Презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго и т.п.
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
Презентация "Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно" задает несколько вопросов относительно проектов приказов ФСБ по ГосСОПКЕ
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
Презентация "Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно" задает несколько вопросов относительно проектов приказов ФСБ по ГосСОПКЕ
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1
Обзор ключевых/приоритетных мер защиты информации среди множества (тысяч) требований, указанных в различных нормативных актах и лучших практиках. Основной упор сделан на SANS Top 20 / CIS Controls и ASD 35
Обзор применения искусственного интеллекта в кибербезопасности как с позитивной, так и с негативной стороны. Как ИИ используют безопасники. Как ИИ используют хакеры. Какие угрозы могут быть для ИИ.
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
Опираясь на опыт службы ИБ Cisco, имеющей SOC с 19-тилетней историей, опираясь на опыт проектирования и построения SOC у сотни заказчиков, и опираясь на опыт аутсорсинга SOC у другой сотни заказчиков, у нас накопился большой опыт в области центром мониторинга ИБ и реагирования на инциденты. И вот на SOC Forum KZ я выбрал 5 советов, недооценка которых может сделать проект по SOC неудачным. Это не единственные советы, но за 20 отведенных мне минут, больше просто не получилось.
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1
Обзор ключевых/приоритетных мер защиты информации среди множества (тысяч) требований, указанных в различных нормативных актах и лучших практиках. Основной упор сделан на SANS Top 20 / CIS Controls и ASD 35
Обзор применения искусственного интеллекта в кибербезопасности как с позитивной, так и с негативной стороны. Как ИИ используют безопасники. Как ИИ используют хакеры. Какие угрозы могут быть для ИИ.
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
Опираясь на опыт службы ИБ Cisco, имеющей SOC с 19-тилетней историей, опираясь на опыт проектирования и построения SOC у сотни заказчиков, и опираясь на опыт аутсорсинга SOC у другой сотни заказчиков, у нас накопился большой опыт в области центром мониторинга ИБ и реагирования на инциденты. И вот на SOC Forum KZ я выбрал 5 советов, недооценка которых может сделать проект по SOC неудачным. Это не единственные советы, но за 20 отведенных мне минут, больше просто не получилось.
Решения Cisco по защите автоматизированных систем управления технологическими...Cisco Russia
Сегодня, в условиях поголовной информатизации всех сфер жизни, как никогда остро встает задача обеспечения информационной безопасности критически важных объектов (КВО), ответственных за функционирование различных систем жизнеобеспечения, финансового управления, транспорта, ЖКХ, энергетики и т.п. Но если раньше такие системы создавались изолированными от Интернет и на базе проприетарных протоколов и технологий, то сейчас ситуация совершенно иная. Бизнес-необходимость требует унификации и стандартизации используемых решений, что и обуславливает массовый переход на новые поколения индустриальных сетей, использующих протокол IP, универсальные операционные системы, подключение к Интернет и т.п. Собранная за последние годы статистика уязвимостей и инцидентов в таких сетях показывает, что число проблем постоянно нарастает. Все это приводит к необходимости пересмотра подходов к защите критических важных объектов и функционирующих на них автоматизированных системах управления технологическими процессами (АСУ ТП).
Текущее состояние проблемы безопасности АСУ ТП в России и миреКРОК
Семинар КРОК 25 февраля 2016 г. «Информационная безопасность промышленных систем»
Доклад «Текущее состояние проблемы безопасности АСУ ТП в России и мире»
Антон Шипулин, руководитель проектов направления информационной безопасности КРОК
Подробнее http://www.croc.ru/action/webinars/59878/
Совокупность последних положений регуляторов предполагает построение замкнутого и адаптивного комплекса требований, создающего предпосылки для построения систем со "встроенной безопасностью", что является необходимым условием обеспечения ИБ современных информационных систем.
Мое выступление на Kaspersky ICS Security Conference в сентябре 2020 года в Сочи о том, на что обращать внимание при разработке дашбордов по ИБ АСУ ТП для лиц, принимающих решения
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
Презентация на GDPR Day Online про техническую защиту персональных данных в соответствие с GDPR и ФЗ-152. Куча ссылок на стандарты и методички по защите ПДн в облаках, блокчейне, BYOD, ML, Big Data и т.п., а также чеклисты по технической защите ПДн от CNIL, ICO и др.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
Презентация о том, как можно вынести тему ИБ на руководство финансовой организации? Как говорить с ним на языке денег и какие метрики использовать, если мы не можем монетизировать тему ИБ?
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
Что нам ждать от законодательства по безопасности критической инфраструктуры
1. 31 марта 2017
Бизнес-консультант по безопасности
Последствия принятия
законопроекта по
безопасности критической
инфраструктуры
Алексей Лукацкий
2. Законопроект
Внесение в ГосДуму
• Выполнение
требований ФСБ
по
реагированию
на инциденты
• Присоедине-
ние к сетям
электросвязи
• Новый
регулятор
(ФСТЭК или
ФСБ)
• Категорирование
объектов КИИ
Декабрь 2016
• Присоединение
к ГосСОПКЕ
3. Кто будет отнесен к КИИ?
единообразия в терминологии
в основных нормативных
правовых актах –
законопроекте о безопасности
КИИ, основах госполитики в
области безопасности АСУ ТП,
приказе ФСТЭК №31 и
документах МинЭнерго и МЧС
Отсутствие
4. Что такое критическая
информационная инфраструктура?
Законопроект «О безопасности КИИ»
2013
• Совокупность
автоматизированных систем
управления
производственными и
технологическими процессами
критически важных объектов и
обеспечивающих их
взаимодействие
информационно-
телекоммуникационных сетей,
а также информационных
систем и сетей связи,
предназначенных для решения
задач государственного
управления, обеспечения
обороноспособности,
безопасности и правопорядка
2014
• Совокупность
информационных систем,
информационно-
телекоммуникационных сетей
и сетей связи, прекращение
или нарушение которых может
повлечь отрицательные
(негативные) последствия в
политической, социальной,
экономической, экологической
сферах, а также в сфере
обороноспособности,
обеспечения безопасности
государства и правопорядка,
управления и предоставления
государственных услуг
2016
• Совокупность объектов
критической информационной
инфраструктуры, а также сетей
электросвязи, используемых
для организации
взаимодействия объектов
критической информационной
инфраструктуры между собой
5. Отдельные категории субъектов КИИ
возможно, перейдут под
регулирование Банка России с
его множеством нормативных
документов по защите
информации (пока на уровне
предложений)
Финансовые
организации
подпадают под регулирование
Министерства связи и
массовых коммуникаций,
которое разработает
требования по защите по
согласованию с ФОИВ по
безопасности КИИ
Операторы
связи
6. Объекты КИИ образца 2016-го года
Госорганы
Оборонная
промышленность
Здравоохранение Транспорт Отрасль связи
Кредитно-финансовая
сфера
Энергетика
Топливная
промышленность
Атомная
промышленность
Ракетно-космическая
промышленность
Горнодобывающая
промышленность
Металлургическая
промышленность
Химическая
промышленность
Правоохранительные
структуры
МЧС
Географические и
навигационные
системы
Системы
спецназначения
Водоснабжение и
гидротехнические
сооружения
Управление
потенциально
опасными объектами
Системы
телерадиовещания и
информирования
населения
Общегосударственные
кадастры и базы
данных
7. Кто регулятор?
ФОИВ по
безопасности КИИ
• Правила ведения
реестра
• Проверка
правильности
категорирования
• Требования по
безопасности для
каждой категории
значимых объектов
• Госконтроль
ФОИВ по ГосСОПКЕ
• Оценка состояния
защищенности
• Порядок
реагирования на
компьютерные
инциденты
• Порядок ликвидации
последствий
компьютерных атак
• Порядок обмена
информацией об
инцидентах
• Устанавливает на
объектах КИИ и
сетях электросвязи
элементы ГосСОПКИ
• Требования к
ГосСОПКЕ
Минкомсвязи
• Требования по
безопасности для
объектов связи и
ИТС
• Порядок и
техусловия
установки элементов
ГосСОПКИ на сетях
электросвязи
Правительство
• Показатели
критериев
категорирования
• Порядок
категорирования
• Порядок госконтроля
значимых объектов
• Порядок подготовки и
использования сетей
электросвязи для
значимых объектов
9. Национальный координационный
центр по компьютерным инцидентам
НКЦКИ
Субъекты КИИ
Уполномоченные
органы иностранных
государств
Международные и
неправительственные
организации
Обмен информацией о
компьютерных инцидентах
10. Законопроект
Принятие в первом
чтении
• Исключение из
надзора по ФЗ-
294
• Уголовная
ответственно
сть
• Отнесение к
гостайне
• Выполнение
требований по ИБ
Январь 2016
• Установка
средств
обнаружения
атак на сетях
операторов
связи
Принятие во втором
чтении запланировано
на весну 2017
11. Иерархия требований по безопасности
ФЗ
ФОИВ в области
безопасности
КИИ
Требования к АСУ
ТП
Деятельность по
обеспечению
безопасности
Требования к
информационным
системам
Минкомсвязь
Требования к
ИТС и сетям
связи
ФОИВ по
ГосСОПКЕ
Требования к
элементам
ГосСОПКИ
Требования по
реагированию на
инциденты
Требования по
отражению атак
Иные ФОИВы
Дополняющие
требования
Субъект КИИ
Корпоративные
требования
12. Какие документы уже есть?
• Документы ФСТЭК по КСИИ
• Основы госполитики в области
обеспечения безопасности АСУ
ТП КВО
• Указ Президента №31с
• ПП-861 по уведомлению об
инцидентах на объектах ТЭК
• Методические рекомендации по
созданию центров ГосСОПКИ
• Приказ ФСТЭК №31
• РД на промышленные МСЭ
Разработаны
13. Что субъекты КИИ могут ждать от
регуляторов?
Субъект
КИИ
ФОИВ по
безопасности
КИИ
ФОИВ по
ГосСОПКЕ
Информация по:
• угрозам
• уязвимостям
• требованиям ИБ
Информация по:
• средствам и способам атак
• методам обнаружения и
предупреждения
• требованиям к ГосСОПКЕ
14. Какие документы планируется принять?
• Постановления Правительства «Об утверждении
показателей критериев категорирования
элементов КИИ, значений таких показателей, а
также порядка категорирования объектов КИИ»
• Постановления Правительства «Об утверждении
порядка осуществления госконтроля в области
обеспечения безопасности значимых объектов
КИИ»
• Постановление Правительства «Об утверждении
порядка подготовки и использования ресурсов
единой сети связи электросвязи для
обеспечения функционирования значимых
объектов КИИ»
15. Какие документы планируется принять?
• Поправки в закон о связи
• Приказ Минкомсвязи «Об утверждении
требований по обеспечению безопасности
значимых объектов КИИ»
• Приказ Минкомсвязи «Об утверждении
порядка и технических условий установки и
эксплуатации для операторов связи
устанавливаемых в сетях электросвязи
технических средств, предназначенных для
поиска признаков компьютерных атак»
16. Какие документы планируется принять?
• Приказ уполномоченного ФОИВ об утверждении
требований по обеспечению безопасности
значимых объектов КИИ
• Приказ уполномоченного ФОИВ об утверждении
формы предоставления сведений о проведенном
категорировании
• Приказ уполномоченного ФОИВ об утверждении
формы акта по результатам проведенной проверки
в рамках осуществления государственного
контроля в области обеспечения безопасности
значимых объектов КИИ
• Приказ уполномоченного ФОИВ об утверждении
формы реестра объектов КИИ и правил его
ведения
17. Требования ФСТЭК по сертификации
промышленных СрЗИ
установление требований по оценке
соответствия средств защиты
информации, используемых для защиты
АСУ ТП (как минимум) и, возможно, для
объектов критической информационной
инфраструктуры
Также в планах на 2017-й год у ФСТЭК
включена разработка требований по
защите станков с ЧПУ
Предполагается
18. Какие документы планируется принять?
• Методика обнаружения компьютерных атак на
информационные системы и информационно-
телекоммуникационные сети государственных
органов и по согласованию с их владельцами - на
иные информационные системы и
информационно-телекоммуникационные сети
• Порядок обмена информацией между
федеральными органами исполнительной власти о
компьютерных инцидентах, связанных с
функционированием информационных ресурсов
Российской Федерации
• Методические рекомендации по организации
защиты критической информационной
инфраструктуры Российской Федерации от
компьютерных атак
19. Какие документы планируется принять?
• Порядок обмена информацией между
федеральными органами исполнительной власти
и уполномоченными органами иностранных
государств (международными организациями) о
компьютерных инцидентах, связанных с
функционированием информационных ресурсов
• Порядок осуществления деятельности субъектов
СОПКИ в области обнаружения, предупреждения
и ликвидации последствий компьютерных атак
• Порядок и периодичность проведения
мероприятий по оценке степени защищенности
критической информационной инфраструктуры
Российской Федерации от компьютерных атак
20. 3 варианта развития ситуации
Рост
защищенности
Все останется
как есть
Схлопывание
рынка
₽
21. Может ли все остаться как есть?
2006
Законопроект «Об
особенностях
обеспечения
информационной
безопасности
критически важных
объектов
информационной и
телекоммуникационной
инфраструктуры»
2012
Законопроект «О
внесении изменений в
Федеральный закон
«Об информации,
информационных
технологиях и о защите
информации»»
2013
Законопроект «О
безопасности
критической
информационной
инфраструктуры
Российской Федерации»
2016
Законопроект «О
безопасности
критической
информационной
инфраструктуры
Российской
Федерации»
23. Рынок
кибербезопасности РФ
2000+ интеграторов
300+ производителей
100+ аудиторов
30+ образовательных центра
40+ испытательных лаборатории
9 органов по сертификации
440+ органов по аттестации
Рынок кибербезопасности РФ
Рынок
кибербезопасности
КИИ РФ
20+ интеграторов
15+ производителей
7+ аудиторов
3+ образовательных центра
10%
25. Кто находится на пересечении?
ГТ
Рынок
кибербезопасности
АСУ ТП
Рынок кибербезопасности РФ
связанные с лицензией на
работу со сведениями,
составляющими гостайну
• Персонал
• Консалтинг
• Технологии АСУ ТП
• Технологии ИБ
• Процессы
Ограничения
28. Дорожная карта
Гармонизация терминологии и НПА
ФСТЭК, МЧС, ФСБ, СовБез, МинЭнерго, Минтранс,
Росатом, Минкомсвязь, ЦБ…
Координирующий орган
Связь между различными отраслями
Государственно-частное
партнерство
Партнерство, а не давление на бизнес и не диктовка
требований
Разработка нормативной базы
Подзаконные акты (Постановления Правительства,
приказы и др.) и учет принятых НПА
. Государство
29. Дорожная карта
Усиление ответственности
Административная и уголовная ответственность
Категорирование
Четкие критерии и возможность владельцам КИИ
самостоятельно себя категорировать
Гибкость применения СрЗИ
Стимулирование разработки отечественных СрЗИ и
установление дополнительных требований к
зарубежным СрЗИ
Требования к разработчикам КИИ
Установка и контроль реализации требований по ИБ к
разработчикам АСУ ТП и иных ИТ КИИ
. Государство
30. Дорожная карта
Подготовка кадров
Повышение квалификации и разработка ФГОС
От требований к рекомендациям
Методологическая помощь и отраслевые стандарты
Обмен информацией об угрозах
В том числе и с государством (ГосСОПКА) и
международными организациями (ISAC/CERT)
Регулярный аудит и киберучения
Анализ эффективности принятых мер и подготовка к
действиям в нештатных ситуациях
. Бизнес