Документ анализирует текущие тренды и проблемы нормативно-правовой базы в области информационной безопасности в России, акцентируя внимание на увеличении требований и недостаточной осведомленности об их соблюдении. Упоминаются основные изменения и вызовы, такие как необходимость в импортозамещении и защите персональных данных, а также участие новых государственных инициатив и запланированный пересмотр устаревших документов. Обсуждается появление новых регуляций, направленных на регулирование Интернета и защиту данных, а также недочеты в существующих подходах к кибербезопасности.

1. Основные направления и тенденции
развития нормативно-правовой базы
Российской Федерации в области
информационной безопасности
Андрей Прозоров, CISM
Ведущий эксперт по
информационной безопасности
Минск
31-­‐03-­‐2015

2. Требований
становится
все
больше
и
больше,
документы
часто
обновляются
3 базовые проблемы
Требований
много,
сложно
найти
конкретные
рекомендации
по
их
выполнению
Требования
ИБ
редко
учитываются
при
построении
крупных
ИС.
ИТ-­‐шники
о
них
просто
не
знают…

3. • Увеличивается
количество
рабочих
групп
и
совещаний
с
привлечение
экспертов
отрасли.
Растет
количество
конференций
• Смотрим
в
сторону
«лучших
мировых
практик»
(27001,
NIST),
но
пока
не
можем
прийти
к
«процессному
подходу»
взамен
«объектно-­‐ориентированного»
• Понемногу
начинаем
ориентироваться
не
только
на
защиту
конфиденциальности,
но
еще
доступности
и
целостности
информации
• Курс
на
совершенствование
методологий
ФСТЭК
России
(гос.ИС,
ПДн,
ключевые
системы)
и
ЦБ
РФ
(банковская
и
платежная
информация)
• Много
ГОСТов
(переводных
стандартов
ISO)
Развитие методологий по ИБ

4. 1. Общие
вопросы
кибербезопасности
2. Обработка
и
Защита
персональных
данных
(ПДн)
3. Контроль
сети
Интернет
4. ГОСТ
15408
(сертификация
СЗИ)
5. Импортозамещение
«Теплые» и «горячие» темы

5. Национальные стратегии
кибербезопасности в Мире
hhp://www.enisa.europa.eu/acvvives/Resilience-­‐and-­‐CIIP/navonal-­‐cyber-­‐security-­‐
strategies-­‐ncsss/navonal-­‐cyber-­‐security-­‐strategies-­‐in-­‐the-­‐world
• Австрия,
2013
• Бельгия,
2014
• Чешская
Республика,
2011
• Эстония,
2014
• Финляндия,
2013
• Франция,
2011
• Италия,
2013
• Германия,
2011
• Венгрия,
2013
• Нидерланды,
2013
• Польша,
2013
• Испания,
2013
• Великобритания,
2011
• Австралия,
2011
• Канада,
2010
• Индия,
2013
• Япония,
2013
• Кения,
2014
• Новая
Зеландия,
2011
• Норвегия,
2012
• Южная
Корея,
2011
• Швейцария,
2012
• Турция,
2013
• США,
2011
• Россия
2000
(Доктрина
ИБ)
• …

6. • Доктрина
ИБ
–
документ
хороший,
но
уже
устаревший.
Ожидаем
пересмотр
в
2015
году
• В
2013/2014
году
рассматривали
проект
Концепции
Стратегии
кибербезопасности.
Но
«не
взлетело»
• Термины
«кибербезопасность»,
«киберугрозы»
в
законодательных
и
нормативных
актах
не
используются
• Акцент
на
защиту
критически
важных
объектов
(КВО)
• Есть
несколько
частных
CERT,
ожидаем
в
2015
году
запуск
FinCERT
(ЦБ
РФ)
и
ГосСОПКА
(ФСБ
России)
• Появилась
база
угроз
и
уязвимостей
ФСТЭК
России
-­‐
hhp://bdu.fstec.ru
Кибербезопасность

7. • Отдельный
152-­‐ФЗ
«О
персональных
данных»
с
2006
года.
Уже
16я
редакция
закона
• Основные
регуляторы:
РКН,
ФСТЭК
России
и
ФСБ
России
• Требования
регуляторов
по
защите
ПДн
кардинально
менялись
уже
3
раза.
Требований
много…
• Рекомендации
и
шаблоны
доступны
лишь
для
ранних
версий
требований
• Штраф
за
несоблюдение
требований
порядка
50-­‐200$,
штрафов
за
утечку
нет.
Уже
пару
лет
хотят
поднять
до
5
000
–
20
000
$
и
расширить
состав
нарушений
• Новое
требование
–
«запрет
хранения
ПДн
за
границей»
(по
факту,
лишь
требование
по
обработке
на
территории
РФ)
Обработка и защита ПДн
Т.к.
Вероятность
проверок
и
величина
штрафов
минимальны,
а
требования
меняются
часто,
и
их
выполнять
не
просто,
то
многие
операторы
ПДн
или
«выжидают»
или
занимаются
«бумажной
безопасностью»

8. Контроль сети Интернет
• Основной
закон
–
149-­‐ФЗ
«Об
информации,
информационных
технологиях
и
о
защите
информации».
За
последние
несколько
лет
вырос
в
объеме
примерно
в
2
раза
за
счет
добавления
статьей
про
контроль
сети
Интернет
• Ведется
реестр
запрещенных
сайтов
(«Единый
реестр
доменных
имён,
указателей
страниц
сайтов
в
сети
«Интернет»
и
сетевых
адресов,
позволяющих
идентифицировать
сайты
в
сети
«Интернет»,
содержащие
информацию,
распространение
которой
в
РФ
запрещено»)
• Основания
для
блокировки:
Наркотики,
Призывы
к
суициду,
Порно
с
несовершеннолетними,
Фильмы,
защищенные
исключительными
правами,
Наличие
призывов
к
массовым
беспорядкам,
экстремизм,
Размещение
ложной
информации
о
банках
(проект)
• Закон
«о
блогерах»
(+об
организаторе
распространения
информации
в
сети
«Интернет»)
Основной
мотив
-­‐
защита
детей
от
информации,
причиняющей
вред
их
здоровью
и
развитию

9. Аналитика Левада-Центр

10. Сертификация СЗИ по ГОСТ 15408
Ожидаем
• Средства
защиты
от
несанкционированного
вывода
(ввода)
информации
(DLP-­‐системы)
• Средства
контроля
и
анализа
защищенности
• Средства
ограничения
программной
среды
• Средства
межсетевого
экранирования
• Средства
управления
потоками
информации
• Средства
идентификации
и
аутентификации
• Средства
управления
доступом
• Средства
разграничения
доступа
• Средства
контроля
целостности
• Средства
очистки
памяти
А
также
требования
к:
• Средствам
защиты
среды
виртуализации
• Базовым
системам
ввода-­‐вывода
• Операционным
системам
• Система
управления
азами
данных
Основная
проблема
–
ГОСТ
15408
обновился
в
2014
году
Уже
есть
требования
к:
• Системы
обнаружения
вторжений
• Средства
антивирусной
защиты
• Средства
доверенной
загрузки
• Средства
контроля
съемных
носителей
информации

11. Импортозамещение (не только ИТ)
• Тема
не
нова.
Есть
упоминание
в
Доктрине
ИБ
(2000)
и
Стратегии
развития
ИТ
до
2025
года
• Опасаемся
риска
санкций
(сложности
с
покупкой,
обновлением
и
тех.поддержкой)
• Опасаемся
рисков
НДВ
• Многие
СЗИ
можно
импортозамещать.
С
АО
и
основным
ПО
(ОС)
сложнее…
• Все
идет
к
спискам
рекомендованного
ПО
(отраслевые
и
для
гос.оранизаций)
• Государство
готово
выделять
бюджеты
на
долгосрочные
программы

12. Дзякуй за ўвагу!
www.infowatch.ru
+7 495 22 900 22
Андрей Прозоров, CISM
Моя почта: Andrey.Prozorov@infowatch.com
Мой твиттер: twitter.com/3dwave
Мой блог: 80na20.blogspot.com