Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Что нас ждет в отечественном 
законодательстве по ИБ? 
Лукацкий Алексей, консультант по безопасности
Активность законодателей только возрастает 
• В среднем 4 нормативных акта (проекта) в месяц 
– 2012 – 5, 2013 – 4, 2014 –...
Это только начало 
• Около 50 нормативных актов уже запланировано к разработке на 
ближайшее время 
– Они не включены в ди...
Приоритеты давно определены 
• Национальная платежная система и банки 
• Госорганы 
• КВО и ТЭК 
• Операторы связи
Куда движется законодательство? 
Критические 
инфраструктуры 
Персональные данные 
ИБ 
Национальная 
платежная 
система 
Г...
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Недавние и планируемые изменения по направлению ПДн 
Что было 
• Приказ ФСТЭК №21 по защите ПДн в 
ИСПДн 
• Приказ об отме...
На что стоит обратить внимания из недавнего 
• ПП-911 от 06.09.2014 об отмене 
обязательного обезличивания ПДн в 
государс...
На что стоит обратить внимания из недавнего
Закон о запрете хранения ПДн россиян за границей 
• Реализация положения ФЗ-242 «о 
запрете хранения ПДн россиян за 
грани...
Обеспечение конфиденциальности или шифрование? 
• Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 
• Согласно...
Как обеспечить конфиденциальность ПДн? 
• Получить согласие субъекта на передачу ПДн в открытом виде 
• Сделать ПДн общедо...
Только 8-10% операторов использует СКЗИ
Как поступает сама ФСБ и РКН?
Как поступают в Правительстве, МКС, ФСТЭК, у 
Президента и в ФНС?
Вы можете принудить субъекта отказаться от 
конфиденциальности его ПДн 
• РКН раньше на 
своем сайте, а 
портал госуслуг д...
А если сделать их общедоступными? 
• РЖД делает 
регистрационные 
данные 
пользователей 
своего сайта 
общедоступными 
• Р...
А где у вас проходит граница ИСПДн?
Еще четыре сценария 
• Обезличивание из персональных данных делает неперсональные 
• Они выпадают из под ФЗ-152 
• Не треб...
Приказ ФСБ №378 
• Настоящий документ устанавливает 
состав и содержание необходимых 
для выполнения установленных 
Правит...
Приказ ФСБ 
• Даны разъяснения (имеющие характер обязательных) положений 
ПП-1119 
– Например, что такое «организация режи...
Приказ ФСБ 
• Если вдуматься чуть глубже, то вы обязаны будете применять 
СКЗИ класса КВ, если вы опасаетесь, что нарушите...
Соответствие уровней защищенности классам СКЗИ 
• В зависимости от совокупности предположений о возможностях, 
которые мог...
Приказа ФСБ 
• Все помещения, в 
которых ведется 
обработка ПДн, должны 
по окончании рабочего 
дня не просто закрываться,...
О встраивании криптоядра в VPN 
• Можно ли использовать сертифицированное криптоядро в 
составе VPN-решений? 
– Можно 
• Б...
Законопроект по штрафам 
• В новом законопроекте меняется текст статьи 13.11, которая 
устанавливает два состава правонару...
Законопроект РГ Совета Федерации 
• Вводится понятия «обработчика» 
• Защита ПДн в составе профессиональной тайны 
– В соо...
Законопроект РГ Совета Федерации 
• Государственные и муниципальные организации заменяются на 
организации, обрабатывающие...
Вы не забыли про Конвенцию? 
• Ратификация дополнительного протокола к конвенции о защите 
частных лиц в отношении автомат...
КРИТИЧЕСКИ ВАЖНЫЕ 
ОБЪЕКТЫ
Недавние и планируемые изменения по направлению 
КИИ / КСИИ / КВО / АСУ ТП 
Что было 
• Постановление 
Правительства №861 ...
Новый приказ ФСТЭК №31 
• «Об утверждении Требований к 
обеспечению защиты информации в 
автоматизированных системах 
упра...
Ключевые отличия требований по ИБ КСИИ и АСУ ТП 
• Объект защиты 
• Классификация АСУ ТП / КСИИ 
• Уровень открытости цирк...
Поправки в связи с принятием закона о безопасности КИИ 
• Поправки в УК РФ и УПК РФ 
– Внесение изменений в статьи 272, 27...
Что еще готовится в связи с законопроектом о 
безопасности КИИ? 
• Определение ФОИВ, уполномоченного в области безопасност...
Что еще готовится в связи с законопроектом о 
безопасности КИИ? 
• Приказы уполномоченного ФОИВ об аккредитации, о 
предст...
Планируемые методические документы ФСТЭК 
• Применение «старых» документов ФСТЭК по КСИИ в качестве 
рекомендательных и ме...
ГОСУДАРСТВЕННЫЕ 
ИНФОРМАЦИОННЫЕ 
СИСТЕМЫ
Недавние и планируемые изменения по направлению ГИС 
Что было 
• Приказ ФСТЭК №17 по 
защите информации в ГИС 
• Методичес...
Что такое ГИС? 
• В РФ существует множество 
различных классификаций 
информационных систем 
– Особенно для государственны...
Что еще планируется? 
• Законопроект о запрете использования чиновниками и 
госслужащими несертифицированных мобильных уст...
ФСТЭК планирует установить новые требования к 
средствам защиты 
• ФСТЭК (2013-2015) 
– Требования к средствам доверенной ...
У ФСТЭК большие планы по регулированию госорганов и 
муниципалов
Планируемые методические документы ФСТЭК 
• Порядок аттестации распределенных информационных систем 
• Порядок обновления ...
Существуют и еще некоторые требования 
• ИС организаций, подключаемых к инфраструктуре, 
обеспечивающей информационно-техн...
УНИФИКАЦИЯ ЗАЩИТНЫХ 
МЕР ФСТЭК
Меры по защите информации 
• Организационные и технические меры защиты информации, 
реализуемые в АСУ ТП 
– идентификация ...
Меры по защите информации 
• продолжение: 
– защита технических средств и оборудования 
– защита АСУ ТП и ее компонентов 
...
Меры по защите информации: общее 
Защитная мера ПДн ГИС АСУ ТП 
Идентификация и аутентификация субъектов доступа и объекто...
Меры по защите информации: различия 
Защитная мера ПДн ГИС АСУ ТП 
Управление инцидентами + + 
Управление конфигурацией ин...
Методические рекомендации ФСТЭК 
• 11 февраля 2014 утвержден 
методический документ «Меры 
защиты информации в 
государств...
ФСТЭК унифицирует требования по защите информации 
Особенность Приказ по 
защите ПДн 
Приказ по 
защите ГИС/МИС 
Проект пр...
Но разница между требованиями ФСТЭК все-таки есть 
Особенность Приказ по защите 
ПДн 
Приказ по 
защите ГИС/ 
МИС 
Проект ...
Единая методика моделирования угроз 
• Методика определения угроз 
безопасности информации в 
информационных системах 
• Р...
НАЦИОНАЛЬНАЯ 
ПЛАТЕЖНАЯ СИСТЕМА
Недавние и планируемые изменения по направлению 
НПС/банковской тайны 
Что было 
• 382-П (3007-У) 
• 2831-У (3024-У) 
• 55...
Указание 3361-У 
• Утверждено 14 августа 2014 
• Опубликовано в «Вестнике Банка 
России» №83 17 сентября 
• Вступает в сил...
Изменения в 382-П 
• Основные изменения 
– требования к обеспечению защиты 
информации при осуществлении 
переводов денежн...
Что планирует Банк России в новой версии СТО? 
• СТО БР ИББС 1.0 (5-я версия) уже 
принят в ТК122 
– Принятие Банком Росси...
Также Банк России принял с 01.06.2014 
• Четвертую редакцию стандарта Банка России «Обеспечение 
информационной безопаснос...
Также Банк России принял с 01.09.2014 
• Рекомендации в области стандартизации Банка России 
«Обеспечение информационной б...
Планируемые изменения по направлению СТО БР ИББС 
• Проекты новых РС 
– Проект РС по ресурсному обеспечению информационной...
Письмо 49-Т от 24.03.2014 
• Об этом документе ходили 
достаточно давно 
– Чуть ли не с конца 2012-го года 
• Документ оче...
ОПЕРАТОРЫ СВЯЗИ
Недавние и планируемые изменения по направлению 
ССОП 
• Закон «О внесении изменений в отдельные законодательные акты 
Рос...
В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ
Активность будет только нарастать
Нас ждут непростой конец года и начало следующего!
security-request@cisco.com 
Благодарю вас 
за внимание 
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общ...
Prochain SlideShare
Chargement dans…5
×

Последние изменения законодательства по ИБ и его тенденции

9 536 vues

Publié le

Последние изменения законодательства по ИБ и его тенденции

Publié dans : Droit
  • Follow the link, new dating source: ♥♥♥ http://bit.ly/2u6xbL5 ♥♥♥
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • Sex in your area is here: ♥♥♥ http://bit.ly/2u6xbL5 ♥♥♥
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici

Последние изменения законодательства по ИБ и его тенденции

  1. 1. Что нас ждет в отечественном законодательстве по ИБ? Лукацкий Алексей, консультант по безопасности
  2. 2. Активность законодателей только возрастает • В среднем 4 нормативных акта (проекта) в месяц – 2012 – 5, 2013 – 4, 2014 – 6 – Активность будет только возрастать – В октябре почему-то всегда минимальная активность J
  3. 3. Это только начало • Около 50 нормативных актов уже запланировано к разработке на ближайшее время – Они не включены в диаграмму
  4. 4. Приоритеты давно определены • Национальная платежная система и банки • Госорганы • КВО и ТЭК • Операторы связи
  5. 5. Куда движется законодательство? Критические инфраструктуры Персональные данные ИБ Национальная платежная система Государственные ИС Субъекты Интернет- отношений Облачные технологии
  6. 6. ПЕРСОНАЛЬНЫЕ ДАННЫЕ
  7. 7. Недавние и планируемые изменения по направлению ПДн Что было • Приказ ФСТЭК №21 по защите ПДн в ИСПДн • Приказ об отмене «приказа трех» по классификации ИСПДн • Приказ и методичка РКН по обезличиванию • Новая версия стандарта Банка России (СТО БР ИББС) • Закон 242-ФЗ о запрете хранения ПДн россиян за границей • Письмо Банка России 42-Т • Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн • ПП-911 по отмене обязательного обезличивания Что будет • Законопроект Совета Федерации по внесению изменений в ФЗ-152 • Законопроект по внесению изменений в КоАП • Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн • Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181)
  8. 8. На что стоит обратить внимания из недавнего • ПП-911 от 06.09.2014 об отмене обязательного обезличивания ПДн в государственных и муниципальных органах, установленное ПП-211 – Теперь решение об обезличивании отдается на откуп самого оператору ПДн • Приказ ФСТЭК/ФСБ/Минкомсвязи №151/786/461 от 31.12.2013 отменяет приказ по классификации ИСПДн – Теперь только уровни защищенности • Приказ РКН от 05.09.2013 №996 описывает различные варианты обезличивания ПДн
  9. 9. На что стоит обратить внимания из недавнего
  10. 10. Закон о запрете хранения ПДн россиян за границей • Реализация положения ФЗ-242 «о запрете хранения ПДн россиян за границей» – Запрет хранения – Наказание за нарушение – Выведение РКН из под действия 294-ФЗ • Вступает в силу с 1 сентября 2016 года – Будет сдвиг на 01.01.2015 • Будут вноситься изменения – По части «независимого органа» – По части контроля/надзора – По части хранения за пределами РФ
  11. 11. Обеспечение конфиденциальности или шифрование? • Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 • Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: – Не раскрывать ПДн третьим лицам – Не распространять ПДн без согласия субъекта персональных данных – Если иное не предусмотрено федеральным законом • Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… – Ст.19
  12. 12. Как обеспечить конфиденциальность ПДн? • Получить согласие субъекта на передачу ПДн в открытом виде • Сделать ПДн общедоступными • Обеспечить контролируемую зону • Использовать оптические каналы связи при правильной модели угроз • Использовать соответствующие механизмы защиты от НСД, исключая шифрование, например, MPLS или архивирование • Переложить задачу обеспечения конфиденциальности на оператора связи • Передавать в канал связи обезличенные данные • Использовать СКЗИ для защиты ПДн
  13. 13. Только 8-10% операторов использует СКЗИ
  14. 14. Как поступает сама ФСБ и РКН?
  15. 15. Как поступают в Правительстве, МКС, ФСТЭК, у Президента и в ФНС?
  16. 16. Вы можете принудить субъекта отказаться от конфиденциальности его ПДн • РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциально сти • У вас есть выбор – или соглашаться, или нет Ответ Роскомнадзора
  17. 17. А если сделать их общедоступными? • РЖД делает регистрационные данные пользователей своего сайта общедоступными • РКН не против • Шифрование в таком случае не нужно
  18. 18. А где у вас проходит граница ИСПДн?
  19. 19. Еще четыре сценария • Обезличивание из персональных данных делает неперсональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность Обезличивание • Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн Оператор связи • Снять информацию с оптического канала связи возможно, но непросто и недешево • Почему бы не зафиксировать в модели угроз соответствующую мысль Оптика • Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование • Например, MPLS, обеспечивающая разграничение доступа Виртуальные сети
  20. 20. Приказ ФСБ №378 • Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн • Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года
  21. 21. Приказ ФСБ • Даны разъяснения (имеющие характер обязательных) положений ПП-1119 – Например, что такое «организация режима обеспечения безопасности помещений», «сохранность персональных данных», «электронный журнал сообщений» и т.п. • Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными • 8-й Центр сознательно или несознательно, но ограничил применение для защиты ПДн СКЗИ классом КС3 (!) и выше – Если вы считаете, что потенциальный нарушитель может получить доступ к средствам вычислительной техники, на которых установлены СКЗИ, то необходимо применять СКЗИ не ниже КС3
  22. 22. Приказ ФСБ • Если вдуматься чуть глубже, то вы обязаны будете применять СКЗИ класса КВ, если вы опасаетесь, что нарушитель может привлечь специалистов, имеющих опыт разработки и анализа СКЗИ – А сейчас нет ограничений на таких специалистов - криптографию преподают в 100 с лишним ВУЗах России • СКЗИ КВ применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО – Прощай open source • СКЗИ КА применяются, когда могут быть использованы недекларированные возможности в системном ПО
  23. 23. Соответствие уровней защищенности классам СКЗИ • В зависимости от совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак СКЗИ подразделяются на классы Уровень защищенности 3-й тип угроз 2-й тип угроз 1-й тип угроз 4 КС1+ КС1+ КС1+ 3 КС1+ КВ - 2 КС1+ КВ 1 - КВ КА
  24. 24. Приказа ФСБ • Все помещения, в которых ведется обработка ПДн, должны по окончании рабочего дня не просто закрываться, а опечатываться (!) – Это минимум требований для 4-го уровня защищенности • На 1-м уровне от вас потребуют на первых и последних этажах зданий установки решеток или ставень (!) • Все машинные носители персональных данных должна учитываться поэкземплярно
  25. 25. О встраивании криптоядра в VPN • Можно ли использовать сертифицированное криптоядро в составе VPN-решений? – Можно • Будет ли такое использование легитимным? – Нет!!!
  26. 26. Законопроект по штрафам • В новом законопроекте меняется текст статьи 13.11, которая устанавливает два состава правонарушений – Нарушение требований к письменному согласию субъекта (<=50K) – Обработка ПДн без согласия или иных законных оснований (<=50K) • Также вводится еще 3 новых статьи: – 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K) – 13.11.2 - непредоставление оператором информации и (или) доступа к сведениям, предусмотренным законодательством о ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в отношении обработки ПДн (<=45K) – 13.11.3 – нарушение правил неавтоматизированной обработки и обезличивания (<=50K)
  27. 27. Законопроект РГ Совета Федерации • Вводится понятия «обработчика» • Защита ПДн в составе профессиональной тайны – В соответствие с требованиями по защите тайны • Условия обработки ПДн обработчиком – Наличие договора = согласие • Новые условия необеспечения конфиденциальности ПДн • Электронная, в т.ч. дистанционная форма согласия на обработку ПДн • Биометрические ПДн – Только при автоматической идентификации субъекта • Трансграничная обработка ПДн – Также при наличии договора – Не распространять требование за пределами РФ
  28. 28. Законопроект РГ Совета Федерации • Государственные и муниципальные организации заменяются на организации, обрабатывающие ПДн в целях оказания государственных и муниципальных услуг • Защита ПДн – Гармонизация формулировок • Уведомление РКН – Гармонизация формулировок • Возможность самостоятельной разработки модели угроз – До принятия соответствующих актов ФОИВами
  29. 29. Вы не забыли про Конвенцию? • Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181) • В 2015-м (возможно) будет принята новая редакция Евроконвенции – со всеми вытекающими
  30. 30. КРИТИЧЕСКИ ВАЖНЫЕ ОБЪЕКТЫ
  31. 31. Недавние и планируемые изменения по направлению КИИ / КСИИ / КВО / АСУ ТП Что было • Постановление Правительства №861 от 02.10.2013 • Приказ ФСТЭК №31 по защите АСУ ТП Что будет • Законопроект по безопасности критических информационных инфраструктур • Законопроект о внесении изменений в связи с принятием закона о безопасности КИИ • Подзаконные акты • Методические документы ФСТЭК
  32. 32. Новый приказ ФСТЭК №31 • «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» – Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений
  33. 33. Ключевые отличия требований по ИБ КСИИ и АСУ ТП • Объект защиты • Классификация АСУ ТП / КСИИ • Уровень открытости циркулируемой в АСУ ТП / КСИИ информации • Парадигма (КЦД vs ДЦК) • Требования по защите • Требования по оценке соответствия • Участники процесса защиты информации
  34. 34. Поправки в связи с принятием закона о безопасности КИИ • Поправки в УК РФ и УПК РФ – Внесение изменений в статьи 272, 274, 151 (УПК) • Поправки в закон «О государственной тайне» – Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени опасности • Поправки в 294-ФЗ – Выведение из под порядка проведения проверок КИИ • Поправки в 184-ФЗ – Исключение двойного регулирования
  35. 35. Что еще готовится в связи с законопроектом о безопасности КИИ? • Определение ФОИВ, уполномоченного в области безопасности КИИ – Через 6 месяцев после принятия закона • Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры» – Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ • Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования и взаимодействия объектов КИИ» • Приказ уполномоченного ФОИВ об утверждении требований по безопасности КИИ – Это не 31-й приказ!!!
  36. 36. Что еще готовится в связи с законопроектом о безопасности КИИ? • Приказы уполномоченного ФОИВ об аккредитации, о представлении сведений для категорирования, о контроле/ надзоре, о реестре объектов КИИ • Приказ ФСБ об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на объектах КИИ • Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА • Приказ ФСБ о порядке доступа к информации в СОПКА • Приказ ФСБ об утверждении требований к техсредствам СОПКА • Приказ ФСБ об установке и эксплуатации техсредств СОПКА Приказ ФСБ о национальном CERT • Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи
  37. 37. Планируемые методические документы ФСТЭК • Применение «старых» документов ФСТЭК по КСИИ в качестве рекомендательных и методических – «Рекомендации…» и «Методика определения актуальных угроз…» • Методичка по реагированию на инциденты (в разработке) • Методичка по анализу уязвимостей (в разработке) • Методичка по управлению конфигурацией (в разработке) • Методичка по аттестации (в разработке) • Методичка по мерам защиты в АСУ ТП (в разработке) – По аналогии с «Мерами защиты в ГИС»
  38. 38. ГОСУДАРСТВЕННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ
  39. 39. Недавние и планируемые изменения по направлению ГИС Что было • Приказ ФСТЭК №17 по защите информации в ГИС • Методический документ по мерам защиты информации в государственных информационных системах Что будет • Порядок моделирования угроз безопасности информации в информационных системах • Новая редакция приказа №17 и «мер защиты в ГИС» • Методические и руководящие документы ФСТЭК • Законопроекты о запрете хостинга ГИС за пределами РФ, о служебной тайне, по импортозамещению…
  40. 40. Что такое ГИС? • В РФ существует множество различных классификаций информационных систем – Особенно для государственных органов и органов местного самоуправления • В вопросе отнесения информационных систем госорганов к ГИС до сих пор остаются неясные моменты • Требования по безопасности прописаны преимущественно в ПП-424 и приказе ФСТЭК №17 – Возможны и иные требования, специфичные для отдельных видов ИС ГИС = создана в государственном органе ГИС = есть приказ о ее создании (вводе в эксплуатацию) ГИС = зарегистрирована в реестре
  41. 41. Что еще планируется? • Законопроект о запрете использования чиновниками и госслужащими несертифицированных мобильных устройств – Фактически эти нормы уже установлены действующими НПА • Законопроект о запрете размещения сайтов государственных органов за пределами Российской Федерации – Фактически эти нормы уже установлены действующими НПА • Законопроект о регулировании облачных вычислений – Установление особых требований по ИБ к облакам для госорганов • Новая статья в КоАП за препятствование доступу к сайтам в Интернет (уже принято) – Из антитеррористического пакета законов
  42. 42. ФСТЭК планирует установить новые требования к средствам защиты • ФСТЭК (2013-2015) – Требования к средствам доверенной загрузки (принят) – Требования к средствам контроля съемных носителей – Требования к средствам контроля утечек информации (DLP) – Требования к средствам аутентификации – Требования к средствам разграничения доступа – Требования к средствам контроля целостности – Требования к средствам очистки памяти – Требования к средствам ограничения программной среды – Требования к средствам управления потоками информации – Требования к МСЭ – Требования к средствам защиты виртуализации – ГОСТы по защите виртуализации и облачных вычислений – ГОСТ по защищенному программированию (SDLC)
  43. 43. У ФСТЭК большие планы по регулированию госорганов и муниципалов
  44. 44. Планируемые методические документы ФСТЭК • Порядок аттестации распределенных информационных систем • Порядок обновления программного обеспечения в аттестованных информационных системах • Порядок обновления сертифицированных средств защиты информации • Порядок выявления и устранения уязвимостей в информационных системах • Порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации • …
  45. 45. Существуют и еще некоторые требования • ИС организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления государственных и муниципальных услуг в электронной форме – Приказ Минкомсвязи от 9 декабря 2013 г. №390 • ИС общего пользования – ПП-424 + Приказ Минкомсвязи от 25 августа 2009 года №104 + Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 • ИС открытых данных – Приказ Минкомсвязи России от 27.06.2013 №149 • Сайты ФОИВ – Приказ Минэкономразвития России от 16.11.2009 №470 • ИС, предназначенные для информирования общественности о деятельности ФОГВ и ОГВ субъектов РФ (ИСИОД)
  46. 46. УНИФИКАЦИЯ ЗАЩИТНЫХ МЕР ФСТЭК
  47. 47. Меры по защите информации • Организационные и технические меры защиты информации, реализуемые в АСУ ТП – идентификация и аутентификация субъектов доступа и объектов доступа – управление доступом субъектов доступа к объектам доступа – ограничение программной среды – защита машинных носителей информации – регистрация событий безопасности – антивирусная защита – обнаружение (предотвращение) вторжений – контроль (анализ) защищенности – целостность АСУ ТП – доступность технических средств и информации – защита среды виртуализации
  48. 48. Меры по защите информации • продолжение: – защита технических средств и оборудования – защита АСУ ТП и ее компонентов – безопасная разработка прикладного и специального программного обеспечения разработчиком – управление обновлениями программного обеспечения – планирование мероприятий по обеспечению защиты информации – обеспечение действий в нештатных (непредвиденных) ситуациях – информирование и обучение пользователей – анализ угроз безопасности информации и рисков от их реализации – выявление инцидентов и реагирование на них – управление конфигурацией информационной системы и ее системы защиты
  49. 49. Меры по защите информации: общее Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
  50. 50. Меры по защите информации: различия Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации + • Планы – Унификация перечня защитных мер для всех трех приказов – Выход на 2-хлетний цикл обновления приказов
  51. 51. Методические рекомендации ФСТЭК • 11 февраля 2014 утвержден методический документ «Меры защиты информации в государственных системах» • Методический документ детализирует организационные и технические меры защиты информации, а также определяет содержание мер защиты информации и правила их реализации • По решению оператора ПДн настоящий методический документ применяется для обеспечения безопасности ПДн
  52. 52. ФСТЭК унифицирует требования по защите информации Особенность Приказ по защите ПДн Приказ по защите ГИС/МИС Проект приказа по АСУ ТП Требования по защите привязаны к 4 уровням защищенности ПДн 4 классам защищенности ГИС/МИС 3 классам защищенности АСУ ТП Порядок в триаде КЦД КЦД ДЦК Возможность Да Да Да гибкого выбора защитных мер Проверка на отсутствие «закладок» Требуется для угроз 1-2 типа (актуальность определяется заказчиком) Требуется для 1-2 класса защищенности ГИС/МИС Требуется только при выборе сертифицированных средств защиты
  53. 53. Но разница между требованиями ФСТЭК все-таки есть Особенность Приказ по защите ПДн Приказ по защите ГИС/ МИС Проект приказа по АСУ ТП Оценка соответствия В любой форме (нечеткость формулировки и непонятное ПП-330) Только сертификация В любой форме (в соответствии с ФЗ-184) Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация Обязательна Возможна, но не обязательна Контроль и надзор Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн) ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)
  54. 54. Единая методика моделирования угроз • Методика определения угроз безопасности информации в информационных системах • Распространяется на – ГИС / МИС – ИСПДн – КСИИ – АСУ ТП – Иные ИС и АС, в которых в соответствии с законодательством РФ и (или) требованиями заказчика должна быть обеспечена конфиденциальность, целостность и (или) доступность информации • Исключает угрозы СКЗИ и ПЭМИН
  55. 55. НАЦИОНАЛЬНАЯ ПЛАТЕЖНАЯ СИСТЕМА
  56. 56. Недавние и планируемые изменения по направлению НПС/банковской тайны Что было • 382-П (3007-У) • 2831-У (3024-У) • 55-Т • 42-Т • 49-Т • 242-П • СТО БР ИББС 1.0 и 1.2 • Отмена РС 2.3 и 2.4 • Принятие новых РС 2.5 и 2.6 Что будет • Новая редакция 382-П (3361-У) • Новые РС • Требования для организаций финансового рынка (ФСФР) • Банковский CERT • Отраслевая модель угроз ПДн
  57. 57. Указание 3361-У • Утверждено 14 августа 2014 • Опубликовано в «Вестнике Банка России» №83 17 сентября • Вступает в силу с 16 марта 2015 года
  58. 58. Изменения в 382-П • Основные изменения – требования к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов, с использованием систем Интернет- банкинга, мобильного банкинга – требования к использованию платежных карт, оснащенных микропроцессором – факторы, которые должны учитываться при реализации требований 382-П (29 новых показателей оценки)
  59. 59. Что планирует Банк России в новой версии СТО? • СТО БР ИББС 1.0 (5-я версия) уже принят в ТК122 – Принятие Банком России произошло путем подписания распоряжения Банка России от 17 мая 2014 года № Р-399 и № Р-400 – Вступил в силу с 01.06.2014 • С 1-го июня отменены предыдущие версии СТО 1.0 и 1.2, а также РС 2.3 (защита ПДн) и 2.4 (отраслевая модель угроз)
  60. 60. Также Банк России принял с 01.06.2014 • Четвертую редакцию стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» (регистрационный номер СТО БР ИББС-1.2-2014) • Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (регистрационный номер РС БР ИББС-2.5-2014)
  61. 61. Также Банк России принял с 01.09.2014 • Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (регистрационный номер РС БР ИББС-2.6-2014)
  62. 62. Планируемые изменения по направлению СТО БР ИББС • Проекты новых РС – Проект РС по ресурсному обеспечению информационной безопасности – Проект РС по виртуализации – Проект РС по предотвращению утечек информации • Пересмотр «старых» документов СТО • СТО 1.1, РС 2.0, 2.1 и 2.2 • Разработка новых РС – Противодействие мошенничеству – Облачные технологии и аутсорсинг – Распределение ролей 62
  63. 63. Письмо 49-Т от 24.03.2014 • Об этом документе ходили достаточно давно – Чуть ли не с конца 2012-го года • Документ очень подробный – Расписывает не только технические, но и организационные вопросы по защите от вредоносного кода • Детализирует требования 382-П (или СТО БР ИББС) – Есть и нестыковки – Переложение 15 разделов 382-П на борьбу с вредоносным кодом • Требует участия органа управления кредитной организации
  64. 64. ОПЕРАТОРЫ СВЯЗИ
  65. 65. Недавние и планируемые изменения по направлению ССОП • Закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам регулирования отношений при использовании информационно-телекоммуникационной сети Интернет» и ФЗ-139 «О защите детей от негативной информации» • Постановление Правительства №611 от 15.04.2013 «Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи РФ» • Иных требований по информационной безопасности на операторов связи пока не планируется • Все изменения касаются контроля Интернет – Антипиратский закон, контроль социальных сетей, Единая система аутентификации (ЕСИА), запрет анонимайзеров, регулирование Интернет-компаний как организаторов распространения информации, регулирование облачных вычислений и т.п.
  66. 66. В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ
  67. 67. Активность будет только нарастать
  68. 68. Нас ждут непростой конец года и начало следующего!
  69. 69. security-request@cisco.com Благодарю вас за внимание © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная BRKSEC-1065 информация Cisco 69

×