил обезличивания
(для госов)
ПП-211 и приказ РКН
№996
3-6 тысяч рублей Не предусмотрено
Законопроект по штрафам завис на первом чтении
§ Комитет по конституционному законодательству против (не хочет давать
РКН дополнительные полномочия)
- 42. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42
Меры по защите ПДн: в 2016-м ждем новую редакцию
Защитная мера ПДн ГИС АСУ ТП
Управление инцидентами
+ +
Управление конфигурацией информационной системы и системы защиты КИ
+ +
Безопасная разработка прикладного и специального программного обеспечения разработчиком
+
Управление обновлениями программного обеспечения
+
Планирование мероприятий по обеспечению защиты информации
+
Обеспечение действий в нештатных (непредвиденных) ситуациях
+
Информирование и обучение пользователей
+
Анализ угроз безопасности информации и рисков от их реализации
+
• Планы
– Унификация перечня защитных мер для всех трех приказов
– Выход на 2-хлетний цикл обновления приказов
§ В 2016-м году будет готовиться вторая редакция 21-го приказа ФСТЭК
§ Предполагается унифицировать набор защитных мер во всех 3-х
приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП
- 43. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43
Проект методики моделирования угроз ФСТЭК
§ Методика определения угроз безопасности
информации в информационных системах
§ Распространяется на
ГИС / МИС
ИСПДн (рекомендательный характер)
§ Не распространяется на угрозы СКЗИ и ПЭМИН
§ Отменяет «методику определения актуальных
угроз…» 2008-го года
§ Применяется совместно с банком данных угроз
ФСТЭК
§ Будет принята осенью 2015-го года
- 44. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44
Методика моделирования угроз ФСБ
§ Методика определения актуальных угроз
безопасности ПДн в ИСПДн
§ Предназначена только для органов власти,
пишущих отраслевые модели угроз для
подведомственных учреждений
§ Ориентирована только на компетенцию ФСБ –
СКЗИ
§ СКЗИ обязательны при передаче ПДн по
каналам связи
§ Помните, что это всего лишь методические
рекомендации
- 45. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45
Проект модели угроз ПДн Банка России
§ Тип - Указание Банка России
Обязательна для всех банков, действующих на территории РФ
§ Согласована с ФСТЭК и ФСБ
§ Вторая редакция
Первая – 2013 год
Модель угроз ПДн из РС 2.4 отменена в 2014-м году
§ 10 угроз безопасности ПДн
47 (21) - в первой редакции
88 – в РС 2.4
Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором
ПДн
Угрозы биометрическим и общедоступным ПДн не
рассматриваются
- 46. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46
Вы не забыли про Конвенцию?
§ Ратификация дополнительного протокола к конвенции о защите частных лиц
в отношении автоматизированной обработки данных личного характера, о
наблюдательных органах и трансграничной передаче информации (ETS N
181)
§ До конца 2015-го года (возможно) будет принята новая редакция
Евроконвенции
§ ФЗ-152 придется гармонизировать с Евроконвенцией
Очередной виток изменений (серьезных) в законодательстве
Если Россия не выйдет из Совета Европа
- 47. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47
Закон о запрете хранения ПДн россиян за границей
§ Реализация положений ФЗ-242 «о запрете
хранения ПДн россиян за границей»
Базы ПДн, в которых происходит первичная регистрация и
актуализация ПДн россиян, должны находится на территории РФ
Хотя слова «только» в законе нет, по сути вводится апрет
хранения за пределами РФ
Наказание за нарушение
Выведение РКН из под действия
294-ФЗ
§ Вступил в силу с 1 сентября 2015 года
Слухи о переносе сроков на 1 год не подтвердились
§ Первые нарушители уже заблокированы
Реальные нарушители, незаконно распространяющие ПДн с
зарубежных сайтов
- 48. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48
Локализация баз данных – это не российская новация
§ Локализация баз данных – это не российский
прецедент
Например, Вьетнам и ряд других стран
§ Верховный европейский суд принял решение об
отмене договора Совета Европы и США о
хранении персональных данных европейских
граждан на территории США
Нас ждет интересное развитие событий
- 49. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49
Локализация баз данных. Обратите внимание!
§ В ФЗ-242 речь идет о первичном сборе, записи, систематизации, накоплении,
хранении, уточнении, обновлении, изменении, извлечении ПДн, которые
должны производиться на территории России
Такие действия с ПДн, как использование, передача, распространение, предоставление, доступ,
обезличивание, блокирование, удаление, уничтожение могут производиться где угодно
§ Изменения должны вноситься в БД на территории России
§ База данных и приложение, обращающееся к ней – это разные сущности
Приложение может быть где угодно
§ На трансграничную передачу и доступ к ПДн из-за пределов России
ограничений нет
§ ПДн могут обрабатываться за пределами РФ, за исключением их сбора
Неизменяемое зеркало
- 50. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50
Самая простая часть ФЗ-242 уже реализована
§ Роскомнадзор сформировал реестр
нарушителей прав субъектов персональных
данных
§ В реестр будут вноситься все интернет-
ресурсы, обрабатывающие персональные
данные с нарушениями законодательства
Включение компаний в реестр будет происходить
по решению суда по искам, которые могут
инициировать как сами субъекты персональных
данных, так и Роскомнадзор, зафиксировавший
нарушение
Реестр заработал с 1 сентября
§ Снимать блокировку будет РКН сам
При действующем судебном решении (!)
- 51. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51
Два приказа РКН в отношении нарушений ФЗ-242/ФЗ-152
§ Приказ РКН №85 от 22.07.2015 «Об утверждении формы заявления субъекта
ПДн о принятии мер по ограничению доступа к информации,
обрабатываемой с нарушением законодательства РФ в области ПДн»
§ Приказ РКН №84 от 22.07.2015 «Об утверждении Порядка взаимодействия
оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга
и Порядка получения доступа к информации, содержащейся в реестре
нарушителей прав субъектов ПДн, оператором связи»
- 52. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52
Изменение правил надзора
§ Снижение числа проверок в отношении
операторов персональных данных
§ Переход на риск-ориентированную
модель при проведении надзорных
мероприятий
После принятия соответствующего
законопроекта
Поднадзорные организации предполагается
разделить на группы в зависимости от степени
риска нарушений для экономики и ее граждан,
и на основе такой дифференциации
планировать и проводить надзорные
мероприятия
§ Выход из под действия ФЗ-294
- 53. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53
Готовится новое Постановление Правительства
§ Контроль и надзор за соответствием обработки
ПДн требованиям законодательства
§ Явно исключается надзор в сфере надзора за
выполнением организационных и технических
мер защиты информации
§ 3 типа проверок
Плановые
Внеплановые
Мероприятия систематического наблюдения
§ Плановые и внеплановые проверки проводятся в
форме документарных и выездных проверок
Плановые проверки и мероприятия осуществляются на
основе утвержденного плана, размещаемого на сайте РКН
- 54. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54
54© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
И в заключение
- 55. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55
Близится гособлако
§ Распоряжение Правительства РФ от 7 октября
2015 года №1995-р об утверждении Концепции
перевода обработки и хранении государственных
информационных ресурсов, не содержащих
сведения, составляющие государственную тайну,
в систему федеральных и региональных центров
обработки данных
Июнь 2016 – пилот для трех ФОИВов
Сентябрь 2016 – разработка правил, критериев и порядка
включения ЦОДов
Декабрь 2016 – создание системы ЦОДов
Январь 2018 – декабрь 2020 – перевод всех госорганов
Январь 2019 – декабрь 2021 – перевод всех
госкорпораций и компаний с госучастием
- 56. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56
Благодарю
за внимание