1. Как выборы Президента России
влияют на рынок информационной
безопасности или куда движется
регулирование ИБ?
Лукацкий Алексей, консультант по безопасности

2. DISCLAIMER
• Данная презентация отражает личную точку зрения автора и
может не совпадать с точкой зрения работодателя автора
• Упоминаемые в презентации проекты нормативных актов могут
быть изменены в любой момент их авторами или вообще не
приняты
• Авторы описываемых законопроектов имеют опыт и бэкграунд,
связанный преимущественно со службой в органах
госбезопасности и ориентированных на национальную
безопасность, борьбу с врагами в лице иностранных технических
разведок и т.п.
– Это накладывает особый отпечаток на предлагаемые нормы
законодательства
• У меня не было задачи напугать или запугать, но таковы реалии
• Я не работаю на вашингтоновский обком и не получаю денег от
Госдепа США ;-)

3. Содержание

4. Содержание

5. КАКОВА ОБЩАЯ
ТЕНДЕНЦИЯ?

6. Чего боятся отечественные производители средств
защиты?
• Риски, связанные со все более укрепляющимся положением
международных производителей на отечественном рынке
программного обеспечения в сфере ИБ, особенно принимая во
внимание фактическую либерализацию импорта СКЗИ
• Рост роли международных стандартов на национальном рынке
информационной безопасности, перекос регулирования
«экспорт/импорт» может привести к падению спроса на
продукцию отечественных производителей программного
обеспечения

7. Чего боятся в ФСБ/Совете Безопасности?
• В российских информационно-коммуникационных технологиях
используется до 98% зарубежных разработок и оборудования
– Данные ФСБ для Совбеза РФ
• ФСБ не раз заявляла о том, что для борьбы с этой угрозой
национальной безопасности будут использованы два основных
механизмы
– Недопущение на российский рынок западных продуктов
– Сертификация средств защиты информации
• В качестве угрозы рассматривается использование
несертифицированных отечественных и зарубежных ИТ, средств
защиты информации, средств информатизации,
телекоомуникации и связи при создании и развитии российской
информационной инфраструктуры
– Доктрина информационной безопасности РФ

8. О чем говорят властные структуры?
• Россия зависима от западных технологий
– Их разработчики находятся под колпаком у западных спецслужб
• Невозможность бороться с киберпреступлениями
– Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О
борьбе с киберпреступностью», а потом отозвал свою подпись
• Готовятся кибервойны
– США внесло в ООН предложение отвечать военными ударами на
кибератаки
• Законодательство других стран дает право спецслужбам
контролировать весь Интернет-трафик, проходящий через эти
страны
– В России такое же законодательство
• Западные страны пытаются вмешиваться в суверенитет России в
Интернет-пространстве

9. Как поступают в других странах?
• Развивают свое, постепенно вытесняя все зарубежное и
недоверенное
– Пример: Китай
• Дают возможность применять для гражданского применения все,
что угодно, контролируя наиболее критичные сферы (гостайна,
КВО, оборонка), пытаясь внедрить в них собственные наработки

10. Что предлагают отечественные регуляторы?
• Выработка мер по минимизации непосредственного участия
иностранных компаний в информатизации процессов
государственного управления
• Содействие развитию отечественного производства средств
связи и телекоммуникаций, ПО, микроэлектронной базы и т.д.
• И еще 5 предложений
• По поводу СПО
– ФСБ не раз заявляла, что уровень затрат на анализ СПО и
проприетарного ПО в контексте ИБ одинаков
– Основным поставщиком ПО для Сочи-2014 выбрана компания
Microsoft – уже после принятия курса на СПО

11. Что происходит на самом деле в России?
Большое количество регуляторов
Легитимный ввоз криптографии в соответствие
с правилами Таможенного союза («ВТО»)
Использование легитимной криптографии
Требования сертификации
Локальные и закрытые нормативные акты
Отсутствие учета рыночных потребностей
Исторический бэкграунд

12. Регуляторы в области ИБ
Газпром- ФСТЭК РЖД
серт
ФСО ФСБ
PCI
ЦБ ИБ Council
Минком-
СВР
связь
Рос-
РКН МО стандарт

13. ЧТО БЫЛО?

14. Что происходило совсем недавно
• Новый ФЗ «О персональных
данных»
• Финансовая отрасль
– PCI DSS 2.0
– СТО БР ИББС-1.0 v4
– Письма КЦ АРБ
• ФЗ «О национальной
платежной системе»
• ФЗ «Об электронной
подписи»
• ФЗ «О госуслугах» и СМЭВ
• ФЗ по безопасности ТЭК
• НПА по УЭК
• Новый ФЗ о лицензировании
• Защита детей от информации

15. Что произошло с ФЗ о ПДн
Директивы
Конвенции и иные Евросоюза / Европейская
Рекомендации
ОЭСР
международные договора Европарламента Конвенция
ФЗ №152 от
26.07.2006
Законы ФЗ №160 от
19.12.2005
Постановления №781 от №687 от №512 от №211 от
Правительства 17.11.2007 15.09.2008 6.07.2008 21.03.2012
2 открытых Регламенты
Приказы и «Приказ
трех» от
документа и 1 2 открытых осуществления
иные документы 13.02.2008
полуДСП от
ФСТЭК
документа ФСБ контроля и
надзорар
• «Старые» Постановления пока действуют
• 2 новых отраслевых стандарта – НАУФОР и НАПФ

16. Что поменялось в ФЗ-152?
• Терминология
– ПДн, биометрические ПДн, обезличивание, обработка,
автоматизированная обработка, трансграничная передача
• Условия обработки ПДн без согласия
• Появление «обработчика» ПДн (ЛОПДПО)
• Условия обработки специальных категорий ПДн
• Условия трансграничной передачи ПДн
• Условия ограничения доступа субъекта к его ПДн
• Условия непредоставления субъекту сведений
• Контроль и надзор со стороны ФСТЭК и ФСБ
• Содержание уведомления в РКН
• Возмещение морального вреда

17. Что под вопросом после принятия нового ФЗ-152?
• Классификация ИСПДн – осталась и стала хуже
• Моделирование угроз – осталось и только по документам ФСТЭК
и ФСБ
• Категории нарушителей – новое требование
• Уровни защищенности – новое требование
• Требования по защите ПДн – стало жестче
– Или точнее могут стать
• Сертификация средств защиты – на уровне закона
– Сертификация и оценка соответствия это не одно и тоже
– Нечеткость терминологии и жесткость позиции регулятора
• Аттестация объектов информатизации – на уровне закона
• Лицензирование деятельности по защите информации
– Об этом постоянно говорят регуляторы в лице ФСТЭК и ФСБ

18. Мифическое Постановление Правительства №330
• ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия
продукции (работ, услуг), используемой в целях защиты
сведений, относимых к охраняемой в соответствии с
законодательством РФ информации ограниченного доступа, не
содержащей сведения, составляющие государственную тайну, а
также процессов ее проектирования (включая изыскании),
производства, строительства, монтажа, наладки, эксплуатации,
хранения, перевозки, реализации, утилизации и захоронения,
об особенностях аккредитации органов по сертификации и
испытательных лабораторий (центров), выполняющих работы по
подтверждению соответствия указанной продукции (работ,
услуг)»
– Постановление имеет гриф «Для служебного пользования»

19. Новые руководства для PCI DSS
• Новые указания по использованию
виртуализации в рамках проектов по
PCI DSS
– Включая все технологии
виртуализации, а не только для
серверов
– Включает раздел по облачным
вычислениям
• Новые указания по использование
телефонных технологий в рамках
PCI
– Включая центры обработки
вызовов

20. Электронный документооборот госорганов
Внутренний ЭД
Межведомственный
ЭД
• Приказ Минкомсвязи РФ от 02.09.2011 • Приказ Минкомсвязи РФ от 27.12.2010
№ 221 «Об утверждении Требований к № 190 «Об утверждении технических
информационным системам требований к взаимодействию систем
электронного документооборота в единой системе межведомственного
ФОИВ, учитывающих в том числе электронного взаимодействия»
необходимость обработки посредством
данных систем служебной
информации ограниченного
распространения»
– Зарегистрировано в Минюсте РФ
15.11.2011 N 22304

21. Межведомственный электронный документооборот
• Подсистема информационной безопасности каждой
информационной системы, подключаемой к системе
взаимодействия, должна обеспечивать установленные
законодательством Российской Федерации уровни защищенности
информации, обрабатываемой в этой системе
– Пока не утверждены
• Каналы защищаются VPN-решениями класса не ниже КС3
– Учитывайте, что речь идет о межведомственном, а не
внутреннем электронном документообороте

22. Внутренний электронный документооборот
• Защищенность от несанкционированного доступа в случаях,
когда в СЭД предусмотрена обработка служебной информации
ограниченного распространения - не ниже класса 1Г
• Для защиты служебной информации ограниченного
распространения должны использоваться сертифицированные в
соответствии с требованиями безопасности информации
технические и (или) программные средства защиты информации
• Требования по защите информации и мероприятия по их
выполнению, а также конкретные программно-технические
средства защиты должны определяться и уточняться в
зависимости от установленного класса защищенности
– Пока не установлены
• СЭД не должна иметь прямого (незащищенного) подключения к
Интернет в соответствии с Указом Президента №351
– Необходимо применение сертифицированных межсетевых
экранов и VPN-решений (любого класса)

23. Электронная подпись и банки
• В соответствии с Указанием Банка России от 16 января 2004 года
№ 1375-У «О правилах составления и представления отчетности
кредитными организациями в Центральный банк Российской» (далее
- Указание № 1375-У) при составлении и представлении отчетности
кредитных организаций в Банк России в электронном виде для
подтверждения подлинности и контроля целостности электронного
сообщения используется код аутентификации
• Код аутентификации является аналогом электронной подписи,
отвечающим требованиям, предусмотренным пунктами 2 и 3 статьи
5 Федерального закона от 06.04.2011 года 63-Ф3 «Об электронной
подписи»
• Учитывая изложенное, кредитным организациям при составлении и
представлении отчетности в Банк России в электронном виде
следует руководствоваться порядком, установленным Указанием
Банка России от 24 января 2005 года № 1546-У «О порядке
представления кредитными организациями в Центральный банк
Российской Федерации отчетности в виде электронных сообщений,
снабженных кодом аутентификации»

24. Безопасность ТЭК
• 21 июля 2011 года Президент РФ подписал Федеральный Закон
«О безопасности объектов топливно-энергетического комплекса»,
а также Федеральный закон «О внесении изменений в отдельные
законодательные акты Российской Федерации в части
обеспечения безопасности объектов топливно-энергетического
комплекса»
• Статья 11 «Обеспечение безопасности информационных систем
объектов топливно-энергетического комплекса»
– Требования и состав комплекса защитных мер пока не
определены
• В проекте постановления Правительства Российской Федерации
«Об утверждении требований обеспечения безопасности
объектов топливно-энергетического комплекса и требований
антитеррористической защищенности объектов топливно-
энергетического комплекса» ИБ не прописана, но… см. дальше

25. О лицензировании
• 4 мая (с дополнения от 11 июля) была подписана новая редакция
закона о лицензировании, который серьёзно упрощает процедуру
получения лицензий, повышает их прозрачность и существенно
снижает число лицензируемых видов деятельности
• Тематика связанная с лицензированием деятельности по защите
информации и криптографии осталась ;-(
– Эти виды деятельности были укрупнены в два направления -
криптографическая деятельность и защита от
несанкционированного доступа к информации
– Эти виды деятельности будут регулироваться отдельными
новыми Постановлениями Правительства (проекты уже есть)
• Лицензии бессрочные

26. О лицензировании криптографии
• Разработка, производство, распространение шифровальных
средств, информационных систем и телекоммуникационных
систем, защищенных с использованием шифровальных средств,
выполнение работ, оказание услуг в области шифрования
информации, техническое обслуживание шифровальных средств,
информационных систем и телекоммуникационных систем,
защищенных с использованием шифровальных средств
– За исключением случая, если техническое обслуживание
шифровальных средств, информационных систем и
телекоммуникационных систем, защищенных с использованием
шифровальных средств, осуществляется для обеспечения
собственных нужд юридического лица

27. Риск лицензирования в ФСБ
• Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О
порядке осуществления иностранных инвестиций в
хозяйственные общества, имеющие стратегическое значение для
обеспечения обороны страны и безопасности государства»
– В целях обеспечения обороны страны и безопасности
государства настоящим Федеральным законом устанавливаются
изъятия ограничительного характера для иностранных
инвесторов и для группы лиц, в которую входит иностранный
инвестор, при их участии в уставных капиталах хозяйственных
обществ, имеющих стратегическое значение для обеспечения
обороны страны и без опасности государства, и (или)
совершении ими сделок, влекущих за собой установление
контроля над указанными хозяйственными обществами

28. Риск лицензирования в ФСБ
• Хозяйственное общество, имеющее стратегическое значение для
обеспечения обороны страны и безопасности государства, -
предприятие созданное на территории Российской Федерации и
осуществляющее хотя бы один из видов деятельности, имеющих
стратегическое значение для обеспечения обороны страны и
безопасности государства и указанных в статье 6 настоящего
Федерального закона
– пп.11-14 – 4 вида лицензирования деятельности в области
шифрования
– Наличие всего лишь одного маршрутизатора с IPSec требует от
вас лицензии на ТО СКЗИ
• 23 марта 2012 приняты поправки в первом чтении, исключающие
банки (и только их) из перечня «стратегических» предприятий

29. Изменение в лицензировании ФСБ
• ПП-313 о лицензировании деятельности по криптографии
– Острая критика Постановления со стороны экспертного
сообщества и Минэкономразвития и требование устранить все
недоработки
– Недоработки не устранены – постановление принято
• Обязательные и жесткие требования к квалификации персонала,
отвечающих за криптографию
– В зависимости от вида лицензируемых работ и услуг необходимо
иметь высшее профессиональное образование по
специальности, переподготовку в течение 1000 (500 или 100)
аудиторных часов и иметь стаж 5 (3) года
– 1000 аудиторных часов - это полноценный институтский курс по
информационной безопасности, читаемый в течении 5-6 лет!

30. «Финальное» мнение ФСТЭК о лицензировании
• Деятельность по ТЗКИ для
собственных нужд организации
является лицензируемой
деятельностью, поскольку п.5 ч.1
ст.12 ФЗ «О лицензировании…»
для лицензирования деятельности
по ТЗКИ исключения «для
обеспечения собственных нужд»
не предусмотрено

31. Изменение в лицензировании ФСТЭК
• 3 февраля – новое Постановление Правительства №79 "О
лицензировании деятельности по технической защите
конфиденциальной информации«
– Пришло на смену ПП-504
• Объект защиты отсутствует
– Конфиденциальной информации больше нет
• Объект лицензирования – выполнение работ по защите, либо об
оказании услуг; либо об обоих видах вместе
– В тексте нигде не говорится о собственных нуждах или об
извлечении прибыли при выполнении работ
• Лицензия становится нужной всем, кто занимается контролем
защищенности конфиденциальной информации или установкой
средств защиты информации
– Эксплуатация СЗИ не лицензируется

32. Ответственность за отсутствие лицензии
• 26 января 2012 – законопроект «О внесении изменений в
некоторые законодательные акты Российской Федерации по
вопросам лицензирования отдельных видов деятельности»
– Отменяются части первая и пятая статьи 13.12 КоАП
– Нарушение (и грубое нарушение) условий, предусмотренных
лицензией на осуществление деятельности в области защиты
информации
– Отменяется также часть 1 статьи 13.13, касающуюся занятиями
видами деятельности в области защиты информации (за
исключением информации, составляющей государственную
тайну) без получения в установленном порядке специального
разрешения (лицензии), если такое разрешение (такая лицензия)
в соответствии с федеральным законом обязательно
(обязательна)

33. Мы могли принять «Общие критерии»…
• Изменения 2010-го года в техническое регулирование разрешали
оценку соответствия по западным требованиям
• 24 января 2011 Президент подписал новый Указ о создании
единого органа по сертификации…
– исключая оценку соответствия средств защиты информации и иной
продукции, перечисленной в ст.5 ФЗ «О техническом
регулировании»
Число нормативных актов, связанных с сертификацией
средств защиты
15
10
5
0
1995
1996
1997
1998
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011*

34. О признании западных стандартов ИБ
• 9 декабря Президент Медведев подписал перечень поручений по
итогам заседания Международного консультативного совета по
созданию и развитию международного финансового центра в
Российской Федерации 28 октября 2011 года
– Рассмотреть вопрос о целесообразности смягчения требований к
вывозу отечественных шифровальных (криптографических)
средств за рубеж и о признании международных стандартов в
области защиты информации и представить соответствующие
предложения
– Поручение дано Путину В.В. Срок - до 1 марта 2012 года
• Результат – ФСБ рассмотрело данный вопрос и посчитало
смягчение нецелесообразным

35. О продукции отечественного производства
• Приказ Минэкономразвития и Минпромторга, определяющий, что
считать ИТ-продукцией отечественного производства
• Параметр Кимп (стоимость импортного сырья, материалов,
комплектующих, имеющих отечественные аналоги) в формуле
расчета либо не вычислим либо будет всегда очень большим
(итог – низкий уровень локализации)
– Не установлен орган сличения материалов и комплектующих
иностранного и отечественного производства
– Не определены каталога, считающиеся официальными
– Не определены процедуры и орган, утверждающие о наличии
отечественных аналогов

36. В России нет продукции отечественного производства
• Иностранные вендоры в России – резиденты со 100%-м участием
иностранных компаний
– Приказ обязывает создавать СП с госорганами, муниципалами
или Ростехнологиями
– СП должны быть переданы права на документацию и ПО –
передача интеллектуальных прав западной компании (особенно
из США) практически невозможна
• Заявитель должен осуществлять полный цикл сборки печатных
плат в России
– В России таких предприятий (даже оборонных) практически нет
– При наличии таких предприятий проще обратиться на Тайвань
или в Китай – себестоимость ниже
– Кстати, сборка печатных плат – экологически вредное
производство

37. О встраивании криптоядра в VPN-продукты
• Можно ли использовать сертифицированное ФСБ криптоядро в
составе VPN-решений (иностранного или отечественного
производства)?
– Можно
• Будет ли такое использование легитимным?
– Нет!!!

38. Что может отнести к шифровальным средствам таможня?
• Принтеры, копиры и факсы
• Кассовые аппараты
• Карманные компьютеры
• Карманные машины для записи, воспроизведения и визуального
представления
• Вычислительные машины и их комплектующие
• Абонентские устройства связи
• Базовые станции
• Телекоммуникационное оборудование
• Программное обеспечение

39. Что относят к шифровальным средствам на таможне?
• Аппаратура для радио- и телевещания и приема
• Радионавигационные приемники, устройства дистанционного
управления
• Аппаратура доступа в Интернет
• Схемы электронные, интегральные, запоминающие устройства
• Прочее
• Большое количество позиций групп 84 и 85 Единого Таможенного
Тарифа таможенного союза Республики Беларусь, Республики
Казахстан и Российской Федерации

40. Новые РД ФСТЭК по IDS
• 6 декабря 2011 года директор ФСТЭК подписал приказ №638 «Об
утверждении требований к системам обнаружения вторжений»
• 2 типа IDS
– Хостовые и сетевые
• 6 классов для каждого типа
– 6 класс – применение в ИСПДн 3-го и 4-го классов
– 5 класс – применение в ИСПДн 2-го класса
– 4 класс – применение в ИСПДн 1-го класса, а также в ИС общего
пользования II класса (согласно совместного приказа ФСБ и
ФСТЭК 416/489) и в государственным ИС, обрабатывающих
конфиденциалку (не ГТ)
– 3 и последующие классы – применение в ИС, обрабатывающих
гостайну

41. Новые РД ФСТЭК по антивирусам
• Приказом директора ФСТЭК от 20 марта 2012 г. № 28
утверждены Требования к средствам антивирусной защиты
• Указанный приказ в установленном порядке прошел оценку
регулирующего воздействия в Минэкономразвития России и
зарегистрирован Минюстом России 3 мая 2012 г., peг. № 24045
• Требования к средствам антивирусной защиты будут
применяться для проведения работ по сертификации вновь
разработанных средств с 1 августа 2012 г.
• 4 типа – по 6 классов для каждого типа

42. Изменения в Уголовном Кодексе
• Законопроект № 559740-5 «О внесении изменений в Уголовный
кодекс Российской Федерации и отдельные законодательные
акты Российской Федерации (в части совершенствования
законодательства Российской Федерации)»
• Изменение в 272—274-й статьях
– Ст.272 – добавлен разъяснение размера «крупного» ущерба и
определение «компьютерной информации»
– Ст.273 – добавлен «злой умысел» и расширение статьи на
любые программы для нарушений свойств информации, а не
только на вирусы и системы удаленного управления
• 5.04.2012 на пленуме Верховного суда (ВС) одобрены поправки в
уголовное законодательство, направленные на выделение
некоторых видов мошенничества в отдельные составы
преступлений (ст.159)
– Подделка банковских карт, фишинг, мошенничество в ДБО и т.д.

43. ЧТО БУДЕТ?

44. Что будет происходить совсем скоро
• Персональные данные
– Административные регламенты
ФСБ и РКН
• Финансовая отрасль
– СТО БР ИББС-1.0 v5
• Требования по ИБ для
национальной платежной системы
• Требования по УЦ и ЭП
• Новые постановления о
лицензировании
• Социальные сети и контроль
Интернет
• Защита детей от информации
• Облачные технологии

45. Изменения во властных структурах
• Комитет ГД по безопасности переименован в комитет по борьбе с
коррупцией и безопасности
– Смещение акцента
– Ключевые сотрудники покинули комитет
• Комитет ГД по информационной политике расформирован
– Вошел в качестве подкомитета в комитет по культуре
• На эту сессию никаких законопроектов по ИБ в работе ГД не
предусмотрено
• Изменение структуры департаментов в Минкомсвязи
• Новый министр связи, ИТ и массовых коммуникаций
– Возможны перемены
• ФСТЭК, ФСБ, советники Президента – все осталось по-прежнему

46. Текущая и будущая ситуация с ИБ ПДн
• 3 новых Постановления Правительства
– Два в части установления уровней защищенности и требований по
безопасности
– Одно в части установления требований для госорганов
• За безопасность ПДн отвечают ФСТЭК и ФСБ
– ФСТЭК выпустил приказ №58 – в 2012 г. планируется изменение
– ФСБ выпустила 2 методических документа в области
криптографии – в 2012 г. планируется изменение
• Подход регуляторов
– Сертифицированные СЗИ и СКЗИ – подход не меняется,
планируется законодательное ухудшение
– Вновь появляется аттестация
• Отраслевые стандарты – тренд с неочевидной судьбой
– СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития…
– ФСТЭК и ФСБ по-прежнему поддерживают отраслевые стандарты

47. 2 новых проекта Постановления Правительства
• Об установлении уровней защищенности персональных данных
при их обработке в информационных системах персональных
данных в зависимости от угроз безопасности этих данных
– Внесено 51 предложение
– Принято (местами частично) только 13; не самых критичных, а
местами просто синтаксических правок ;-(
– 38 предложений не учтено ;-(
• О требованиях к защите персональных данных при их обработке
в информационных системах персональных данных, исполнение
которых обеспечивает установленные уровни защищенности
персональных данных
– Внесено 49 предложений
– Принято всего 5; в 4-х случаях изменена формулировка, так. что
можно посчитать, что предложения также приняты
– В принятии оставшихся 40 предложений авторами было отказано

48. Аттестация для конфиденциалки
• В четверокнижии ФСТЭК аттестация была обязательной для
ИСПДн К1, К2 и распределенной К3
• В приказе № 58 требования аттестации нет!
• Что такое «оценка эффективности принимаемых мер по
обеспечению безопасности персональных данных до ввода в
эксплуатацию информационной системы персональных данных»?
– Ст.19 нового старого ФЗ-152
• Во ФСТЭК готовятся новые документы по аттестации объектов
информатизации

49. Увеличение наказания за невыполнение ФЗ-152
• 31 января 2012 - законопроект 12389-6 «О внесении изменений в
Кодекс Российской Федерации об административных
правонарушениях»
• Новая статья 13.111 «Предоставление недостоверной
информации о гражданах (персональных данных) оператору
персональных данных»
– Наложение штрафа на юридических лиц – от десяти тысяч до
трехсот тысяч рублей
• 17 мая 2012 года – законопроект «О внесении изменений в
Кодекс Российской Федерации об административных
правонарушениях»
– Максимальная сумма штрафов поднята до одного миллиона
рублей
– Права наказания по ст.13.11 переходят от прокуратуры к РКН
– Срок давности увеличен с 3-х месяцев до 1-го года

50. Узаконивание спорных вопросов с проверками
• В административном регламенте РКН приведен перечень
оснований для внеплановых и плановых проверок, который
расширяет закрытый перечень, установленный 294-ФЗ
– Незаконно, но никто не оспаривал
• Проект еще одного Постановления Правительства «Об
утверждении Положения о государственном контроле и надзоре
за соответствием обработки персональных данных требованиям
законодательства Российской Федерации в области
персональных данных» узаконивает основания для проверок

51. Развитие Комплекса стандартов Банка России
Термины и
Классификатор
определения
0.0
0.1
Рекомендации по выполнению
законодательных требований при
обработке ПДн
• РС «Методика назначения и описания ролей» (принята)
• РС «Методика классификация активов» (под вопросом)
• РС «Требования по обеспечению безопасности СКЗИ» (план)

52. Перемены в вопросе стандартизации ИБ банков
• В декабре 2010 года в России при Росстандарте создан новый
технический комитет - ТК 122 «Стандартизация в области
финансовых услуг»
– ТК 122 соответствует ISO TC 68 “Financial Services»
• Базовая организация – Центральный банк
• Работы по стандартизации в области информационной
безопасности в кредитно-финансовой сфере будут перенесены
из ТК 362 и продолжены в рамках ПК1

53. Развитие регулирования ИБ банков
• Упор на отраслевые стандарты
– Разработанные в рамках ТК 122 и рабочих групп ЦБ
• В середине ноября в ЦБ создана рабочая группа по разработке
требования по защите участников Национальной платежной
системы
– Процессинг
– ДБО
– Платежные системы
– Электронные и мгновенные платежи (включая мобильных
операторов)
– Карточный бизнес
• Банк России стал официальным регулятором
– Требования СТО станут обязательными к применению
• Саморегуляция также возможна

54. Национальная платежная система
• Постановление Правительства по защите НПС
– Прошло финальные согласования в Правительстве
– Устанавливает общие подходы, которые будут раскрываться в
нормативных документах Банка России
• Подход ЦБ – единая система требований по ИБ, единая система
оценки соответствия и единая система составления отчетности
по вопросам ИБ
– Все на базе СТО БР ИББС
• Новые документы ЦБ
– По требованиям по защите в НПС
– По контролю за соблюдением требований и составлению
отчетности в ЦБ для кредитных и некредитных организаций

55. Требования к УЦ и ЭП
• Проект приказа ФСБ «Об утверждении Требований к средствам
электронной подписи»
• Проект приказа ФСБ «Об утверждении Требований к средствам
удостоверяющего центра»
• Проект приказа ФСБ «Об утверждении Требований к форме
квалифицированного сертификата ключа проверки электронной
подписи»

56. Защита детей от Интернет
• ФЗ «О защите детей от негативной информации»
– Вступление в силу с осени 2012 года
• Изменения в КоАП в части ответственности за невыполнение
требований закона
• Новый регулятор – Роскомнадзор
– Bдет оформление полномочий
– Будет устанавливать требования к средствам фильтрации
• Требования к пунктам коллективного доступа использования
средств фильтрации контента
– Непонятно, что такое пункт коллективного доступа (по мнению
Минкомсвязи – это только Почта России)

57. Мнение Минкомсвязи по облакам
• «Помимо этого сервер, предоставляющий услугу облачных
вычислений, должен находиться в России. В какой-то
степени такие условия осложняют жизнь хостерам, потому
что придется взаимодействовать с такими службами, как
ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо
сделать, чтобы облачные платформы в будущем имели
возможность нормальной работы не только с госорганами,
но и с другими структурами»
– Илья Массух, советник министра связи и массовых
коммуникаций на конференции «Защита персональных
данных», 27 октября 2011 года

58. Облака заказали?
• Заказ Минкомсвязи №0173100007511000043
– Разработка предложений по созданию системы персональной
идентификации граждан в целях безопасного доступа к
государственным и муниципальным сервисам в электронном
виде
– Разработка системы правил обеспечения защиты прав
субъектов персональных данных при использовании облачных
вычислений, в том числе, трансграничных
– Исследование вопроса построения облачных трансграничных
систем хранения данных для предоставления услуг хостинга
интернет-сайтов и их влияния на национальную безопасность
страны
• Максимальный срок выполнения работ – 5 дней
• Требования к участника – лицензии ФСБ и ФСТЭК

59. Контроль социальных сетей и Интернет
• Кодекс (Конвенция) поведения ООН в области ИБ
– Инициирован Россией, Китаем, Узбекистаном и Таджикистаном
– Запрет на вмешательство в национальное Интернет-пространство
– Запрет на использования Интернет и социальных сетей для
свержения правительств
• Социальные сети и Интернет надо контролировать
– Юрий Чайка, Генеральная прокуратура
• Интернет не приемлет анонимности – надо контролировать
– Патриарх Кирилл, Русская Православная Церковь
– Рашид Нургалиев и Анатолий Мошков, МВД
– Николай Патрушев, Совет Безопасности
• Пользователи должны иметь Интернет-паспорта
– Евгений Касперский
• Россия заблокировала Конвенцию ОБСЕ по «правам человека» в
Интернет

60. Что уже делается
• Законопроект «О внесении изменений в отдельные
законодательные акты Российской Федерации по вопросам
регулирования отношений при использовании информационно-
телекоммуникационной сети Интернет»
– Операторы связи, оказывающие услуги по предоставлению
доступа к информационно-телекоммуникационной сети
Интернет, обязаны осуществлять ограничение и возобновление
пропуска трафика к сетевому адресу в информационно-
телекоммуникационной сети Интернет в порядке, установленном
Федеральным законом «Об информации, информационных
технологиях и о защите информации»
• Блокирование Интернет-сайтов с противоправным контентом без
суда и следствия по решению Роскомнадзора
• Блокирование сайтов с детским порно, пропагандой наркотиков и
экстремистскими материалами

61. РКН новый регулятор ИБ в отрасли связи
• 1 марта Минэкономразвития опубликовало Проект постановления
Правительства «Об утверждении перечня нарушений целостности,
устойчивости функционирования и безопасности единой сети
электросвязи Российской Федерации»
– Регулирует отношения в области организации и осуществления
государственного контроля (надзора), установления, применения и
исполнения обязательных требований к продукции или связанным с
ними процессам эксплуатации, оценки соответствия
• Указанные требования по защите, а также требования по
обеспечению целостности и устойчивости для операторов связи
установлены
– 113-м приказом Минсвязи от 27.09.2007 «Об утверждении
Требований к организационно-техническому обеспечению
устойчивого функционирования сети связи общего пользования»
– ГОСТ Р 53110-2008 «Система обеспечения информационной
безопасности сети связи общего пользования. Общие положения»
– 1-м приказом Минкомсвязи от 9.01.2008 «Об утверждении
требований по защите сетей связи от несанкционированного доступа
к ним и передаваемой посредством их информации»

62. Мобильный телефон только с разрешения?!
• В начале февраля 2012 на сайте Минкомсвязи были
опубликованы результаты оценке регулирующего воздействия на
проект приказа Минкомсвязи России «О внесении изменений в
отдель
– Обязательное требование к абонентским устройствам,
используемых в сети связи общего пользования, согласно
которому каждое абонентское устройство должно иметь
уникальный идентификационный номер
– Указанные абонентские устройства подлежат обязательному
подтверждению соответствия установленным требованиям в
целях обеспечения целостности, устойчивости
функционирования и безопасности единой сети электросвязи
Российской Федерации

63. Готовятся новые РД ФСТЭК
• Требования к DLP-системам
• Требования к средствам доверенной загрузки
• Требования к средствам двухфакторной аутентификации
• Требования к средствам контроля съемных носителей
информации
• Новые требования по классификации государственных
информационных систем
– На базе FIPS 199
• Новый документ на замену СТР-К

64. Окультуривание в области ИБ
• Проект Совета Безопасности «Основные направления
государственной политики в области формирования культуры
информационной безопасности»
– Определяет цель, задачи, принципы и основные направления
государственной политики в области формирования культуры
информационной безопасности как важного условия развития
информационного общества в России и обеспечения
национальной безопасности
– Под культурой информационной безопасности понимаются
знания и навыки граждан, а также политики организаций в
области использования информационно-коммуникационных
технологий, необходимые для повышения уровня
информационной безопасности.
– Одной из основ культуры информационной безопасности
являются правила, нормы и стандарты безопасного
использования информационно-коммуникационных технологий

65. ВЫВОДЫ

66. Что осталось за бортом?
• Универсальная электронная карта
– Возможно уйдет под требования НПС
• Проект приказа Минкомсвязи «Об утверждении Требований к
управлению сетями электросвязи»
– Системы управления сетями связи должны быть
сертифицированными
• Принятие стандартов ISO (15408, 27005, 18045) в России
– В рамках ТК362 Ростехрегулирования
• ГОСТ по моделированию угроз для операторов связи
– ФСБ фактически запретила принятие этого стандарта
• Государственный образовательный стандарт по ИБ
– А также стандарт АП КИТ по квалификациями специалистов по ИБ
66

67. Тенденции ИБ… до 24 сентября 2011 года
• Абсолютная непрогнозируемость изменений на рынке
информационной безопасности

68. Текущие тенденции
Закручивание Останется все,
Либерализация
гаек как есть
• Вероятность - • Вероятность - • Вероятность -
20% 45% 30%
• Вероятность • Вероятность
через 2 года - через 2 года -
10% 65%
Экспертная оценка специалистов Cisco

69. Краткое резюме
• Национальная безопасность – это основной мотив происходящего
в области регулирования ИБ
– Активная интеграция России в мировое сообщество (ВТО, ОЭСР и
т.д.) приводит к тому, что регуляторы закручивают гайки в части
внутреннего законодательства; обычно связанного с применением
средств защиты и организацией процесса защиты
• ФСБ и ФСТЭК имеют свою область деятельности и, имея
возможность закрыть ворота для западных технологий, не могут
повлиять на развитие отечественных технологий
– Это прерогатива Минпромторга, Миннауки, Минкомсвязи и т.д.
• ФСТЭК поворачивается лицом к потребителю, в то время как ФСБ
действует в рамках своей стратегии, невзирая на мнение
потребителя
• Продвигая идею национальной безопасности регуляторы гребут
всех под одну гребенку, не взирая на сферу и масштаб бизнеса

70. Что все это значит для вас?!
• Регуляторы не откажутся от регулирования отрасли ИБ и только
усилят свое влияние
• Под действие законодательства подпадает все юридические лица
и индивидуальные предприниматели
– Особенно под ФЗ-152, вокруг которого именно по этой причине
активно развивается законодательство
• Потребители вынуждены будут увеличивать бюджеты на ИБ или
будут более активно принимать риски несоблюдения
законодательства
– Безопасность все больше будет становиться бумажной, а не
реальной
• Не все игроки рынка ИБ выживут в условиях изменившихся правил
игры
– Или будут нарушать законодательство

71. Благодарю вас
за внимание
71