security punishment

1/36 © 2008 Cisco Systems, Inc. All rights reserved. Security Training

Может ли выполнение требований по ИБ привести к прерыванию бизнеса

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved. Security Training 2/36

Может ли невыполнение требований по ИБ привести к прерыванию бизнеса?

Может ли выполнение требований по ИБ привести к прерыванию бизнеса?

А что делать?

О чем пойдет речь?


Риски выполнения требований по ИБ


Что сделать нельзя, но требуется?

Модель угроз ФСТЭК

Борьба с ПЭМИН

Аттестация

Сертифицированная криптография

Сертифицированные СЗИ

Требования ФСТЭК/ФСБ по защите помещений

Получение лицензии ФСБ

Защита новых технологий


Базовая модель угроз ФСТЭК

Документ «застыли» в середине 90-х годов

Упоминание DOS, прерываний 13H для вирусов, Back Orifice, NetBus, Nuke, Ping of Death

Носители информации и вредоносных программ

Видеокарты, звуковые карты, блок питания (!)…


Нарушение правил эксплуатации средств борьбы с ПЭМИН

ФСТЭК либо требует, либо «рекомендует» применять средства борьбы с утечками по техническим каналам (в т.ч. п ПЭМИН)

Ст.13.4. Нарушение правил … установки… эксплуатации радиоэлектронных средств и (или) высокочастотных устройств

п.1 – нарушение правил установки (до 5К рублей + конфискация)

п.2. – нарушение правил эксплуатации (до 10К рублей + конфискация + приостановление деятельности до 90 суток)


ПЭМИН: ФСТЭК против РКН

Внеплановые проверки Роскомнадзора по «радиочастотному» направлению

Департамент здравоохранения города Москвы

Управление архитектуры и градостроительства администрации Ангарского муниципального образования

Обнаружен факт эксплуатации генератора шума (для защиты от ПЭМИН) без разрешения на использование радиочастот или радиочастотных каналов и свидетельства о регистрации радиоэлектронного средства

Административная ответственность (по 13.4 КоАП)

Генератор шума отключен

http://www.rsoc.ru/main/about/regional_news.shtml?id_news=2585

http://38.rsoc.ru/news/?id_news=97

http://38.rsoc.ru/news/?id_news=97


ПЭМИН: ФСТЭК против РКН (окончание)

Разрешено использовать без оформления отдельных решений ГКРЧ генераторы шума в диапазоне 0,1-1000 МГц

Решение ГКРЧ 05-10-03-001 от 28.11.2005 «О выделении полосы радиочастот 0,1-1000 МГц для генераторов радиошума, используемых в качестве средств защиты информации»

Но потребуется регистрация генератора и получение разрешения в ФАС на использование радиочастот в диапазоне 0,1-1000 МГц

Большинство генераторов шума «бьет» до 2 Ггц или даже 10 ГГц

Частное решение ГКРЧ может получаться около года


Аттестация объекта информатизации

Под аттестацией объекта информатизации по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России

Положение «По аттестации объектов информатизации по требованиям безопасности информации» (утв. Председателем Гостехкомиссии 25 ноября 1994 года)


Парафраз об аттестации (продолжение)

Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации

Положение по аттестации объектов информатизации по требованиям безопасности информации

Прикладная система или ИСПДн, не говоря уже об объекте информатизации меняется постоянно

Патчи, новые версии и даже новые настройки

Умножаем на число программных и аппаратных систем…


Парафраз об аттестации (окончание)

В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации

Положение по аттестации объектов информатизации по требованиям безопасности информации

Обновление системы = потеря аттестата = нарушение правил защиты информации

Необновление системы = незащищенная система


Работа представительств иностранных компаний в России

Импорт западной криптографии или экспорт отечественной

Коммерческое IP-телевидение и IP-видеонаблюдение

Устройства не поддерживают и не будут ГОСТы, т.к. они производятся за пределами России и поставляются в сотни стран мира

Шифрование на скоростях свыше 10 Гбит/секи выше

Магистральные каналы связи или синхронизация ЦОДов

Стандарты беспроводной связи 802.11i, мобильной связи 2.5G, 3G, а также LTE и Wi-Max

Сертифицированная криптография


Шифрование в смартфонах, iPhone и т.п.

Доступ к российским Интернет-банкам с компьютера в Интернет-кафе на заграничном отдыхе

На нем нет никакого российского криптопровайдера

Доступ из-за границы к любой российской платежной системе (Assist, ChronoPay, Яндекс.Деньги, Рапида и т.д.), а также к любой иной системе электронной коммерции (заказ билетов, заказ книг в Интернет-магазинах и т.п.)

Защищенная электронная Web-почта по протоколу HTTPS

Сертифицированная криптография (продолжение)


Шифрование в протоколе FibreChannel при записе на ленточку в центре обработке данных

Шифрование в протоколе FibreChannel при передаче данных внутри центра обработки данных или между разными центрами

Аутсорсинг или XaaS (Cloud Computing)

Вся обработка осуществляется через Интернет и, возможно, где-то за границей

Поддержка АСУ ТП

И т.п.

Сертифицированная криптография (окончание)


Шифрование на скоростях 40 Гбит/сек

Предложение регулятора / отечественных разработчиков – поставить кластер из VPN-шлюзов

Шлюз поддерживает скорость до 1 Гбит/сек

Итоговое решение – 40+n шлюзов на одном конце и столько же на другом конце

Сколько стоят 80+2n отечественных VPN-шлюзов?

Сертифицированная криптография (пример)


Вы устанавливаете сертифицированные СКЗИ, то

Вы не можете

Эффективно работать с мультимедиа-трафиком (Telepresence и т.п.)

Работать на больших скоростях (свыше 1 Гбит/сек)

Работать из-за границы

Использовать аутсорсинг

Использовать мобильные платформы в бизнесе

Использовать беспроводные устройства с радиусом действия свыше 400 метров

И стоить это будет колоссальных денег ;-(

А если все-таки?..


Вы не можете использовать сертифицированные СЗИ для

Виртуализации

Смартфонов и иных мобильных платформ

Не-Windows систем

И т.п.

Вы не можете обновлять сертифицированные СЗИ

Сертификат прекращает свое действие

Классическое нарушение для ФСБ – несоответствие СКЗИ эталонной сертифицированной версии

Сертифицированные СЗИ


Вы должны

размещать объект защиты на максимально возможном расстоянии относительно границы контролируемой зоны

размещать понижающие трансформаторные подстанции электропитания и контуров заземления объектов защиты в пределах КЗ

обеспечить электромагнитную развязку между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация

А теперь представьте, что речь идет об аренде площадки в торговом центре?

Защита помещений


Вы должны

обеспечить звукоизоляцию ограждающих конструкций помещений, в которых расположен объект защиты, их систем вентиляции и кондиционирования не позволяющей прослушивание речевой информации при голосовом вводе конфиденциальной

информации, либо ее воспроизведении

А теперь представьте, что речь идет о совеременной концепции open space

Защита помещений (окончание)


Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства»

В целях обеспечения обороны страны и безопасности государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами

Риск лицензирования в ФСБ


Хозяйственное общество, имеющее стратегическое значение для обеспечения обороны страны и безопасности государства, - предприятие созданное на территории Российской Федерации и осуществляющее хотя бы один из видов деятельности, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства и указанных в статье 6 настоящего Федерального закона

пп.11-14 – 4 вида лицензирования деятельности в области шифрования

Наличие всего лишь одного маршрутизатора с IPSec требует от вас лицензии на ТО СКЗИ

Риск лицензирования в ФСБ (окончание)


А что, если не выполнять или риски невыполнения требований по ИБ


Каждая платежная система в каждом регионе имеет свои штрафы

Пример

Штраф $25К-100К в месяц

Понижение на 1 уровень в иерархии

Банки-эквайеры штрафуются на $25К за каждого несоответствующего требованиям PCI DSS клиента

При несообщение об инциденте – штраф $100К (до $500К)

PCI DSS: Штрафные санкции откладываются


Нарушение правил защиты информации

Ст.13.12. Нарушение правил защиты информации (КоАП)

п.1 – нарушение лицензионных условий (до 10К рублей)

п.2. – использование несертифицированных СЗИ, если они подлежат обязательной сертификации (до 20К рублей + конфискация)

п.3 – нарушение лицензионных условий по гостайне (до 20К рублей)

п.4. – использование несертифицированных СЗИ для гостайны (до 30К рублей + конфискация)

п.5 – грубое нарушение лицензионных условий (до 15К рублей + приостановление деятельности до 90 суток)


Незаконная деятельность в области защиты информации

Ст.13.13. Незаконная деятельность в области защиты информации (КоАП)

п.1 – занятие защитой информации без лицензии, если она обязательна (до 20К рублей + конфискация)

п.2. – занятие защитой гостайны и разработкой средств ее защиты без лицензии (до 40К рублей + конфискация)


Незаконная деятельность в области защиты информации

Ст.171. Незаконное предпринимательство (УК РФ)

п.1 – осуществление деятельности без регистрации (если лицензия обязательна), с нарушением правил регистрации, предоставление в лицензирующий орган заведомо ложных сведений, если это причинило ущерб гражданам, организацияс или государству или сопряжено с извлечением крупного дохода (до 300К рублей или обязательные работы до 240 часов либо арест до 6 месяцев)

п.2 – то же, но группой лиц или извлечение особо крупного дохода (до 500К рублей или лишение свободы до 5 лет)


Есть ли у вас лицензия на ТО СКЗИ?

А нужна ли?

Представители 8-го Центра ФСБ заявляют о ненужности лицензии для собственных нужд


Незаконно ввезенные СКЗИ

Ст.188. Контрабанда (УК РФ)

п.1 – перемещение в крупном размере через таможенную границу товаров в обход таможни, недекларирование или недостоверное декларирование (до 300К рублей или лишение свободы до 5 лет)



Ст.16.2. Недекларирование или недостоверное декларирование (КоАП)

п.1 – недекларирование (до 20К рублей или конфискация или двукратная стоимость контрабанды)

п.2 – недостоверное декларирование с целью занижения суммы пошлин (до 20К рублей или двукратная сумма неуплаченных налогов или конфискация)

п.3 – недостоверное декларирование с целью обхода ограничений на ввоз (до 300К рублей или конфискация)



Ст.16.3. Несоблюдение ограничений на ввоз товаров (КоАП)

п.1 – несоблюдение ограничений на ввоз, носящих экономический характер (до 300К рублей)

п.2 – несоблюдение ограничений на ввоз (до 100К рублей + конфискация)

Ст.16.7. Представление недействительных документов при таможенном декларировании (КоАП)

п.1 – недостоверное декларирование (до 300К рублей + конфискация)



Ст.14.1. Осуществление предпринимательской деятельности без государственной регистрации или лицензии (КоАП)

п.3 – осуществление деятельности с нарушением лицензионных условий (до 40К рублей)

п.4 – осуществление деятельности с грубым нарушением лицензионных условий (до 50К рублей + приостановление деятельности до 90 суток)

Отзыв лицензии ФСБ (только для лицензии на оказание услуг)

и) использование лицензиатом шифровальных (криптографических) средств иностранного производства при условии, что эти средства были ввезены на территорию Российской Федерации и распространялись в порядке, установленном нормативными правовыми актами Российской Федерации


Недостоверная информация об услугах и продуктах в области ИБ

Ст.1095. Основания возмещения вреда, причиненного вследствие недостатков товара, работы или услуги

Вред, причиненный… имуществу юридического лица вследствие … недостатков товара, работы или услуги, а также вследствие недостоверной или недостаточной информации о товаре (работе, услуге), подлежит возмещению продавцом или изготовителем товара, лицом, выполнившим работу или оказавшим услугу (исполнителем), независимо от их вины и от того, состоял потерпевший с ними в договорных отношениях или нет

Правила, предусмотренные настоящей статьей, применяются лишь в случаях приобретения товара (выполнения работы, оказания услуги) в потребительских целях, а не для использования в предпринимательской деятельности


Так выполнять или нет?


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 495 961-1410

security punishment

Technology