1. ИБ в России. Требования службы ИБ.
Как найти баланс между интересами
бизнеса и требованиями
регуляторов?!
Лукацкий Алексей, консультант по безопасности

2. Обо мне
• Опыт работы в области ИБ – 20 лет
– «Ящик», госкорпорация, ритейл, банк,
разработчик средств защиты,
производитель сетевого оборудования
• Текущее место – Cisco
• Участник рабочей группы ЦБ/АРБ
по разработке СТО БР ИББС ’2010/12,
консультационного центра АРБ по
ПДн (горячая линия) и требований по ИБ НПС
• Член Консультативного совета при РКН по
защите прав субъектов ПДн
• Член рабочей группы при ФСТЭК по разработке требований по
защите ПДн и государственных информационных систем
• Член рабочей группы при Совете Федерации по внесению
изменений в ФЗ-152 и по разработке Стратегии
кибербезопасности
• Эксперт РАЭК

3. Обо мне
• Участник ПК1 «Защита информации
в кредитно-финансовой сфере»
ТК122 Ростехрегулирования
• Участник ПК127 «Методы и средства
обеспечения безопасности ИТ» ТК22
Ростехрегулирования
(роль ISO/IEC JTC 1/SC 27 в России)
• Участник ТК 362 «Защита информации»
• Автор 5 книг и 600+ статей
• Автор множества курсов по ИБ
– «Что скрывает законодательство о
персональных данных»
– «Измерение эффективности ИБ»
– «Моделирование угроз»
– «Управление инцидентами ИБ»
– «Как связать безопасность и бизнес» и многих других

4. ИБ В РОССИИ: ОТКУДА
ТОРЧАТ НОГИ?

5. Криптография в России ведет свой отсчет с времен Ивана
Грозного
• Активная
внешнеполитическая
деятельность
• Дипломатическая
переписка
• Войны и военные
конфликты
• Перлюстрация
переписки
революционеров
• 8-й Спецотдел ВЧК
• КГБ

6. Защита информации – удел спецслужб!

7. ПДИТР – что это такое?
• Противодействие иностранным
техническим разведкам
• Обеспечение государственной тайны
• Гостехкомиссия СССР
• Федеральная служба по техническому
и экспортному контролю
• Служба внешней разведки
• Главное разведывательное
управление
• Федеральная служба охраны
• …

8. А потом наступила перестройка!
• Малый бизнес, частное
предпринимательство
• Олигархи, приватизация
• Коммерческая тайна, конкуренция
• Потребность хранить свои тайны в
секрете
• А специалисты все те же
– ФСБ
– ФСТЭК
– БСТМ МВД
– Совет Безопасности
– ФСО
– Госдума
– …

9. Вы защищаете свою информацию от утечек через
батарею? А через кондиционер? А через розетки?
• Технические каналы утечки
информации
– ПЭМИН
– Виброакустика
– Видовые утечки
• Объектовая охрана
• Вирусов было мало и
распространялись они на 5-
тидюймовых дискетах со
скоростью один компьютер в
неделю, один этаж в месяц
• Скорость 2400 бод была
нормой, а владелец модема
USR на 33600 бод был богачом

10. Что важнее? Конфиденциальность или доступность? А
может неотказуемость или подотчетность?
• Изначально спецслужбы
обеспечивали только
конфиденциальность защищаемой
информации
• Действующее законодательство
ориентировано на различные виды
тайн
– В российских НПА свыше 60 видов
тайн
• Почти ни слова о доступности и
целостности, о подотчетности и
аутентичности, о контролируемости
и неотказуемости

11. Все меняется, но не безопасники ;-(
Изменения Статика Динамика
Технологии Закрытые АС Облака, mobility
Формат Файлы Мультимедиа
Что? Гостайна КТ, БТ, ПДн
С кем? ИТР Инсайдер, хакер
Способ? Закрыто Открыто
Сколько? Неважно ROI, TCO, NPV
Как? Гриф (Кцд) ДЦК
Кто? КГБ эксКГБ

12. ТРЕБОВАНИЯ МНОГИХ
СЛУЖБ ИБ

13. К чему приводят наши истоки?
Россия коренным образом отличается от всего мира в
области информационной безопасности!!!
Новые
Угрозы
технологии
Требования
регуляторов
ИНФРАСТРУКТУРА

14. Аппаратные закладки – угроза для кого? Для военных или
для всех?
• Недокументированные возможности Intel 80x86, 286, 386, 486,
Pentium…, AMD, Cyrix и т.д. (1995)
• Чипсеты Intel из Китая (2007)
• Руткит в Broadcom NetExtreme (2010)
• Закрытый модуль BMC, зашитый в
BIOS-код Management Agent (2011)
• Обвинения Huawei/ZTE (2012/2013)

15. Лучше не будет – выпускники готовятся по-прежнему
• Выпускник по специальности «ИБ» должен уметь
решать основные задачи на вычисление пределов функций, их
дифференцирование и интегрирование, на разложение функций в
ряды, включая оценку качества полученных решений прикладных
задач; решать простые обыкновенные дифференциальные
уравнения и линейные системы уравнений;
оперировать с элементами числовых и конечных полей, колец,
подстановками, многочленами, матрицами; решать системы
уравнений над полями и кольцами вычетов;
исследовать простейшие геометрические объекты по их уравнениям
в различных системах координат; описывать строение основных
классов геометрических групп;
применять стандартные методы и модели к решению типовых
теоретико-вероятностных задач и стандартных задач
математической статистики; использовать стандартные
статистические пакеты и давать содержательное объяснение
получаемым результатам;
применять на практике основные законы общей физики и оценивать
численные порядки величин, характерных для различных разделов
естествознания

16. Подход к ИБ в России и в мире
• Многие страны мира
пропагандируют
риск-
ориентированный
подход
• Российские
спецслужбы часто
считают, что
потребитель
неспособен
самостоятельно
решить вопросы ИБ
• Отсутствие деления
на «военную» и
гражданскую ИБ Источник: ГОСТ Р ИСО/МЭК 15408-1-2002

17. Управление рисками: в России и в мире
Избежание Принятие Передача Снижение
риска риска риска риска
Устранение Затраты на Облачная Реализация
источника снижение риска безопасность защитных мер
риска выше, чем
ущерб от его Аутсорсинг
реализации

18. ЧТО ТАКОЕ
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ?

19. От какого термина отталкиваться?
• Все зависит от определения ИБ
• ИБ – это не универсальное, не стандартное понятие
• Оно персонифицировано в каждой конкретной ситуации, для
каждой конкретной организации, для каждого конкретного
руководителя ИТ или ИБ
– В одной и той же компании, разные руководители ИТ/ИБ могут
по-разному заниматься ИБ
– В одной и той же компании при одном и том же руководителе
ИТ/ИБ, но разных CEO, ИБ может двигаться в разных
направлениях
• ИБ – это понятие, зависящее от множества факторов/элементов

20. Термин «безопасность»
• Безопасность – отсутствие опасности
– В.Даль
• Безопасность – состояние, при котором не угрожает опасность
– С.Ожегов
• Безопасность – состояние защищенности жизненно важных
интересов личности, общества и государства от внутренних и
внешних угроз
– ФЗ «О безопасности»

21. Термин «безопасность»
• Безопасность информации - деятельность, направленная на
предотвращение или существенное затруднение
несанкционированного доступа к информации (или воздействия
на информацию)
– ФСТЭК
• ИБ – технологическая задача, обеспечивающая целостность,
конфиденциальность и доступность
– А как же борьбы со спамом? Или шантаж DDoS?
• Безопасность - состояние защищенности объекта от внешних и
внутренних угроз

22. Термин «безопасность»
• Безопасность – системное свойство, позволяющее развиваться и
процветать в условиях конфликтов, неопределенности и рисков
на основе самоорганизации и управления
• Безопасность – деятельность людей, общества, государства по
выявлению, предупреждению, ослаблению, устранению и
отражению опасностей и угроз, способных погубить их, лишить
ценностей, нанести неприемлемый ущерб, закрыть путь для
выживания и развития
• Информационная безопасность - динамическое состояние
сохранения жизненно важных параметров предприятия в
информационной сфере

23. Как я понимаю ИБ?!
• Информационная безопасность - состояние защищенности
интересов стейкхолдеров предприятия в информационной
сфере, определяющихся совокупностью сбалансированных
интересов личности, общества, государства и бизнеса
• Очень емкое и многоуровневое определение
• Может без изменения применяться в ЛЮБОЙ организации
– Меняться будет только наполнение ее ключевых элементов –
стейкхолдеры, информационная сфера, интересы

24. Стейкхолдеры ИБ
• ИТ
• ИБ
Внутри •
•
Юристы
Служба внутреннего контроля
предприятия •
•
•
HR
Бизнес-подразделения
Руководство
• Пользователи
Снаружи •
•
Акционеры
Клиенты
предприятия •
•
Партнеры
Аудиторы
• ФСТЭК
• ФСБ
Регуляторы •
•
•
Роскомнадзор
СВР
МО
• Банк России

25. Информационная сфера
• Информационная
сфера - это
совокупность
информации,
информационной
инфраструктуры,
субъектов,
осуществляющих сбор,
формирование,
распространение и
использование
информации, а также
системы регулирования
возникающих при этом
отношений

26. Интересы стейкхолдеров
• Универсального списка интересов не существует – у каждого
предприятия на каждом этапе его развития в различном
окружении при различных руководителях интересы различны
ИБ Юристы Регуляторы
• Конфиденциальность • Соответствие • Соответствие
• Целостность • Защита от
• Доступность преследования
• Новые законы
Пользователи Акционеры ИТ
• Тайна переписки • Рост стоимости акций • Доступность
• Бесперебойный • Контроль топ- сервисов
Интернет менеджмента • Интеграция
• Комфорт работы • Прозрачность • Снижение CapEx

27. У разной ИБ и угрозы разные!
Традиционные Нетрадиционные
• Вредоносное ПО • Приход регулятора с
• DDoS проверкой
• Утечки • Отсутствие лицензии
• НСД ФСБ у предприятия
• Превышение • Отсутствие
привилегий сертификата ФСТЭК
на систему защиты
• Нарушение
работоспособности • Внесение изменения в
приложения аттестованный объект
информатизации
• Кража ключей ЭП

28. ПОЧЕМУ ТАК НЕ
ВОСПРИНИМАЮТ ИБ?

29. Психология восприятия риска
• Даже при наличии фактов и достаточного объема информации об
анализируемой системе у экспертов существует сложность с
восприятием риска
• Безопасность основана не только на вероятности различных
рисков и эффективности различных контрмер (реальность), но и
на ощущениях
• Ощущения зависят от психологических реакций на риски и
контрмеры
– Чего вы больше опасаетесь – попасть в авиакатастрофу или
автоаварию?
– Что вероятнее – пасть жертвой террористов или погибнуть на
дороге?

30. Реальность и ощущения
• Реальность безопасности ≠ ощущения безопасности
• Система может быть безопасной, даже если мы не чувствуем и
не понимаем этого
– Мы можем думать, что система в безопасности, когда это не так
• Психология восприятия риска безопасности
– Поведенческая экономика
– Психология принятия решений
– Психология риска
– Неврология

31. Реальность и ощущение безопасности
• Число погибших в • Число жертв автоаварий в
авиакатастрофах в России в России – около 100 человек
2008 году – 139 человек ежедневно (!)
– 1980 – 1989 гг. – в СССР – 1,2 млн. жертв в год, 20-50
2624 жертвы авиакатастроф млн. получают травмы
• Трагедия 11 сентября в США
унесла жизни 2973 человек • От отравления пищей в США
ежегодно умирают 5000
человек
Ощущение
Реальность

32. Наше отношение к рискам и угрозам
• Мы преувеличиваем одни риски и преуменьшаем другие
• Наше восприятие риска чаще всего «хромает» в пяти
направлениях
– Степень серьезности риска
– Вероятность риска
– Объем затрат
– Эффективность контрмер
– Возможность адекватного сопоставления рисков и затрат

33. Ошибки восприятия безопасности
• Мобильные вирусы • В моем антивирусе для
– «Операторы сотовой связи смартфона всего 1000 записей
готовятся к эпидемиями и ни одного предупреждения за
вирусов для мобильных 2 (!) года
телефонов»
– «Мобильный апокалипсис • Отечественный разработчик
лишь вопрос времени» несет большую угрозу
• Западные производители ПО – он пока не дорожит
специально вставляют репутацией
закладки, чтобы украсть вашу
информацию
Более опасные
риски Реальность

34. Как мозг анализирует риски
• В человеческом мозгу 2 системы
отвечают за анализ рисков
– Примитивная интуитивная –
работает быстро
– Продвинутая аналитическая –
принимает решения медленно
– Продвинутая система появилась
только у высших приматов –
еще не отшлифована
– Обе системы работают
одновременно и конфликтуют
между собой

35. Как мозг анализирует риски
• Человек не анализирует риски
безопасности с точки зрения
математики
– Мы не анализируем
вероятности событий
• Люди не могут анализировать
каждое свое решение
– Это попросту невозможно
• Человек использует готовые
рецепты, общие установки,
стереотипы, предпочтения и
привычки

36. Следствие: регуляторы (включая «бывших») опираются
на ПРОШЛЫЙ опыт и знания
• «Эвристика доступности» – события,
которые легче вспоминаются, имеют
больший риск
– Или произошли недавно
– Или имели более серьезные
последствия (для эксперта)
– Или преподносятся ярко
• Риски, имевшие место когда-либо в
жизни эксперта, имеют больший вес,
чем те, с которыми он никогда не
встречался
– Мы будем бороться с атаками, уже
произошедшими в прошлом,
игнорируя будущие угрозы

37. ОЦЕНКА СООТВЕТСТВИЯ
СРЕДСТВ ЗАЩИТЫ

38. Какие системы сертификации существуют?
Требования Требования закрыты (часто секретны). Даже лицензиаты
открыты зачастую не имеют их, оперируя выписками из выписок
ФСТЭК ФСБ МО СВР
Все, кроме СКЗИ Все для нужд Тайна, покрытая
криптографии МСЭ оборонного ведомства мраком
Антивирусы
IDS
BIOS
Сетевое
оборудование
А еще есть 4 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,
«АйТиСертифика» (ЕВРААС), Ecomex и «Каскад»

39. Есть ли разница?
Единичный 5585-X
Cisco ASA Партия Cisco ASA 5585-X
Серия
экземпляр
Дата выпуска: 12 декабря 2010 года Дата выпуска: 12 декабря 2010 года
CRC: E6D3A4B567 CRC: E6D3A4B567
Место производства: Ирландия, Место производства: Ирландия,
Дублин Дублин
Смена: 12 Смена: 12
Версия ОС: 8.2 Версия ОС: 8.2
Производительность: 40 Гбит/сек Производительность: 40 Гбит/сек

40. В чем проблема?
Единичный
Партия Серия
экземпляр
Основная схема для Основная схема для Основная схема для
западных вендоров западных вендоров российских вендоров
Оценивается конкретный Оценивается Оценивается образец +
экземпляр (образец) репрезентативная выборка инспекционный контроль за
образцов стабильностью характеристик
Число экземпляров – 1-2 сертифицированной
Число экземпляров – 50- продукции
200
Число экземпляров -
неограничено

41. Выписанные сертификаты уже кому-то выданы!

42. Сертифицированное серийное производство: что это
значит?
• Серийное производство в контексте сертификации по
требованиям безопасности не означает ни производства
комплектующих, ни их сборки на территории Российской
Федерации
• Речь идет только об оценке соответствия массово поставляемого
оборудования в форме инспекционного контроля,
осуществляемого испытательной лабораторией
• В данном случае проводится аттестация производства на
территории испытательной лаборатории, проведение типовых
испытаний образцов продукции на соответствие требованиям по
безопасности информации и последующий инспекционный
контроль стабильности характеристик сертифицированной
продукции, обеспечивающих выполнение этих требований
– Инспекционный контроль не проводится с какой то
установленной заранее периодичностью

43. Сертифицированное серийное производство: что это
значит?
• Такой подход можно назвать псевдо-сертификацией
производства так как по сути представляет собой быструю
повторную сертификацию
• Использовать данную схему для оборудования, производимого за
пределами России, непросто – обязательно требуется
российское юридическое лицо, являющееся лицензиатом
– На сегодняшний день ни одна зарубежная компания, не имеет в
России такой лицензии и вынуждена обращаться за помощью к
соответствующим организациям
• Документов, определяющий порядок проведения сертификации
«серийного производства» в России нет
– Важнее всего не производство, а процесс выходного контроля,
позволяющий подтвердить, что при выпуске изделия оно
соответствуют проверенным образцам, и сертифицированные
параметры не ухудшены

44. Цепочка поставки сертифицированного оборудования
Производство за
ПАРТНЕРЫ Оборудование без
пределами России
СISCO сертификации по
требованиям
Дистрибуторы ФСТЭК
Партнер #1
Cisco Партнер #2
Systems, Inc
Партнер #3 Оборудование с
сертификатами
ФСТЭК
Партнер #N
Kraftway Corporation PLC производство по
& AMT & Vercom требованиям ФСТЭК
Среднее время сертификации (по
сертификационный
схеме серия) – 10 дней
пакет ФСТЭК
ФСТЭК

45. Промежуточное резюме
• Здравый смысл и принцип «по аналогии» в области
сертификации средств защиты в России не работает
• Требования по сертификации берут свое начало в области
защиты гостайны и с тех пор не менялись
• Потребители не понимают специфики сертификации

46. Нарушение правил защиты информации
• Ст.13.12. Нарушение правил защиты информации (КоАП)
– п.1 – нарушение лицензионных условий (до 10К рублей)
– п.2. – использование несертифицированных СЗИ, если они
подлежат обязательной сертификации (до 20К рублей +
конфискация)
– п.3 – нарушение лицензионных условий по гостайне (до 20К
рублей)
– п.4. – использование несертифицированных СЗИ для гостайны
(до 30К рублей + конфискация)
– п.5 – грубое нарушение лицензионных условий (до 15К рублей +
приостановление деятельности до 90 суток)
• + 2 новых состава правонарушений и рост штрафов
– Внесено Правительством в апреле 2013 года

47. О сертификации средств защиты
• В НПА упоминаются разная сертификация
– Обязательная сертификация
– Сертификация
– Сертификация в системах сертификации ФСТЭК и ФСБ
– Добровольная сертификация
• Согласно Приказу Председателя Гостехкомиссии России от 27
октября 1995 г. № 199 обязательной сертификации подлежат
любые средства защиты информации ограниченного доступа
– В первоначальной версии этой приписки не было
• Однако сейчас ФСТЭК почти не упоминает сертификацию
– Методами и способами защиты информации от
несанкционированного доступа являются…использование
средств защиты информации, прошедших в установленном
порядке процедуру оценки соответствия

48. 7 форм оценки соответствия по ФЗ-184
Госконтроль и
надзор
Аккредитация
Испытания
Оценка Добровольная
Регистрация
соответствия сертификация
Подтверждение Обязательная
соответствия сертификация
Приемка и ввод Декларирование
в эксплуатацию соответствия
В иной форме

49. Что в сухом остатке
• Требование «оценки соответствия» есть и от него никуда не
деться
– Не все регуляторы одинаково читают и трактуют ФЗ-184
• Однозначного ответа по обязательности сертификации нет
– При условии, что на ПП-330 и дальше будет висеть гриф «ДСП»
• Оценка соответствия может быть в различных формах
– От сертификации и государственного контроля и надзора до
приемки и ввода в эксплуатацию и испытаний
• Потребители не понимают особенностей оценки соответствия
средств защиты в России
• Госорганам всегда будут нужны средства защиты с
сертификатами ФСТЭК и ФСБ
– В остальных случаях возможно использование тонкостей
законодательства в зависимости от конкретной ситуации

50. И что? Пусть вендор и сертифицирует!
Невозможно Отвечает
Дорого Необязательно
потребитель
От нескольких Исключая гостайну и Западные По КоАП
сотен долларов СКЗИ разработка и производители не ответственность
(при сертификации продажа средств ведут в России лежит на
серии) до защиты возможна и без коммерческой потребителе
несколько сертификата деятельности и не
десятков тысяч могут быть
долларов А западные вендоры и заявителями
так сертифицированы
во всем мире

51. Что такое аттестация?!
• Под аттестацией объекта информатизации по требованиям
безопасности информации понимается комплекс организационно-
технических мероприятий, в результате которых подтверждается,
что объект соответствует требованиям стандартов или иных
нормативных документов по защите информации, утвержденных
ФСТЭК России
– Объект информатизации – совокупность информационных
ресурсов, средств и систем обработки информации,
используемых в соответствии с заданной информационной
технологией, средств обеспечения объекта информатизации,
помещений или объектов (зданий, сооружений, технических
средств), в которых они установлены, или помещения и объекты,
предназначенные для ведения конфиденциальных переговоров

52. Возможна ли аттестация в принципе?
• Аттестат соответствия выдается владельцу аттестованного
объекта информатизации органом по аттестации на период, в
течение которого обеспечивается неизменность условий
функционирования объекта информатизации
• ИТ-инфраструктура, не говоря уже об объекте информатизации,
меняется постоянно
– Патчи, новые версии, новые пользователи и даже новые
настройки
– Умножаем на число программных и аппаратных систем…

53. ШИФРОВАЛЬНЫЕ
СРЕДСТВА

54. Свыше 60 нормативных актов
• Первые публичные нормативные по
криптографии относятся к 1995 г.
• Основная предпосылка при создании
НПА – всецелый контроль СКЗИ на
всех этапах их жизненного цикла
• В качестве базы при создании НПА
взят подход по защите
государственной тайны
• ФСБ продолжает придерживаться
этой позиции и спустя 15 лет,
несмотря на рост числа ее
противников

55. Три основные проблемы
Ввоз шифровальных средств
на территорию Российской
Федерации
Лицензирование
деятельности, связанной с
шифрованием
Использование
сертифицированных
шифровальных средств

56. Причины возникновения проблем
1 Нечеткость
терминологии
4 Непонимание модели угроз
современного бизнеса
3 Различные этапы
жизненного цикла
– различные
Унаследованные требования 5 Отсутствие четкой позиции
2 правила регулятора

57. Что может отнести к шифровальным средствам таможня?
• Принтеры, копиры и факсы
• Кассовые аппараты
• Карманные компьютеры
• Карманные машины для записи, воспроизведения и визуального
представления
• Вычислительные машины и их комплектующие
• Абонентские устройства связи
• Базовые станции
• Телекоммуникационное оборудование
• Программное обеспечение

58. Что еще относят к шифровальным средствам на
таможне?
• Аппаратура для радио- и телевещания и приема
• Радионавигационные приемники, устройства дистанционного
управления
• Аппаратура доступа в Интернет
• Схемы электронные, интегральные, запоминающие устройства
• Прочее
• Большое количество позиций групп 84 и 85 Единого Таможенного
Тарифа таможенного союза Республики Беларусь, Республики
Казахстан и Российской Федерации

59. Ввоз шифровальных средств
Ввоз и Разделение
Нотификации vs.
использование ввозимой
ввоза по лицензии
шифровальных криптографии по
Минпромторга
средств – это два длинам ключей и
(после получения
разных сферам применения
разрешения ФСБ)
законодательства (с 01.01.2010)

60. Кто устанавливает требования по использованию СКЗИ?
Обмен • Обладатель информации
собственной
• Собственник (владелец) системы
информацией
Обмен с • Госорган
госорганами
Обмен с
организациями • Организация госзаказа
госзаказа
Обработка и • Обладатель информации
хранение без
• Пользователь (потребитель)
передачи

61. Легитимная криптография
Позиция Встраивания Важно знать, что
регулятора (ФСБ) – криптоядра написано в
использование достаточно для формуляре на
VPN-решений на прикладных систем СКЗИ – часто явно
базе и недостаточно для требуется
отечественных VPN-продуктов сертификация в
криптоалгоритмов (разъяснение ФСБ) ФСБ

62. Две чаши весов
БИЗНЕС И ИТ ТРЕБОВАНИЯ
ПРИОРИТЕТЫ РЕГУЛЯТОРОВ
Совместная работа Легальный ввоз
Легальное
Облака и аутсорсинг
использование
Легальное
Холдинги
распространение

63. ЛИЦЕНЗИРОВАНИЕ
ДЕЯТЕЛЬНОСТИ ПО ЗАЩИТЕ

64. Лицензирование – еще более непрозрачная тема!
ФСТЭК /
ФСБ
Прокуратура Суд

65. Лицензия ФСТЭК на ТЗКИ

66. Риск лицензирования в ФСБ
• Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О
порядке осуществления иностранных инвестиций в
хозяйственные общества, имеющие стратегическое значение для
обеспечения обороны страны и безопасности государства»
– В целях обеспечения обороны страны и безопасности
государства настоящим Федеральным законом устанавливаются
изъятия ограничительного характера для иностранных
инвесторов и для группы лиц, в которую входит иностранный
инвестор, при их участии в уставных капиталах хозяйственных
обществ, имеющих стратегическое значение для обеспечения
обороны страны и без опасности государства, и (или)
совершении ими сделок, влекущих за собой установление
контроля над указанными хозяйственными обществами

67. КАКОВА ТЕНДЕНЦИЯ
СЕЙЧАС?

68. Чего боятся в ФСБ/Совете Безопасности?
• В российских информационно-коммуникационных технологиях
используется до 98% зарубежных разработок и оборудования
– Данные ФСБ для Совбеза РФ
• В качестве угрозы рассматривается использование
несертифицированных отечественных и зарубежных ИТ, средств
защиты информации, средств информатизации,
телекоомуникации и связи при создании и развитии российской
информационной инфраструктуры
– Доктрина информационной безопасности РФ
• ФСБ не раз заявляла о том, что для борьбы с этой угрозой
национальной безопасности будут использованы два основных
механизмы
– Недопущение на российский рынок западных продуктов
– Сертификация средств защиты информации

69. О чем говорят властные структуры?
• Россия зависима от западных технологий
– Их разработчики находятся под колпаком у западных спецслужб
• Невозможность бороться с киберпреступлениями
– Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О
борьбе с киберпреступностью», а потом отозвал свою подпись
• Готовятся кибервойны
– США внесло в ООН предложение отвечать военными ударами на
кибератаки
• Законодательство других стран дает право спецслужбам
контролировать весь Интернет-трафик, проходящий через эти
страны
– В России такое же законодательство
• Западные страны пытаются вмешиваться в суверенитет России в
Интернет-пространстве

70. Регуляторы в области ИБ
МинЭнерго СовБез
ФСТЭК
ФСО ФСБ
PCI
ЦБ ИБ Council
Минком-
СВР
связь
РКН МО МВД

71. А это еще не все ;-)
• 23 августа Владимир Путин подписал Указ «Об утверждении
Положения об Управлении Президента Российской Федерации по
применению информационных технологий и развитию
электронной демократии»
– Участие в обеспечении реализации решений Президента
Российской Федерации, Администрации Президента Российской
Федерации, координационных и совещательных органов при
Президенте Российской Федерации по вопросам применения
информационных технологий в целях обеспечения безопасности
граждан в информационно-коммуникационных сетях
• Росфинмониторинг хочет регулировать электронные деньги
• Национальный антитеррористический комитет хочет
регулировать деятельность кибертеррористов и
киберэкстремистов

72. Динамика принятия нормативных актов
8
7
6
5
4
3
2
1
0

73. Большинство требований обязательно к применению

74. НПС/банки/госорганы/операторы связи – в приоритете
последних дней

75. То ли еще будет

76. ЧТО БЫЛО И ЧТО БУДЕТ?!

77. Что происходило недавно?
• Финансовая отрасль
– ФЗ «О национальной
платежной системе»
– ПП-584 и 382-П
• ФЗ «Об электронной
подписи»
• ФЗ «О госуслугах» и СМЭВ
• Безопасность ТЭК и КВО
• Новые НПА о лицензировании
• Новые НПА об оценке
соответствия
• Защита детей от информации
• Интеграция в мировое
сообщество

78. Что будет происходить совсем скоро?
• Персональные данные
– Новые Постановления
Правительства
– Новые приказы ФСТЭК и ФСБ
• Финансовая отрасль
– Новые документы по НПС
– СТО БР ИББС-1.0 v5
• Требования по УЦ и ЭП
• Требования к КВО и ТЭК
• Контроль Интернет
– «Черные списки»
– Борьба с анонимайзерами
– Контроль социальных сетей
– Облачные технологии
• Контроль западного влияния

79. Что осталось за бортом?
• Новая редакций Гражданского Кодекса
(в части режима КТ)
• Универсальная электронная карта
• Принятие стандартов ISO (15408,
27005, 18045) в России
• ГОСТ по моделированию угроз для
операторов связи
• Государственные образовательные
стандарты по ИБ
– А также стандарт АП КИТ по
квалификациями специалистов по ИБ
• Стратегия кибербезопасности РФ
• Основные направления по
формированию культуры ИБ в РФ
79

80. В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ

81. Что все это значит для вас?!
• Регуляторы не откажутся от регулирования отрасли ИТ/ИБ и
Интернет и только усилят свое влияние
• Потребители вынуждены будут увеличивать бюджеты на ИБ или
будут более активно принимать риски несоблюдения
законодательства
– Безопасность все больше будет становиться бумажной, а не
реальной
• Основным регулятором становится ФСБ
• «Железный занавес» становится все более реальным
– Работа с иностранными компаниями
– Работа НКО и иностранных агентов
– Работа иностранных Интернет-компаний в России
– Использование и ввоз иностранных средств защиты
– Контроль иностранных инвестиций по 57-ФЗ

82. Что делать ИТ-директору?!
• Понимание особенностей регулирования ИБ в России и сил, под
влиянием которых действуют безопасники!
• Принятие решения в отношении оценки соответствия средств
защиты информации и СКЗИ
• Поднятие вопроса (контроль) о лицензировании деятельности по
защите информации (включая шифрование)
• Учет увеличения сроков поставки шифровальных средств
• Учет требований нормативных требований ФСТЭК/ФСБ/ЦБ/
Минкомсвязи в области ИБ при построении ИТ-инфраструктуры
• Управление взаимоотношения с поставщиками
• Налаживание контактов с регуляторами (отраслевыми
ассоциациями)

83. Должно смениться не менее одного-двух поколений
Закручивание Останется все,
Либерализация
гаек как есть
• Вероятность - • Вероятность - • Вероятность -
70% (по 10% (по 20% (по
линии линии линии
ФСТЭК) и 5% ФСТЭК) и ФСТЭК) и
(по линии 60% (по 35% (по
ФСБ) линии ФСБ) линии ФСБ)
Экспертная оценка специалистов Cisco

84. Дополнительная информация
• Статья в «Директоре информационной службы» «Что должен
знать ИТ-директор об информационной безопасности… в России»
– 3 части - http://lukatsky.blogspot.com/2011/08/2.html
• Ввоз и использование шифровальных средств на территории РФ
– http://blogs.cisco.ru/2013/03/04/cryptoimport/
• Куда дует ветер перемен
– http://lukatsky.blogspot.com/2011/08/blog-post_04.html
• Что будет определять развитие ИБ в России в ближайшее время
– http://lukatsky.blogspot.com/2013/04/blog-post_18.html
• Прогнозы на грядущий год Змеи
– http://lukatsky.blogspot.com/2012/12/blog-post_28.html
• На что обратить внимание CISO в 2012-2013-м годах?!
– http://lukatsky.blogspot.com/2012/04/blog-post_17.html

85. security-request@cisco.com
Благодарю вас
за внимание
BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 85

86. ДОПОЛНИТЕЛЬНЫЕ
СЛАЙДЫ

87. Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность «Защита «Защита Разработка рекомендаций по ПДн,
ИТ» (ISO SC27 в информации в информации» СТО БР ИББС v4 и 382-П/2831-У
России) кредитных при ФСТЭК
учреждениях»
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза Экспертиза и Экспертиза и Консультативный
Предложения
документов разработка разработка совет
документов документов

88. ПЕРСОНАЛЬНЫЕ ДАННЫЕ

89. Новый приказ ФСТЭК
• №21 от 18.02.2013
• Определяет состав и содержание
организационных и технических
мер
• Применяется для новых
(модернизируемых) ИСПДн
• Меры по защите ПДн в ГИС
принимаются в соответствии с
требованиями о защите
информации, содержащейся в
ГИС («новый СТР-К»)

90. Меры по защите информации
• Идентификация и аутентификация субъектов доступа и объектов
доступа
• Управление доступом субъектов доступа к объектам доступа
• Ограничение программной среды
• Защита машинных носителей информации, на которых хранятся
и (или) обрабатываются персональные данные
• Регистрация событий безопасности
• Антивирусная защита
• Обнаружение (предотвращение) вторжений
• Контроль (анализ) защищенности персональных данных
• Обеспечение целостности информационной системы и
персональных данных
• Обеспечение доступности персональных данных

91. Меры по защите информации
• Защита среды виртуализации
• Защита технических средств
• Защита информационной системы, ее средств, систем связи и
передачи данных
• Выявление инцидентов (одного события или группы событий),
которые могут привести к сбоям или нарушению
функционирования информационной системы и (или) к
возникновению угроз безопасности персональных данных, и
реагирование на них
• Управление конфигурацией информационной системы и системы
защиты персональных данных

92. Как определяются защитные меры
• Выбор мер по обеспечению безопасности ПДн, Базовые меры
подлежащих реализации в системе защиты ПДн,
включает
– определение базового набора мер
– адаптацию базового набора мер с учетом Адаптация
базового набора
структурно-функциональных характеристик
ИСПДн, ИТ, особенностей функционирования
ИСПДн
– уточнение адаптированного базового набора с Уточнение
адаптированного
учетом не выбранных ранее мер набора
– дополнение уточненного адаптированного
базового набора мер по обеспечению
безопасности ПДн дополнительными мерами, Дополнение
уточненного
установленными иными нормативными актами адаптированного
набора

93. А если какую-то меру невозможно реализовать?
• При невозможности технической
реализации отдельных выбранных мер
по обеспечению безопасности
персональных данных, а также с
учетом экономической
целесообразности на этапах
адаптации базового набора мер и
(или) уточнения адаптированного
базового набора мер могут
разрабатываться иные
(компенсирующие) меры,
направленные на нейтрализацию
актуальных угроз безопасности
персональных данных

94. Компенсирующие меры
• В ходе разработки системы защиты персональных данных
должно быть проведено обоснование применения
компенсирующих мер для обеспечения безопасности
персональных данных
• Пример: среда виртуализации на базе KVM, Xen или Hyper-V

95. Другие планируемые изменения
• Законопроект по внесению изменений в законодательные акты в
связи с принятием ФЗ-160 и ФЗ-152
• Законопроект «О внесении изменений в
статью 857 части второй ГК РФ, статью 26 ФЗ «О банках и
банковской деятельности» и ФЗ «О персональных данных»
• Проект изменений в ФЗ-152
• Законопроект по внесению изменений в КоАП (в части
увеличения штрафов по ст.13.11)
• Проект методических рекомендаций РКН по обезличиванию
• Проект приказа РКН по странам, обеспечивающим адекватную
защиту прав субъектов
• Проект приказа ФСБ по ПДн
• Проект Постановления Правительства по надзору в сфере ПДн
• Указание Банка России с отраслевой моделью угроз

96. НАЦИОНАЛЬНАЯ
ПЛАТЕЖНАЯ СИСТЕМА

97. Структура основных нормативно-правовых актов по ИБ в
НПС
Рекомендации
АРБ и НПС по
реагированию
на инциденты

98. Мы только в начале пути регулирования НПС
• Платежные карты
• Мобильные и
мгновенные
платежи
• Системы ДБО
• Банкоматы и ККТ
• Небанковские
организации
• Разработчики
платежных
приложений

99. Письмо 34-Т от 01.03.2013
• О рекомендациях по повышению
уровня безопасности банкоматов и
платежных терминалов
• Классификация мест установки по
степени риска, в т.ч. и подвергнуться
воздействию вредоносного кода, а
также совершения
несанкционированных операций
• Пересмотр классификации по мере
развития технологий атак
• Оснащение специальным ПО для
выявления и предотвращения атак
• Регулярный контроль действия
обслуживающих организаций

100. Письмо 34-Т от 01.03.2013 (окончание)
• Использование систем удаленного мониторинга состояния
банкомата или терминала
• 2 видеокамеры и хранение видеозаписей не менее 60 дней
• Обнаружение, фиксация атак и их попыток и информирование о
них заинтересованных участников рынка розничных платежных
услуг и Банка России
• Анализ и выявление уязвимостей после атак или попыток их
совершения
• Совершенствование системы защиты
• Обмен информацией с другими кредитными организациями
• Размещение на устройстве рекомендаций по защите PIN
• + требования по физической безопасности банкоматов и
платежных терминалов

101. Новая форма отчетности грядет с 1 апреля 2013 года
• Указание 2926-У от 03.12.2013 «О внесении изменений в Указание
Банка России от 12 ноября 2009 года № 2332-У «О перечне,
формах и порядке составления и представления форм отчетности
кредитных организаций в Центральный банк Российской
Федерации» вводит новые формы отчетности
– Форма отчетности 0409258 «Сведения о несанкционированных
операциях, совершенных с использованием платежных карт» и
порядок составления и представления отчетности по форме
0409258

102. Планы по развитию 382-П
• Доработки 382-П
– Устраняются технические погрешности
– Устанавливаются сроки и требования по хранению информации,
требуемой правоохранительным органам
– Уточняются требования к аудиторам и оценщикам 382-П
• Разработан проект методики для надзора ЦБ по проверке 382-П
• Разработана методика пересчета показателей 382-П к
показателям, используемым в надзорной деятельности Банка
России

103. Планы по развитию 203-й формы отчетности
• Будет меняться отчетность по инцидентам
– Разделение на инциденты отчетного и предыдущих отчетных
периодов
– Будут запрашиваться инциденты, зарегистрированные ОПДС, его
клиентами и БПА
– Будет детализация классификации инцидентов
– Введение суммы похищенных и намеченных к хищению средств
– Детализация мест совершения инцидента (до 2-х десятков)
– Подробное описание инцидентов (названия ПО, названия СЗИ,
имена операторов связи, названия АБС, названия сетевого
оборудования и т.д.)
– Указание причин возникновения инцидентов
– Уточнение вопросов взаимодействия с правоохранительными
органами

104. Что думает Банк России о PCI DSS?
• Какова судьба PCI DSS в контексте 382-П и СТО БР ИББС?
– PCI DSS включат в состав СТО БР ИББС?
– На базе PCI DSS будут создавать собственные нормативы?
• Банк России (через НП АБИСС) осуществил перевод 10
документов PCI DSS 2.0 для их анализа в ПК1 ТК122 и их
возможного последующего использования в рамках НПС. Цели:
– аутентичный перевод на русский язык PCI DSS и сопутствующих
документов, официально признаваемый PCI Council
– размещение перевода и поддержка его в актуальном состоянии
при изменений версий стандарта PCI DSS на сайте PCI Council
– использование перевода для более эффективного внедрения
PCI DSS в РФ для участников международных платежных систем
– использование перевода как основы для разработки Банком
России национальных требований и рекомендаций к индустрии
платежных карт

105. Новые РС в рамках СТО БР ИББС
• Готовится новая РС «Ресурсное обеспечение информационной
безопасности»
– Как объяснить руководству/акционерам, зачем нужна ИБ и
сколько тратить?
• Готовится новая РС «Требования к банковским приложениям и
разработчикам банковских приложений»
– Минимальный набор требований к приложениям
• Готовится новая РС «Управление инцидентами информационной
безопасности»
– Не просто реагирование, а весь жизненный цикл инцидента
– Дополнит методичку АРБ и НПС
• А также документы по защите ДБО, электронных средств платежа
и различных форм денежных переводов

106. Планы развития СТО в части ПДн
• Разработан проект отраслевой модели актуальных угроз
безопасности персональных данных
– Для этого планируется организовать работу с банковским
экспертным сообществом, провести согласование модели угроз с
ФСТЭК России и ФСБ России и ввести модель в действие
нормативным актом Банка России
• После ввода в действие документов регуляторов в области
обеспечения безопасности персональных данных провести
актуализацию РС 2.3
• Провести работу по переподписанию Письма-обращения в
кредитные организации об использовании организациями
банковской системы Российской Федерации документов
Комплекса для выполнения законодательства в области
персональных данных (переподписание «Письма шестерых»)
106

107. СТО БР ИББС в дальней перспективе
• Требования по облакам и виртуализации
• Требования по мобильному доступу
• Требования к DLP с банковской спецификой
• Пересмотр методики оценки в СТО БР ИББС
• Кросс-отраслевые стандарты с операторами связи по
формированию «пространства доверия»
107

108. Единое пространство доверия с операторами связи
• Инфраструктура многих операторов связи используется при
оказании услуг по переводу денежных средств (как минимум,
ДБО)
• Минкомсвязь совместно с Банком России решило вернуться к
теме «Базового уровня информационной безопасности
операторов связи» (он же рекомендации ITU-T X.sbno) и сделать
именно эти требования (с некоторыми доработками) условием
подключения (выбора) банков к инфраструктуре оператора связи
• При этом Банком России будут разработаны рекомендации по
выбору именно тех операторов, которые прошли процедуру
добровольной сертификации на соответствие «базовому уровню»
108

109. ГОСУДАРСТВЕННЫЕ
ИНФОРМАЦИОННЫЕ
РЕСУРСЫ

110. «Новый СТР-К»
• Приказ ФСТЭК №17 от 12.02.2013 «Об
утверждении Требований о защите
информации, не составляющей
государственную тайну, содержащейся в
государственных информационных
системах»
• Для защиты информации во вновь
создаваемых или модернизируемых
государственных информационных
системах
– «Старые» автоматизированные
системы будут «жить» по СТР-К

111. Как определяются требования по защите?
• Требования к системе защиты информации информационной
системы определяются в зависимости от
– класса защищенности информационной системы
– актуальных угроз безопасности информации, установленных в
модели угроз безопасности информации
• Приказ вводит 4 класса защищенности и определяет методику их
выбора
• Модель угроз безопасности информации должна содержать
описание структурно-функциональных характеристик
информационной системы и актуальных угроз безопасности
информации
– Моделирование угроз осуществляется на основе
разрабатываемых методических документах ФСТЭК
– Предполагается, что данная методика будет единой для ПДн и
ГИС

112. КРИТИЧЕСКИ ВАЖНЫЕ
ОБЪЕКТЫ

113. Как регулируется ИБ в КВО?

114. Безопасность ТЭК
• 21 июля 2011 года Президент РФ подписал Федеральный Закон
«О безопасности объектов топливно-энергетического комплекса»,
а также Федеральный закон «О внесении изменений в отдельные
законодательные акты Российской Федерации в части
обеспечения безопасности объектов топливно-энергетического
комплекса»
• Статья 11 «Обеспечение безопасности информационных систем
объектов топливно-энергетического комплекса»
– Требования и состав комплекса защитных мер пока не
определены
• В проекте постановления Правительства Российской Федерации
«Об утверждении требований обеспечения безопасности
объектов топливно-энергетического комплекса и требований
антитеррористической защищенности объектов топливно-
энергетического комплекса» ИБ не прописана, но… см. дальше

115. Мнение Минэнерго
• Три Постановления Правительства от 5 мая 2012 года
– № 458 «Об утверждении Правил по обеспечению безопасности и
антитеррористической защищенности объектов топливно-
энергетического комплекса»
– № 459 «Об утверждении Положения об исходных данных для
проведения категорирования объекта топливно-энергетического
комплекса, порядке его проведения и критериях
категорирования»
– № 460 «Об утверждении Правил актуализации паспорта
безопасности объекта топливно-энергетического комплекса»
• Позиция Минэнерго - т.к. в ст.11 ФЗ-256 «О безопасности
объектов ТЭК» нет требования разработать Постановление
Правительства, то и требования по защите можно использовать
текущие (от ФСТЭК и ФСБ)

116. Безопасность критически важных объектов
• Основные направления государственной политики в области
обеспечения безопасности автоматизированных систем
управления производственными и технологическими процессами
критически важных объектов инфраструктуры Российской
Федерации
– 4 июля 2012 года
– Разработаны в целях реализации основных положений
Стратегии национальной безопасности Российской Федерации
до 2020 года
• Включают
– Требования к разработчикам АСУ ТП
– Единая гос.система обнаружения и предотвращения атак
– Промышленная и научно-техническая политика,
фундаментальная и прикладная наука и повышение
квалификации кадров

117. А что дальше или Указ Президента 31с
• 28.12.2012 – встреча Президента с офицерами, назначенными на
высшие командные должности
– Говорит о защите стратегической инфраструктуры
• 29.12.2012 - Указ Президента №1711 об изменении состава
Межведомственной комиссии Совета Безопасности РФ по
информационной безопасности
– Добавление в комиссию представителей стратегических КВО
• 15.01.2013 - Указ Президента №31с «О создании государственной
системы обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные ресурсы
РФ»
– Создание данной системы, разработка методики обнаружения
атак, обмен информацией между госорганами об инцидентах ИБ,
оценка степени защищенности критической информационной
инфраструктуры

118. ФСТЭК

119. Готовятся новые РД ФСТЭК
• Требования к DLP-системам
• Требования к средствам доверенной загрузки
• Требования к средствам двухфакторной аутентификации
• Требования к средствам контроля съемных носителей
информации
• Требования по защите беспроводного и удаленного доступа
• Идет работа с ФСБ и Минкомсвязи по определению границ сетей
организаций и операторов связи с целью разделения
ответственности и формированию единого пространства доверия
• Новое положение о сертификации средств защиты информации
• Рекомендации по обновлению сертифицированных средств
защиты информации

120. Готовятся новые ГОСТы на 2013-2014 годы
• «Уязвимости информационных систем. Классификация
уязвимостей информационных систем»
• «Уязвимости информационных систем. Правила описания
уязвимостей»
• «Уязвимости информационных систем. Содержание и порядок
выполнения работ по выявлению и оценке уязвимостей
информационных систем»
• «Порядок создания автоматизированных систем в защищенном
исполнении. Общие положения»
– Взамен текущей версии ГОСТ 51583-2000
• «Документация по технической защите информации на объекте
информатизации. Общие положения»
• «Информационные системы и объекты информатизации. Угрозы
безопасности информации. Общие положения»

121. Готовятся новые ГОСТы на 2013-2014 годы
• «Техника защиты информации. Номенклатура показателей
качества»
– Взамен текущего ГОСТ Р 52447-2005
• «Основные термины и определения»
– взамен текущей версии ГОСТ Р 50922-2006
• «Требования по защите информации в информационных
системах, построенных с использованием технологии
виртуализации. Общие положения»
• «Требования по защите информации, обрабатываемой с
использованием технологий «облачных вычислений». Общие
положения»
• «Требования по защите информации в информационных
системах, построенных с использованием суперкомпьютерных и
грид – технологий»
• Ряд стандартов по информационным войнам