Документ предоставляет обзор последних инициатив в области информационной безопасности в России, включая изменения в законодательстве, касающиеся защиты персональных данных и критической инфраструктуры. Рассматриваются новые законопроекты, касающиеся ответственности за нарушения, а также требования к операторам по обеспечению безопасности. Основное внимание уделяется развитию стандартов и регуляторной базы для защиты информации в финансовом секторе и на уровне государственных информационных систем.

1. Обзор последних законодательных
инициатив в области
информационной безопасности
Лукацкий Алексей, консультант по безопасности

2. Куда движется законодательство?
ИБПерсональные
данные
Критические
инфраструктуры
Национальная
платежная
система
Государственные
ИС
Субъекты
Интернет-
отношений
Облачные
технологии

3. ПЕРСОНАЛЬНЫЕ ДАННЫЕ

4. Недавние и планируемые изменения по направлению ПДн
• Приказ ФСТЭК №21 по защите ПДн и ИСПДн
• Приказ об отмене «приказа трех» по классификации ИСПДн
• Приказ и методичка РКН по обезличиванию
• Проект приказа ФСБ по использованию СКЗИ для защиты ПДн
• Законопроект Совета Федерации по внесению изменений в
ФЗ-152
• Законопроект по внесению изменений в КоАП
• Законопроекты РКН по внесению изменений в КоАП, ФЗ-152 и
ФЗ-294
• Новая версия стандарта Банка России (СТО БР ИББС)
• Работа Межведомственного экспертного совета при Минкомсвязи
по совершенствованию законодательства в области
регулирования отношений, связанных с обработкой ПДн
• Изменение списка «адекватных» стран

5. Законопроект по штрафам
• В новом законопроекте меняется текст статьи 13.11, которая
устанавливает два состава правонарушений
– Нарушение требований к письменному согласию субъекта
– Обработка ПДн без согласия или иных законных оснований
• Также вводится еще 3 новых статьи:
– 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K)
– 13.11.2 - непредоставление оператором информации и (или)
доступа к сведениям, предусмотренным законодательством о
ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в
отношении обработки ПДн (<=40K)
– 13.11.3 - несоблюдение требований по обеспечению
безопасности ПДн (<=200K)

6. Законопроект РГ Совета Федерации
• Вводится понятия «обработчика»
• Защита ПДн в составе профессиональной тайны
– В соответствие с требованиями по защите тайны
• Условия обработки ПДн обработчиком
– Наличие договора = согласие
• Новые условия необеспечения конфиденциальности ПДн
• Электронная, в т.ч. дистанционная форма согласия на обработку
ПДн
• Биометрические ПДн
– Только при автоматической идентификации субъекта
• Трансграничная обработка ПДн
– Также при наличии договора
– Не распространять требование за пределами РФ

7. Законопроект РГ Совета Федерации
• Государственные и муниципальные организации заменяются на
организации, обрабатывающие ПДн в целях оказания
государственных и муниципальных услуг
• Защита ПДн
– Гармонизация формулировок
• Уведомление РКН
– Гармонизация формулировок
• Возможность самостоятельной разработки модели угроз
– До принятия соответствующих актов ФОИВами

8. Законопроект о внеплановых проверках
• Законопроект «О внесении изменения в статью 10 Федерального
закона «О защите прав юридических лиц и индивидуальных
предпринимателей при осуществлении государственного
контроля (надзора) и муниципального контроля»
• Поступление в органы государственного контроля (надзора)
обращений и заявлений граждан, в том числе индивидуальных
предпринимателей, юридических лиц, информации от органов
государственной власти, органов местного самоуправления, из
средств массовой информации о следующих фактах:
– г) нарушение прав субъектов персональных данных (в случае
обращения граждан, права которых нарушены)

9. Законопроект о новых нарушениях
• Новая статья КоАП 14.8.1 «Отказ продавца (исполнителя) в
предоставлении товара (работы, услуги) при отсутствии согласия
субъекта персональных данных на обработку персональных
данных»
– До 10 тысяч рублей
• Новый пункт в статье 19.7 «Непредставление или
несвоевременное представление в уполномоченный
государственный орган сведений (информации) о допущенном
незаконном распространении сведений о частной и личной жизни
(персональные данные) лица (неопределенного круга лиц), а
равно представление в уполномоченный государственный орган
таких сведений (информации) в неполном объеме или в
искаженном виде»
– До 50 тысяч рублей

10. Законопроект об отдельном регулировании надзора за
ПДн
• Особенности организации и проведения проверок в части,
касающейся вида, предмета, оснований проведения проверок,
сроков и периодичности их проведения, уведомлений о
проведении внеплановых выездных проверок и согласования
проведения внеплановых выездных проверок с органами
прокуратуры, могут устанавливаться другими федеральными
законами при осуществлении следующих видов государственного
контроля (надзора):
– государственный контроль (надзор) за соответствием обработки
персональных данных требованиям законодательства
Российской Федерации в области персональных данных

11. Законопроект с новыми определениями в ФЗ-152
• Согласие субъекта персональных данных – волеизъявление
субъекта персональных данных, оформленное в письменной
форме или подписанное электронной цифровой подписью, а
равно действия субъекта персональных данных, выражающие
волю и согласие на обработку его персональных данных
• Минимальный перечень персональных данных – допустимая
совокупность персональных данных, обрабатываемая
оператором в соответствии с целями деятельности
– Минимальный перечень персональных данных включает в себя:
фамилию, имя, отчество, год, месяц и дату рождения, адрес
места жительства (регистрации) или места пребывания,
реквизиты документа, удостоверяющего личность субъекта
персональных данных, идентификационный номер
налогоплательщика (ИНН), страховой номер индивидуального
лицевого счёта (СНИЛС) субъекта персональных данных

12. Законопроект с новыми определениями в ФЗ-152
• В случае отказа субъекта персональных данных в
предоставлении согласия на обработку персональных данных,
когда данное согласие не предусмотрено федеральными
законами для получения соответствующего товара (работы,
услуги), оператор не вправе отказать субъекту персональных
данных в предоставлении товара (работы, услуги), а равно не
должен препятствовать доступу субъекта персональных данных к
месту (местам) продажи товара (выполнения работы, оказания
услуги)

13. Проект приказа ФСБ – «ацкий ад»
• Настоящий документ устанавливает
состав и содержание необходимых
для выполнения установленных
Правительством Российской
Федерации требований к защите ПДн
для каждого из уровней
защищенности организационных и
технических мер по обеспечению
безопасности ПДн при их обработке в
ИСПДн
• Существенно осложняет жизнь
операторам ПДн
• Требует повсеместного
использования только
сертифицированной криптографии

14. Что еще планируется
• Письмо 42-Т Банка России по усилению контроля за
деятельностью кредитных организаций в части обработки ПДн
• Изменения в ФЗ «О лицензировании отдельных видов
деятельности» (рабочая группа экспертного совета Минкомсвязи)
– В части определения лицензий на ТЗКИ и шифрования
– Введение термина «собственные нужды»
– Замена термина «конфиденциальная информация»
• Отраслевые модели угроз ПДн
– Банка России (уже год ждет согласования с ФСБ) – для банков
– Минкомсвязи – для операторов связи

15. КРИТИЧЕСКИ ВАЖНЫЕ
ОБЪЕКТЫ

16. Недавние и планируемые изменения по направлению
критически важных объектов
• Реализация Основных направления государственной политики в
области обеспечения безопасности автоматизированных систем
управления производственными и технологическими процессами
критически важных объектов инфраструктуры Российской
Федерации
• Указ Президента №31с «О создании государственной системы
обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы РФ»
• Законопроект по безопасности критических информационных
инфраструктур
– Будет вноситься в ГД в апреле 2014
• Постановление Правительства №861 от 02.10.2013
• Приказ ФСТЭК по защите АСУ ТП
Данная тема будет одной из основных в 2014-м

17. ГОСУДАРСТВЕННЫЕ
ИНФОРМАЦИОННЫЕ
СИСТЕМЫ

18. Недавние и планируемые изменения по направлению ГИС
• Приказ ФСТЭК по защите информации в ГИС
• Методический документ по мерам защиты информации в
государственных информационных системах
• Порядок моделирования угроз безопасности информации в
информационных системах
• Методические документы, регламентирующие
– Порядок аттестации распределенных информационных систем
– Порядок обновления программного обеспечения в аттестованных
информационных системах
– Порядок выявления и устранения уязвимостей в
информационных системах
– Порядок реагирования на инциденты, которые могут привести к
сбоям или нарушению функционирования информационной
системы и (или) к возникновению угроз безопасности
информации

19. У ФСТЭК большие планы по регулированию госорганов

20. ФСТЭК унифицирует требования по защите информации
Особенность Приказ по
защите ПДн
Приказ по
защите ГИС/МИС
Проект приказа по
АСУ ТП
Требования по
защите
привязаны к
4 уровням
защищенности
ПДн
4 классам
защищенности
ГИС/МИС
3 классам
защищенности АСУ
ТП
Порядок в
триаде КЦД КЦД ДЦК
Возможность
гибкого выбора
защитных мер
Да Да Да
Проверка на
отсутствие
«закладок»
Требуется для
угроз 1-2 типа
(актуальность
определяется
заказчиком)
Требуется для 1-2
класса
защищенности
ГИС/МИС
Требуется только
при выборе
сертифицированных
средств защиты

21. Но разница между требованиями ФСТЭК все-таки есть
Особенность Приказ по защите
ПДн
Приказ по
защите ГИС/
МИС
Проект приказа по
АСУ ТП
Оценка
соответствия
В любой форме
(нечеткость
формулировки и
непонятное ПП-330)
Только
сертификация
В любой форме (в
соответствии с ФЗ-184)
Аттестация Коммерческий
оператор - на выбор
оператора
Госоператор -
аттестация
Обязательна Возможна, но не
обязательна
Контроль и
надзор
Прокуратура – все
ФСТЭК/ФСБ –
только
госоператоры (РКН не
имеет полномочий
проверять коммерческих
операторов)
ФСТЭК ФСБ и ФОИВ,
ответственный за
безопасность КИИ
(определяется в
настоящий момент)

22. ФСТЭК планирует установить новые требования к
средствам защиты
• ФСТЭК (2013-2015)
– Требования к средствам доверенной загрузки
– Требования к средствам контроля съемных носителей
– Требования к средствам контроля утечек информации (DLP)
– Требования к средствам аутентификации
– Требования к средствам разграничения доступа
– Требования к средствам контроля целостности
– Требования к средствам очистки памяти
– Требования к средствам ограничения программной среды
– Требования к средствам управления потоками информации
(МСЭ, однонаправленные МСЭ, коммутаторы…)
– Требования к средствам защиты виртуализации
– ГОСТы по защите виртуализации и облачных вычислений

23. НАЦИОНАЛЬНАЯ
ПЛАТЕЖНАЯ СИСТЕМА

24. Планы Банка России
• Развитие ИБ в финансовой отрасли Банк России видит за счет
тематик ПДн и банковской тайны, банковского CERT, ИБ
виртуализации и облаков
• ЦБ планирует расширить действие СТО на все отрасли, которые
попали под ЦБ после слияния с ФСФР
• Постепенном идет сдвиг в сторону реального управления
рисками
– Обязательные требования по ИБ могут исчезнуть (исключая
базовый минимум) и банки будут сами выбирать меры защиты
(как в 379-П и т.п.)
• Новая версия СТО 1.0 гармонизирована с 382-П, ПП-1119,
ФЗ-261 и 21-м приказом ФСТЭК
• Предположительно с 01.05.14 новые версии СТО и РС будут
введены в действие

25. Недавние и планируемые изменения по направлению
НПС
• Изменения в 382-П (3007-У)
– Новые требования по защите банкоматов/платежных
терминалов, платежных карт, Интернет и мобильного банкинга
• Отчетность по инцидентам (3024-У)
• Защита банкоматов и платежных терминалов (34-Т и др.)
• Рекомендации по повышению уровня безопасности при
предоставлении розничных платежных услуг с использованием
информационно-телекоммуникационной сети «Интернет» (146-Т)
• Требования по борьбе с вредоносным кодом (49-Т)
• Изменение ст.9 ФЗ-161
• Обязательные нормативы управления операционными рисками
• Национальная система фрод-мониторинга
• Официальный перевод и признание PCI DSS и PA DSS 2.0 и 3.0

26. Планируемые изменения по направлению банковской
тайны
• Новая редакция СТО БР ИББС 1.0 «Обеспечение
информационной безопасности организаций банковской системы
Российской Федерации. Общие положения»
• Новая редакция СТО БР ИББС 1.2 «Методика оценки
соответствия СТО БР ИББС 1.0»
• РС «Ресурсное обеспечение информационной безопасности»
• РС «Требования по к обеспечению информационной
безопасности на стадиях жизненного цикла банковских
приложений»
• РС «Менеджмент инцидентов информационной безопасности»
• РС по виртуализации
• РС по системам контроля утечек информации и мониторинга
социальных сетей
26

27. ОПЕРАТОРЫ СВЯЗИ

28. Недавние и планируемые изменения по направлению
ССОП
• Закон «О внесении изменений в отдельные законодательные акты
Российской Федерации по вопросам регулирования отношений при
использовании информационно-телекоммуникационной сети
Интернет» и ФЗ-139 «О защите детей от негативной информации»
• Постановление Правительства №611 от 15.04.2013 «Об
утверждении перечня нарушений целостности, устойчивости
функционирования и безопасности единой сети электросвязи РФ»
• Иных требований по информационной безопасности на
операторов связи пока не планируется
• Все изменения касаются контроля Интернет
– Антипиратский закон, контроль социальных сетей, Единая система
аутентификации (ЕСИА), запрет анонимайзеров, регулирование
Интернет-компаний как организаторов распространения
информации, регулирование облачных вычислений и т.п.

29. ЧТО ЕЩЕ

30. Что еще планируется?
• Законопроект о запрете использования чиновниками и
госслужащими несертифицированных мобильных устройств
– Фактически эти нормы уже установлены действующими НПА
• Законопроект о запрете размещения сайтов государственных
органов за пределами Российской Федерации
– Фактически эти нормы уже установлены действующими НПА
• Стратегия кибербезопасности РФ
– Статус подвис в воздухе
• Новая статья в КоАП за препятствование доступу к сайтам в
Интернет
– Из антитеррористического законопроекта
• Законопроект по борьбе с SMS-спамом

31. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 31
Благодарю вас
за внимание
security-request@cisco.com