Документ обсуждает последствия выполнения и невыполнения требований по информационной безопасности (ИБ) для бизнеса, отмечая риски и законодательные аспекты. В нем рассматриваются вопросы аттестации объектов информатизации, сертифицированной криптографии и лицензирования, а также штрафы за нарушения в области защиты информации. В заключение подчеркивается важность соблюдения требований для предотвращения приостановки бизнеса и юридических последствий.

1. Может ли
выполнение
требований по ИБ
привести к
прерыванию
бизнеса
Алексей Лукацкий
Бизнес-консультант по безопасности
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 1/36

2. О чем пойдет речь?
Может ли невыполнение
требований по ИБ привести к
прерыванию бизнеса?
Может ли выполнение
требований по ИБ привести к
прерыванию бизнеса?
А что делать?
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 2/36

3. Риски выполнения
требований по ИБ
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 4/36

4. Что сделать нельзя, но требуется?
 Модель угроз ФСТЭК
 Борьба с ПЭМИН
 Аттестация
 Сертифицированная криптография
 Сертифицированные СЗИ
 Требования ФСТЭК/ФСБ по защите помещений
 Получение лицензии ФСБ
 Защита новых технологий
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 5/36

5. Базовая модель угроз ФСТЭК
 Документ «застыли» в середине 90-х годов
Упоминание DOS, прерываний 13H для вирусов, Back Orifice,
NetBus, Nuke, Ping of Death
 Носители информации и вредоносных программ
Видеокарты, звуковые карты, блок питания (!)…
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 6/36

6. Нарушение правил эксплуатации
средств борьбы с ПЭМИН
 ФСТЭК либо требует, либо «рекомендует» применять
средства борьбы с утечками по техническим каналам
(в т.ч. п ПЭМИН)
 Ст.13.4. Нарушение правил … установки…
эксплуатации радиоэлектронных средств и (или)
высокочастотных устройств
п.1 – нарушение правил установки (до 5К рублей +
конфискация)
п.2. – нарушение правил эксплуатации (до 10К рублей +
конфискация + приостановление деятельности до 90 суток)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 7/36

7. ПЭМИН: ФСТЭК против РКН
 Внеплановые проверки Роскомнадзора по
«радиочастотному» направлению
Департамент здравоохранения города Москвы
Управление архитектуры и градостроительства администрации
Ангарского муниципального образования
 Обнаружен факт эксплуатации генератора шума (для
защиты от ПЭМИН) без разрешения на использование
радиочастот или радиочастотных каналов и
свидетельства о регистрации радиоэлектронного
средства
Административная ответственность (по 13.4 КоАП)
Генератор шума отключен
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 8/36

8. ПЭМИН: ФСТЭК против РКН (окончание)
 Разрешено использовать без оформления отдельных
решений ГКРЧ генераторы шума в диапазоне 0,1-1000
МГц
Решение ГКРЧ 05-10-03-001 от 28.11.2005 «О выделении
полосы радиочастот 0,1-1000 МГц для генераторов
радиошума, используемых в качестве средств защиты
информации»
Но потребуется регистрация генератора и получение
разрешения в ФАС на использование радиочастот в
диапазоне 0,1-1000 МГц
 Большинство генераторов шума «бьет» до 2 Ггц или
даже 10 ГГц
Частное решение ГКРЧ может получаться около года
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 9/36

9. Аттестация объекта информатизации
 Под аттестацией объекта информатизации по
требованиям безопасности информации понимается
комплекс организационно-технических мероприятий, в
результате которых посредством специального
документа - «Аттестата соответствия» подтверждается,
что объект соответствует требованиям стандартов или
иных нормативных документов по защите информации,
утвержденных ФСТЭК России
Положение «По аттестации объектов информатизации по
требованиям безопасности информации» (утв. Председателем
Гостехкомиссии 25 ноября 1994 года)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 10/36

10. Парафраз об аттестации (продолжение)
 Аттестат соответствия выдается владельцу
аттестованного объекта информатизации органом по
аттестации на период, в течение которого
обеспечивается неизменность условий
функционирования объекта информатизации
Положение по аттестации объектов информатизации по
требованиям безопасности информации
 Прикладная система или ИСПДн, не говоря уже об
объекте информатизации меняется постоянно
Патчи, новые версии и даже новые настройки
Умножаем на число программных и аппаратных систем…
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 11/36

11. Парафраз об аттестации (окончание)
 В случае изменения условий и технологии обработки
защищаемой информации владельцы аттестованных
объектов обязаны известить об этом орган по
аттестации, который принимает решение о
необходимости проведения дополнительной
проверки эффективности системы защиты объекта
информатизации
Положение по аттестации объектов информатизации по
требованиям безопасности информации
 Обновление системы = потеря аттестата =
нарушение правил защиты информации
Необновление системы = незащищенная система
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 12/36

12. Сертифицированная криптография
 Работа представительств иностранных компаний в
России
Импорт западной криптографии или экспорт отечественной
 Коммерческое IP-телевидение и IP-видеонаблюдение
Устройства не поддерживают и не будут ГОСТы, т.к. они
производятся за пределами России и поставляются в сотни
стран мира
 Шифрование на скоростях свыше 10 Гбит/секи выше
Магистральные каналы связи или синхронизация ЦОДов
 Стандарты беспроводной связи 802.11i, мобильной
связи 2.5G, 3G, а также LTE и Wi-Max
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 13/36

13. Сертифицированная криптография
(продолжение)
 Шифрование в смартфонах, iPhone и т.п.
 Доступ к российским Интернет-банкам с компьютера в
Интернет-кафе на заграничном отдыхе
На нем нет никакого российского криптопровайдера
 Доступ из-за границы к любой российской платежной
системе (Assist, ChronoPay, Яндекс.Деньги, Рапида и
т.д.), а также к любой иной системе электронной
коммерции (заказ билетов, заказ книг в Интернет-
магазинах и т.п.)
 Защищенная электронная Web-почта по протоколу
HTTPS
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 14/36

14. Сертифицированная криптография
(окончание)
 Шифрование в протоколе FibreChannel при записе на
ленточку в центре обработке данных
 Шифрование в протоколе FibreChannel при передаче
данных внутри центра обработки данных или между
разными центрами
 Аутсорсинг или XaaS (Cloud Computing)
Вся обработка осуществляется через Интернет и, возможно,
где-то за границей
 Поддержка АСУ ТП
 И т.п.
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 15/36

15. Сертифицированная криптография
(пример)
 Шифрование на скоростях 40 Гбит/сек
 Предложение регулятора / отечественных
разработчиков – поставить кластер из VPN-шлюзов
Шлюз поддерживает скорость до 1 Гбит/сек
 Итоговое решение – 40+n шлюзов на одном конце и
столько же на другом конце
Сколько стоят 80+2n отечественных VPN-шлюзов?
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 16/36

16. А если все-таки?..
 Вы устанавливаете сертифицированные СКЗИ, то
 Вы не можете
Эффективно работать с мультимедиа-трафиком (Telepresence
и т.п.)
Работать на больших скоростях (свыше 1 Гбит/сек)
Работать из-за границы
Использовать аутсорсинг
Использовать мобильные платформы в бизнесе
Использовать беспроводные устройства с радиусом действия
свыше 400 метров
 И стоить это будет колоссальных денег ;-(
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 17/36

17. Сертифицированные СЗИ
 Вы не можете использовать сертифицированные СЗИ
для
Виртуализации
Смартфонов и иных мобильных платформ
Не-Windows систем
И т.п.
 Вы не можете обновлять сертифицированные СЗИ
Сертификат прекращает свое действие
Классическое нарушение для ФСБ – несоответствие СКЗИ
эталонной сертифицированной версии
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 18/36

18. Защита помещений
 Вы должны
размещать объект защиты на максимально возможном
расстоянии относительно границы контролируемой зоны
размещать понижающие трансформаторные подстанции
электропитания и контуров заземления объектов защиты в
пределах КЗ
обеспечить электромагнитную развязку между линиями связи и
другими цепями ВТСС, выходящими за пределы КЗ, и
информационными цепями, по которым циркулирует
защищаемая информация
 А теперь представьте, что речь идет об аренде
площадки в торговом центре?
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 19/36

19. Защита помещений (окончание)
 Вы должны
обеспечить звукоизоляцию
ограждающих конструкций
помещений, в которых
расположен объект защиты,
их систем вентиляции и
кондиционирования не
позволяющей прослушивание
речевой информации при
голосовом вводе
конфиденциальной
информации, либо
ее воспроизведении
 А теперь представьте, что речь идет о
совеременной концепции open space
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 20/36

20. Риск лицензирования в ФСБ
 Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г.
Москва «О порядке осуществления иностранных
инвестиций в хозяйственные общества, имеющие
стратегическое значение для обеспечения обороны
страны и безопасности государства»
В целях обеспечения обороны страны и безопасности
государства настоящим Федеральным законом
устанавливаются изъятия ограничительного характера для
иностранных инвесторов и для группы лиц, в которую входит
иностранный инвестор, при их участии в уставных капиталах
хозяйственных обществ, имеющих стратегическое значение
для обеспечения обороны страны и без опасности
государства, и (или) совершении ими сделок, влекущих за
собой установление контроля над указанными
хозяйственными обществами
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 21/36

21. Риск лицензирования в ФСБ (окончание)
 Хозяйственное общество, имеющее стратегическое
значение для обеспечения обороны страны и
безопасности государства, - предприятие созданное
на территории Российской Федерации и
осуществляющее хотя бы один из видов
деятельности, имеющих стратегическое значение для
обеспечения обороны страны и безопасности
государства и указанных в статье 6 настоящего
Федерального закона
пп.11-14 – 4 вида лицензирования деятельности в области
шифрования
Наличие всего лишь одного маршрутизатора с IPSec требует от
вас лицензии на ТО СКЗИ
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 22/36

22. А что, если не
выполнять или
риски невыполнения
требований по ИБ
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 23/36

23. PCI DSS: Штрафные санкции
откладываются
 Каждая платежная система в каждом регионе имеет
свои штрафы
 Пример
Штраф $25К-100К в месяц
Понижение на 1 уровень в иерархии
Банки-эквайеры штрафуются на $25К за каждого
несоответствующего требованиям PCI DSS клиента
При несообщение об инциденте – штраф $100К (до $500К)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 24/36

24. Нарушение правил защиты
информации
 Ст.13.12. Нарушение правил защиты информации
(КоАП)
п.1 – нарушение лицензионных условий (до 10К рублей)
п.2. – использование несертифицированных СЗИ, если они
подлежат обязательной сертификации (до 20К рублей +
конфискация)
п.3 – нарушение лицензионных условий по гостайне (до 20К
рублей)
п.4. – использование несертифицированных СЗИ для гостайны
(до 30К рублей + конфискация)
п.5 – грубое нарушение лицензионных условий (до 15К рублей
+ приостановление деятельности до 90 суток)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 25/36

25. Незаконная деятельность в области
защиты информации
 Ст.13.13. Незаконная деятельность в области защиты
информации (КоАП)
п.1 – занятие защитой информации без лицензии, если она
обязательна (до 20К рублей + конфискация)
п.2. – занятие защитой гостайны и разработкой средств ее
защиты без лицензии (до 40К рублей + конфискация)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 26/36

26. Незаконная деятельность в области
защиты информации
 Ст.171. Незаконное предпринимательство (УК РФ)
п.1 – осуществление деятельности без регистрации (если
лицензия обязательна), с нарушением правил регистрации,
предоставление в лицензирующий орган заведомо ложных
сведений, если это причинило ущерб гражданам,
организацияс или государству или сопряжено с извлечением
крупного дохода (до 300К рублей или обязательные работы до
240 часов либо арест до 6 месяцев)
п.2 – то же, но группой лиц или извлечение особо крупного
дохода (до 500К рублей или лишение свободы до 5 лет)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 27/36

27. Есть ли у вас лицензия на ТО СКЗИ?
 А нужна ли?
Представители 8-го Центра ФСБ заявляют о ненужности
лицензии для собственных нужд
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 28/36

28. Незаконно ввезенные СКЗИ
 Ст.188. Контрабанда (УК РФ)
п.1 – перемещение в крупном размере через таможенную
границу товаров в обход таможни, недекларирование или
недостоверное декларирование (до 300К рублей или лишение
свободы до 5 лет)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 29/36

29. Незаконно ввезенные СКЗИ
 Ст.16.2. Недекларирование или недостоверное
декларирование (КоАП)
п.1 – недекларирование (до 20К рублей или конфискация или
двукратная стоимость контрабанды)
п.2 – недостоверное декларирование с целью занижения
суммы пошлин (до 20К рублей или двукратная сумма
неуплаченных налогов или конфискация)
п.3 – недостоверное декларирование с целью обхода
ограничений на ввоз (до 300К рублей или конфискация)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 30/36

30. Незаконно ввезенные СКЗИ
 Ст.16.3. Несоблюдение ограничений на ввоз товаров
(КоАП)
п.1 – несоблюдение ограничений на ввоз, носящих
экономический характер (до 300К рублей)
п.2 – несоблюдение ограничений на ввоз (до 100К рублей +
конфискация)
 Ст.16.7. Представление недействительных
документов при таможенном декларировании (КоАП)
п.1 – недостоверное декларирование (до 300К рублей +
конфискация)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 31/36

31. Незаконно ввезенные СКЗИ
 Ст.14.1. Осуществление предпринимательской
деятельности без государственной регистрации или
лицензии (КоАП)
п.3 – осуществление деятельности с нарушением лицензионных
условий (до 40К рублей)
п.4 – осуществление деятельности с грубым нарушением
лицензионных условий (до 50К рублей + приостановление
деятельности до 90 суток)
 Отзыв лицензии ФСБ (только для лицензии на
оказание услуг)
и) использование лицензиатом шифровальных
(криптографических) средств иностранного производства при
условии, что эти средства были ввезены на территорию
Российской Федерации и распространялись в порядке,
установленном нормативными правовыми актами Российской
Федерации
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 32/36

32. Недостоверная информация об
услугах и продуктах в области ИБ
 Ст.1095. Основания возмещения вреда, причиненного
вследствие недостатков товара, работы или услуги
Вред, причиненный… имуществу юридического лица
вследствие … недостатков товара, работы или услуги, а также
вследствие недостоверной или недостаточной информации о
товаре (работе, услуге), подлежит возмещению продавцом или
изготовителем товара, лицом, выполнившим работу или
оказавшим услугу (исполнителем), независимо от их вины и от
того, состоял потерпевший с ними в договорных отношениях
или нет
 Правила, предусмотренные настоящей статьей,
применяются лишь в случаях приобретения товара
(выполнения работы, оказания услуги) в
потребительских целях, а не для использования в
предпринимательской деятельности
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 33/36

33. Так выполнять или нет?
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 34/36

34. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 35/36

35. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 36/36