Как выборы Президента России влияют на рынок

информационной безопасности или куда

движется регулирование ИБ?

Лукацкий Алексей, независимый эксперт

DISCLAIMER

• Данная презентация отражает личную точку зрения автора и может не совпадать с точкой зрения работодателя автора

• Упоминаемые в презентации проекты нормативных актов могут быть изменены в любой момент их авторами или вообще не приняты

• Авторы описываемых законопроектов имеют опыт и бэкграунд, связанный преимущественно со службой в органах госбезопасности и ориентированных на национальную безопасность, борьбу с врагами в лице иностранных технических разведок и т.п.

• У меня не было задачи напугать или запугать, но таковы реалии

• В России превалируют ИТ иностранного происхождения

• Я не работаю на вашингтоновский обком и не получаю денег от Госдепа США ;-)

КАКОВА ОБЩАЯ

ТЕНДЕНЦИЯ?

Чего боятся отечественные

производители средств защиты? • Риски, связанные со все более укрепляющимся

положением международных производителей на

отечественном рынке программного обеспечения в сфере

ИБ, особенно принимая во внимание фактическую

либерализацию импорта СКЗИ

• До 90% отдельных сегментов российского рынка ИБ занимают

иностранные производители

• На отечественном рынке ИТ также превалируют технологии

иностранного происхождения

• Рост роли международных стандартов на национальном

рынке информационной безопасности, перекос

регулирования «экспорт/импорт» может привести к

падению спроса на продукцию отечественных

производителей программного обеспечения

Чего боятся в ФСБ/Совете

Безопасности? • В российских информационно-коммуникационных

технологиях используется до 98% зарубежных разработок и оборудования

• Данные ФСБ для Совбеза РФ

• В качестве угрозы рассматривается использование несертифицированных отечественных и зарубежных ИТ, средств защиты информации, средств информатизации, телекоомуникации и связи при создании и развитии российской информационной инфраструктуры

• Доктрина информационной безопасности РФ

• ФСБ не раз заявляла о том, что для борьбы с этой угрозой национальной безопасности будут использованы два основных механизмы

• Недопущение на российский рынок западных продуктов

• Сертификация средств защиты информации

О чем говорят властные структуры?

• Россия зависима от западных технологий

• Их разработчики находятся под колпаком у западных спецслужб

• Невозможность бороться с киберпреступлениями

• Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О борьбе с киберпреступностью», а потом отозвал свою подпись

• Готовятся кибервойны

• США внесло в ООН предложение отвечать военными ударами на кибератаки

• Законодательство других стран дает право спецслужбам контролировать весь Интернет-трафик, проходящий через эти страны

• В России такое же законодательство

• Западные страны пытаются вмешиваться в суверенитет России в Интернет-пространстве

Регуляторы в области ИБ

ИБ

ФСТЭК

ФСБ

Минком-связь

МО

СВР

ФСО

ЦБ

PCI

Council

РКН

СовБез

МВД

МинЭнерго

А это еще не все ;-)

• 23 августа Владимир Путин подписал Указ «Об

утверждении Положения об Управлении Президента

Российской Федерации по применению информационных

технологий и развитию электронной демократии»

• Участие в обеспечении реализации решений Президента

Российской Федерации, Администрации Президента Российской

Федерации, координационных и совещательных органов при

Президенте Российской Федерации по вопросам применения

информационных технологий в целях обеспечения безопасности

граждан в информационно-коммуникационных сетях

• Росфинмониторинг хочет регулировать электронные деньги

• Национальный антитеррористический комитет хочет

регулировать деятельность кибертеррористов и

киберэкстремистов

Еженедельный выпуск НПА за

последний год

Половина НПА уровня ФЗ и

Постановления Правительства

И это все обязательно

НПС/банки – один из приоритетов

последних дней

То ли еще будет

ЧТО БЫЛО?

Что происходило недавно (с

последнего Конгресса)

• Финансовая отрасль • ФЗ «О национальной платежной

системе»

• ПП-584 и 382-П

• ФЗ «Об электронной подписи»

• ФЗ «О госуслугах» и СМЭВ

• Безопасность ТЭК и КВО

• Новые НПА о лицензировании

• Новые НПА об оценке соответствия

• Защита детей от информации

• Интеграция в мировое сообщество

БЕЗОПАСНОСТЬ НПС

Структура нормативно-правовых актов

по ИБ в НПС

Рекомендации

АРБ и НПС по

реагированию

на инциденты

Структура документов Банка России по

защите НПС

129 требований по защите

информации при переводе денежных

средств

Как связаны ПП-584 и документы

Банка России

ФСБ будет контролировать банкоматы

• Федеральный закон от 22 мая 2003 года №54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт» • Устанавливает требования к кассовым аппаратам, банкоматам и

платежным терминалам, применяемым на территории России

• Для усиления защиты экономических интересов Российской Федерации, контроля со стороны государственных органов за деятельностью в сфере разработки, производства и обслуживания контрольно-кассовой техники на ФСБ России возлагаются полномочия по изготовлению и применению мастер-ключей, а также по взаимодействию с налоговыми органами • Проект законопроекта, который определяет полномочия ФСБ в

части установления требований к мастер-ключам, порядку их изготовления и применения для ККТ (включая банкоматы)

БЕЗОПАСНОСТЬ КРИТИЧЕСКИ

ВАЖНЫХ ОБЪЕКТОВ

Безопасность ТЭК

• 21 июля 2011 года Президент РФ подписал Федеральный Закон «О безопасности объектов топливно-энергетического комплекса», а также Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса»

• Статья 11 «Обеспечение безопасности информационных систем объектов топливно-энергетического комплекса» • Требования и состав комплекса защитных мер пока не

определены

• В проекте постановления Правительства Российской Федерации «Об утверждении требований обеспечения безопасности объектов топливно-энергетического комплекса и требований антитеррористической защищенности объектов топливно-энергетического комплекса» ИБ не прописана, но… см. дальше

Мнение Минэнерго

• Три Постановления Правительства от 5 мая 2012 года • № 458 «Об утверждении Правил по обеспечению безопасности

и антитеррористической защищенности объектов топливно-энергетического комплекса»

• № 459 «Об утверждении Положения об исходных данных для проведения категорирования объекта топливно-энергетического комплекса, порядке его проведения и критериях категорирования»

• № 460 «Об утверждении Правил актуализации паспорта безопасности объекта топливно-энергетического комплекса»

• Позиция Минэнерго - т.к. в ст.11 ФЗ-256 «О безопасности объектов ТЭК» нет требования разработать Постановление Правительства, то и требования по защите можно использовать текущие (от ФСТЭК и ФСБ)

Безопасность критически важных

объектов • Основные направления государственной политики в

области обеспечения безопасности автоматизированных

систем управления производственными и

технологическими процессами критически важных объектов

инфраструктуры Российской Федерации

• 4 июля 2012 года

• Разработаны в целях реализации основных положений Стратегии

национальной безопасности Российской Федерации до 2020 года

• Включают

• Требования к разработчикам АСУ ТП

• Единая гос.система обнаружения и предотвращения атак

• Промышленная и научно-техническая политика,

фундаментальная и прикладная наука и повышение

квалификации кадров

ОЦЕНКА СООТВЕТСТВИЯ

Оценка соответствия

• Оценка соответствия проводится в формах

государственного контроля (надзора), аккредитации,

испытания, регистрации, подтверждения соответствия,

приемки и ввода в эксплуатацию объекта,

строительство которого закончено, и в иной форме

• ст.7 ФЗ-184 «О техническом регулировании»

• Самым распространенным мнением является

уравнивание оценки соответствия и подтверждения

соответствия

Оценка соответствия ≠ сертификация

Оценка соответствия

Госконтроль и надзор

Аккредитация

Испытания

Регистрация

Подтверждение соответствия

Добровольная сертификация

Обязательная сертификация

Декларирование соответствия

Приемка и ввод в эксплуатацию

В иной форме

Не ФСТЭК устанавливает особенности

оценки соответствия • Особенности технического регулирования в отношении

оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции • ст.5 ФЗ-184 «О техническом регулировании»

Что попадает под 5-ю статью • Особенности оценки соответствия

продукции (работ, услуг) и объектов, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации • Не ФСТЭК определяет требования, а

Правительство

• ПП-608, ПП-1013, ПП-982, ПП-330

• Проект ПП по оценке соответствия оборонной продукции

Новые РД ФСТЭК по IDS

• 6 декабря 2011 года директор ФСТЭК подписал приказ №638 «Об утверждении требований к системам обнаружения вторжений»

• 2 типа IDS • Хостовые и сетевые

• 6 классов для каждого типа • 6 класс – применение в ИСПДн 3-го и 4-го классов

• 5 класс – применение в ИСПДн 2-го класса

• 4 класс – применение в ИСПДн 1-го класса, а также в ИС общего пользования II класса (согласно совместного приказа ФСБ и ФСТЭК 416/489) и в государственным ИС, обрабатывающих конфиденциалку (не ГТ)

• 3 и последующие классы – применение в ИС, обрабатывающих гостайну

Новые РД ФСТЭК по антивирусам

• Приказом директора ФСТЭК от 20 марта 2012 г. № 28

утверждены Требования к средствам антивирусной

защиты

• Указанный приказ в установленном порядке прошел

оценку регулирующего воздействия в

Минэкономразвития России и зарегистрирован

Минюстом России 3 мая 2012 г., peг. № 24045

• Требования к средствам антивирусной защиты будут

применяться для проведения работ по сертификации

вновь разработанных средств с 1 августа 2012 г.

• 4 типа – по 6 классов для каждого типа

Мнение Сенаторова М.Ю. • Отсутствие в настоящее время технических регламентов,

устанавливающих требования к СЗИ, используемым для обеспечения безопасности ПДн при их обработке в ИСПДн, делает невозможным как оценку соответствия, так и добровольное или обязательное подтверждение соответствия СЗИ.

• Таким образом, до выпуска документов, обеспечивающих выполнение требований законодательства, считаем возможным применение для обеспечения безопасности ПДн при их обработке в ИС встроенных защитных мер, сертифицированных СЗИ, а также средств защиты, не включённых в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами - участниками таможенного союза, в рамках ЕвразЭС в торговле с третьими странами • Письмо ЦБР от от 17 ноября 2011 г. № 015-16-9/4713 “О средствах защиты

информации, применяемых при обработке персональных данных”

ЛИЦЕНЗИРОВАНИЕ

ДЕЯТЕЛЬНОСТИ ПО

ЗАЩИТЕ

Изменение в лицензировании ФСТЭК

• 3 февраля – новое Постановление Правительства №79 "О лицензировании деятельности по технической защите конфиденциальной информации«

• Пришло на смену ПП-504

• Объект защиты отсутствует

• Конфиденциальной информации больше нет

• Объект лицензирования – выполнение работ по защите, либо об оказании услуг; либо об обоих видах вместе

• В тексте нигде не говорится о собственных нуждах или об извлечении прибыли при выполнении работ

• Лицензия становится нужной всем, кто занимается контролем защищенности конфиденциальной информации или установкой средств защиты информации

• Эксплуатация СЗИ не лицензируется

Что думал ФСТЭК, когда принимал ПП-

79 • ФСТЭК принуждает заключать договор с лицезиатами,

но…

• Когда лицензиат может быть полезен

• Проектирование и создание системы защиты

• Установка средств защиты на новых объектах

• Регулярный контроль защищенности

• → объем работ понятен и прогнозируем

• Когда лицензиата пригласить физически невозможно

• ПК вышел из строя или появляется новый сотрудник, которому

нужен новый ПК

• → объем работ не прогнозируем = заключение договора

отнимает слишком много времени

Взгляд юриста на новое ПП-79

• Если работы и услуги из ПП-79 воспринимать как

категории Гражданского Кодекса (а обратных

оснований нет), то они предполагают наличие

правоотношений продавец-покупатель

• В случае оказания услуг «для собственных нужд» такие

правоотношения «исполнитель-заказчик» отсутствуют

• → предмет лицензирования отсутствует!

• Косвенно такая трактовка подтверждает, если на

место «лицензиата» поставить индивидуального

предпринимателя, который физически не в состоянии

выполнить требование по количество и квалификации

персонала

Поэтому ФСТЭК поменяла свою

позицию

• Извлечение прибыли из деятельности по ТЗКИ

• Деятельность по ТЗКИ прописана в Уставе

• ТЗКИ поручена заказчиком ИСПДн или владельцем ПДн

Что думает МинЮст?

• «...обращаем внимание, что юридическую силу имеют

разъяснения органа государственной власти в случае,

если данный орган наделен в соответствии с

законодательством Российской Федерации

специальной компетенцией издавать разъяснения по

применению нормативных правовых актов...»

• ФСТЭК не наделен такими полномочиями

• Помимо мнения регулятора (органа по

лицензированию) возможно существование мнение

суда и мнение прокуратуры

• Они могут отличаться от мнения органа по лицензированию!

Что думает прокуратура?

• Прокуратурой г. Уфы проведена проверка соблюдения законодательства о защите персональных данных • в ООО «Исток-Сервис» и ООО «Инфорсер» при оказании

справочно-консультационных услуг при отделе государственного технического осмотра и регистрации автомототранспортных средств ГИБДД УМВД России по г.Уфа

• Установлено, что указанные юридические лица • осуществляли обработку ПДн, являющихся сведениями

конфиденциального характера, без соответствующей лицензии на деятельность по технической защите информации, и не принимали предусмотренных федеральным законодательством мер организационного, технического характера, по защите персональных данных клиентов, что могло повлечь нарушение конституционных прав граждан на неприкосновенность частной жизни

Что думает прокуратура? (окончание)

• По данному факту, с целью устранения нарушений

действующего законодательства прокуратурой г.Уфы в

Октябрьский районный суд г.Уфы направлены исковые

заявления о приостановлении и признании незаконной

деятельности ООО «Исток-Сервис» и ООО

«Инфорсер» по обработке и хранению персональных

данных, которые находятся на рассмотрении

Лицензия ФСБ • На деятельность в

области шифрования необходимо получить лицензию ФСБ

• Применимы рассуждения о лицензии на ТЗКИ • Свыше 10 уголовных

дел против банков по 171 статье УК

• АРБ считает, что это незаконно

О лицензировании криптографии

• 4 мая (с дополнения от 11 июля) была подписана новая редакция закона о лицензировании, который серьезно упрощает процедуру получения лицензий, повышает их прозрачность и существенно снижает число лицензируемых видов деятельности

• Разработка, производство, распространение шифровальных средств, ИТКС, защищенных с использованием шифровальных средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных средств, ИТКС, защищенных с использованием шифровальных средств

• За исключением случая, если техническое обслуживание шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств, осуществляется для обеспечения собственных нужд юридического лица

Изменение в лицензировании ФСБ

• 4 лицензируемых вида деятельности в области шифрования слились в один • Распространение, разработка, техобслуживание и оказание

услуг

• Лицензии стали бессрочными

• ФСБ стала терять контроль над процессом получения лицензий в области шифрования

• Выпущено ПП-313 о лицензировании деятельности по криптографии • Острая критика проекта со стороны экспертного сообщества и

Минэкономразвития и требование устранить все недоработки

• Недоработки не устранены – постановление принято

• Вместо 4-х 28 новых видов деятельности в области шифрования

Квалификация – ключевое требование

• Обязательные и жесткие требования к квалификации

персонала, отвечающих за криптографию

• В зависимости от вида лицензируемых работ и услуг

необходимо иметь высшее профессиональное образование по

специальности, переподготовку в течение 1000 (500 или 100)

аудиторных часов и иметь стаж 5 (3) года

• 1000 аудиторных часов - это полноценный институтский курс по

информационной безопасности, читаемый в течении 5-6 лет!

А у вас есть лицензия на гостайну?

• Работы по разработке, модернизации и ремонту

шифровальных средств требуют наличия допуска к

выполнению работ и оказанию услуг, связанных с

использованием сведений, составляющих

государственную тайну

• «Об утверждении Положения о лицензировании

деятельности по разработке, производству,

распространению шифровальных

(криптографических) средств…»

• При этом распространение шифровальных услуг исчезло из

списка лицензируемых видов деятельности

• Размещение СКЗИ на сайте не является «передачей», но

является «распространением»

Риск лицензирования в ФСБ

• Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства» • В целях обеспечения обороны страны и безопасности

государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами

Риск лицензирования в ФСБ

• Хозяйственное общество, имеющее стратегическое

значение для обеспечения обороны страны и

безопасности государства, - предприятие созданное

на территории Российской Федерации и

осуществляющее хотя бы один из видов

деятельности, имеющих стратегическое значение для

обеспечения обороны страны и безопасности

государства и указанных в статье 6 настоящего

Федерального закона

• пп.11-14 – 4 вида лицензирования деятельности в области

шифрования

• Наличие всего лишь одного маршрутизатора с IPSec требует от

вас лицензии на ТО СКЗИ

Риск лицензирования в ФСБ

(окончание) • 17 ноября 2011 года Президент подписал

Федеральный закон «О внесении изменений в статью

6 Федерального закона «Об иностранных инвестициях

в Российской Федерации» и Федеральный закон «О

порядке осуществления иностранных инвестиций в

хозяйственные общества, имеющие стратегическое

значение для обеспечения обороны страны и

безопасности государства»

• Из под действия закона выведены только банки, в уставном

капитале которых отсутствует доля (вклад) Российской

Федерации

Ответственность за отсутствие

лицензии • 26 января 2012 – законопроект «О внесении

изменений в некоторые законодательные акты Российской Федерации по вопросам лицензирования отдельных видов деятельности» • Отменяются части первая и пятая статьи 13.12 КоАП

• Нарушение (и грубое нарушение) условий, предусмотренных лицензией на осуществление деятельности в области защиты информации

• Отменяется также часть 1 статьи 13.13, касающуюся занятиями видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна)

О ЗАЩИТЕ ДЕТЕЙ В

ИНТЕРНЕТ

Защита детей от Интернет • Закон «О внесении изменений в отдельные законодательные

акты Российской Федерации по вопросам регулирования отношений при использовании информационно-телекоммуникационной сети Интернет» и ФЗ «О защите детей от негативной информации»

• Операторы связи, оказывающие услуги по предоставлению доступа к информационно-телекоммуникационной сети Интернет, обязаны осуществлять ограничение и возобновление пропуска трафика к сетевому адресу в информационно-телекоммуникационной сети Интернет в порядке, установленном Федеральным законом «Об информации, информационных технологиях и о защите информации»

• Блокирование Интернет-сайтов с противоправным контентом без суда и следствия по решению Роскомнадзора

• Блокирование сайтов с детским порно, пропагандой наркотиков и суицида

РКН новый регулятор ИБ в отрасли

связи • 1 марта Минэкономразвития опубликовало Проект постановления

Правительства «Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации» • Регулирует отношения в области организации и осуществления

государственного контроля (надзора), установления, применения и исполнения обязательных требований к продукции или связанным с ними процессам эксплуатации, оценки соответствия

• Указанные требования по защите, а также требования по обеспечению целостности и устойчивости для операторов связи установлены • 113-м приказом Минсвязи от 27.09.2007 «Об утверждении Требований к

организационно-техническому обеспечению устойчивого функционирования сети связи общего пользования»

• ГОСТ Р 53110-2008 «Система обеспечения информационной безопасности сети связи общего пользования. Общие положения»

• 1-м приказом Минкомсвязи от 9.01.2008 «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации»

ОБ ИНТЕГРАЦИИ В

МИРОВОЕ СООБЩЕСТВО

О признании западных стандартов ИБ

• 9 декабря Президент Медведев подписал перечень

поручений по итогам заседания Международного

консультативного совета по созданию и развитию

международного финансового центра в Российской

Федерации 28 октября 2011 года

• Рассмотреть вопрос о целесообразности смягчения

требований к вывозу отечественных шифровальных

(криптографических) средств за рубеж и о признании

международных стандартов в области защиты информации и

представить соответствующие предложения

• Поручение дано Путину В.В. Срок - до 1 марта 2012 года

• Результат – ФСБ рассмотрело данный вопрос и

посчитало смягчение нецелесообразным

О принятии международных конвенций

• Проект Кодекса (Конвенции) поведения ООН в области ИБ • Инициирован Россией, Китаем, Узбекистаном и Таджикистаном

• Запрет на вмешательство в национальное Интернет-пространство

• Запрет на использование Интернет и социальных сетей для свержения правительств

• Россия заблокировала Конвенцию ОБСЕ по «правам человека» в Интернет

• Россия ратифицировала, а потом отозвала свою подпись под Будапештской Конвенцией о борьбе с киберпреступностью • Мотивация – несогласие с вмешательством во внутренние

Интернет-дела

Зато мы хотим дружить с СНГ

• Распоряжение Правительства РФ от 28.05.2012 №856-р «О подписании соглашения о сотрудничестве государств - участников содружества независимых государств в области обеспечения информационной безопасности» • Автор – Минкомсвязь

• Ключевые положения • Сближение нормативной базы в области ИБ стран СНГ

• Развитие производства средств защиты

• Разработка межгосударственных стандартов, совместимых с западными

• Согласование порядка сертификации средств защиты и взаимное признание выданных в СНГ сертификатов

• И т.д.

О содействии иностранным

инвестициям в ИТ • 19 июня 2010 года бывший Президент Медведев

поручил Правительству Российской Федерации в

целях содействия иностранным инвестициям в

производство медикаментов, медицинской и

компьютерной техники, телекоммуникационного,

энергетического и энергосберегающего оборудования,

другой высокотехнологичной продукции на территории

Российской Федерации оптимизировать процедуры

таможенного оформления, валютного и экспортного

контроля при экспорте готовой продукции, а также при

импорте комплектующих и оборудования

• Ничего не поменялось

Как регуляторы понимают оптимизацию

таможенного оформления • Письмо ФТС от 12 декабря 2011 г. N 04-30/60671 «О

направлении памятки» • Актуализированный с учетом увеличения стоимостной нормы

беспошлинного ввоза физическими лицами на таможенную территорию Таможенного союза товаров для личного пользования в сопровождаемом и несопровождаемом багаже воздушным транспортом до 10 000 евро порядок перемещения физическими лицами товаров для личного пользования через таможенную границу Таможенного союза

• Таможенному декларированию подлежат среди прочего технические средства, имеющие функции шифрования • Товары для личного пользования, перемещение которых

физическими лицами через границу Российской Федерации допускается с разрешения государственных органов

О продукции отечественного

производства – методика недоработана • Приказ Минэкономразвития и Минпромторга,

определяющий, что считать ИТ-продукцией

отечественного производства

• Параметр Кимп (стоимость импортного сырья,

материалов, комплектующих, имеющих

отечественные аналоги) в формуле расчета либо не

вычислим либо будет всегда очень большим (итог –

низкий уровень локализации)

• Не установлен орган сличения материалов и комплектующих

иностранного и отечественного производства

• Не определены каталоги, считающиеся официальными

• Не определены процедуры и орган, утверждающие о наличии

отечественных аналогов

В России нет продукции отечественного

производства • Иностранные вендоры в России – резиденты со 100%-

м участием иностранных компаний • Приказ обязывает создавать СП с госорганами, муниципалами

или Ростехнологиями

• СП должны быть переданы права на документацию и ПО – передача интеллектуальных прав западной компании (особенно из США) практически невозможна

• Заявитель должен осуществлять полный цикл сборки печатных плат в России • В России таких предприятий (даже оборонных) практически нет

• При наличии таких предприятий проще обратиться на Тайвань или в Китай – себестоимость ниже

• Кстати, сборка печатных плат – экологически вредное производство

ЧТО БУДЕТ?

Что будет происходить совсем скоро • Персональные данные

• Новые Постановления Правительства

• Новые приказы ФСТЭК и ФСБ

• Финансовая отрасль

• Новые документы по НПС

• СТО БР ИББС-1.0 v5

• Требования по УЦ и ЭП

• Требования к КВО и ТЭК

• Контроль Интернет

• «Черные списки»

• Борьба с анонимайзерами

• Контроль социальных сетей

• Облачные технологии

• Контроль западного влияния

Изменения во властных структурах • Комитет ГД по безопасности переименован в комитет по

борьбе с коррупцией и безопасности • Смещение акцента

• Ключевые сотрудники покинули комитет

• Комитет ГД по информационной политике расформирован и вновь сформирован • Возглавил комитет депутат Митрофанов

• На эту сессию никаких законопроектов по ИБ в работе ГД не предусмотрено • Кроме законопроектов о регулировании в Интернет

• Изменения в Минкомсвязи • Новый министр связи, ИТ и массовых коммуникаций

• Изменение структуры Минкомсвязи и сокращение на 50%

• ФСТЭК, ФСБ, советники Президента – все осталось по-прежнему

ПЕРСОНАЛЬНЫЕ

ДАННЫЕ

Текущая и будущая ситуация с ПДн • 5 новых Постановления Правительства

• Два в части установления уровней защищенности и требований по безопасности

• Одно в части установления требований для госорганов и муниципалов

• Одно в части согласования моделей угроз ассоциаций

• Одно в части методики моделирования угроз госорганами

• За безопасность ПДн отвечают ФСТЭК и ФСБ • А также МВД в части технической укрепленности помещений для

обработки ПДн и лицензионной чистоты ПО для обработки ПДн

• РКН может получить права по технической проверке защиты ПДн

• Отраслевые стандарты – тренд с неочевидной судьбой • СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития…

• ФСТЭК и ФСБ по-прежнему поддерживают отраслевые стандарты

Что проверяет МВД по вопросам ПДн?

• Руководящий документ МВД РФ РД 78.36.003-2002

«Инженерно-техническая укрепленность. Технические

средства охраны. Требования и нормы

проектирования по защите объектов от преступных

посягательств»

• Утв. МВД РФ 6 ноября 2002 г.

• Введен в действие с 01.01.2003

• Распространяется на вновь проектируемые, реконструируемые

и технически перевооружаемые объекты различных форм

собственности, охраняемые или подлежащие передаче под

охрану подразделениям вневедомственной охраны при органах

внутренних дел

2 новых Постановления Правительства

• ПП-221 от 21.03.2012 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

• ПП-940 от 18.09.2012 «Об утверждении Правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю»

О Постановлении Правительства

№221 • Указанное постановление определяет перечень мер,

предусмотренный ст.18.1 ФЗ-152, но только для госорганов и муниципалов

• Постановление во многом повторяет требования ФЗ-152

• Определен перечень документов, который должен быть разработан госорганом или муниципальным органом • Требование наличия документа, описывающего правила работы с

обезличенными данными

• Декларируется, что обработка ПДн без средств автоматизации регламентируется ПП-687

• Описано требование обезличивания ПДн в ИСПДн согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных • Пока этих требований и методов нет

О Постановлении Правительства

№940 • Порядок определения дополнительных отраслевых

угроз

• Срок рассмотрения – 30 дней

• Основания для отказа

• наличие в проекте решения дополнительных угроз, которые

реализуются в составе других дополнительных угроз

безопасности ПДн, не отраженных в проекте решения;

• наличие в проекте решения дополнительных угроз, которые

влекут за собой возникновение других дополнительных угроз

безопасности ПДн, не отраженных в проекте решения;

• несоблюдение бюрократических требований, установленных

Постановлением

2 новых проекта Постановления

Правительства • Об установлении уровней защищенности персональных

данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных • Внесено 51 предложение

• Принято (местами частично) только 13; не самых критичных, а местами просто синтаксических правок ;-(

• 38 предложений не учтено ;-(

• О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных • Внесено 49 предложений

• Принято всего 5; в 4-х случаях изменена формулировка, так. что можно посчитать, что предложения также приняты

• В принятии оставшихся 40 предложений авторами было отказано

Новые требования по защите ПДн

• Требования привязаны к уровням защищенности

• Устанавливают общие требования

• Детализация уйдет в приказы ФСТЭК и ФСБ

• Текст серьезно отличается от предыдущей редакции

проекта

• Защита только от актуальных угроз

• Контроль

• Оператор самостоятельно или лицензиат ФСТЭК на

деятельность по ТЗКИ

• Не реже 1 раза в 3 года

Новые требования по защите ПДн

4 уровень

•Организован режим обеспечения безопасности помещений, в которых размещена ИСПДн, исключающий возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц

•Обеспечивается сохранность носителей ПДн

•Руководителем оператора утвержден документ, определяющий перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей

3 уровень

•4-й уровень защищенности +

•Назначено должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе персональных данных

•Доступ к содержанию электронного журнала сообщений возможен только должностному лицу (работнику) оператора или уполномоченного лица

2 уровень

•3-й уровень защищенности +

•Применение средств защиты информации, успешно прошедших процедуру оценки соответствия в соответствии с законодательством Российской Федерации

1 уровень

•2-й уровень защищенности +

•Факт изменения полномочий субъектов доступа к объектам доступа регистрировался автоматизированными средствами информационной системы персональных данных в электронном журнале безопасности

•Назначить структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе персональных данных

Аттестация для конфиденциалки

• В текущем приказе № 58 требования аттестации нет!

• В четверокнижии ФСТЭК аттестация была обязательной для

ИСПДн К1, К2 и распределенной К3

• Что такое «оценка эффективности принимаемых мер

по обеспечению безопасности персональных данных

до ввода в эксплуатацию информационной системы

персональных данных»?

• Ст.19 «нового старого» ФЗ-152

• Во ФСТЭК готовятся новые документы по аттестации

объектов информатизации

• Уже сейчас ФСТЭК требует аттестацию ИСПДн госорганов

Узаконивание спорных вопросов с

проверками • В административном регламенте РКН от 14 ноября 2011 г.

№ 312 приведен перечень оснований для внеплановых и плановых проверок, который расширяет закрытый перечень, установленный 294-ФЗ • Оспорила только прокуратура 2-х субъектов РФ

• РКН привлекает ФСТЭК, ФСБ и МВД в качестве экспертов • РКН имеет право привлекать экспертов, экспертные организации,

аккредитованные РКН в соответствие с ПП-689 от 20.08.2009

• Данная позиция вызывает большое количество вопросов со стороны экспертов, а также ФСТЭК и ФСБ

• Проект еще одного Постановления Правительства «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» узаконивает основания для проверок

Проект нового Постановления

Правительства • Госконтроль включает в себя

• Мониторинг деятельности, направленный на предупреждение,

выявление и пресечение нарушений

• Контроль и надзор за соблюдением обязательных требований

ФЗ и принимаемыми в соответствии с ними НПА, в т.ч. за

выполнением организационных и технических мер по

обеспечению безопасности ПДн в негосударственных

информационных системах

• Служащие РКН имеют право

• Получать доступа и проверять выполнение организационных и

технических мер по обеспечению безопасности ПДн в

негосударственных информационных системах

• Приостанавливать или прекращать обработку ПДн

ФИНАНСОВАЯ ОТРАСЛЬ

Мы только в начале пути

От СТО БР ИББС к ИБ НПС! А

дальше?!..

НОВЫЕ ТРЕБОВАНИЯ

ФСТЭК

Готовятся новые РД ФСТЭК

• Требования к DLP-системам

• Требования к средствам доверенной загрузки

• Требования к средствам двухфакторной

аутентификации

• Требования к средствам контроля съемных носителей

информации

• Новые требования по классификации

государственных информационных систем

• На базе FIPS 199

• Новый документ на замену СТР-К

Готовятся новые ГОСТы на 2013-2014

годы • «Уязвимости информационных систем. Классификация

уязвимостей информационных систем»

• «Уязвимости информационных систем. Правила описания уязвимостей»

• «Уязвимости информационных систем. Содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем»

• «Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»

• Взамен текущей версии ГОСТ 51583-2000

• «Документация по технической защите информации на объекте информатизации. Общие положения»

• «Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения»

Готовятся новые ГОСТы на 2013-2014

годы • «Техника защиты информации. Номенклатура показателей

качества» • Взамен текущего ГОСТ Р 52447-2005

• «Основные термины и определения» • взамен текущей версии ГОСТ Р 50922-2006

• «Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения»

• «Требования по защите информации, обрабатываемой с использованием технологий «облачных вычислений». Общие положения»

• «Требования по защите информации в информационных системах, построенных с использованием суперкомпьютерных и грид – технологий»

• Ряд стандартов по информационным войнам

РЕГУЛИРОВАНИЕ

ИНТЕРНЕТ

Контроль социальных сетей и Интернет • Социальные сети и Интернет надо контролировать

• Юрий Чайка, Генеральная прокуратура

• Интернет не приемлет анонимности – надо

контролировать

• Патриарх Кирилл, Русская Православная Церковь

• Рашид Нургалиев и Анатолий Мошков, МВД

• Николай Патрушев, Совет Безопасности

• Сергей Железняк, ГосДума

• Пользователи должны иметь Интернет-паспорта

• Евгений Касперский

Как контролировать кого-то в Интернет • Заставить всех аутентифицироваться при входе в Интернет

• Постановление Правительства от 28.11.2011 № 977 «О федеральной ГИС «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей …»

• Запретить анонимайзеры • Законопроект готовится к осенней сессии в Госдуме

• Лицензирование всех Интернет-компаний, а не только тех, кто оказывает телематику на возмездной основе

• Иметь возможность выемки логов у Интернет-компаний «задним числом», а не только с момента запроса в рамках ОРД

• Хостинг Интернет-сервисов только в России и по российским правилам

• Запретить западную криптографию

• Введение черных списков экстремистов (по аналогии с защитой детей)

• Усилить наказание

Работа активно идет • Государственный контракт на тему «Зарубежный опыт

регулирования ответственности участников правоотношений при использовании сети Интернет» • Выиграл Институт законодательства и сравнительного

правоведения при Правительстве РФ

• Отчет включает описание законодательства США, Великобритании, Франции, Германии, Китая, Канады, Казахстана, Белоруссии в области правового регулирования ответственности участников правоотношений при использовании сети Интернет за содержание размещаемой в сети информации, аналитические материалы, содержащие соответствующие нормативные правовые акты (отдельные нормы) указанных стран и результаты сравнительного исследования выявленных норм, регулирующих ответственность за содержание размещаемой в сети Интернет информации, и внесены предложения по совершенствованию законодательства РФ в области правового регулирования ответственности участников правоотношений при использовании сети Интернет за содержание размещаемой в сети информации

Контроль средств коммуникаций • В начале февраля 2012 на сайте Минкомсвязи были

опубликованы результаты оценки регулирующего

воздействия на проект приказа Минкомсвязи России «О

внесении изменений в отдельные акты по вопросам

применения средств связи»

• Обязательное требование к абонентским устройствам,

используемых в сети связи общего пользования, согласно которому

каждое абонентское устройство должно иметь уникальный

идентификационный номер

• Указанные абонентские устройства подлежат обязательному

подтверждению соответствия установленным требованиям в целях

обеспечения целостности, устойчивости функционирования и

безопасности единой сети электросвязи Российской Федерации

• Новые проекты приказов Минкомсвязи по различным

аспектам СОРМ

Контроль Интернет-компаний • На рассмотрении совета Госдумы РФ находится

предложенный Комитетом по вопросам собственности законопроект о внесении изменений в закон об иностранных инвестициях в предприятия, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства (57-ФЗ)

• законопроект предлагает дополнить список стратегических предприятий компаниями, оказывающими «социально значимые услуги в сети Интернет»

• «Под социально значимой услугой в сети Интернет понимается в том числе осуществление: поиска информации по запросам пользователей, почтового сервиса, загрузке, хранению, просмотру визуального, аудиовизуального и иного материала, по просмотру и правке различного рода справочной информации, по созданию и размещению сайтов, по кооперативному обмену файлами и иные коммуникационные услуги в сети Интернет»

Регулирование облачных вычислений

• «Помимо этого сервер, предоставляющий услугу облачных вычислений, должен находиться в России. В какой-то степени такие условия осложняют жизнь хостерам, потому что придется взаимодействовать с такими службами, как ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо сделать, чтобы облачные платформы в будущем имели возможность нормальной работы не только с госорганами, но и с другими структурами»

• Илья Массух, бывший советник министра связи и массовых коммуникаций на конференции «Защита персональных данных», 27 октября 2011 года

• Сейчас отмечен очередной этап интереса к теме регулирования облаков – готовится новая законодательная база

Стратегия кибербезопасности России

• Концептуальные взгляды на деятельность

Вооруженных Сил Российской Федерации в

информационном пространстве

• В конце 2011 года документ появился на одном из сайтов

МинОбороны

• Сентябрь 2012 – готовится проект государственной

стратегии кибербезопасности

• Приравняет атаки на госсайты к захвату органов власти

НАКАЗАНИЕ УСИЛИТСЯ

Изменения в Уголовном Кодексе • Законопроект № 559740-5 «О внесении изменений в

Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации (в части совершенствования законодательства Российской Федерации)»

• Изменение в 272—274-й статьях • Ст.272 – добавлен разъяснение размера «крупного» ущерба и

определение «компьютерной информации»

• Ст.273 – добавлен «злой умысел» и расширение статьи на любые программы для нарушений свойств информации, а не только на вирусы и системы удаленного управления

• 5.04.2012 на пленуме Верховного суда (ВС) одобрены поправки в уголовное законодательство, направленные на выделение некоторых видов мошенничества в отдельные составы преступлений (ст.159) • Подделка банковских карт, фишинг, мошенничество в ДБО и т.д.

Увеличение наказания за

невыполнение ФЗ-152

10000 руб.

1000000 руб.

2% от дохода

Выручка за год

• Срок давности (ст.4.5 КоАП) увеличивается с 3-х месяцев до 1

года

• Полномочия прокуратуры по возбуждению дела по 13.11 уходят в

РКН

Новые составы правонарушений по

ПДн • Невыполнение оператором обязанностей,

предусмотренных законодательством в области ПДн

• Законодательство – это не только ФЗ-152

• РКН настаивает только на ст.18 и 18.1

• Штраф – до 30 000 рублей

• Обработка ПДн без согласия (ст.13.11.1)

• Просто – до 50 000 рублей

• С доходом – сумма выручки за год, но не менее 500 000 рублей

• С вредом жизни и здоровью – до 600 000 рублей

• Рецидив – до 700 000 рублей

Новые составы правонарушений по

ПДн • Обработка спецкатегорий ПДн в случаях, не

предусмотренных законом

• Просто – до 500 000 рублей

• С вредом жизни и здоровью – до 700 000 рублей

• Рецидив – до 700 000 рублей

• Несоблюдение условий трансграничной передачи ПДн

• Просто – до 30 000 рублей

• Повлекшее НСД – до 700 000 рублей

• Рецидив – до 700 000 рублей

Новые составы правонарушений по

защите информации • Существующие составы правонарушений по ст.13.12

• Нарушение условий, предусмотренных лицензией ТЗКИ

• Использование несертифицированных информационных систем, баз

и банков данных, а также несертифицированных средств защиты

информации

• Нарушение условий, предусмотренных лицензией на гостайну

• Использование несертифицированных средств защиты гостайны

• Грубое нарушение условий, предусмотренных лицензией на ТЗКИ

• Новые составы правонарушений по законопроекту ФСТЭК

• Нарушение обязательных требований к защите информации (за

исключением информации, составляющей государственную тайну)

• Нарушение обязательных требований к защите информации,

составляющей государственную тайну

Понятие государственной измены тоже

изменяется • Введение в УК России нормы, устанавливающей

ответственность за незаконное получение сведений, составляющих государственную тайну, лицом, которому она не была доверена или не стала известна по службе или работе, при отсутствии признаков государственной измены или шпионажа, позволит обеспечить системность охраны различных видов информации ограниченного доступа

• Из пояснительной записки к законопроекту об изменении статьи УК о государственной измене

• Ущерб безопасности РФ, в том числе ее конституционному строю, суверенитету, территориальной и государственной целостности

• Не только выдача, но и оказание финансовой, материально-технической, консультационной или иной помощи … международной либо иностранной организации или их представителям

РОЛЬ ФСБ

УСИЛИВАЕТСЯ

За что теперь будет отвечать ФСБ

помимо криптографии • Распоряжение премьер-министра «Об определении национального

координирующего органа Российской Федерации в сфере обеспечения информационной безопасности в рамках Организации Договора о коллективной безопасности» • Распоряжение Правительства от 24 ноября 2011 г. №2127-р

• Защита критически важных объектов • Документ СовБеза

• Перемещение граждан России на транспорте • Приказ Минтранса России от 19 июля 2012 г. №243

• Мастер-ключи контрольно-кассовой техники • Законопроект о внесении изменений в 54-ФЗ

• Защита персональных данных

• Защита госорганов

• …

ЧТО ЕЩЕ БУДЕТ?

Окультуривание в области ИБ

• Проект Совета Безопасности «Основные направления государственной политики в области формирования культуры информационной безопасности» • Определяет цель, задачи, принципы и основные направления

государственной политики в области формирования культуры информационной безопасности как важного условия развития информационного общества в России и обеспечения национальной безопасности

• Под культурой информационной безопасности понимаются знания и навыки граждан, а также политики организаций в области использования информационно-коммуникационных технологий, необходимые для повышения уровня информационной безопасности.

• Одной из основ культуры информационной безопасности являются правила, нормы и стандарты безопасного использования информационно-коммуникационных технологий

Что осталось за бортом? • Новая редакций Гражданского Кодекса (в части режима КТ)

• Универсальная электронная карта

• Проект приказа Минкомсвязи «Об утверждении Требований к

управлению сетями электросвязи»

• Системы управления сетями связи должны быть

сертифицированными

• Принятие стандартов ISO (15408, 27005, 18045) в России

• В рамках ТК362 Ростехрегулирования

• ГОСТ по моделированию угроз для операторов связи

• ФСБ фактически запретила принятие этого стандарта

• Государственный образовательный стандарт по ИБ

• А также стандарт АП КИТ по квалификациями специалистов по ИБ

103

ВЫВОДЫ

Что все это значит для вас?! • Регуляторы не откажутся от регулирования отрасли ИТ/ИБ и

Интернет и только усилят свое влияние

• Потребители вынуждены будут увеличивать бюджеты на ИБ или будут более активно принимать риски несоблюдения законодательства

• Безопасность все больше будет становиться бумажной, а не реальной

• Основным регулятором становится ФСБ

• «Железный занавес» становится все более реальным

• Работа с иностранными компаниями

• Работа НКО и иностранных агентов

• Работа иностранных Интернет-компаний в России

• Использование и ввоз иностранных средств защиты

• Контроль иностранных инвестиций по 57-ФЗ

Куды бечь?

© Izidor Gasperlin

107

Благодарю вас

за внимание