Что могли бы сказать регуляторы по ИБ, если бы пришли...

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


О чем могли бы рассказать регуляторы, если бы они пришли на секцию Алексей Лукацкий Бизнес-консультант по безопасности 16 April 2015


2008

2010

2012 2013 2014

2015

Journey of building a stronger Security Business

2011

2000-е

Краткий обзор развития законодательства по ИБ

ПДн СТОv4 382-П АСУ ТП

ПДн

БДУ

ГИС

ПДн

ПДн

CERTы

СОПКА

МИБ АСУ ТП

КИИ

ПДн

СТОv5

СТО/РС

СТР-К ПКЗ


3 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.

Национальная платежная система и банки


Изменения по направлению НПС/банковской тайны

Что было?

•  382-П (3361-У) •  42-Т •  49-Т •  242-П (3241-У) •  437-П •  СТО БР ИББС 1.0 и 1.2 •  Отмена РС 2.3 и 2.4 •  Принятие новых РС 2.5, 2.6, 2.7 и 2.8

Что будет?

•  Новые РС •  Требования для организаций финансового рынка

•  FinCERT •  Отраслевая модель угроз ПДн •  НСПК •  Поправки в УК, УПК… •  Оценка соответствия приложений

•  Смена «владельца» 382-П (?)


Новые РС – 2.7 и 2.8

§ Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологий виртуализации» (РС БР ИББС-2.7-2014)

§ Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.8-2014)


Новости стандартизации

§ ЦБ готовит в 2015-2016 гг. РС по предотвращению утечек, по антифроду, по распределению ролей, по облакам и аутсорсингу, по расследованию инцидентов РС по классификации информации частично вошла в РС по предотвращению утечек

§ ЦБ планирует пересмотреть СТО БР ИББС-1.1, РС БР ИББС-2.0, РС БР ИББС-2.1, РС БР ИББС-2.2

§ ЦБ планирует расширить действие СТО 1.0 и 1.2 на все отрасли, которые попали под ЦБ после слияния с ФСФР


Что с отраслевой моделью угроз ПДн?

§ Проект Указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных» Полностью переиграли документ в условиях текущей геополитической ситуации Угрозы 1-го и 2-го типа уже не считаются неактуальными изначально – решение отдается на откуп банкам Заново отправлен на согласование в ФСТЭК и ФСБ

§ Переподписание «письма шести» После актуализации СТО БР


Информационная безопасность НСПК

§ НСПК – часть НПС и подчиняется требованиям 382-П

§ Отдельных документов по безопасности НСПК пока не планируется

1 этап

• Реализация отечественного HSM, повторяющего функционал импортных аналогов с использованием отечественных криптоалгоритмов только в автономных режимах

2 этап

• Реализация в отечественном HSM набора дополнительных команд с использованием отечественных криптоалгоритмов

• Реализация с использованием отечественного HSM трёхуровневой PKI инфраструктуры с использованием импортных и отечественных крипто алгоритмов

• Реализация корневого УЦ НПС (аналога УЦ МПС Visa или MasterCard)

3 этап

• Разработка отечественной чиповой карты

• Разработка спецификаций и приложений с поддержкой отечественных криптоалгоритмов для всех устройств, участвующих в поддержке платежных транзакций.

• Разработка программы подготовки к эмиссии карт НПС и поэтапного перевода всех устройств на работу с двумя криптографическими алгоритмами


Противодействие преступлениям в финансовой сфере

§ Подготовлены изменения в законодательство направленное на противодействие преступлениям в финансовой сфере с применением современных технологий ФЗ-395-1, ФЗ-86, ФЗ-161 В статьи 159.3 УК РФ, 187 УК РФ, 272 УК РФ, статью 152 УПК РФ, проекты статей 183.1 УК РФ и 183.2 УК РФ Изменения в АПК Подготовлены предложения по проекту ФЗ «О внесении изменений в некоторые законодательные акты РФ (в части противодействия хищению денежных средств)»


Российский PA DSS? Когда?

§ Вновь поднимается идея об оценке качества ПО АБС и платежных приложений Распоряжение Совета Безопасности Не до конца проработан механизм оценки – через СРО или сертификацию?

§  Кто будет входить в СРО? Разработчики ПО Интеграторы Аудиторы

§ Много открытых вопросов про СРО или оценке соответствия Как минимум, требуется изменение законодательства


Контроль качества данных и ПО

§ Проект Положения Банка России «О порядке расчёта величины кредитного риска на основе внутренних рейтингов» – первый нормативный документ Банка России, в котором планируется реализовать требования абз. 1 ст. 72.1 Федерального закона РФ от 10.07.2002 №86-ФЗ

§ Банк обеспечивает в течение всего периода функционирования ИС защиту от несанкционированных и нерегламентированных изменений и удалений данных путем принятия мер инф. безопасности (ИБ): мер по обеспечению ИБ на всех стадиях жизненного цикла ИС, мер по управлению доступом к данным и его регистрацией, мер по применению средств защиты от воздей-я вредоносного кода, мер по обеспечению ИБ при использовании сети Интернет, мер по обеспечению ИБ путем экспл-и ср-в крипт. защиты инф-и, мер по обнаружению и реагированию на инциденты ИБ, мер по мониторингу обеспечения ИБ


Новости по отчетности

§ Вопрос о слиянии 258-й и 203-й форм так и не решен Т.к. они разработаны для разных целей – развития и надзора в НПС

§ Результаты 202-й и 203-й отчетности должны были быть опубликованы в марте 2015 года Но видимо уже и не будут

§ Передавать (отменять) 203-ю отчетность под FinCERT пока не планируется И цели у 203-й отчетности иные, и FinCERT пока не заработал


Готовится методика проверки по вопросам безопасности


FinCERT должен быть запущен 1-го мая 2015-го года

§ Задержка с созданием FinCERT связана с Крымом и текущей экономической ситуацией

§ Не только НСПК

§ Большое количество вопросов, связанных с функционированием FinCERT, порядок предоставления в него информации, ответственности/обязанности, предоставляемой из FinCERT информации Только техническая информация (черные списки, домены, IP, анализ malware, Threat Intelligence и т.п.) или правила антифрода?

§ Интеграция с ГосСОПКА


ФСТЭК и Банк России: схожесть подходов

Банк России

• РС по виртуализации • РС по утечкам • РС по облакам • РС по жизненному циклу • РС по менеджменту инцидентов

• РС по ресурсному обеспечению

ФСТЭК

•  ГОСТ по виртуализации • РД по утечкам •  ГОСТ по облакам •  ГОСТы по SDLC и управлению уязвимостями

• Методичка по управлению инцидентами

•  ГОСТ по показателям качества



Планы ФСТЭК


Изменения по направлению ГИС

Что было?

•  Приказ ФСТЭК №17 по защите информации в ГИС

•  Методический документ по мерам защиты информации в государственных информационных системах

Что будет?

•  Порядок моделирования угроз безопасности информации в информационных системах

•  Новая редакция приказа №17 и «мер защиты в ГИС»

•  Методические и руководящие документы ФСТЭК

•  Законопроекты о запрете хостинга ГИС за пределами РФ, о служебной тайне, по импортозамещению…


Меры по защите информации: общее Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +


Меры по защите информации: различия Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +

•  Планы –  Унификация перечня защитных мер для всех трех приказов

–  Выход на 2-хлетний цикл обновления приказов

§ Начаты работы по подготовке второй редакции 17-го приказа В первой половине 2016-го года планируется принятие

§ Предполагается унифицировать набор защитных мер во всех 3-х приказах


Новые требования к средствам защиты

§ Совершенствование сертификации средств защиты информации Планируется разработка большого количества РД с требованиями к средствам защиты Изменение подходов к сертификации Совершенствование порядка аккредитации органов по сертификации и испытательных лабораторий Совершенствование порядка сертификации Уточнение порядка обновления сертифицированных средств защиты информации

А также •  Требования к средствам защиты виртуализации,

BIOS, ОС и СУБД •  Требования к средствам защиты информации от утечки по техническим каналам


Планируемые методические документы ФСТЭК

§ Порядок аттестации информационных систем

§ Порядок обновления программного обеспечения и информационных систем

§ Порядок выявления и устранения уязвимостей в информационных системах

§ Защита информации в информационной системе при использовании мобильных устройств

§ Порядок реагирования на инциденты, связанных с нарушением функционирования информационной системы

§ Защита информации в информационных системах при применении устройств беспроводного доступа

Разработка запланирована на второй квартал этого года


Усиление внимания к безопасности ПО

§ Новые требования к СрЗИ

§  3 ГОСТа по уязвимостям

§ Проект ГОСТа по SDLC – планируется принятие в конце года

§ Банк данных уязвимостей и угроз

§ Методика обновления ПО, включая сертифицированное


Методика моделирования угроз

§ Методика определения угроз безопасности информации в информационных системах

§ Распространяется на ГИС / МИС ИСПДн

§ Не распространяется на угрозы СКЗИ и ПЭМИН

§ Отменяет «методику определения актуальных угроз…» 2008-го года

§ Применяется совместно с банком данных угроз ФСТЭК


Новые ГОСТы по защите информации

§  Готовящиеся ГОСТы Безопасность суперкомпьютерных и грид-технологий ИБ виртуализации ИБ «облачных вычислений» Документация по технической защите информации на объекте информатизации Угрозы безопасности информации Номенклатура показателей качества Основные термины и определения Гармонизация 72-х стандартов ISO



АСУ ТП, КСИИ, КИИ и КВО


Изменения по направлению КИИ / КСИИ / КВО / АСУ ТП

Что было?

•  Приказ ФСТЭК №31 по защите АСУ ТП

•  Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ

Что будет?

•  Законопроект по безопасности критических информационных инфраструктур

•  Законопроект о внесении изменений в связи с принятием закона о безопасности КИИ

•  Подзаконные акты •  Приказы и методички ФСБ •  Методические документы ФСТЭК


Поправки в связи с принятием закона о безопасности КИИ

§ Поправки в УК РФ и УПК РФ Внесение изменений в статьи 272, 274, 151 (УПК)

§ Поправки в закон «О государственной тайне» Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени опасности

§ Поправки в 294-ФЗ Выведение из под порядка проведения проверок КИИ

§ Поправки в 184-ФЗ Исключение двойного регулирования


Что еще готовится в связи с законопроектом о безопасности КИИ?

§ Определение ФОИВ, уполномоченного в области безопасности КИИ Через 6 месяцев после принятия закона

§ Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры» Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ

§ Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования и взаимодействия объектов КИИ»

§ Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи


Планируемые приказы уполномоченного ФОИВа

§ Приказ уполномоченного ФОИВ об утверждении требований по безопасности КИИ Это не 31-й приказ!!!

§ Приказ уполномоченного ФОИВ об аккредитации организаций, уполномоченных проводить оценку защищенности КИИ

§ Приказ уполномоченного ФОИВ о представлении сведений для категорирования

§ Приказ уполномоченного ФОИВ о контроле/надзоре

§ Приказ уполномоченного ФОИВ о реестре объектов КИИ


Планируемые приказы ФСБ (8-й Центр)

§ Приказ ФСБ об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на объектах КИИ

§ Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА

§ Приказ ФСБ о порядке доступа к информации в СОПКА

§ Приказ ФСБ об утверждении требований к техсредствам СОПКА

§ Приказ ФСБ об установке и эксплуатации техсредств СОПКА

§ Приказ ФСБ о национальном CERT

§ Приказ о порядке и периодичности проведения мероприятий по оценке степени защищенности критической информационной инфраструктуры


Планируемые методические документы ФСБ (8-й Центр)

§ Методика обнаружения компьютерных атак на информационные системы и информационно-телекоммуникационные сети

§ Порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах

§ Порядок обмена информацией между федеральными органами исполнительной власти и уполномоченными органами иностранных государств (международными организациями) о компьютерных инцидентах

§ Методические рекомендации по организации защиты критической информационной инфраструктуры Российской Федерации от компьютерных атак


Планируемые методические документы ФСТЭК

§ Применение «старых» документов ФСТЭК по КСИИ в качестве рекомендательных и методических

«Рекомендации…» и «Методика определения актуальных угроз…»

§ Порядок выявления и устранения уязвимостей в АСУ ТП

§ Методика определения угроз безопасности информации в АСУ ТП

§ Порядок реагирования на инциденты, связанные с нарушением безопасности информации

§ Меры защиты информации в АСУ ТП По аналогии с «Мерами защиты в ГИС»

2016 год



Персональные данные


Изменения по направлению ПДн

Что было?

•  Приказ ФСТЭК №21 по защите ПДн в ИСПДн

•  Приказ об отмене «приказа трех» по классификации ИСПДн

•  Приказ и методичка РКН по обезличиванию

•  Закон 242-ФЗ о запрете хранения ПДн россиян за границей

•  Письмо Банка России 42-Т •  Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн

•  ПП-911 по отмене обязательного обезличивания

Что могло быть?

•  Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн

•  Отраслевые модели угроз •  Ратификация дополнительного протокола Евроконвенции (181)

•  Законопроект по ответственности за неуведомление о утечке ПДн

•  Законопроект по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн

Что будет?

•  Законопроект Совета Федерации по внесению изменений в ФЗ-152

•  Законопроект по внесению изменений в КоАП

•  Поправки в ФЗ-242 (?) •  Новые обязанности РКН •  Выход РКН из под действия

294-ФЗ •  Изменения в приказ №21 •  Совет Европы примет новый вариант ЕвроКонвенции


Правонарушение Нарушаемая статья законодательства

Наказание для должностных лиц

Наказание для юридических лиц

Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей

Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей

Незаконная обработка спецкатегорий ПДн

Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей

Неопубликование политики в области ПДн

Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей

Отказ в предоставлении информации субъекту

Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей

Отказ в уничтожении или блокировании ПДн

Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей

Нарушение правил хранения материальных носителей ПДн

ПП-687 4-10 тысяч рублей 25-50 тысяч рублей

Нарушение правил обезличивания (для госов)

ПП-211 и приказ РКН №996

3-6 тысяч рублей Не предусмотрено

Законопроект по штрафам прошел первое чтение



Доктринальные документы


Настало время изменения доктринальных документов

Что было?

•  Душанбинская декларация о МИБ от имени ШОС

•  Основы госполитики в области МИБ •  Двусторонние соглашения по МИБ с Кубой, Беларусью и Бразилией

•  CERT для ОДКБ •  Сотрудничество по ИБ в рамках СНГ

•  Соглашение о мерах доверия в киберпространстве с США

Что будет?

•  Двусторонние соглашения по МИБ с Китаем

•  Гармонизация законодательства по ИБ в рамках ОДКБ

•  Конвенция по МИБ для стран-участниц БРИКС

•  Доктрина ИБ •  Основы госполитики в области формирования культуры ИБ


Благодарю за внимание

Что могли бы сказать регуляторы по ИБ, если бы пришли...

Law