Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
О чем могли бы рассказать
регуляторы, если бы они
пришли на секцию
Алексей Лукацкий
Бизнес-консультант по безопасности
16 April 2015

2008
2010
2012 2013
2014
2015
Journey of building a stronger Security Business
2011
2000-е
Краткий обзор развития законодательства по ИБ
ПДн
СТОv4
382-П АСУ ТП
ПДн
БДУ
ГИС
ПДн
ПДн
CERTы
СОПКА
МИБАСУ ТП
КИИ
ПДн
СТОv5
СТО/РС
СТР-К
ПКЗ

3© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Национальная платежная
система и банки

Изменения по направлению НПС/банковской тайны
Что было?
•  382-П (3361-У)
•  42-Т
•  49-Т
•  242-П (3241-У)
•  437-П
•  СТО БР ИББС 1.0 и 1.2
•  Отмена РС 2.3 и 2.4
•  Принятие новых РС 2.5, 2.6, 2.7
и 2.8
Что будет?
•  Новые РС
•  Требования для организаций
финансового рынка
•  FinCERT
•  Отраслевая модель угроз ПДн
•  НСПК
•  Поправки в УК, УПК…
•  Оценка соответствия
приложений
•  Смена «владельца» 382-П (?)

Новые РС – 2.7 и 2.8
§  Рекомендации в области стандартизации Банка
России «Обеспечение информационной
безопасности организаций банковской системы
Российской Федерации. Обеспечение
информационной безопасности при
использовании технологий виртуализации» (РС БР
ИББС-2.7-2014)
§  Рекомендации в области стандартизации Банка
России «Обеспечение информационной
безопасности организаций банковской системы
Российской Федерации. Ресурсное обеспечение
информационной безопасности» (РС БР
ИББС-2.8-2014)

Новости стандартизации
§  ЦБ готовит в 2015-2016 гг. РС по
предотвращению утечек, по антифроду, по
распределению ролей, по облакам и
аутсорсингу, по расследованию инцидентов
РС по классификации информации частично вошла в РС по
предотвращению утечек
§  ЦБ планирует пересмотреть СТО БР
ИББС-1.1, РС БР ИББС-2.0, РС БР ИББС-2.1,
РС БР ИББС-2.2
§  ЦБ планирует расширить действие СТО 1.0 и
1.2 на все отрасли, которые попали под ЦБ
после слияния с ФСФР

Что с отраслевой моделью угроз ПДн?
§  Проект Указания Банка России «Об определении
угроз безопасности персональных данных,
актуальных при обработке персональных данных
в информационных системах персональных
данных»
Полностью переиграли документ в условиях текущей
геополитической ситуации
Угрозы 1-го и 2-го типа уже не считаются неактуальными
изначально – решение отдается на откуп банкам
Заново отправлен на согласование в ФСТЭК и ФСБ
§  Переподписание «письма шести»
После актуализации СТО БР

Информационная безопасность НСПК
§  НСПК – часть НПС и подчиняется требованиям 382-П
§  Отдельных документов по безопасности НСПК пока не планируется
1 этап
•  Реализация отечественного HSM,
повторяющего функционал
импортных аналогов с
использованием отечественных
криптоалгоритмов только в
автономных режимах
2 этап
•  Реализация в отечественном HSM
набора дополнительных команд с
использованием отечественных
криптоалгоритмов
•  Реализация с использованием
отечественного HSM трёхуровневой
PKI инфраструктуры с
использованием импортных и
отечественных крипто алгоритмов
•  Реализация корневого УЦ НПС
(аналога УЦ МПС Visa или
MasterCard)
3 этап
•  Разработка отечественной чиповой
карты
•  Разработка спецификаций и
приложений с поддержкой
отечественных криптоалгоритмов
для всех устройств, участвующих в
поддержке платежных транзакций.
•  Разработка программы подготовки к
эмиссии карт НПС и поэтапного
перевода всех устройств на работу с
двумя криптографическими
алгоритмами

Противодействие преступлениям в финансовой сфере
§  Подготовлены изменения в законодательство
направленное на противодействие
преступлениям в финансовой сфере с
применением современных технологий
ФЗ-395-1, ФЗ-86, ФЗ-161
В статьи 159.3 УК РФ, 187 УК РФ, 272 УК РФ, статью 152
УПК РФ, проекты статей 183.1 УК РФ и 183.2 УК РФ
Изменения в АПК
Подготовлены предложения по проекту ФЗ «О внесении
изменений в некоторые законодательные акты РФ (в части
противодействия хищению денежных средств)»

Российский PADSS? Когда?
§  Вновь поднимается идея об оценке качества
ПО АБС и платежных приложений
Распоряжение Совета Безопасности
Не до конца проработан механизм оценки – через СРО или
сертификацию?
§  Кто будет входить в СРО?
Разработчики ПО
Интеграторы
Аудиторы
§  Много открытых вопросов про СРО или оценке
соответствия
Как минимум, требуется изменение законодательства

Контроль качества данных и ПО
§  Проект Положения Банка России «О порядке расчёта величины кредитного
риска на основе внутренних рейтингов» – первый нормативный документ
Банка России, в котором планируется реализовать требования абз. 1 ст. 72.1
Федерального закона РФ от 10.07.2002 №86-ФЗ
§  Банк обеспечивает в течение всего периода функционирования ИС защиту от
несанкционированных и нерегламентированных изменений и удалений
данных путем принятия мер инф. безопасности (ИБ):
мер по обеспечению ИБ на всех стадиях жизненного цикла ИС,
мер по управлению доступом к данным и его регистрацией,
мер по применению средств защиты от воздей-я вредоносного кода,
мер по обеспечению ИБ при использовании сети Интернет,
мер по обеспечению ИБ путем экспл-и ср-в крипт. защиты инф-и,
мер по обнаружению и реагированию на инциденты ИБ,
мер по мониторингу обеспечения ИБ

Новости по отчетности
§  Вопрос о слиянии 258-й и 203-й форм так и
не решен
Т.к. они разработаны для разных целей – развития и
надзора в НПС
§  Результаты 202-й и 203-й отчетности
должны были быть опубликованы в марте
2015 года
Но видимо уже и не будут
§  Передавать (отменять) 203-ю отчетность
под FinCERT пока не планируется
И цели у 203-й отчетности иные, и FinCERT пока не
заработал

Готовится методика проверки по вопросам безопасности

FinCERT должен быть запущен 1-го мая 2015-го года
§  Задержка с созданием FinCERT связана с
Крымом и текущей экономической ситуацией
§  Не только НСПК
§  Большое количество вопросов, связанных с
функционированием FinCERT, порядок
предоставления в него информации,
ответственности/обязанности,
предоставляемой из FinCERT информации
Только техническая информация (черные списки, домены,
IP, анализ malware, Threat Intelligence и т.п.) или правила
антифрода?
§  Интеграция с ГосСОПКА

ФСТЭК и Банк России: схожесть подходов
Банк России
•  РС по виртуализации
•  РС по утечкам
•  РС по облакам
•  РС по жизненному циклу
•  РС по менеджменту
инцидентов
•  РС по ресурсному
обеспечению
ФСТЭК
•  ГОСТ по виртуализации
•  РД по утечкам
•  ГОСТ по облакам
•  ГОСТы по SDLC и
управлению уязвимостями
•  Методичка по управлению
инцидентами
•  ГОСТ по показателям
качества

Планы ФСТЭК

Изменения по направлению ГИС
Что было?
•  Приказ ФСТЭК №17 по защите
информации в ГИС
•  Методический документ по мерам
защиты информации в
государственных
информационных системах
Что будет?
•  Порядок моделирования угроз
безопасности информации в
•  Новая редакция приказа №17 и
«мер защиты в ГИС»
•  Методические и руководящие
документы ФСТЭК
•  Законопроекты о запрете хостинга
ГИС за пределами РФ, о
служебной тайне, по
импортозамещению…

Меры по защите информации: общее
Защитная мера ПДн ГИС АСУ ТП
Идентификация и аутентификация субъектов доступа и объектов доступа
+ + +
Управление доступом субъектов доступа к объектам доступа
+ + +
Ограничение программной среды
+ + +
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ
+ + +
Регистрация событий безопасности
+ + +
Антивирусная защита
+ + +
Обнаружение (предотвращение) вторжений
+ + +
Контроль (анализ) защищенности персональных данных
+ + +
Обеспечение целостности информационной системы и КИ
+ + +
Обеспечение доступности персональных данных
+ + +
Защита среды виртуализации
+ + +
Защита технических средств
+ + +
Защита информационной системы, ее средств, систем связи и передачи данных
+ + +

Меры по защите информации: различия
Защитная мера ПДн ГИС АСУ ТП
Управление инцидентами
+ +
Управление конфигурацией информационной системы и системы защиты КИ
+ +
Безопасная разработка прикладного и специального программного обеспечения разработчиком
+
Управление обновлениями программного обеспечения
+
Планирование мероприятий по обеспечению защиты информации
+
Обеспечение действий в нештатных (непредвиденных) ситуациях
+
Информирование и обучение пользователей
+
Анализ угроз безопасности информации и рисков от их реализации
+
•  Планы
–  Унификация перечня защитных мер для всех трех приказов
–  Выход на 2-хлетний цикл обновления приказов
§  Начаты работы по подготовке второй редакции 17-го приказа
В первой половине 2016-го года планируется принятие
§  Предполагается унифицировать набор защитных мер во всех 3-х
приказах

Новые требования к средствам защиты
§  Совершенствование сертификации
средств защиты информации
Планируется разработка большого количества РД
с требованиями к средствам защиты
Изменение подходов к сертификации
Совершенствование порядка аккредитации
органов по сертификации и испытательных
лабораторий
Совершенствование порядка сертификации
Уточнение порядка обновления
сертифицированных средств защиты информации
А также
•  Требования к средствам защиты виртуализации,
BIOS, ОС и СУБД
•  Требования к средствам защиты информации от
утечки по техническим каналам

Планируемые методические документы ФСТЭК
§  Порядок аттестации информационных систем
§  Порядок обновления программного обеспечения
и информационных систем
§  Порядок выявления и устранения уязвимостей в
§  Защита информации в информационной системе при
использовании мобильных устройств
§  Порядок реагирования на инциденты, связанных с
нарушением функционирования информационной
системы
§  Защита информации в информационных системах при
применении устройств беспроводного доступа
Разработка
запланирована
на второй квартал
этого года

Усиление внимания к безопасности ПО
§  Новые требования к СрЗИ
§  3 ГОСТа по уязвимостям
§  Проект ГОСТа по SDLC – планируется принятие
в конце года
§  Банк данных уязвимостей и угроз
§  Методика обновления ПО, включая
сертифицированное

Методика моделирования угроз
§  Методика определения угроз безопасности
информации в информационных системах
§  Распространяется на
ГИС / МИС
ИСПДн
§  Не распространяется на угрозы СКЗИ и ПЭМИН
§  Отменяет «методику определения актуальных
угроз…» 2008-го года
§  Применяется совместно с банком данных угроз
ФСТЭК

Новые ГОСТы по защите информации
§  Готовящиеся ГОСТы
Безопасность суперкомпьютерных и грид-технологий
ИБ виртуализации
ИБ «облачных вычислений»
Документация по технической защите информации на объекте
информатизации
Угрозы безопасности информации
Номенклатура показателей качества
Основные термины и определения
Гармонизация 72-х стандартов ISO

АСУ ТП, КСИИ, КИИ и КВО

Изменения по направлению КИИ / КСИИ / КВО / АСУ ТП
Что было?
АСУ ТП
•  Концепция государственной
системы обнаружения,
предупреждения и ликвидации
последствий компьютерных атак
на информационные ресурсы
РФ
Что будет?
•  Законопроект по безопасности
критических информационных
инфраструктур
•  Законопроект о внесении
изменений в связи с принятием
закона о безопасности КИИ
•  Подзаконные акты
•  Приказы и методички ФСБ
•  Методические документы
ФСТЭК

Поправки в связи с принятием закона о безопасности КИИ
§  Поправки в УК РФ и УПК РФ
Внесение изменений в статьи 272, 274, 151 (УПК)
§  Поправки в закон «О государственной тайне»
Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени
опасности
§  Поправки в 294-ФЗ
Выведение из под порядка проведения проверок КИИ
§  Поправки в 184-ФЗ
Исключение двойного регулирования

Что еще готовится в связи с законопроектом о
безопасности КИИ?
§  Определение ФОИВ, уполномоченного в области безопасности КИИ
Через 6 месяцев после принятия закона
§  Постановления Правительства «Об утверждении показателей критериев
категорирования элементов критической информационной инфраструктуры»
Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности
КИИ
§  Постановление Правительства «Об утверждении порядка подготовки и
использования ресурсов единой сети связи электросвязи для обеспечения
функционирования и взаимодействия объектов КИИ»
§  Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи

Планируемые приказы уполномоченного ФОИВа
§  Приказ уполномоченного ФОИВ об утверждении требований по
безопасности КИИ
Это не 31-й приказ!!!
§  Приказ уполномоченного ФОИВ об аккредитации организаций,
уполномоченных проводить оценку защищенности КИИ
§  Приказ уполномоченного ФОИВ о представлении сведений для
категорирования
§  Приказ уполномоченного ФОИВ о контроле/надзоре
§  Приказ уполномоченного ФОИВ о реестре объектов КИИ

Планируемые приказы ФСБ (8-й Центр)
§  Приказ ФСБ об утверждении порядка реагирования на компьютерные
инциденты и ликвидации последствий компьютерных атак на объектах КИИ
§  Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА
§  Приказ ФСБ о порядке доступа к информации в СОПКА
§  Приказ ФСБ об утверждении требований к техсредствам СОПКА
§  Приказ ФСБ об установке и эксплуатации техсредств СОПКА
§  Приказ ФСБ о национальном CERT
§  Приказ о порядке и периодичности проведения мероприятий по оценке
степени защищенности критической информационной инфраструктуры

Планируемые методические документы ФСБ (8-й Центр)
§  Методика обнаружения компьютерных атак на информационные системы и
информационно-телекоммуникационные сети
§  Порядок обмена информацией между федеральными органами
исполнительной власти о компьютерных инцидентах
§  Порядок обмена информацией между федеральными органами
исполнительной власти и уполномоченными органами иностранных
государств (международными организациями) о компьютерных инцидентах
§  Методические рекомендации по организации защиты критической
информационной инфраструктуры Российской Федерации от компьютерных
атак

Планируемые методические документы ФСТЭК
§  Применение «старых» документов ФСТЭК по КСИИ в качестве
рекомендательных и методических
«Рекомендации…» и «Методика определения актуальных угроз…»
§  Порядок выявления и устранения уязвимостей в АСУ ТП
§  Методика определения угроз безопасности информации в АСУ ТП
§  Порядок реагирования на инциденты, связанные с нарушением
безопасности информации
§  Меры защиты информации в АСУ ТП
По аналогии с «Мерами защиты в ГИС»
2016 год

Персональные данные

Изменения по направлению ПДн
Что было?
ПДн в ИСПДн
•  Приказ об отмене «приказа
трех» по классификации
ИСПДн
•  Приказ и методичка РКН по
обезличиванию
•  Закон 242-ФЗ о запрете
хранения ПДн россиян за
границей
•  Письмо Банка России 42-Т
•  Приказ ФСБ №378 по
использованию СКЗИ для
защиты ПДн
•  ПП-911 по отмене
обязательного обезличивания
Что могло быть?
•  Работа Межведомственного
экспертного совета при
Минкомсвязи по
совершенствованию
законодательства в области
регулирования отношений,
связанных с обработкой ПДн
•  Отраслевые модели угроз
•  Ратификация дополнительного
протокола Евроконвенции (181)
•  Законопроект по
ответственности за
неуведомление о утечке ПДн
•  Законопроект по запрету отказа
от предоставления услуг при
отказе от дачи согласия на
обработку ПДн
Что будет?
•  Законопроект Совета
Федерации по внесению
изменений в ФЗ-152
•  Законопроект по внесению
изменений в КоАП
•  Поправки в ФЗ-242 (?)
•  Новые обязанности РКН
•  Выход РКН из под действия
294-ФЗ
•  Изменения в приказ №21
•  Совет Европы примет новый
вариант ЕвроКонвенции

Правонарушение
Нарушаемая статья
законодательства
Наказание для
должностных лиц
Наказание для
юридических лиц
Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей
Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей
Незаконная обработка
спецкатегорий ПДн
Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей
Неопубликование политики в
области ПДн
Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей
Отказ в предоставлении
информации субъекту
Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей
Отказ в уничтожении или
блокировании ПДн
Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей
Нарушение правил хранения
материальных носителей ПДн
ПП-687 4-10 тысяч рублей 25-50 тысяч рублей
Нарушение правил обезличивания
(для госов)
ПП-211 и приказ РКН
№996
3-6 тысяч рублей Не предусмотрено
Законопроект по штрафам прошел первое чтение

Доктринальные документы

Настало время изменения доктринальных документов
Что было?
•  Душанбинская декларация о МИБ
от имени ШОС
•  Основы госполитики в области МИБ
•  Двусторонние соглашения по МИБ с
Кубой, Беларусью и Бразилией
•  CERT для ОДКБ
•  Сотрудничество по ИБ в рамках
СНГ
•  Соглашение о мерах доверия в
киберпространстве с США
Что будет?
•  Двусторонние соглашения по МИБ с
Китаем
•  Гармонизация законодательства по
ИБ в рамках ОДКБ
•  Конвенция по МИБ для стран-
участниц БРИКС
•  Доктрина ИБ
•  Основы госполитики в области
формирования культуры ИБ

Благодарю
за внимание

Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?

More Related Content

What's hot

Viewers also liked

Similar to Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?

More from Aleksey Lukatskiy

Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?