Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Что нас ждет в отечественном законодательстве по ИБ?
1. Что нас ждет в отечественном
законодательстве по ИБ?
Лукацкий Алексей, консультант по безопасности
2. Активность законодателей только возрастает
• В среднем 4 нормативных акта (проекта) в месяц
– 2012 – 5, 2013 – 4, 2014 – 6
– Активность будет только возрастать
– В октябре почему-то всегда минимальная активность J
3. Это только начало
• Около 50 нормативных актов уже запланировано к разработке на
ближайшее время
– Они не включены в диаграмму
7. Недавние и планируемые изменения по направлению ПДн
Что было
• Приказ ФСТЭК №21 по защите ПДн в
ИСПДн
• Приказ об отмене «приказа трех» по
классификации ИСПДн
• Приказ и методичка РКН по
обезличиванию
• Новая версия стандарта Банка
России (СТО БР ИББС)
• Закон 242-ФЗ о запрете хранения
ПДн россиян за границей
• Письмо Банка России 42-Т
• Приказ ФСБ №378 по использованию
СКЗИ для защиты ПДн
• ПП-911 по отмене обязательного
обезличивания
Что будет
• Законопроект Совета Федерации по
внесению изменений в ФЗ-152
• Законопроект по внесению
изменений в КоАП
• Работа Межведомственного
экспертного совета при Минкомсвязи
по совершенствованию
законодательства в области
регулирования отношений,
связанных с обработкой ПДн
• Отраслевые модели угроз
• Ратификация дополнительного
протокола Евроконвенции (181)
8. На что стоит обратить внимания из недавнего
• ПП-911 от 06.09.2014 об отмене
обязательного обезличивания ПДн в
государственных и муниципальных
органах, установленное ПП-211
– Теперь решение об обезличивании
отдается на откуп самого оператору
ПДн
• Приказ ФСТЭК/ФСБ/Минкомсвязи
№151/786/461 от 31.12.2013 отменяет
приказ по классификации ИСПДн
– Теперь только уровни защищенности
• Приказ РКН от 05.09.2013 №996
описывает различные варианты
обезличивания ПДн
10. Закон о запрете хранения ПДн россиян за границей
• Реализация положения ФЗ-242 «о
запрете хранения ПДн россиян за
границей»
– Запрет хранения
– Наказание за нарушение
– Выведение РКН из под действия
294-ФЗ
• Вступает в силу с 1 сентября 2016
года
• Возможно будут вноситься
изменения
– По части «независимого органа»
– По части контроля/надзора
– По части хранения за пределами
РФ
11. Обеспечение конфиденциальности или шифрование?
• Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4
• Согласно ст.7 под конфиденциальностью ПДн понимается
обязанность операторами и иными лицами, получивших доступ к
персональным данным:
– Не раскрывать ПДн третьим лицам
– Не распространять ПДн без согласия субъекта персональных
данных
– Если иное не предусмотрено федеральным законом
• Оператор при обработке персональных данных обязан принимать
необходимые правовые, организационные и технические меры
или обеспечивать их принятие для защиты персональных данных
от неправомерного или случайного доступа к ним…
– Ст.19
12. Как обеспечить конфиденциальность ПДн?
• Получить согласие субъекта на передачу ПДн в открытом виде
• Сделать ПДн общедоступными
• Обеспечить контролируемую зону
• Использовать оптические каналы связи при правильной модели
угроз
• Использовать соответствующие механизмы защиты от НСД,
исключая шифрование, например, MPLS или архивирование
• Переложить задачу обеспечения конфиденциальности на
оператора связи
• Передавать в канал связи обезличенные данные
• Использовать СКЗИ для защиты ПДн
15. Как поступают в Правительстве, МКС, ФСТЭК, у
Президента и в ФНС?
16. • РКН раньше на
своем сайте, а
портал госуслуг до
сих пор вынуждает
вас отказаться от
конфиденциально
сти
• У вас есть выбор –
или соглашаться,
или нет
Ответ Роскомнадзора
Вы можете принудить субъекта отказаться от
конфиденциальности его ПДн
17. А если сделать их общедоступными?
• РЖД делает
регистрационные
данные
пользователей
своего сайта
общедоступными
• РКН не против
• Шифрование в
таком случае не
нужно
19. Еще четыре сценария
• Обезличивание из персональных данных делает неперсональные
• Они выпадают из под ФЗ-152
• Не требуется даже конфиденциальность
Обезличивание
• Оператор связи по закону «О связи» обязан обеспечивать тайну связи
• Почему бы в договоре с оператором явно не прописать обязанность
обеспечить конфиденциальность всех передаваемых данных,
включая и ПДн
Оператор связи
• Снять информацию с оптического канала связи возможно, но
непросто и недешево
• Почему бы не зафиксировать в модели угроз соответствующую мысль
Оптика
• Для защиты от несанкционированного доступа на сетевом уровне
могут применяться различные технологии; не только шифрование
• Например, MPLS, обеспечивающая разграничение доступа
Виртуальные
сети
20. Приказ ФСБ №378
• Настоящий документ устанавливает
состав и содержание необходимых
для выполнения установленных
Правительством Российской
Федерации требований к защите ПДн
для каждого из уровней защищенности
организационных и технических мер
по обеспечению безопасности ПДн
при их обработке в ИСПДн
• Принят 10 июля 2014 года, вступил в
силу с 28 сентября 2014 года
21. Приказ ФСБ
• Даны разъяснения (имеющие характер обязательных) положений
ПП-1119
– Например, что такое «организация режима обеспечения
безопасности помещений», «сохранность персональных данных»,
«электронный журнал сообщений» и т.п.
• Средства криптографической защиты персональных данных
могут быть ТОЛЬКО сертифицированными
• 8-й Центр сознательно или несознательно, но ограничил
применение для защиты ПДн СКЗИ классом КС3 (!) и выше
– Если вы считаете, что потенциальный нарушитель может
получить доступ к средствам вычислительной техники, на
которых установлены СКЗИ, то необходимо применять СКЗИ не
ниже КС3
22. Приказ ФСБ
• Если вдуматься чуть глубже, то вы обязаны будете применять
СКЗИ класса КВ, если вы опасаетесь, что нарушитель может
привлечь специалистов, имеющих опыт разработки и анализа
СКЗИ
– А сейчас нет ограничений на таких специалистов - криптографию
преподают в 100 с лишним ВУЗах России
• СКЗИ КВ применяются, когда могут быть использованы
недекларированные возможности в прикладном ПО или у
нарушителя есть исходные коды прикладного ПО
– Прощай open source
• СКЗИ КА применяются, когда могут быть использованы
недекларированные возможности в системном ПО
23. Соответствие уровней защищенности классам СКЗИ
Уровень
защищенности
3-й тип угроз 2-й тип угроз 1-й тип угроз
4 КС1+ КС1+ КС1+
3 КС1+ КВ -
2 КС1+ КВ
1 - КВ КА
• В зависимости от совокупности предположений о возможностях,
которые могут использоваться при создании способов, подготовке
и проведении атак СКЗИ подразделяются на классы
24. Приказа ФСБ
• Все помещения, в
которых ведется
обработка ПДн, должны
по окончании рабочего
дня не просто закрываться, а
опечатываться (!)
– Это минимум требований
для 4-го уровня
защищенности
• На 1-м уровне от вас
потребуют на первых и последних этажах зданий установки
решеток или ставень (!)
• Все машинные носители персональных данных должна
учитываться поэкземплярно
25. О встраивании криптоядра в VPN
• Можно ли использовать сертифицированное криптоядро в
составе VPN-решений?
– Можно
• Будет ли такое использование легитимным?
– Нет!!!
26. Законопроект по штрафам
• В новом законопроекте меняется текст статьи 13.11, которая
устанавливает два состава правонарушений
– Нарушение требований к письменному согласию субъекта
(<=50K)
– Обработка ПДн без согласия или иных законных оснований
(<=50K)
• Также вводится еще 3 новых статьи:
– 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K)
– 13.11.2 - непредоставление оператором информации и (или)
доступа к сведениям, предусмотренным законодательством о
ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в
отношении обработки ПДн (<=45K)
– 13.11.3 – нарушение правил неавтоматизированной обработки и
обезличивания (<=50K)
27. Вы не забыли про Конвенцию?
• Ратификация дополнительного протокола к конвенции о защите
частных лиц в отношении автоматизированной обработки данных
личного характера, о наблюдательных органах и трансграничной
передаче информации (ETS N 181)
• В 2015-м (возможно) будет принята новая редакция
Евроконвенции
– со всеми вытекающими
29. Недавние и планируемые изменения по направлению
КИИ / КСИИ / КВО / АСУ ТП
Что было
• Постановление
Правительства №861 от
02.10.2013
• Приказ ФСТЭК №31 по
защите АСУ ТП
Что будет
• Законопроект по
безопасности критических
информационных
инфраструктур
• Законопроект о внесении
изменений в связи с
принятием закона о
безопасности КИИ
• Подзаконные акты
• Методические документы
ФСТЭК
30. Новый приказ ФСТЭК №31
• «Об утверждении Требований к
обеспечению защиты информации в
автоматизированных системах
управления производственными и
технологическими процессами на
критически важных объектах,
потенциально опасных объектах, а
также объектах, представляющих
повышенную опасность для жизни и
здоровья людей и для окружающей
природной среды»
– Ориентация на объекты ТЭК,
транспортной безопасности,
использования атомной энергии,
опасных производственных объектов,
гидротехнических сооружений
31. Ключевые отличия требований по ИБ КСИИ и АСУ ТП
• Объект защиты
• Классификация АСУ ТП / КСИИ
• Уровень открытости циркулируемой в АСУ ТП / КСИИ
информации
• Парадигма (КЦД vs ДЦК)
• Требования по защите
• Требования по оценке соответствия
• Участники процесса защиты информации
32. Поправки в связи с принятием закона о безопасности КИИ
• Поправки в УК РФ и УПК РФ
– Внесение изменений в статьи 272, 274, 151 (УПК)
• Поправки в закон «О государственной тайне»
– Сведения о степени защищенности и мерах безопасности
объектов средней и высокой степени опасности
• Поправки в 294-ФЗ
– Выведение из под порядка проведения проверок КИИ
• Поправки в 184-ФЗ
– Исключение двойного регулирования
33. Что еще готовится в связи с законопроектом о
безопасности КИИ?
• Определение ФОИВ, уполномоченного в области безопасности
КИИ
– Через 6 месяцев после принятия закона
• Постановления Правительства «Об утверждении показателей
критериев категорирования элементов критической
информационной инфраструктуры»
– Принятие в течение 6 месяцев после определения ФОИВ,
уполномоченного в области безопасности КИИ
• Постановление Правительства «Об утверждении порядка
подготовки и использования ресурсов единой сети связи
электросвязи для обеспечения функционирования и
взаимодействия объектов КИИ»
• Приказ уполномоченного ФОИВ об утверждении требований по
безопасности КИИ
– Это не 31-й приказ!!!
34. Что еще готовится в связи с законопроектом о
безопасности КИИ?
• Приказы уполномоченного ФОИВ об аккредитации, о
представлении сведений для категорирования, о контроле/
надзоре, о реестре объектов КИИ
• Приказ ФСБ об утверждении порядка реагирования на
компьютерные инциденты и ликвидации последствий
компьютерных атак на объектах КИИ
• Приказ ФСБ о перечне и порядке предоставлений сведений в
СОПКА
• Приказ ФСБ о порядке доступа к информации в СОПКА
• Приказ ФСБ об утверждении требований к техсредствам СОПКА
• Приказ ФСБ об установке и эксплуатации техсредств СОПКА
Приказ ФСБ о национальном CERT
• Приказ Минкомсвязи об условиях установки СОВ на сетях
электросвязи
35. Планируемые методические документы ФСТЭК
• Применение «старых» документов ФСТЭК по КСИИ в качестве
рекомендательных и методических
– «Рекомендации…» и «Методика определения актуальных угроз…»
• Методичка по реагированию на инциденты (в разработке)
• Методичка по анализу уязвимостей (в разработке)
• Методичка по управлению конфигурацией (в разработке)
• Методичка по аттестации (в разработке)
• Методичка по мерам защиты в АСУ ТП (в разработке)
– По аналогии с «Мерами защиты в ГИС»
37. Недавние и планируемые изменения по направлению ГИС
Что было
• Приказ ФСТЭК №17 по
защите информации в ГИС
• Методический документ по
мерам защиты информации
в государственных
информационных системах
Что будет
• Порядок моделирования
угроз безопасности
информации в
информационных системах
• Новая редакция приказа
№17 и «мер защиты в ГИС»
• Методические и
руководящие документы
ФСТЭК
• Законопроекты о запрете
хостинга ГИС за пределами
РФ, о служебной тайне, по
импортозамещению…
38. Что еще планируется?
• Законопроект о запрете использования чиновниками и
госслужащими несертифицированных мобильных устройств
– Фактически эти нормы уже установлены действующими НПА
• Законопроект о запрете размещения сайтов государственных
органов за пределами Российской Федерации
– Фактически эти нормы уже установлены действующими НПА
• Законопроект о регулировании облачных вычислений
– Установление особых требований по ИБ к облакам для госорганов
• Новая статья в КоАП за препятствование доступу к сайтам в
Интернет (уже принято)
– Из антитеррористического пакета законов
39. ФСТЭК планирует установить новые требования к
средствам защиты
• ФСТЭК (2013-2015)
– Требования к средствам доверенной загрузки (принят)
– Требования к средствам контроля съемных носителей
– Требования к средствам контроля утечек информации (DLP)
– Требования к средствам аутентификации
– Требования к средствам разграничения доступа
– Требования к средствам контроля целостности
– Требования к средствам очистки памяти
– Требования к средствам ограничения программной среды
– Требования к средствам управления потоками информации
– Требования к МСЭ
– Требования к средствам защиты виртуализации
– ГОСТы по защите виртуализации и облачных вычислений
– ГОСТ по защищенному программированию (SDLC)
40. У ФСТЭК большие планы по регулированию госорганов и
муниципалов
41. Планируемые методические документы ФСТЭК
• Порядок аттестации распределенных информационных систем
• Порядок обновления программного обеспечения в аттестованных
информационных системах
• Порядок обновления сертифицированных средств защиты
информации
• Порядок выявления и устранения уязвимостей в
информационных системах
• Порядок реагирования на инциденты, которые могут привести к
сбоям или нарушению функционирования информационной
системы и (или) к возникновению угроз безопасности
информации
• …
42. Существуют и еще некоторые требования
• ИС организаций, подключаемых к инфраструктуре,
обеспечивающей информационно-технологическое
взаимодействие ИС, используемых для предоставления
государственных и муниципальных услуг в электронной форме
– Приказ Минкомсвязи от 9 декабря 2013 г. №390
• ИС общего пользования
– ПП-424 + Приказ Минкомсвязи от 25 августа 2009 года №104 +
Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489
• ИС открытых данных
– Приказ Минкомсвязи России от 27.06.2013 №149
• Сайты ФОИВ
– Приказ Минэкономразвития России от 16.11.2009 №470
• ИС, предназначенные для информирования общественности о
деятельности ФОГВ и ОГВ субъектов РФ (ИСИОД)
44. Меры по защите информации
• Организационные и технические меры защиты информации,
реализуемые в АСУ ТП
– идентификация и аутентификация субъектов доступа и объектов
доступа
– управление доступом субъектов доступа к объектам доступа
– ограничение программной среды
– защита машинных носителей информации
– регистрация событий безопасности
– антивирусная защита
– обнаружение (предотвращение) вторжений
– контроль (анализ) защищенности
– целостность АСУ ТП
– доступность технических средств и информации
– защита среды виртуализации
45. Меры по защите информации
• продолжение:
– защита технических средств и оборудования
– защита АСУ ТП и ее компонентов
– безопасная разработка прикладного и специального
программного обеспечения разработчиком
– управление обновлениями программного обеспечения
– планирование мероприятий по обеспечению защиты информации
– обеспечение действий в нештатных (непредвиденных) ситуациях
– информирование и обучение пользователей
– анализ угроз безопасности информации и рисков от их
реализации
– выявление инцидентов и реагирование на них
– управление конфигурацией информационной системы и ее
системы защиты
46. Меры по защите информации: общее
Защитная мера ПДн ГИС АСУ ТП
Идентификация и аутентификация субъектов доступа и объектов доступа
+ + +
Управление доступом субъектов доступа к объектам доступа
+ + +
Ограничение программной среды
+ + +
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ
+ + +
Регистрация событий безопасности
+ + +
Антивирусная защита
+ + +
Обнаружение (предотвращение) вторжений
+ + +
Контроль (анализ) защищенности персональных данных
+ + +
Обеспечение целостности информационной системы и КИ
+ + +
Обеспечение доступности персональных данных
+ + +
Защита среды виртуализации
+ + +
Защита технических средств
+ + +
Защита информационной системы, ее средств, систем связи и передачи данных
+ + +
47. Меры по защите информации: различия
Защитная мера ПДн ГИС АСУ ТП
Управление инцидентами
+ +
Управление конфигурацией информационной системы и системы защиты КИ
+ +
Безопасная разработка прикладного и специального программного обеспечения
разработчиком +
Управление обновлениями программного обеспечения
+
Планирование мероприятий по обеспечению защиты информации
+
Обеспечение действий в нештатных (непредвиденных) ситуациях
+
Информирование и обучение пользователей
+
Анализ угроз безопасности информации и рисков от их реализации
+
• Планы
– Унификация перечня защитных мер для всех трех приказов
– Выход на 2-хлетний цикл обновления приказов
48. Методические рекомендации ФСТЭК
• 11 февраля 2014 утвержден
методический документ «Меры
защиты информации в
государственных системах»
• Методический документ
детализирует организационные и
технические меры защиты
информации, а также определяет
содержание мер защиты
информации и правила их
реализации
• По решению оператора ПДн
настоящий методический документ
применяется для обеспечения
безопасности ПДн
49. ФСТЭК унифицирует требования по защите информации
Особенность Приказ по
защите ПДн
Приказ по
защите ГИС/МИС
Проект приказа по
АСУ ТП
Требования по
защите
привязаны к
4 уровням
защищенности
ПДн
4 классам
защищенности
ГИС/МИС
3 классам
защищенности АСУ
ТП
Порядок в
триаде КЦД КЦД ДЦК
Возможность
гибкого выбора
защитных мер
Да Да Да
Проверка на
отсутствие
«закладок»
Требуется для
угроз 1-2 типа
(актуальность
определяется
заказчиком)
Требуется для 1-2
класса
защищенности
ГИС/МИС
Требуется только
при выборе
сертифицированных
средств защиты
50. Но разница между требованиями ФСТЭК все-таки есть
Особенность Приказ по защите
ПДн
Приказ по
защите ГИС/
МИС
Проект приказа по
АСУ ТП
Оценка
соответствия
В любой форме
(нечеткость
формулировки и
непонятное ПП-330)
Только
сертификация
В любой форме (в
соответствии с ФЗ-184)
Аттестация Коммерческий
оператор - на выбор
оператора
Госоператор -
аттестация
Обязательна Возможна, но не
обязательна
Контроль и
надзор
Прокуратура – все
ФСТЭК/ФСБ –
только
госоператоры (РКН не
имеет полномочий
проверять коммерческих
операторов ПДн)
ФСТЭК ФСБ и ФОИВ,
ответственный за
безопасность КИИ
(определяется в
настоящий момент)
51. Единая методика моделирования угроз
• Методика определения угроз
безопасности информации в
информационных системах
• Распространяется на
– ГИС / МИС
– ИСПДн
– КСИИ
– АСУ ТП
– Иные ИС и АС, в которых в
соответствии с законодательством РФ
и (или) требованиями заказчика должна
быть обеспечена конфиденциальность,
целостность и (или) доступность
информации
• Исключает угрозы СКЗИ и ПЭМИН
53. Недавние и планируемые изменения по направлению
НПС/банковской тайны
Что было
• 382-П (3007-У)
• 2831-У (3024-У)
• 55-Т
• 42-Т
• 49-Т
• 242-П
• СТО БР ИББС 1.0 и 1.2
• Отмена РС 2.3 и 2.4
• Принятие новых РС 2.5
и 2.6
Что будет
• Новая редакция 382-П
(3361-У)
• Новые РС
• Требования для
организаций
финансового рынка
(ФСФР)
• Банковский CERT
• Отраслевая модель
угроз ПДн
54. Указание 3361-У
• Утверждено 14 августа 2014
• Опубликовано в «Вестнике Банка
России» №83 17 сентября
• Вступает в силу с 16 марта 2015 года
55. Изменения в 382-П
• Основные изменения
– требования к обеспечению защиты
информации при осуществлении
переводов денежных средств с
применением банкоматов и
платежных терминалов, с
использованием систем Интернет-
банкинга, мобильного банкинга
– требования к использованию
платежных карт, оснащенных
микропроцессором
– факторы, которые должны
учитываться при реализации
требований 382-П (29 новых
показателей оценки)
56. Что планирует Банк России в новой версии СТО?
• СТО БР ИББС 1.0 (5-я версия) уже
принят в ТК122
– Принятие Банком России
произошло путем подписания
распоряжения Банка России от 17
мая 2014 года № Р-399 и № Р-400
– Вступил в силу с 01.06.2014
• С 1-го июня отменены предыдущие
версии СТО 1.0 и 1.2, а также РС 2.3
(защита ПДн) и 2.4 (отраслевая
модель угроз)
57. Также Банк России принял с 01.06.2014
• Четвертую редакцию стандарта Банка России «Обеспечение
информационной безопасности организаций банковской системы
Российской Федерации. Методика оценки соответствия
информационной безопасности организаций банковской системы
Российской Федерации требованиям СТО БР
ИББС-1.0-2014» (регистрационный номер СТО БР
ИББС-1.2-2014)
• Рекомендации в области стандартизации Банка России
«Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Менеджмент
инцидентов информационной безопасности» (регистрационный
номер РС БР ИББС-2.5-2014)
58. Также Банк России принял с 01.09.2014
• Рекомендации в области стандартизации Банка России
«Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Обеспечение
информационной безопасности на стадиях жизненного цикла
автоматизированных банковских систем» (регистрационный
номер РС БР ИББС-2.6-2014)
59. Планируемые изменения по направлению СТО БР ИББС
• Проекты новых РС
– Проект РС по ресурсному обеспечению информационной
безопасности
– Проект РС по виртуализации
– Проект РС по предотвращению утечек информации
• Пересмотр «старых» документов СТО
• СТО 1.1, РС 2.0, 2.1 и 2.2
• Разработка новых РС
– Противодействие мошенничеству
– Облачные технологии и аутсорсинг
– Распределение ролей
59
60. Письмо 49-Т от 24.03.2014
• Об этом документе ходили
достаточно давно
– Чуть ли не с конца 2012-го года
• Документ очень подробный
– Расписывает не только
технические, но и организационные
вопросы по защите от
вредоносного кода
• Детализирует требования 382-П (или
СТО БР ИББС)
– Есть и нестыковки
– Переложение 15 разделов 382-П
на борьбу с вредоносным кодом
• Требует участия органа управления
кредитной организации
62. Недавние и планируемые изменения по направлению
ССОП
• Закон «О внесении изменений в отдельные законодательные акты
Российской Федерации по вопросам регулирования отношений при
использовании информационно-телекоммуникационной сети
Интернет» и ФЗ-139 «О защите детей от негативной информации»
• Постановление Правительства №611 от 15.04.2013 «Об
утверждении перечня нарушений целостности, устойчивости
функционирования и безопасности единой сети электросвязи РФ»
• Иных требований по информационной безопасности на
операторов связи пока не планируется
• Все изменения касаются контроля Интернет
– Антипиратский закон, контроль социальных сетей, Единая система
аутентификации (ЕСИА), запрет анонимайзеров, регулирование
Интернет-компаний как организаторов распространения
информации, регулирование облачных вычислений и т.п.