Russia Security furure regulations

Что происходит и
будет происходить в
России на ниве ИБ?

Алексей Лукацкий
Бизнес-консультант по безопасности

Security Training © 2008 Cisco Systems, Inc. All rights reserved. 1/66

Общая тенденция

Абсолютная непрогнозируемость изменений на рынке
информационной безопасности

Что происходит и будет происходить?
 Персональные данные
 Финансовая отрасль
PCI DSS
СТО БР ИББС-1.0
ФЗ «О национальной
платежной системе»

 КВО и госуслуги
 ВТО
 Оценка соответствия, а
также контроль и надзор
 Образование


Персональные
данные


Последние изменения

 ПДн для судебных приставов (законопроект №
332033-5)
 ПДн авиапасажиров (законопроект № 373481-5)
 ПДн переписи (законопроект № 364120-5)
 ПП-125 от 4 марта 2010 г.
О перечне персональных данных, записываемых на
электронные носители информации, содержащиеся в
основных документах, удостоверяющих личность гражданина
Российской Федерации, по которым граждане Российской
Федерации осуществляют выезд из Российской Федерации и
въезд в Российскую Федерацию

 Законопроект Резника

Предложения Резника

 Трансграничная передача - передача персональных
данных через Государственную границу Российской
Федерации
Согласно ФЗ «О государственной границе» эта граница
является географическим понятием, неприменимым к
Интернет

 Обработка ПДн с целью удовлетворения собственных
потребностей, предполагающее обработку
персональных данных при условии, что при этом не
нарушаются права субъекта персональных данных
Без согласия субъекта ПДн
Согласие вообще требуется только при договорных
 отношениях

Предложения Резника (продолжение)

 Соглашение /об обработке ПДн/ может быть
 заключено в устной форме или посредством
совершения конклюдентных действий, либо путем
акцепта субъектом персональных данных условий
договора, оферта которого предложена оператором
Письменная форма согласия для трансграничной передачи,
обработки специальных категорий ПДн и обработке с
юридическими последствиями не обязательна



 Оператор вправе продекларировать условия
соглашения путем его размещения в форме,
доступной для ознакомления неограниченному кругу
 лиц, или путем его предоставления по требованию
лица намерившегося вступить в отношения с
оператором
Ключевое отличие законопроекта Резника – многие
вызывающие сейчас вопросы могут быть описаны в
соглашении



 Лицо, предоставляющее ПДн иного субъекта ПДн
должно подтвердить свои полномочия по передачи
таких ПДн или представить подтверждение получения
согласия субъекта ПДн на обработку его ПДн, за
исключением случаев установленных федеральными
законами
 Оператор обязан рассмотреть возражение… в
течение семи рабочих дней со дня его получения и
уведомить субъекта ПДн о результатах рассмотрения
такого возражения, если иное не определено
соглашением



 Если ПДн были получены не от субъекта ПДн, за
исключением случаев, если ПДн были предоставлены
оператору на основании федерального закона или
если ПДн являются общедоступными или ПДн были
предоставлены на основании соглашения для
установления или реализации договорных отношений,
оператор до начала обработки таких ПДн обязан
предоставить субъекту ПДн следующую
информацию…
 Требования по безопасности ПДн в государственных и
 муниципальных ИСПДн устанавливает
Правительство, а в договорных отношениях - договор



 В случае достижения цели обработки ПДн оператор
обязан незамедлительно прекратить обработку ПДн и
уничтожить соответствующие ПДн в срок, не
превышающий трех рабочих дней с даты достижения
цели обработки ПДн, если иное не предусмотрено
федеральными законами или не определено
соглашением
 Обеспечение конфиденциальности ПДн не
требуется… в случаях, определенных соглашением
субъекта ПДн и оператора


Предложения Резника (окончание)

 Исключение требований уведомления субъекта ПДн и
РКН по фактам уничтожения ПДн и устранения
нарушений в обработке ПДн
 Исключить упоминание неавтоматизированной
обработки ПДн
  Перестать называть операторами обработчиков ПДн


Варианты создания отраслевых
рекомендаций

Документы ФСТЭК
без изменений, но
применительно к Полная переработка в
нуждам отрасли соответствие с
потребностями
отрасли

 Рособразование  Финансы
 Минсоцздравразвитие  Операторы связи


Комплекс стандартов ИБ

СТО РС
Отраслевая
Рекомендации Руководство
Методика частная
Общие по по самооценке Методика Требования
Аудит ИБ оценки модель угроз
положения документации соответствия оценки рисков по ИБ ПДн
1.1 соответствия безопасности
1.0 в области ИБ ИБ 2.2 2.3
1.2 ПДн
2.0 2.1
2.4

 СТО – стандарт организации
 РС – рекомендации по стандартизации


Регулирование ИБ в финансовой
отрасли

Термины и
Классификатор
определения
0.0
0.1

Рекомендации по выполнению
законодательных требований при
обработке ПДн

 В планах (возможно) отдельные стандарты и
рекомендации (или добавление в СТО 1.0) по
безопасности для участников национальной
платежной системы и т.д.

3 новых документа

 Отраслевая частная модель угроз
 Требования по безопасности ПДн
 Рекомендации по выполнению законодательных
требований

 Также созданы новые пп.7.10-7.11 в СТО БР ИББС-
1.0


Рекомендации

 Программа действий по приведению в соответствие с
ФЗ-152
14 шагов

 Рекомендации по классификации ИСПДн
 8 алгоритмов обезличивания ПДн
 Перечень из 38-ми требуемых документов
Предлагаются типовые шаблоны документов
Имеется план приведения в соответствия из 49 пунктов
Типовой перечень ПДн с указанием целей обработки

 Перечень из 20 типовых ошибок при реализации
требований законодательства о ПДн

Интересные особенности

 Своя классификация ИСПДн и ПДн
Отличная от «Приказа трех»
Все ИСПДн специальные

 При условии принятия СТО требования регуляторов
не применяются
Т.к. уже учтены и согласованы в СТО
В противном случае применяются требования всех трех
регуляторов

 Лицензирование, аттестация не требуются
 Сертифицированными должны быть только СКЗИ
Остальные СЗИ на усмотрение руководства организации


Операторы связи - НИР Тритон

 Наиболее полный набор документов по защите ПДн
18 иерархически выстроенных документов


Концепция

 Рекомендации
По формированию целей обработки ПДн
По определению категорий субъектов ПДн и самих ПДн
По формированию модели угроз
 Описывает 16 принципов защиты ПДн
Законность, непрерывность, адекватность, гибкость и т.п.
 Реверанс в сторону нормативных документов ФСТЭК
и ФСБ
Оставлена суть; ненужные или избыточные детали убраны
 Описание информационных систем операторов связи
 Требуется контроль эффективности
В форме аттестации, декларирования соответствия или
внешнего государственного контроля

Информационная модель
Отчет для ФОМС Справочник работников Отчет для ПФР Отчет для ФНС Отчет для ФМС
+ Фамилия + Фамилия + Номер пенс. страхования + ИНН + Фамилия
+ Имя + Имя + Фамилия + Фамилия + Имя
+ Отчетство + Отчество + Имя + Имя + Отчество
+ Адрес регистрации + Должность + Отчество + Отчество + Пол
+ Подразделение + Документ + Дата рождения
+ Внутренний контакт + Адрес регистрации + Место рождения
+ Фотография + Гражданство
+ Удостоверяющий документ
+ Квалификация
+ Должность
Государственный орган
<<include>>
<<include>>
<<include>>
<<include>>

<<include>>

Государственный орган,
Работник : 2 Деятельность
Орган, осуществляющий получающий данные по связи
оператора
+ Табельный номер
оперативно-розыскную + Фамилия персоналу Военно-учетный стол
+ Имя
деятельность
+ Отчество
+ Должность
+ <<1.1>>
Подразделение
+ ИНН
Управление
+ Пенс.страхование <<include>> <<include>>
продажами : 1
+ Семейное положение
+ Воинская обязанность
+ Пенсионный фонд
<<include>>
Фотография Федеральная налогвая
+ Гражданство служба
+ Бизнес-аттрибуты
<<1>> <<2>>
Работа с абонентами Управление
организацией связи
<<include>> Федеральная <<include>>
<<1.2>> Фонд обязательного
Управление
миграционная служба
медицинского <<2.2.>>
взаимоотношенияи с <<include>>
<<include>> Управление
абонентами : 1 страхования
безопасностью : 1

<<1.3>>
<<2.1>>
Расчеты с абонентами :
1 Управление персоналом : 1


Классификатор ИСПДн

 Выделены внешние и внутренние ИСПДн
 Всего 17 типов разных ИСПДн
Биллинг
Борьба с мошенничеством
CRM
АРМ пользователей
СОРМ
И т.п.
 Описаны особенности каждого типа ИСПДн с учетом
требований по защите


Анализ рисков

 Методики высокоуровневой и низкоуровневой оценки
рисков безопасности ПДн
Также включает оценку потенциального ущерба для
субъектов и операторов ПДн
Учитываются юридические и финансовые риски
 Высокоуровневый анализ рисков проводится в целях
определения возможного ущерба с учетом всех
внешних факторов, без учета влияния ИТ
 Низкоуровневый анализ рисков основан на
экспертной оценке размера ущерба, вероятности
реализации угроз безопасности ПДн и уровня
уязвимости ИСПДн
Также содержит описание каналов реализации угроз и
систематизированный перечень угроз с оценкой вероятности
их реализации

Методика минимизации требований

 Снижение категории и объема ПДн
 Обезличивание ПДн
 Логическое структурирование ИСПДн и
инфраструктуры
 Классификация ИСПДн как специальных
С разработкой для них своего перечня требований
 Анализ необходимости применения СКЗИ
 Разделение зон ответственности между оператором
связи и внешней организацией


ТЭО средств защиты ПДн

 Обоснование оптимального набора средств защиты
ПДн
 Оценка годового ущерба до и после внедрения
средств защиты ПДн
 Оценка эффективности средств защиты ПДн


Резюме по рекомендациям НИР
Тритон

 Документы согласованы с ФСТЭК, ФСБ и
Минкомсвязью
 Разработано 3 модели угроз и 3 профиля защиты от
них
 Интересные особенности
Учитывается отраслевая специфика
ПДн не выделяются, как особая категория защищаемой
информации
Фокусировка только на защите ПДн (в отличии от защиты прав
субъектов ПДн)
Большое количество рекомендаций по снижению затрат


Национальная
платежная
система


ФЗ «О национальной платежной
системе»

 Цель - регулировать деятельность организаций -
операторов по переводу денежных средств,
операторов по приему платежей, операторов
платежных систем, операторов услуг платежной
инфраструктуры и определить требования к
функционированию платежной системы
 Банк России вправе устанавливать требования к
деятельности операционных центров значимых
платежных систем, включая требования к
бесперебойности, информационной безопасности, а
также порядок оценки соответствия операционных
центров значимых платежных систем установленным
требованиям
Ст.9 законопроекта


системе»

 Чтобы стать участником платежной системы надо
будет выполнить ряд условий, в т.ч. и требования по
ИБ. Все участники "обязаны выполнять требования
по оценке и управлению рисками, предусмотренные
правилами платежной системы«
К обычным участникам платежной системы относятся
операторы по переводу денежных средств и приему
платежей, участники рынка ценных бумаг, почта и т.п.
 Операторы платежной системы обязаны обеспечить
оценку и управление рисками, а также разработать
меры обеспечения информационной безопасности в
платежной системе и обеспечить контроль их
соблюдения


системе»

 Своя платежная карта – свой аналог Visa, который
«разрабатывает и принимает стандарты
...обеспечения информационной безопасности,
обеспечивает контроль за их соблюдением»


КСИИ


Термины и определения

 Ключевая (критически важная) система
информационной инфраструктуры – информационно-
управляющая или информационно-
телекоммуникационная система, которая осуществляет
управление критически важным объектом (процессом),
или информационное обеспечение таким объектом
(процессом), или официальное информирование
граждан и в результате деструктивных действий на
которую может сложиться чрезвычайная ситуация или
будут нарушены выполняемые системой функции
управления со значительными негативными
последствиями


Номенклатура документов по КСИИ

Указы Приказ от
30.03.2002
Указ от
16.08.2004
Указ от
11.08.2003
«Основы» от
Президента №Пр-578 №1085 №960
28.09.2006

Иные Проект
Секретарь
СовБеза РФ
документы закона (снят)
от 08.11.2005

Распоряжения №411-рс от №1314-р от
Правительства 23.03.2006 27.08.2005

Отраслевые 4 «закрытых»
документа
документы ФСТЭК


Нормативные документы ФСТЭК

 Методика определения актуальных угроз
безопасности информации в ключевых системах
информационных инфраструктурах
 Общие требования по обеспечению безопасности
информации в ключевых системах информационных
инфраструктурах
 Базовая модель угроз безопасности информации в
ключевых системах информационных
 Рекомендации по обеспечению безопасности
информации в ключевых системах информационных
Утверждены 18 мая 2007 года


Отнесение систем к КСИИ

 В документе определяются признаки отнесения
объектов к критически важным
Но финальная классификация отсутствует
 Критически важные объекты делятся на 3 типа в
зависимости назначения, функционирующих в их
составе ИТКС
 Перечень критически важных объектов определен в
секретном Распоряжении Правительства от 23.03.2006
№411-рс «Перечень критически важных объектов
Российской Федерации»
 Реестр КСИИ ведется ФСТЭК


Отнесение систем к КСИИ

 КСИИ делятся на группы
Системы сбора открытой информации, на основании которой
принимаются управленческие решения
Системы хранения открытой информации
Системы управления СМИ
Системы управления критически важным объектом
 Уровень важности КСИИ определяется в соответствии
с «Системой признаков критически важных объектов и
критериев отнесения функционирующих в их составе
информационно-телекоммуникационных систем к
числу защищаемых от деструктивных
информационных воздействий», утвержденной
Секретарем Совета Безопасности 08.11.2005


Требования по безопасности

 Требования по обеспечению безопасности
информации в КСИИ отличаются в зависимости от их
типа и между собой не пересекаются (!!!)
1-й тип – системы сбора и хранения открытой информации, а
также системы управления СМИ
2-й тип – системы управления критически важными объектами
 Требования по обеспечению безопасности
информации в КСИИ различных уровней важности
соответствуют требованиям для различных классов
защищенности АС и МСЭ или уровней контроля
отсутствия НДВ
Исключение составляют требования, для которых у ФСТЭК
отсутствуют руководящие документы – антивирусная защита,
анализ защищенности, обнаружение вторжений и требования
доверия к безопасности

Требования по защите КСИИ 1-го типа

Уровень важности КСИИ
Группы требований
3 2 1
Управление доступом 1Г 1В 1Б

Регистрация и учет 1Г 1В 1Б

Обеспечение целостности 1Г 1В 1Б

Обеспечение безопасного межсетевого
4 3 2
взаимодействия в КСИИ

Уровень контроля отсутствия НДВ 4 3 2

Антивирусная защита + + +

Анализ защищенности + + +

Обнаружение вторжений + + +

Требования доверия к безопасности + + +


Требования по защите КСИИ 2-го типа
Уровень важности КСИИ
Группы требований
3 2 1
Планирование обеспечения безопасности + + +

Действия в непредвиденных ситуациях + + +

Реагирование на инциденты + + +

Оценка рисков + + +

Защита носителей информации + + +

Обеспечение целостности + + +

Физическая защита и защиты среды + + +

Безопасность и персонал + + +

Информирование и обучение по вопросам ИБ + + +

Защита коммуникаций + + +

Аудит безопасности + + +

Контроль
государственных
ресурсов


Контроль госорганов
 Постановления и законы
ПП-424 от 18.05.2009 «Об особенностях подключения
федеральных государственных информационных систем к
информационно-телекоммуникационным сетям»
Проект ФЗ «О государственных информационных ресурсах»
 Госорганы обязаны обеспечить
защиту информации… от уничтожения, изменения и
блокирования доступа к ней
постоянный контроль возможности доступа неограниченного
круга лиц к информационным системам общего пользования
восстановление информации, измененной или уничтоженной
вследствие несанкционированного доступа к ней, в течение не
более 8 часов
использование … СЗИ, прошедших оценку соответствия (в том
числе в установленных случаях сертификацию)…

Контроль госорганов
 Федеральной службе безопасности Российской
Федерации совместно с Федеральной службой по
техническому и экспортному контролю в 3-месячный
срок утвердить требования о защите информации,
содержащейся в информационных системах общего
пользования
ПП-424
 Где прописаны требования по ИБ
Спорный СТР-К от ФСТЭК
Приказ Минкомсвязи России от 25.08.2009 г № 104 «Об
утверждении Требований по обеспечению целостности,
устойчивости функционирования и безопасности
информационных систем общего пользования»
(зарегистрирован в МинЮсте)


Госуслуги
 Постановление Правительства РФ от 22 сентября 2009
г. № 754 «Об утверждении Положения о системе
межведомственного электронного документооборота»
Главный регулятор – Федеральная служба охраны (ФСО)
Основной акцент на целостности и конфиденциальности
 Законопроект «Об общих принципах организации
предоставления государственных (муниципальных)
услуг и исполнения государственных (муниципальных)
функций»
Никто не понимает, что такое госуслуга. Нет объекта защиты,
как можно говорить о защите?
Безопасность госуслуг – для многих это ЭЦП и УЦ


Скандал в благородном семействе

 «Системный проект на создание и эксплуатацию
инфраструктуры электронного правительства» был
разработан Минкомсвязи и представлен в Совет при
президенте РФ по развитию информационного
общества в России
Президентский Совет (ФСБ, ФСО и т.д.) признали проект
неудовлетворительным и дорогом (100 рублей за букву – всего
120 миллионов рублей на разработку)
Разработчик проекта – Ростелеком

 Минкомсвязь заявил, что «проект нужно обсуждать не
на президентском совете, а в среде профессионалов,
исключив тем самым из числа специалистов
представителей администрации президента и
руководителей министерств и ведомств»

ВТО


ВТО

 Всемирная Торговая Организация (ВТО) -
международная организация, созданная для
урегулирования торговых проблем в соответствии с
соглашением крупнейших торговых стран мира о
снижении экспортных и импортных барьеров
 Процедура присоединения к ВТО, выработанная за
полвека существования ГАТТ/ВТО, многопланова и
состоит из нескольких этапов
Как показывает опыт стран-соискателей, этот процесс
занимает в среднем 5-7 лет


Вступление в ВТО

 На первом этапе в рамках специальных рабочих
групп происходит детальное рассмотрение на
многостороннем уровне экономического механизма
и торгово-политического режима
присоединяющейся страны на предмет их
соответствия нормам и правилам ВТО
 После этого начинаются консультации и переговоры
об условиях членства страны-соискателя в данной
организации. Эти консультации и переговоры, как
правило, проводятся на двустороннем уровне со
всеми заинтересованными странами-членами
рабочих групп


Уступки и обязательства

 Прежде всего переговоры касаются "коммерчески
значимых" уступок, которые присоединяющаяся
страна будет готова предоставить членам ВТО по
доступу на ее рынки (фиксируются в двусторонних
Протоколах по доступу на рынки товаров и услуг), а
также по формату и срокам принятия на себя
обязательств по Соглашениям, вытекающих из
членства в ВТО (оформляется в Докладе Рабочей
группы)


Основные принципы ВТО

 взаимное предоставление режима наибольшего
благоприятствования в торговле
 взаимное предоставление национального режима
товарам и услугам иностранного происхождения
 регулирование торговли преимущественно
тарифными методами
 отказ от использования количественных и иных
ограничений
 прозрачность торговой политики
 разрешение торговых споров путем консультаций и
переговоров и т.д.

Многосторонние торговые отношения

 Все страны-члены ВТО принимают обязательства
по выполнению основных соглашений и
юридических документов, объединенных термином
"Многосторонние торговые соглашения«
 Наиболее интересные с точки зрения ИБ
Соглашение по техническим барьерам в торговле
Генеральное соглашение по торговле услугами


Соглашение по техническим барьерам
 Упор
на следование международным стандартам
на использование международных систем оценки
соответствия
на создание технических регламентов и стандартов, не
создающих препятствий для международной торговли
на создание импортируемым продуктам тех же условий, что
и внутренним
 «Не должно создаваться препятствий для принятия
мер, необходимых для защиты ее важнейших
интересов в области безопасности»
 Исключения допускаются, но они не должны
Приводить к дискриминации стран
Скрыто ограничивать международную торговлю

ВТО и Россия


Россия и ВТО: история отношений

 В 2007/8-м году Россия
отказалась входить в ВТО
самостоятельно
 Создание Единого
таможенного союза (Россия,
Казахстан, Белоруссия) и
намерение вступать в ВТО в
составе союза
 Договоренность Медведева
и Обамы о вступлении
России в ВТО в середине
осени И.Айвазовский. Хаос. Сотворение мира


Россия и ВТО
 Россия подала заявку на вступление в ВТО в 1993
году
 По итогам завершившихся переговоров Россия
согласилась принять обязательства примерно по 110
секторам услуг из 155 секторов, предусмотренных
классификацией ВТО
 В некоторых случаях позиция России
предусматривает более жесткие условия работы
иностранных поставщиков услуг на российском рынке
по сравнению с условиями, предусмотренными
действующим законодательством
Такая позиция позволит, при необходимости, использовать
дополнительные инструменты защиты национальных
поставщиков услуг от иностранной конкуренции в будущем


Россия и ВТО

 Переговоры по системным вопросам посвящены
определению мер, которые Россия должна будет
предпринять в области законодательства и его
правоприменения для выполнения своих
обязательств как будущего члена ВТО
 Запросные требования стран ВТО в целом можно
разделить на несколько групп, из них
запросы отдельных стран-членов РГ, выходящие за рамки
обязательств многосторонних торговых соглашений ВТО
(требования “ВТО+”)

 По принятию каждого требования предусмотрен
переходный период – от 1-го года до 5-ти лет (в ряде
случае 6-7 лет)

Запросы членов рабочей группы
 Либерализация мер нетарифного регулирования с
точки зрения правил лицензирования в такой области
как импорт средств связи и шифровальной техники
Россия обязалась создать более прозрачную систему для
импорта электронных товаров, использующих шифрование –
требование США
 Приведение режимов технических барьеров в
торговле в России в соответствие с правилами ВТО,
совершенствование правоприменения в указанных
сферах (в первую очередь касательно обязательной
сертификации и регистрации, процедур повторной
сертификации, подтверждения сертификатов
соответствия)


Электронная торговля

 В рамках ВТО многие страны приняли
обязательства по электронной торговле,
преодолении торговых барьеров и обеспечении
доступа стран-членов ВТО к электронной
коммерции
 Что надо решить:
Единые стандарты по безопасности платежей
Единые стандарты ЭЦП


Либерализация
криптографии


С чем согласилась Россия

 Отсутствие дискриминации и прозрачность всех
процедур, связанных с импортом криптографии
 Соблюдение Вассенаарского соглашения
То что должно ввозиться свободно по Вассенаару, не должно
ограничиваться при импорте в Россию (например, защита
интеллектуальной собственности в DVD и т.п., мобильные
телефоны и т.д.)
Категория 5, часть 2, список товаров двойного применения

 Вся импортируемая криптография делится на 2 части
Ввозимая по уведомлению
Ввозимая после получения лицензии на импорт


Уведомительная схема
 Аутентификация
Шифрование паролей и других идентификационных данных
 ЭЦП
 Симметричная криптография с длиной ключа до 56 бит
 Ассиметричная криптография
На базе факторизации целых чисел - с длиной ключа до 512 бит
На базе вычисления дискретного логарифма в
мультипликативной группе конечного поля - с длиной ключа до
512 бит
На базе вычисления дискретного логарифма в группах отличной
от предыдущего пункта, - с длиной ключа до 112 бит


Уведомительная схема
 Продукты для массового рынка
Критерии отнесения к массовому рынку пока не определены
 ПО, включая ОС, в котором криптография не может
быть изменена пользователем и оно не требует
поддержки со стороны производителя
 Шифрование технологических каналов
 Шифрование с целью управления сетями и системами
 Беспроводные сети с диапазоном до 400 метров
DECT, Bluetooth, 802.11
 Продукты, в которых соответствующая
функциональность заблокирована


Детали уведомительной схемы

 Нотификация отсылается
В ФСБ
Перед первой поставкой
На каждый продукт

 Если в течение 10 дней реакции нет, то «зеленый
свет»
На практике регистрация нотификации занимает около 2-3
недель


Детали лицензионной схемы
 Лицензия на импорт выдается
На партию
Генеральная (только по межправительственным соглашениям)
 Для получения лицензии требуется пройти
однократную техническую экспертизу импортируемого
продукта
 Отсутствие исходных кодов не является препятствием
для импорта
 Анализ проводит не ФСБ, а отдельная организация
Стоимость услуг прозрачна
 Срок получения лицензии – не более 3 месяцев
Включая экспертизу


Российская практика
 Сегодня в России только крупные вендоры ввозят
шифровальные средства официально
Cisco
HP
IBM
И некоторые другие
 Все остальное контрабанда ;-(
Достаточно запросить у поставщика ГТД
 Риски для поставщиков
Ст.188 УК РФ, ст.16.2, 16.3, 16.7 КоАП + отзыв лицензии на
распространение + арест контрабанды
 Риски для потребителей (только для лицензиатов)
Отзыв лицензии ФСБ на оказание услуг + ст.14.1 КоАП

Усиление роли
ФСБ


О встраивании криптоядра в VPN

 Можно ли использовать сертифицированное
криптоядро в составе VPN-решений?
Можно

 Будет ли такое использование легитимным?
Нет!!!


Есть ли у вас лицензия на ТО СКЗИ?

 А нужна ли?
Представители 8-го Центра ФСБ заявляют о ненужности
лицензии для собственных нужд


Есть ли у вас лицензия на ТО СКЗИ?

 Что такое ТО?
К деятельности по техническому обслуживанию
шифровальных (криптографических) средств не
относится эксплуатация СКЗИ в соответствии с
требованиями эксплуатационной и технической
документации, входящей в комплект поставки СКЗИ

 Не относится к лицензируемой деятельности
Передача СКЗИ клиентам и «дочкам»
Генерация и передача сгенерированных ключей


Кто отвечает за IDS?

 ФСТЭК имеет профиль защиты по IDS
И уже разработал новые РД по IDS и антивирусам

 В списке сертифицированных СЗИ находится около
20 сертификатов на IDS
В т.ч. вся линейка Cisco IPS (4200 и AIM)

 ФСБ планирует забрать эту тему под себя
У ФСБ существует всего две сертифицированных IDS –
«Ручеек» и «Аргус» (проект «Упырь»)


За что еще хочет отвечать ФСБ?
 Антивирусы
Существуют требования по сертификации антивирусов
Существует требование по использованию во всех госорганах
сертифицированных антивирусов и IDS
 Межсетевые экраны
Существуют требования по сертификации МСЭ


Об образовании в
области ИБ


Деятельность Минкомсвязи
 Минкомсвязь заказал АП КИТ профессиональный
стандарт по профессии «Специалист по
информационной безопасности»
Данный профессиональный стандарт будет отражать
современные квалификационные требования работодателей и
использоваться для целей подготовки рабочих кадров и
специалистов, оценки (сертификации), составления
должностных инструкций, тарификации и пр.
 Стандарт нужен для
Оценки квалификации и сертификации сотрудников
Формирования госстандартов профессионального образования
Управления персоналом
Стандартизации и унификации требований к содержанию и
качеству профессиональной деятельности


Квалификационные уровни
 Национальная квалификация описывает 7 уровней
В области ИБ квалификация начинается с 3-го уровня

Наименование
Уровень Краткое описание работ
должности
3-й Участие в работах. Проведение Техник по ЗИ
проверок. Наладка и регулировка.
4-й Сопровождение. Выполнение Специалист по ЗИ
сложных работ. Анализ
потребностей
5-й Управление работами по Инженер по ЗИ
проектированию и внедрению
СЗИ. Подбор литературы
6-й Работа в команде. Разработка Начальник отдела ЗИ
оргмер. Руководство. Организация
аттестаций, спецпроверок.

Квалификационные уровни
 Национальная квалификация описывает 7 уровней
В области ИБ квалификация начинается с 3-го уровня

Наименование
Уровень Краткое описание работ
должности
7-й Работа в команде. Руководство Главный специалист
работами по ЗИ. Создание по ЗИ
технологий ИБ. Контроль. Оценка
эффективности.


Деятельность Минобразнауки
 Минобразование с осени внедряет государственные
образовательные стандарты третьего поколения
 В области ИБ вопросы создания стандартов курирует
УМО вузов РФ по образованию в области ИБ
(организатор ИКСИ)
 Образование по ИБ организуется на трех уровнях
Высшее профессиональное образование (ВПО) – университеты
и институты
Среднее профессиональное образование (СПО) – колледжи и
лицеи
Начальное профессиональное образование (НПО) – училища и
техникумы (только один прецедент в России)


Направления образования
 2 направления обучения в рамках ВПО
Специалист – 5,5 лет
Бакалавриат / магистратура – 3 / 5 лет
 Программы (стандарты) образования
Информационная безопасность телекоммуникационных систем
Информационная безопасность автоматизированных систем
Организация и технология защиты информации
Информационно-аналитические системы безопасности
Компьютерная безопасность
Криптография
Противодействие действиям иностранных технических разведок
 В каждой программе существуют свои специализации
Grid, АСУ ТП, транспорт, мобильные технологии…

Особенности подготовки стандартов
 По задумке ФГОС рассчитывается на 10-15 лет
 Бизнес практически не участвует в подготовке
требований
Стандарты формируют ВУЗы
В стандарт попало только то, что ВУЗы готовы преподавать
сейчас


Что еще?..


Что еще?
 ПП-266 от 21 апреля 2010 г. «Об особенностях
оценки соответствия продукции (работ, услуг),
используемой в целях защиты сведений,
составляющих государственную тайну или относимых
к охраняемой в соответствии с законодательством РФ
иной информации ограниченного доступа, и
продукции (работ, услуг), сведения о которой
составляют государственную тайну, предназначенной
для эксплуатации в загранучреждениях Российской
Федерации … об особенностях аккредитации органов
по сертификации и испытательных лабораторий
(центров), выполняющих работы по подтверждению
соответствия указанной продукции (работ, услуг), и о
внесении изменения в Положение о сертификации
средств защиты информации»
Основной регулятор – Служба внешней разведки (СВР)

Что еще?
 ПП-330 от 15 мая 2010 г. «Положение об
особенностях оценки соответствия продукции (работ,
услуг), используемой в целях защиты сведений,
отнесенных к охраняемой в соответствии с
законодательством РФ информации ограниченного
доступа, не содержащей сведения, составляющие
гостайну»
ДСП
 Оценка соответствия проводится в формах
обязательной сертификации и государственного
контроля (надзора)


Генпрокуратора – новый регулятор
 Генпрокуратура – новый регулятор на рынке
безопасности
Порядок согласования с органом прокуратуры проведения
проверок установлен приказом Генерального прокурора
Российской Федерации от 27 марта 2009 г. № 93
 Все плановые и внеплановые проверки должны быть
согласованы с Генпрокуратурой
Плановые – до 31 декабря года, предшествующего
Внеплановые – за 3 суток до проверки
 Сегодня в списке проверок есть только Роскомнадзор
ФСТЭК и ФСБ не любит упоминаний Генпрокуратуры
Потребители не хотят оспаривать незаконные проверки


Новости Cisco


Одна из последних разработок

 Компаниями Cisco Systems и С-
Терра СиЭсПи разработан http://www.s-terra.com/
VPNшлюз на базе сетевого модуля
NME-RVPN (МСМ) и сервера Cisco
UCS, с российской криптографией
Поддержка Cisco ISR 2800, 2900,
3800 и 3900
Поддержка всей линейки VPN-
решений компании S-Terra CSP
 Производительность от 95 Мбит/сек
(NME-RVPN) до 3,2 Гбит/сек (UCS)

 Сертификат ФСБ СФ/114-
1411 от 20 марта 2010 года


Cisco + Лаборатория Касперского

 Компаниями Cisco Systems и
Лабораторией Касперского
создан модуль «антивирус +
антиспам» для
маршрутизаторов Cisco
Поддержка маршрутизаторов
Cisco ISR 2811, 2821, 2851, 3825,
3845, а также 800 Series
 Форм-фактор
AXP-NME
AXP-AIM


Соответствие требованиям по ИБ
450+ сертификатов ФСТЭК

Сертификация по РД, ТУ, ГОСТ Р
ИСО 15408, Минкомсвязь

Сертификация одиночных
образцов, партий и производства

Сертификация в ФСБ

Сертификация по НДВ (закладки)

Соответствие требованиям по ПДн,
КСИИ, СТР-К, СТО БР ИББС, ISO
2700x, COBIT, ITIL, PCI DSS


Вопросы?

Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410


Russia Security furure regulations

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (20)

Ähnlich wie Russia Security furure regulations

Ähnlich wie Russia Security furure regulations (20)

Mehr von Aleksey Lukatskiy

Mehr von Aleksey Lukatskiy (20)

Russia Security furure regulations