Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
1. Чего ждать от регуляторов в
ближайшие полгода?
Лукацкий Алексей, консультант по безопасности
2. Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность «Защита «Защита Разработка рекомендаций по ПДн,
ИТ» (ISO SC27 в информации в информации» СТО БР ИББС v4 и 382-П/2831-У
России) кредитных при ФСТЭК
учреждениях»
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза Экспертиза и Экспертиза и Консультативный
Предложения
документов разработка разработка совет
документов документов
5. Базовая иерархия документов по ПДн
Конвенции и иные Директивы
Евросоюза /
Рекомендации Европейская Рекомендации
АТЭС ОЭСР
международные договора Европарламента
Конвенция
ФЗ №152 от
26.07.2006
Законы ФЗ №160 от
19.12.2005
Постановления №1119 от №687 от №512 от №221 от №940 от
Правительства 01.11.2012 15.09.2008 6.07.2008 21.03.2012 18.09.2012
Приказы и Приказ ФСТЭК
№21 от
2 методички от
иные документы 18.02.2013
ФСБ
6. Новый приказ ФСТЭК
• №21 от 18.02.2013
• Определяет состав и содержание
организационных и технических
мер
• Применяется для новых
(модернизируемых) ИСПДн
• Меры по защите ПДн в ГИС
принимаются в соответствии с
требованиями о защите
информации, содержащейся в
ГИС («новый СТР-К»)
7. Меры по защите информации
• В систему защиты ПДн в зависимости от актуальных угроз
безопасности ПДн и структурно-функциональных характеристик
ИСПДн включаются следующие меры
– идентификация и аутентификация субъектов доступа и объектов
доступа
– управление доступом субъектов доступа к объектам доступа
– ограничение программной среды
– защита машинных носителей информации, на которых хранятся
и (или) обрабатываются персональные данные
– регистрация событий безопасности
– антивирусная защита
– обнаружение (предотвращение) вторжений
– контроль (анализ) защищенности персональных данных
8. Меры по защите информации
• продолжение:
– обеспечение целостности информационной системы и
персональных данных
– обеспечение доступности персональных данных
– защита среды виртуализации
– защита технических средств
– защита информационной системы, ее средств, систем связи и
передачи данных
– выявление инцидентов (одного события или группы событий),
которые могут привести к сбоям или нарушению
функционирования информационной системы и (или) к
возникновению угроз безопасности персональных данных, и
реагирование на них
– управление конфигурацией информационной системы и системы
защиты персональных данных
9. Как определяются защитные меры
• Выбор мер по обеспечению безопасности ПДн, Базовые меры
подлежащих реализации в системе защиты ПДн,
включает
– выбор базового набора мер Адаптация базового
набора
– адаптацию выбранного базового набора мер
применительно к структурно-функциональным
характеристикам ИСПДн, реализуемым ИТ, Уточнение
адаптированного набора
особенностям функционирования ИСПДн, а также
с учетом целей защиты персональных данных
– уточнение (включает дополнение или
Дополнение уточненного
исключение) адаптированного набора
– дополнение адаптированного базового набора
мер по обеспечению безопасности ПДн
дополнительными мерами, установленными Компенсационные меры
иными нормативными актами
10. Планируемые изменения
• Законопроект по внесению изменений в законодательные акты в
связи с принятием ФЗ-160 и ФЗ-152
• Законопроект «О внесении изменений в
статью 857 части второй Гражданского кодекса РФ, статью 26
Федерального закона «О банках и банковской деятельности» и
Федеральный закон «О персональных данных»
• Законопроект по внесению изменений в КоАП (в части
увеличения штрафов по ст.13.11)
• Проект методических рекомендаций РКН по обезличиванию
• Проект приказа РКН по странам, обеспечивающим адекватную
защиту прав субъектов
• Проект приказа ФСБ по ПДн
• Проект Постановления Правительства по надзору в сфере ПДн
11. Рост штрафов за невыполнение ФЗ-152
700000
Выручка руб.
2% от за год
1000000 дохода
10000 руб.
руб. • 4 состава правонарушения
• Увеличение суммы штрафа
• Рост срока давности
• Переход полномочий от прокуратуры к
РКН
12. Проект нового Постановления Правительства о надзоре
• Госконтроль включает в себя
– Мониторинг деятельности, направленный на предупреждение,
выявление и пресечение нарушений
– Действие данного Положения не распространяется на
деятельность по осуществлению контроля и надзора за
выполнением организационных и технических мер по
обеспечению безопасности персональных данных,
установленных в соответствие со статьей 19 Федерального
закона "О персональных данных"
• Проект Постановления Правительства «Об утверждении
Положения о государственном контроле и надзоре за
соответствием обработки персональных данных требованиям
законодательства Российской Федерации в области
персональных данных»
13. Проект приказа ФСБ
• Настоящий документ устанавливает
состав и содержание необходимых
для выполнения установленных
Правительством Российской
Федерации требований к защите ПДн
для каждого из уровней защищенности
организационных и технических мер
по обеспечению безопасности ПДн
при их обработке в ИСПДн
• Оргмеры похожи на 152-й приказ
ФАПСИ («розовую инструкцию»)
14. Когда должны применяться СКЗИ
• Криптографическая защита персональных данных
обеспечивается в следующих случаях
– если персональные данные подлежат криптографической защите
в соответствии с федеральными законами и принимаемыми в
соответствии с ними нормативными правовыми актами
– если для информационной системы персональных данных
выявлены угрозы, которые могут быть нейтрализованы только с
помощью СКЗИ
• В остальных случаях решение о необходимости обеспечения
криптографической защиты ПДн может быть принято оператором
на основании технико-экономического сравнения альтернативных
вариантов обеспечения безопасности ПДн
15. От модели нарушителя к типам угроз и классам СКЗИ
Категории нарушителей
КН1 • Н1-Н3 3 тип
КН2 • Н4-Н5 2 тип
КН3 • Н6 1 тип
Типы угроз
18. Мы только в начале пути регулирования НПС
• Платежные карты
• Мобильные и
мгновенные
платежи
• Системы ДБО
• Банкоматы и ККТ
• Небанковские
организации
• Разработчики
платежных
приложений
19. Письмо 34-Т от 01.03.2013
• О рекомендациях по повышению
уровня безопасности банкоматов и
платежных терминалов
• Классификация мест установки по
степени риска, в т.ч. и подвергнуться
воздействию вредоносного кода, а
также совершения
несанкционированных операций
• Пересмотр классификации по мере
развития технологий атак
• Оснащение специальным ПО для
выявления и предотвращения атак
• Регулярный контроль действия
обслуживающих организаций
20. Письмо 34-Т от 01.03.2013 (окончание)
• Использование систем удаленного мониторинга состояния
банкомата или терминала
• 2 видеокамеры и хранение видеозаписей не менее 60 дней
• Обнаружение, фиксация атак и их попыток и информирование о
них заинтересованных участников рынка розничных платежных
услуг и Банка России
• Анализ и выявление уязвимостей после атак или попыток их
совершения
• Совершенствование системы защиты
• Обмен информацией с другими кредитными организациями
• Размещение на устройстве рекомендаций по защите PIN
• + требования по физической безопасности банкоматов и
платежных терминалов
21. Новая форма отчетности грядет с 1 апреля 2013 года
• Указание 2926-У от 03.12.2013 «О внесении изменений в Указание
Банка России от 12 ноября 2009 года № 2332-У «О перечне,
формах и порядке составления и представления форм отчетности
кредитных организаций в Центральный банк Российской
Федерации» вводит новые формы отчетности
– Форма отчетности 0409258 «Сведения о несанкционированных
операциях, совершенных с использованием платежных карт» и
порядок составления и представления отчетности по форме
0409258
22. Планы по развитию 382-П
• Разрабатываются методические рекомендации по однозначной
интерпретации 382-П
– Разработка ведется вместе с сообществом
• Разработана методика пересчета показателей 382-П к
показателям, используемым в надзорной деятельности Банка
России
• Доработки 382-П
– Устраняются технические погрешности
– Устанавливаются сроки и требования по хранению информации,
требуемой правоохранительным органам
– Уточняются требования к аудиторам и оценщикам 382-П
• Разработан проект методики для надзора ЦБ по проверке 382-П
23. Планы по развитию 203-й формы отчетности
• Будет меняться отчетность по инцидентам
– Разделение на инциденты отчетного и предыдущих отчетных
периодов
– Будут запрашиваться инциденты, зарегистрированные ОПДС, его
клиентами и БПА
– Будет детализация классификации инцидентов
– Введение суммы похищенных и намеченных к хищению средств
– Детализация мест совершения инцидента (до 2-х десятков)
– Подробное описание инцидентов (названия ПО, названия СЗИ,
имена операторов связи, названия АБС, названия сетевого
оборудования и т.д.)
– Указание причин возникновения инцидентов
– Уточнение вопросов взаимодействия с правоохранительными
органами
24. Что думает Банк России о PCI DSS?
• Какова судьба PCI DSS в контексте 382-П и СТО БР ИББС?
– PCI DSS включат в состав СТО БР ИББС?
– На базе PCI DSS будут создавать собственные нормативы?
• Банк России (через НП АБИСС) осуществил перевод 10
документов PCI DSS 2.0 для их анализа в ПК1 ТК122 и их
возможного последующего использования в рамках НПС. Цели:
– аутентичный перевод на русский язык PCI DSS и сопутствующих
документов, официально признаваемый PCI Council
– размещение перевода и поддержка его в актуальном состоянии
при изменений версий стандарта PCI DSS на сайте PCI Council
– использование перевода для более эффективного внедрения
PCI DSS в РФ для участников международных платежных систем
– использование перевода как основы для разработки Банком
России национальных требований и рекомендаций к индустрии
платежных карт
25. Новые РС в рамках СТО БР ИББС
• Готовится новая РС «Ресурсное обеспечение информационной
безопасности»
– Как объяснить руководству/акционерам, зачем нужна ИБ и
сколько тратить?
• Готовится новая РС «Требования к банковским приложениям и
разработчикам банковских приложений»
– Минимальный набор требований к приложениям
• Готовится новая РС «Управление инцидентами информационной
безопасности»
– Не просто реагирование, а весь жизненный цикл инцидента
– Дополнит методичку АРБ и НПС
• 3 новых РС будут рассматриваться в ТК122 в первом полугодии
2013, чтобы к концу года иметь уже готовые и согласованные
документы
26. Планы развития СТО в части ПДн
• Определить отраслевую модель актуальных угроз безопасности
персональных данных
– Для этого планируется организовать работу с банковским
экспертным сообществом, провести согласование модели угроз с
ФСТЭК России и ФСБ России и ввести модель в действие
нормативным актом Банка России
• После ввода в действие документов регуляторов в области
обеспечения безопасности персональных данных провести
актуализацию РС 2.3
• Провести работу по переподписанию Письма-обращения в
кредитные организации об использовании организациями
банковской системы Российской Федерации документов
Комплекса для выполнения законодательства в области
персональных данных (переподписание «Письма шестерых»)
26
27. СТО БР ИББС в дальней перспективе
• Требования по облакам и виртуализации
• Требования по мобильному доступу
• Требования к DLP с банковской спецификой
• Пересмотр методики оценки в СТО БР ИББС
• Кросс-отраслевые стандарты с операторами связи по
формированию «пространства доверия»
27
29. «Новый СТР-К»
• Приказ ФСТЭК №17 от 12.02.2013 «Об
утверждении Требований о защите
информации, не составляющей
государственную тайну, содержащейся в
государственных информационных
системах»
• Для защиты информации во вновь
создаваемых или модернизируемых
государственных информационных
системах
– «Старые» автоматизированные
системы будут «жить» по СТР-К
30. Жизненный цикл защиты государственных
информационных систем
• Организация защиты информации, содержащейся в
информационной системе, включает:
– формирование требований к системе защиты информации
информационной системы
– разработку системы защиты информации информационной
системы
– реализацию системы защиты информации информационной
системы
– аттестацию информационной системы на соответствие
требованиям о защите информации и ввод ее в действие
– эксплуатацию системы защиты информации информационной
системы
– защиту информации при выводе из эксплуатации
информационной системы или после окончания обработки
информации конфиденциального характера
31. Как определяются требования по защите?
• Требования к системе защиты информации информационной
системы определяются в зависимости от
– класса защищенности информационной системы
– актуальных угроз безопасности информации, установленных в
модели угроз безопасности информации
• Приказ вводит 4 класса защищенности и определяет методику их
выбора
• Модель угроз безопасности информации должна содержать
описание структурно-функциональных характеристик
информационной системы и актуальных угроз безопасности
информации
– Моделирование угроз осуществляется на основе
разрабатываемых методических документах ФСТЭК
– Предполагается, что данная методика будет единой для ПДн и
ГИС
32. Меры по защите информации
• Идентификация и аутентификация субъектов доступа и объектов
доступа
• Управление доступом субъектов доступа к объектам доступа
• Ограничение программной среды
• Защита машинных носителей информации, на которых хранятся
и (или) обрабатываются персональные данные
• Регистрация событий безопасности
• Антивирусная защита
• Обнаружение (предотвращение) вторжений
• Контроль (анализ) защищенности персональных данных
• Обеспечение целостности информационной системы и
персональных данных
• Обеспечение доступности персональных данных
33. Меры по защите информации
• Защита среды виртуализации
• Защита технических средств
• Защита информационной системы, ее средств, систем связи и
передачи данных
• Выявление инцидентов (одного события или группы событий),
которые могут привести к сбоям или нарушению
функционирования информационной системы и (или) к
возникновению угроз безопасности персональных данных, и
реагирование на них
• Управление конфигурацией информационной системы и системы
защиты персональных данных
35. Безопасность ТЭК
• 21 июля 2011 года Президент РФ подписал Федеральный Закон
«О безопасности объектов топливно-энергетического комплекса»,
а также Федеральный закон «О внесении изменений в отдельные
законодательные акты Российской Федерации в части
обеспечения безопасности объектов топливно-энергетического
комплекса»
• Статья 11 «Обеспечение безопасности информационных систем
объектов топливно-энергетического комплекса»
– Требования и состав комплекса защитных мер пока не
определены
• В проекте постановления Правительства Российской Федерации
«Об утверждении требований обеспечения безопасности
объектов топливно-энергетического комплекса и требований
антитеррористической защищенности объектов топливно-
энергетического комплекса» ИБ не прописана, но… см. дальше
36. Мнение Минэнерго
• Три Постановления Правительства от 5 мая 2012 года
– № 458 «Об утверждении Правил по обеспечению безопасности и
антитеррористической защищенности объектов топливно-
энергетического комплекса»
– № 459 «Об утверждении Положения об исходных данных для
проведения категорирования объекта топливно-энергетического
комплекса, порядке его проведения и критериях
категорирования»
– № 460 «Об утверждении Правил актуализации паспорта
безопасности объекта топливно-энергетического комплекса»
• Позиция Минэнерго - т.к. в ст.11 ФЗ-256 «О безопасности
объектов ТЭК» нет требования разработать Постановление
Правительства, то и требования по защите можно использовать
текущие (от ФСТЭК и ФСБ)
37. Безопасность критически важных объектов
• Основные направления государственной политики в области
обеспечения безопасности автоматизированных систем
управления производственными и технологическими процессами
критически важных объектов инфраструктуры Российской
Федерации
– 4 июля 2012 года
– Разработаны в целях реализации основных положений
Стратегии национальной безопасности Российской Федерации
до 2020 года
• Включают
– Требования к разработчикам АСУ ТП
– Единая гос.система обнаружения и предотвращения атак
– Промышленная и научно-техническая политика,
фундаментальная и прикладная наука и повышение
квалификации кадров
38. А что дальше или Указ Президента 31с
• 28.12.2012 – встреча Президента с офицерами, назначенными на
высшие командные должности
– Говорит о защите стратегической инфраструктуры
• 29.12.2012 - Указ Президента №1711 об изменении состава
Межведомственной комиссии Совета Безопасности РФ по
информационной безопасности
– Добавление в комиссию представителей стратегических КВО
• 15.01.2013 - Указ Президента №31с «О создании государственной
системы обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные ресурсы
РФ»
– Создание данной системы, разработка методики обнаружения
атак, обмен информацией между госорганами об инцидентах ИБ,
оценка степени защищенности критической информационной
инфраструктуры
40. Готовятся новые РД ФСТЭК
• Требования к DLP-системам
• Требования к средствам доверенной загрузки
• Требования к средствам двухфакторной аутентификации
• Требования к средствам контроля съемных носителей
информации
• Требования по защите беспроводного и удаленного доступа
• Идет работа с ФСБ и Минкомсвязи по определению границ сетей
организаций и операторов связи с целью разделения
ответственности и формированию единого пространства доверия
41. Готовятся новые ГОСТы на 2013-2014 годы
• «Уязвимости информационных систем. Классификация
уязвимостей информационных систем»
• «Уязвимости информационных систем. Правила описания
уязвимостей»
• «Уязвимости информационных систем. Содержание и порядок
выполнения работ по выявлению и оценке уязвимостей
информационных систем»
• «Порядок создания автоматизированных систем в защищенном
исполнении. Общие положения»
– Взамен текущей версии ГОСТ 51583-2000
• «Документация по технической защите информации на объекте
информатизации. Общие положения»
• «Информационные системы и объекты информатизации. Угрозы
безопасности информации. Общие положения»
42. Готовятся новые ГОСТы на 2013-2014 годы
• «Техника защиты информации. Номенклатура показателей
качества»
– Взамен текущего ГОСТ Р 52447-2005
• «Основные термины и определения»
– взамен текущей версии ГОСТ Р 50922-2006
• «Требования по защите информации в информационных
системах, построенных с использованием технологии
виртуализации. Общие положения»
• «Требования по защите информации, обрабатываемой с
использованием технологий «облачных вычислений». Общие
положения»
• «Требования по защите информации в информационных
системах, построенных с использованием суперкомпьютерных и
грид – технологий»
• Ряд стандартов по информационным войнам
44. Что осталось за бортом?
• Новая редакций Гражданского Кодекса
(в части режима КТ)
• Универсальная электронная карта
• Принятие стандартов ISO (15408,
27005, 18045) в России
• ГОСТ по моделированию угроз для
операторов связи
• Государственные образовательные
стандарты по ИБ
– А также стандарт АП КИТ по
квалификациями специалистов по ИБ
• Концепция регулирования облачных
вычислений
• Стратегия кибербезопасности РФ
44