Suche senden
Hochladen
Russia Security furure regulations
•
1 gefällt mir
•
1,159 views
Aleksey Lukatskiy
Folgen
Business
Technologie
Melden
Teilen
Melden
Teilen
1 von 88
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Future security regulations in Russia
Future security regulations in Russia
Aleksey Lukatskiy
Vertical approaches for personal data standartization
Vertical approaches for personal data standartization
Aleksey Lukatskiy
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
Cisco Russia
Personal data future regulations
Personal data future regulations
Aleksey Lukatskiy
News in FZ-152
News in FZ-152
Aleksey Lukatskiy
Уральский форум за 15 минут
Уральский форум за 15 минут
Aleksey Lukatskiy
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Expolink
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
RISClubSPb
Empfohlen
Future security regulations in Russia
Future security regulations in Russia
Aleksey Lukatskiy
Vertical approaches for personal data standartization
Vertical approaches for personal data standartization
Aleksey Lukatskiy
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
Cisco Russia
Personal data future regulations
Personal data future regulations
Aleksey Lukatskiy
News in FZ-152
News in FZ-152
Aleksey Lukatskiy
Уральский форум за 15 минут
Уральский форум за 15 минут
Aleksey Lukatskiy
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Expolink
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
RISClubSPb
Optimal algorithm for personal data operators
Optimal algorithm for personal data operators
Aleksey Lukatskiy
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
Aleksey Lukatskiy
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данных
Aleksey Lukatskiy
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
Aleksey Lukatskiy
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Aleksey Lukatskiy
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Russian Finance Security Regulations
Russian Finance Security Regulations
Aleksey Lukatskiy
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
Aleksey Lukatskiy
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
Aleksey Lukatskiy
Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
Aleksey Lukatskiy
Курс по законодательству в области ИБ
Курс по законодательству в области ИБ
Aleksey Lukatskiy
Российская криптография в решениях Cisco
Российская криптография в решениях Cisco
Cisco Russia
Строим вместе безопасную СЭД
Строим вместе безопасную СЭД
ИнтерТраст
Российская rasputitsa как объяснение будущего отечественной отрасли ИБ
Российская rasputitsa как объяснение будущего отечественной отрасли ИБ
Aleksey Lukatskiy
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Cisco Russia
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Security Code Ltd.
Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14
DialogueScience
Russia security regulations update
Russia security regulations update
Cisco Russia
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Aleksey Lukatskiy
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
Aleksey Lukatskiy
Weitere ähnliche Inhalte
Was ist angesagt?
Optimal algorithm for personal data operators
Optimal algorithm for personal data operators
Aleksey Lukatskiy
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
Aleksey Lukatskiy
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данных
Aleksey Lukatskiy
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
Aleksey Lukatskiy
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Aleksey Lukatskiy
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Russian Finance Security Regulations
Russian Finance Security Regulations
Aleksey Lukatskiy
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
Aleksey Lukatskiy
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
Aleksey Lukatskiy
Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
Aleksey Lukatskiy
Курс по законодательству в области ИБ
Курс по законодательству в области ИБ
Aleksey Lukatskiy
Российская криптография в решениях Cisco
Российская криптография в решениях Cisco
Cisco Russia
Строим вместе безопасную СЭД
Строим вместе безопасную СЭД
ИнтерТраст
Российская rasputitsa как объяснение будущего отечественной отрасли ИБ
Российская rasputitsa как объяснение будущего отечественной отрасли ИБ
Aleksey Lukatskiy
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Cisco Russia
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Security Code Ltd.
Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14
DialogueScience
Russia security regulations update
Russia security regulations update
Cisco Russia
Was ist angesagt?
(20)
Optimal algorithm for personal data operators
Optimal algorithm for personal data operators
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данных
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
Russian Finance Security Regulations
Russian Finance Security Regulations
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
Incident management (part 1)
Incident management (part 1)
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
Курс по законодательству в области ИБ
Курс по законодательству в области ИБ
Российская криптография в решениях Cisco
Российская криптография в решениях Cisco
Строим вместе безопасную СЭД
Строим вместе безопасную СЭД
Российская rasputitsa как объяснение будущего отечественной отрасли ИБ
Российская rasputitsa как объяснение будущего отечественной отрасли ИБ
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн
Вебинар по СТО БР ИББС 18.11.14
Вебинар по СТО БР ИББС 18.11.14
Russia security regulations update
Russia security regulations update
Andere mochten auch
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Aleksey Lukatskiy
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
Aleksey Lukatskiy
Security Metrics.pdf
Security Metrics.pdf
Aleksey Lukatskiy
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
Aleksey Lukatskiy
Security finance measurement
Security finance measurement
Aleksey Lukatskiy
Как писать?
Как писать?
Aleksey Lukatskiy
Information Security Trends
Information Security Trends
Aleksey Lukatskiy
Безопасность мобильных платежей
Безопасность мобильных платежей
Aleksey Lukatskiy
Crypto regulations in Russia
Crypto regulations in Russia
Aleksey Lukatskiy
Психология в деятельности CISO
Психология в деятельности CISO
Aleksey Lukatskiy
Регулирование ИБ в России
Регулирование ИБ в России
Aleksey Lukatskiy
Security And Crisis
Security And Crisis
Aleksey Lukatskiy
New security threats
New security threats
Aleksey Lukatskiy
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
Privacy approaches
Privacy approaches
Aleksey Lukatskiy
Security punishment
Security punishment
Aleksey Lukatskiy
Threat Modeling (Part 4)
Threat Modeling (Part 4)
Aleksey Lukatskiy
Cyberwarfare examples
Cyberwarfare examples
Aleksey Lukatskiy
Mobility and cloud security
Mobility and cloud security
Aleksey Lukatskiy
Ключевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным данным
Aleksey Lukatskiy
Andere mochten auch
(20)
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
Security Metrics.pdf
Security Metrics.pdf
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
Security finance measurement
Security finance measurement
Как писать?
Как писать?
Information Security Trends
Information Security Trends
Безопасность мобильных платежей
Безопасность мобильных платежей
Crypto regulations in Russia
Crypto regulations in Russia
Психология в деятельности CISO
Психология в деятельности CISO
Регулирование ИБ в России
Регулирование ИБ в России
Security And Crisis
Security And Crisis
New security threats
New security threats
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Privacy approaches
Privacy approaches
Security punishment
Security punishment
Threat Modeling (Part 4)
Threat Modeling (Part 4)
Cyberwarfare examples
Cyberwarfare examples
Mobility and cloud security
Mobility and cloud security
Ключевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным данным
Ähnlich wie Russia Security furure regulations
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Cisco Russia
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБ
Cisco Russia
Security apocalypse
Security apocalypse
Aleksey Lukatskiy
Security trends for Russian CISO
Security trends for Russian CISO
Aleksey Lukatskiy
1
1
a_a_a
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
КРОК
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Expolink
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Евгений Царев
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательством
КРОК
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Cisco Russia
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данных
Valery Bychkov
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
Cloud and Russian regulation
Cloud and Russian regulation
Cisco Russia
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
Способы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗ
Valery Bychkov
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
Ähnlich wie Russia Security furure regulations
(20)
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБ
Security apocalypse
Security apocalypse
Security trends for Russian CISO
Security trends for Russian CISO
1
1
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательством
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данных
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Cloud and Russian regulation
Cloud and Russian regulation
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Способы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗ
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Mehr von Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
Mehr von Aleksey Lukatskiy
(20)
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Russia Security furure regulations
1.
Что происходит и
будет происходить в России на ниве ИБ? Алексей Лукацкий Бизнес-консультант по безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 1/66
2.
Общая тенденция
Абсолютная непрогнозируемость изменений на рынке информационной безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 2/66
3.
Что происходит и
будет происходить? Персональные данные Финансовая отрасль PCI DSS СТО БР ИББС-1.0 ФЗ «О национальной платежной системе» КВО и госуслуги ВТО Оценка соответствия, а также контроль и надзор Образование Security Training © 2008 Cisco Systems, Inc. All rights reserved. 3/66
4.
Персональные
данные Security Training © 2008 Cisco Systems, Inc. All rights reserved. 4/66
5.
Последние изменения
ПДн для судебных приставов (законопроект № 332033-5) ПДн авиапасажиров (законопроект № 373481-5) ПДн переписи (законопроект № 364120-5) ПП-125 от 4 марта 2010 г. О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию Законопроект Резника Security Training © 2008 Cisco Systems, Inc. All rights reserved. 5/66
6.
Предложения Резника
Трансграничная передача - передача персональных данных через Государственную границу Российской Федерации Согласно ФЗ «О государственной границе» эта граница является географическим понятием, неприменимым к Интернет Обработка ПДн с целью удовлетворения собственных потребностей, предполагающее обработку персональных данных при условии, что при этом не нарушаются права субъекта персональных данных Без согласия субъекта ПДн Согласие вообще требуется только при договорных отношениях Security Training © 2008 Cisco Systems, Inc. All rights reserved. 6/66
7.
Предложения Резника (продолжение)
Соглашение /об обработке ПДн/ может быть заключено в устной форме или посредством совершения конклюдентных действий, либо путем акцепта субъектом персональных данных условий договора, оферта которого предложена оператором Письменная форма согласия для трансграничной передачи, обработки специальных категорий ПДн и обработке с юридическими последствиями не обязательна Security Training © 2008 Cisco Systems, Inc. All rights reserved. 7/66
8.
Предложения Резника (продолжение)
Оператор вправе продекларировать условия соглашения путем его размещения в форме, доступной для ознакомления неограниченному кругу лиц, или путем его предоставления по требованию лица намерившегося вступить в отношения с оператором Ключевое отличие законопроекта Резника – многие вызывающие сейчас вопросы могут быть описаны в соглашении Security Training © 2008 Cisco Systems, Inc. All rights reserved. 8/66
9.
Предложения Резника (продолжение)
Лицо, предоставляющее ПДн иного субъекта ПДн должно подтвердить свои полномочия по передачи таких ПДн или представить подтверждение получения согласия субъекта ПДн на обработку его ПДн, за исключением случаев установленных федеральными законами Оператор обязан рассмотреть возражение… в течение семи рабочих дней со дня его получения и уведомить субъекта ПДн о результатах рассмотрения такого возражения, если иное не определено соглашением Security Training © 2008 Cisco Systems, Inc. All rights reserved. 9/66
10.
Предложения Резника (продолжение)
Если ПДн были получены не от субъекта ПДн, за исключением случаев, если ПДн были предоставлены оператору на основании федерального закона или если ПДн являются общедоступными или ПДн были предоставлены на основании соглашения для установления или реализации договорных отношений, оператор до начала обработки таких ПДн обязан предоставить субъекту ПДн следующую информацию… Требования по безопасности ПДн в государственных и муниципальных ИСПДн устанавливает Правительство, а в договорных отношениях - договор Security Training © 2008 Cisco Systems, Inc. All rights reserved. 10/66
11.
Предложения Резника (продолжение)
В случае достижения цели обработки ПДн оператор обязан незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий трех рабочих дней с даты достижения цели обработки ПДн, если иное не предусмотрено федеральными законами или не определено соглашением Обеспечение конфиденциальности ПДн не требуется… в случаях, определенных соглашением субъекта ПДн и оператора Security Training © 2008 Cisco Systems, Inc. All rights reserved. 11/66
12.
Предложения Резника (окончание)
Исключение требований уведомления субъекта ПДн и РКН по фактам уничтожения ПДн и устранения нарушений в обработке ПДн Исключить упоминание неавтоматизированной обработки ПДн Перестать называть операторами обработчиков ПДн Security Training © 2008 Cisco Systems, Inc. All rights reserved. 12/66
13.
Варианты создания отраслевых
рекомендаций Документы ФСТЭК без изменений, но применительно к Полная переработка в нуждам отрасли соответствие с потребностями отрасли Рособразование Финансы Минсоцздравразвитие Операторы связи Security Training © 2008 Cisco Systems, Inc. All rights reserved. 13/66
14.
Комплекс стандартов ИБ
СТО РС Отраслевая Рекомендации Руководство Методика частная Общие по по самооценке Методика Требования Аудит ИБ оценки модель угроз положения документации соответствия оценки рисков по ИБ ПДн 1.1 соответствия безопасности 1.0 в области ИБ ИБ 2.2 2.3 1.2 ПДн 2.0 2.1 2.4 СТО – стандарт организации РС – рекомендации по стандартизации Security Training © 2008 Cisco Systems, Inc. All rights reserved. 14/66
15.
Регулирование ИБ в
финансовой отрасли Термины и Классификатор определения 0.0 0.1 Рекомендации по выполнению законодательных требований при обработке ПДн В планах (возможно) отдельные стандарты и рекомендации (или добавление в СТО 1.0) по безопасности для участников национальной платежной системы и т.д. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 15/66
16.
3 новых документа
Отраслевая частная модель угроз Требования по безопасности ПДн Рекомендации по выполнению законодательных требований Также созданы новые пп.7.10-7.11 в СТО БР ИББС- 1.0 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 16/66
17.
Рекомендации
Программа действий по приведению в соответствие с ФЗ-152 14 шагов Рекомендации по классификации ИСПДн 8 алгоритмов обезличивания ПДн Перечень из 38-ми требуемых документов Предлагаются типовые шаблоны документов Имеется план приведения в соответствия из 49 пунктов Типовой перечень ПДн с указанием целей обработки Перечень из 20 типовых ошибок при реализации требований законодательства о ПДн Security Training © 2008 Cisco Systems, Inc. All rights reserved. 17/66
18.
Интересные особенности
Своя классификация ИСПДн и ПДн Отличная от «Приказа трех» Все ИСПДн специальные При условии принятия СТО требования регуляторов не применяются Т.к. уже учтены и согласованы в СТО В противном случае применяются требования всех трех регуляторов Лицензирование, аттестация не требуются Сертифицированными должны быть только СКЗИ Остальные СЗИ на усмотрение руководства организации Security Training © 2008 Cisco Systems, Inc. All rights reserved. 18/66
19.
Операторы связи -
НИР Тритон Наиболее полный набор документов по защите ПДн 18 иерархически выстроенных документов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 19/66
20.
Концепция
Рекомендации По формированию целей обработки ПДн По определению категорий субъектов ПДн и самих ПДн По формированию модели угроз Описывает 16 принципов защиты ПДн Законность, непрерывность, адекватность, гибкость и т.п. Реверанс в сторону нормативных документов ФСТЭК и ФСБ Оставлена суть; ненужные или избыточные детали убраны Описание информационных систем операторов связи Требуется контроль эффективности В форме аттестации, декларирования соответствия или внешнего государственного контроля Security Training © 2008 Cisco Systems, Inc. All rights reserved. 20/66
21.
Информационная модель
Отчет для ФОМС Справочник работников Отчет для ПФР Отчет для ФНС Отчет для ФМС + Фамилия + Фамилия + Номер пенс. страхования + ИНН + Фамилия + Имя + Имя + Фамилия + Фамилия + Имя + Отчетство + Отчество + Имя + Имя + Отчество + Адрес регистрации + Должность + Отчество + Отчество + Пол + Подразделение + Документ + Дата рождения + Внутренний контакт + Адрес регистрации + Место рождения + Фотография + Гражданство + Удостоверяющий документ + Квалификация + Должность Государственный орган <<include>> <<include>> <<include>> <<include>> <<include>> Государственный орган, Работник : 2 Деятельность Орган, осуществляющий получающий данные по связи оператора + Табельный номер оперативно-розыскную + Фамилия персоналу Военно-учетный стол + Имя деятельность + Отчество + Должность + <<1.1>> Подразделение + ИНН Управление + Пенс.страхование <<include>> <<include>> продажами : 1 + Семейное положение + Воинская обязанность + Пенсионный фонд <<include>> Фотография Федеральная налогвая + Гражданство служба + Бизнес-аттрибуты <<1>> <<2>> Работа с абонентами Управление организацией связи <<include>> Федеральная <<include>> <<1.2>> Фонд обязательного Управление миграционная служба медицинского <<2.2.>> взаимоотношенияи с <<include>> <<include>> Управление абонентами : 1 страхования безопасностью : 1 <<1.3>> <<2.1>> Расчеты с абонентами : 1 Управление персоналом : 1 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 21/66
22.
Классификатор ИСПДн
Выделены внешние и внутренние ИСПДн Всего 17 типов разных ИСПДн Биллинг Борьба с мошенничеством CRM АРМ пользователей СОРМ И т.п. Описаны особенности каждого типа ИСПДн с учетом требований по защите Security Training © 2008 Cisco Systems, Inc. All rights reserved. 22/66
23.
Анализ рисков
Методики высокоуровневой и низкоуровневой оценки рисков безопасности ПДн Также включает оценку потенциального ущерба для субъектов и операторов ПДн Учитываются юридические и финансовые риски Высокоуровневый анализ рисков проводится в целях определения возможного ущерба с учетом всех внешних факторов, без учета влияния ИТ Низкоуровневый анализ рисков основан на экспертной оценке размера ущерба, вероятности реализации угроз безопасности ПДн и уровня уязвимости ИСПДн Также содержит описание каналов реализации угроз и систематизированный перечень угроз с оценкой вероятности их реализации Security Training © 2008 Cisco Systems, Inc. All rights reserved. 23/66
24.
Методика минимизации требований
Снижение категории и объема ПДн Обезличивание ПДн Логическое структурирование ИСПДн и инфраструктуры Классификация ИСПДн как специальных С разработкой для них своего перечня требований Анализ необходимости применения СКЗИ Разделение зон ответственности между оператором связи и внешней организацией Security Training © 2008 Cisco Systems, Inc. All rights reserved. 24/66
25.
ТЭО средств защиты
ПДн Обоснование оптимального набора средств защиты ПДн Оценка годового ущерба до и после внедрения средств защиты ПДн Оценка эффективности средств защиты ПДн Security Training © 2008 Cisco Systems, Inc. All rights reserved. 25/66
26.
Резюме по рекомендациям
НИР Тритон Документы согласованы с ФСТЭК, ФСБ и Минкомсвязью Разработано 3 модели угроз и 3 профиля защиты от них Интересные особенности Учитывается отраслевая специфика ПДн не выделяются, как особая категория защищаемой информации Фокусировка только на защите ПДн (в отличии от защиты прав субъектов ПДн) Большое количество рекомендаций по снижению затрат Security Training © 2008 Cisco Systems, Inc. All rights reserved. 26/66
27.
Национальная
платежная система Security Training © 2008 Cisco Systems, Inc. All rights reserved. 27/66
28.
ФЗ «О национальной
платежной системе» Цель - регулировать деятельность организаций - операторов по переводу денежных средств, операторов по приему платежей, операторов платежных систем, операторов услуг платежной инфраструктуры и определить требования к функционированию платежной системы Банк России вправе устанавливать требования к деятельности операционных центров значимых платежных систем, включая требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям Ст.9 законопроекта Security Training © 2008 Cisco Systems, Inc. All rights reserved. 28/66
29.
ФЗ «О национальной
платежной системе» Чтобы стать участником платежной системы надо будет выполнить ряд условий, в т.ч. и требования по ИБ. Все участники "обязаны выполнять требования по оценке и управлению рисками, предусмотренные правилами платежной системы« К обычным участникам платежной системы относятся операторы по переводу денежных средств и приему платежей, участники рынка ценных бумаг, почта и т.п. Операторы платежной системы обязаны обеспечить оценку и управление рисками, а также разработать меры обеспечения информационной безопасности в платежной системе и обеспечить контроль их соблюдения Security Training © 2008 Cisco Systems, Inc. All rights reserved. 29/66
30.
ФЗ «О национальной
платежной системе» Своя платежная карта – свой аналог Visa, который «разрабатывает и принимает стандарты ...обеспечения информационной безопасности, обеспечивает контроль за их соблюдением» Security Training © 2008 Cisco Systems, Inc. All rights reserved. 30/66
31.
КСИИ Security Training
© 2008 Cisco Systems, Inc. All rights reserved. 31/66
32.
Термины и определения
Ключевая (критически важная) система информационной инфраструктуры – информационно- управляющая или информационно- телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями Security Training © 2008 Cisco Systems, Inc. All rights reserved. 32/66
33.
Номенклатура документов по
КСИИ Указы Приказ от 30.03.2002 Указ от 16.08.2004 Указ от 11.08.2003 «Основы» от Президента №Пр-578 №1085 №960 28.09.2006 Иные Проект Секретарь СовБеза РФ документы закона (снят) от 08.11.2005 Распоряжения №411-рс от №1314-р от Правительства 23.03.2006 27.08.2005 Отраслевые 4 «закрытых» документа документы ФСТЭК Security Training © 2008 Cisco Systems, Inc. All rights reserved. 33/66
34.
Нормативные документы ФСТЭК
Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах Общие требования по обеспечению безопасности информации в ключевых системах информационных инфраструктурах Базовая модель угроз безопасности информации в ключевых системах информационных инфраструктурах Рекомендации по обеспечению безопасности информации в ключевых системах информационных инфраструктурах Утверждены 18 мая 2007 года Security Training © 2008 Cisco Systems, Inc. All rights reserved. 34/66
35.
Отнесение систем к
КСИИ В документе определяются признаки отнесения объектов к критически важным Но финальная классификация отсутствует Критически важные объекты делятся на 3 типа в зависимости назначения, функционирующих в их составе ИТКС Перечень критически важных объектов определен в секретном Распоряжении Правительства от 23.03.2006 №411-рс «Перечень критически важных объектов Российской Федерации» Реестр КСИИ ведется ФСТЭК Security Training © 2008 Cisco Systems, Inc. All rights reserved. 35/66
36.
Отнесение систем к
КСИИ КСИИ делятся на группы Системы сбора открытой информации, на основании которой принимаются управленческие решения Системы хранения открытой информации Системы управления СМИ Системы управления критически важным объектом Уровень важности КСИИ определяется в соответствии с «Системой признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий», утвержденной Секретарем Совета Безопасности 08.11.2005 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 36/66
37.
Требования по безопасности
Требования по обеспечению безопасности информации в КСИИ отличаются в зависимости от их типа и между собой не пересекаются (!!!) 1-й тип – системы сбора и хранения открытой информации, а также системы управления СМИ 2-й тип – системы управления критически важными объектами Требования по обеспечению безопасности информации в КСИИ различных уровней важности соответствуют требованиям для различных классов защищенности АС и МСЭ или уровней контроля отсутствия НДВ Исключение составляют требования, для которых у ФСТЭК отсутствуют руководящие документы – антивирусная защита, анализ защищенности, обнаружение вторжений и требования доверия к безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 37/66
38.
Требования по защите
КСИИ 1-го типа Уровень важности КСИИ Группы требований 3 2 1 Управление доступом 1Г 1В 1Б Регистрация и учет 1Г 1В 1Б Обеспечение целостности 1Г 1В 1Б Обеспечение безопасного межсетевого 4 3 2 взаимодействия в КСИИ Уровень контроля отсутствия НДВ 4 3 2 Антивирусная защита + + + Анализ защищенности + + + Обнаружение вторжений + + + Требования доверия к безопасности + + + Security Training © 2008 Cisco Systems, Inc. All rights reserved. 38/66
39.
Требования по защите
КСИИ 2-го типа Уровень важности КСИИ Группы требований 3 2 1 Планирование обеспечения безопасности + + + Действия в непредвиденных ситуациях + + + Реагирование на инциденты + + + Оценка рисков + + + Защита носителей информации + + + Обеспечение целостности + + + Физическая защита и защиты среды + + + Безопасность и персонал + + + Информирование и обучение по вопросам ИБ + + + Защита коммуникаций + + + Аудит безопасности + + + Security Training © 2008 Cisco Systems, Inc. All rights reserved. 39/66
40.
Контроль
государственных ресурсов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 40/66
41.
Контроль госорганов
Постановления и законы ПП-424 от 18.05.2009 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям» Проект ФЗ «О государственных информационных ресурсах» Госорганы обязаны обеспечить защиту информации… от уничтожения, изменения и блокирования доступа к ней постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более 8 часов использование … СЗИ, прошедших оценку соответствия (в том числе в установленных случаях сертификацию)… Security Training © 2008 Cisco Systems, Inc. All rights reserved. 41/66
42.
Контроль госорганов
Федеральной службе безопасности Российской Федерации совместно с Федеральной службой по техническому и экспортному контролю в 3-месячный срок утвердить требования о защите информации, содержащейся в информационных системах общего пользования ПП-424 Где прописаны требования по ИБ Спорный СТР-К от ФСТЭК Приказ Минкомсвязи России от 25.08.2009 г № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования» (зарегистрирован в МинЮсте) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 42/66
43.
Госуслуги
Постановление Правительства РФ от 22 сентября 2009 г. № 754 «Об утверждении Положения о системе межведомственного электронного документооборота» Главный регулятор – Федеральная служба охраны (ФСО) Основной акцент на целостности и конфиденциальности Законопроект «Об общих принципах организации предоставления государственных (муниципальных) услуг и исполнения государственных (муниципальных) функций» Никто не понимает, что такое госуслуга. Нет объекта защиты, как можно говорить о защите? Безопасность госуслуг – для многих это ЭЦП и УЦ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 43/66
44.
Скандал в благородном
семействе «Системный проект на создание и эксплуатацию инфраструктуры электронного правительства» был разработан Минкомсвязи и представлен в Совет при президенте РФ по развитию информационного общества в России Президентский Совет (ФСБ, ФСО и т.д.) признали проект неудовлетворительным и дорогом (100 рублей за букву – всего 120 миллионов рублей на разработку) Разработчик проекта – Ростелеком Минкомсвязь заявил, что «проект нужно обсуждать не на президентском совете, а в среде профессионалов, исключив тем самым из числа специалистов представителей администрации президента и руководителей министерств и ведомств» Security Training © 2008 Cisco Systems, Inc. All rights reserved. 44/66
45.
ВТО Security Training
© 2008 Cisco Systems, Inc. All rights reserved. 45/66
46.
ВТО
Всемирная Торговая Организация (ВТО) - международная организация, созданная для урегулирования торговых проблем в соответствии с соглашением крупнейших торговых стран мира о снижении экспортных и импортных барьеров Процедура присоединения к ВТО, выработанная за полвека существования ГАТТ/ВТО, многопланова и состоит из нескольких этапов Как показывает опыт стран-соискателей, этот процесс занимает в среднем 5-7 лет Security Training © 2008 Cisco Systems, Inc. All rights reserved. 46/66
47.
Вступление в ВТО
На первом этапе в рамках специальных рабочих групп происходит детальное рассмотрение на многостороннем уровне экономического механизма и торгово-политического режима присоединяющейся страны на предмет их соответствия нормам и правилам ВТО После этого начинаются консультации и переговоры об условиях членства страны-соискателя в данной организации. Эти консультации и переговоры, как правило, проводятся на двустороннем уровне со всеми заинтересованными странами-членами рабочих групп Security Training © 2008 Cisco Systems, Inc. All rights reserved. 47/66
48.
Уступки и обязательства
Прежде всего переговоры касаются "коммерчески значимых" уступок, которые присоединяющаяся страна будет готова предоставить членам ВТО по доступу на ее рынки (фиксируются в двусторонних Протоколах по доступу на рынки товаров и услуг), а также по формату и срокам принятия на себя обязательств по Соглашениям, вытекающих из членства в ВТО (оформляется в Докладе Рабочей группы) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 48/66
49.
Основные принципы ВТО
взаимное предоставление режима наибольшего благоприятствования в торговле взаимное предоставление национального режима товарам и услугам иностранного происхождения регулирование торговли преимущественно тарифными методами отказ от использования количественных и иных ограничений прозрачность торговой политики разрешение торговых споров путем консультаций и переговоров и т.д. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 49/66
50.
Многосторонние торговые отношения
Все страны-члены ВТО принимают обязательства по выполнению основных соглашений и юридических документов, объединенных термином "Многосторонние торговые соглашения« Наиболее интересные с точки зрения ИБ Соглашение по техническим барьерам в торговле Генеральное соглашение по торговле услугами Security Training © 2008 Cisco Systems, Inc. All rights reserved. 50/66
51.
Соглашение по техническим
барьерам Упор на следование международным стандартам на использование международных систем оценки соответствия на создание технических регламентов и стандартов, не создающих препятствий для международной торговли на создание импортируемым продуктам тех же условий, что и внутренним «Не должно создаваться препятствий для принятия мер, необходимых для защиты ее важнейших интересов в области безопасности» Исключения допускаются, но они не должны Приводить к дискриминации стран Скрыто ограничивать международную торговлю Security Training © 2008 Cisco Systems, Inc. All rights reserved. 51/66
52.
ВТО и Россия Security
Training © 2008 Cisco Systems, Inc. All rights reserved. 52/66
53.
Россия и ВТО:
история отношений В 2007/8-м году Россия отказалась входить в ВТО самостоятельно Создание Единого таможенного союза (Россия, Казахстан, Белоруссия) и намерение вступать в ВТО в составе союза Договоренность Медведева и Обамы о вступлении России в ВТО в середине осени И.Айвазовский. Хаос. Сотворение мира Security Training © 2008 Cisco Systems, Inc. All rights reserved. 53/66
54.
Россия и ВТО
Россия подала заявку на вступление в ВТО в 1993 году По итогам завершившихся переговоров Россия согласилась принять обязательства примерно по 110 секторам услуг из 155 секторов, предусмотренных классификацией ВТО В некоторых случаях позиция России предусматривает более жесткие условия работы иностранных поставщиков услуг на российском рынке по сравнению с условиями, предусмотренными действующим законодательством Такая позиция позволит, при необходимости, использовать дополнительные инструменты защиты национальных поставщиков услуг от иностранной конкуренции в будущем Security Training © 2008 Cisco Systems, Inc. All rights reserved. 54/66
55.
Россия и ВТО
Переговоры по системным вопросам посвящены определению мер, которые Россия должна будет предпринять в области законодательства и его правоприменения для выполнения своих обязательств как будущего члена ВТО Запросные требования стран ВТО в целом можно разделить на несколько групп, из них запросы отдельных стран-членов РГ, выходящие за рамки обязательств многосторонних торговых соглашений ВТО (требования “ВТО+”) По принятию каждого требования предусмотрен переходный период – от 1-го года до 5-ти лет (в ряде случае 6-7 лет) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 55/66
56.
Запросы членов рабочей
группы Либерализация мер нетарифного регулирования с точки зрения правил лицензирования в такой области как импорт средств связи и шифровальной техники Россия обязалась создать более прозрачную систему для импорта электронных товаров, использующих шифрование – требование США Приведение режимов технических барьеров в торговле в России в соответствие с правилами ВТО, совершенствование правоприменения в указанных сферах (в первую очередь касательно обязательной сертификации и регистрации, процедур повторной сертификации, подтверждения сертификатов соответствия) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 56/66
57.
Электронная торговля
В рамках ВТО многие страны приняли обязательства по электронной торговле, преодолении торговых барьеров и обеспечении доступа стран-членов ВТО к электронной коммерции Что надо решить: Единые стандарты по безопасности платежей Единые стандарты ЭЦП Security Training © 2008 Cisco Systems, Inc. All rights reserved. 57/66
58.
Либерализация
криптографии Security Training © 2008 Cisco Systems, Inc. All rights reserved. 58/66
59.
С чем согласилась
Россия Отсутствие дискриминации и прозрачность всех процедур, связанных с импортом криптографии Соблюдение Вассенаарского соглашения То что должно ввозиться свободно по Вассенаару, не должно ограничиваться при импорте в Россию (например, защита интеллектуальной собственности в DVD и т.п., мобильные телефоны и т.д.) Категория 5, часть 2, список товаров двойного применения Вся импортируемая криптография делится на 2 части Ввозимая по уведомлению Ввозимая после получения лицензии на импорт Security Training © 2008 Cisco Systems, Inc. All rights reserved. 59/66
60.
Уведомительная схема
Аутентификация Шифрование паролей и других идентификационных данных ЭЦП Симметричная криптография с длиной ключа до 56 бит Ассиметричная криптография На базе факторизации целых чисел - с длиной ключа до 512 бит На базе вычисления дискретного логарифма в мультипликативной группе конечного поля - с длиной ключа до 512 бит На базе вычисления дискретного логарифма в группах отличной от предыдущего пункта, - с длиной ключа до 112 бит Security Training © 2008 Cisco Systems, Inc. All rights reserved. 60/66
61.
Уведомительная схема
Продукты для массового рынка Критерии отнесения к массовому рынку пока не определены ПО, включая ОС, в котором криптография не может быть изменена пользователем и оно не требует поддержки со стороны производителя Шифрование технологических каналов Шифрование с целью управления сетями и системами Беспроводные сети с диапазоном до 400 метров DECT, Bluetooth, 802.11 Продукты, в которых соответствующая функциональность заблокирована Security Training © 2008 Cisco Systems, Inc. All rights reserved. 61/66
62.
Детали уведомительной схемы
Нотификация отсылается В ФСБ Перед первой поставкой На каждый продукт Если в течение 10 дней реакции нет, то «зеленый свет» На практике регистрация нотификации занимает около 2-3 недель Security Training © 2008 Cisco Systems, Inc. All rights reserved. 62/66
63.
Детали лицензионной схемы
Лицензия на импорт выдается На партию Генеральная (только по межправительственным соглашениям) Для получения лицензии требуется пройти однократную техническую экспертизу импортируемого продукта Отсутствие исходных кодов не является препятствием для импорта Анализ проводит не ФСБ, а отдельная организация Стоимость услуг прозрачна Срок получения лицензии – не более 3 месяцев Включая экспертизу Security Training © 2008 Cisco Systems, Inc. All rights reserved. 63/66
64.
Российская практика
Сегодня в России только крупные вендоры ввозят шифровальные средства официально Cisco HP IBM И некоторые другие Все остальное контрабанда ;-( Достаточно запросить у поставщика ГТД Риски для поставщиков Ст.188 УК РФ, ст.16.2, 16.3, 16.7 КоАП + отзыв лицензии на распространение + арест контрабанды Риски для потребителей (только для лицензиатов) Отзыв лицензии ФСБ на оказание услуг + ст.14.1 КоАП Security Training © 2008 Cisco Systems, Inc. All rights reserved. 64/66
65.
Усиление роли
ФСБ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 65/66
66.
О встраивании криптоядра
в VPN Можно ли использовать сертифицированное криптоядро в составе VPN-решений? Можно Будет ли такое использование легитимным? Нет!!! Security Training © 2008 Cisco Systems, Inc. All rights reserved. 66/66
67.
Есть ли у
вас лицензия на ТО СКЗИ? А нужна ли? Представители 8-го Центра ФСБ заявляют о ненужности лицензии для собственных нужд Security Training © 2008 Cisco Systems, Inc. All rights reserved. 67/66
68.
Есть ли у
вас лицензия на ТО СКЗИ? Что такое ТО? К деятельности по техническому обслуживанию шифровальных (криптографических) средств не относится эксплуатация СКЗИ в соответствии с требованиями эксплуатационной и технической документации, входящей в комплект поставки СКЗИ Не относится к лицензируемой деятельности Передача СКЗИ клиентам и «дочкам» Генерация и передача сгенерированных ключей Security Training © 2008 Cisco Systems, Inc. All rights reserved. 68/66
69.
Кто отвечает за
IDS? ФСТЭК имеет профиль защиты по IDS И уже разработал новые РД по IDS и антивирусам В списке сертифицированных СЗИ находится около 20 сертификатов на IDS В т.ч. вся линейка Cisco IPS (4200 и AIM) ФСБ планирует забрать эту тему под себя У ФСБ существует всего две сертифицированных IDS – «Ручеек» и «Аргус» (проект «Упырь») Security Training © 2008 Cisco Systems, Inc. All rights reserved. 69/66
70.
За что еще
хочет отвечать ФСБ? Антивирусы Существуют требования по сертификации антивирусов Существует требование по использованию во всех госорганах сертифицированных антивирусов и IDS Межсетевые экраны Существуют требования по сертификации МСЭ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 70/66
71.
Об образовании в
области ИБ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 71/66
72.
Деятельность Минкомсвязи
Минкомсвязь заказал АП КИТ профессиональный стандарт по профессии «Специалист по информационной безопасности» Данный профессиональный стандарт будет отражать современные квалификационные требования работодателей и использоваться для целей подготовки рабочих кадров и специалистов, оценки (сертификации), составления должностных инструкций, тарификации и пр. Стандарт нужен для Оценки квалификации и сертификации сотрудников Формирования госстандартов профессионального образования Управления персоналом Стандартизации и унификации требований к содержанию и качеству профессиональной деятельности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 72/66
73.
Квалификационные уровни
Национальная квалификация описывает 7 уровней В области ИБ квалификация начинается с 3-го уровня Наименование Уровень Краткое описание работ должности 3-й Участие в работах. Проведение Техник по ЗИ проверок. Наладка и регулировка. 4-й Сопровождение. Выполнение Специалист по ЗИ сложных работ. Анализ потребностей 5-й Управление работами по Инженер по ЗИ проектированию и внедрению СЗИ. Подбор литературы 6-й Работа в команде. Разработка Начальник отдела ЗИ оргмер. Руководство. Организация аттестаций, спецпроверок. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 73/66
74.
Квалификационные уровни
Национальная квалификация описывает 7 уровней В области ИБ квалификация начинается с 3-го уровня Наименование Уровень Краткое описание работ должности 7-й Работа в команде. Руководство Главный специалист работами по ЗИ. Создание по ЗИ технологий ИБ. Контроль. Оценка эффективности. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 74/66
75.
Деятельность Минобразнауки
Минобразование с осени внедряет государственные образовательные стандарты третьего поколения В области ИБ вопросы создания стандартов курирует УМО вузов РФ по образованию в области ИБ (организатор ИКСИ) Образование по ИБ организуется на трех уровнях Высшее профессиональное образование (ВПО) – университеты и институты Среднее профессиональное образование (СПО) – колледжи и лицеи Начальное профессиональное образование (НПО) – училища и техникумы (только один прецедент в России) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 75/66
76.
Направления образования
2 направления обучения в рамках ВПО Специалист – 5,5 лет Бакалавриат / магистратура – 3 / 5 лет Программы (стандарты) образования Информационная безопасность телекоммуникационных систем Информационная безопасность автоматизированных систем Организация и технология защиты информации Информационно-аналитические системы безопасности Компьютерная безопасность Криптография Противодействие действиям иностранных технических разведок В каждой программе существуют свои специализации Grid, АСУ ТП, транспорт, мобильные технологии… Security Training © 2008 Cisco Systems, Inc. All rights reserved. 76/66
77.
Особенности подготовки стандартов
По задумке ФГОС рассчитывается на 10-15 лет Бизнес практически не участвует в подготовке требований Стандарты формируют ВУЗы В стандарт попало только то, что ВУЗы готовы преподавать сейчас Security Training © 2008 Cisco Systems, Inc. All rights reserved. 77/66
78.
Что еще?.. Security Training
© 2008 Cisco Systems, Inc. All rights reserved. 78/66
79.
Что еще?
ПП-266 от 21 апреля 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации … об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации» Основной регулятор – Служба внешней разведки (СВР) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 79/66
80.
Что еще?
ПП-330 от 15 мая 2010 г. «Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, отнесенных к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие гостайну» ДСП Оценка соответствия проводится в формах обязательной сертификации и государственного контроля (надзора) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 80/66
81.
Генпрокуратора – новый
регулятор Генпрокуратура – новый регулятор на рынке безопасности Порядок согласования с органом прокуратуры проведения проверок установлен приказом Генерального прокурора Российской Федерации от 27 марта 2009 г. № 93 Все плановые и внеплановые проверки должны быть согласованы с Генпрокуратурой Плановые – до 31 декабря года, предшествующего Внеплановые – за 3 суток до проверки Сегодня в списке проверок есть только Роскомнадзор ФСТЭК и ФСБ не любит упоминаний Генпрокуратуры Потребители не хотят оспаривать незаконные проверки Security Training © 2008 Cisco Systems, Inc. All rights reserved. 81/66
82.
Генпрокуратора – новый
регулятор Генпрокуратура – новый регулятор на рынке безопасности Порядок согласования с органом прокуратуры проведения проверок установлен приказом Генерального прокурора Российской Федерации от 27 марта 2009 г. № 93 Все плановые и внеплановые проверки должны быть согласованы с Генпрокуратурой Плановые – до 31 декабря года, предшествующего Внеплановые – за 3 суток до проверки Сегодня в списке проверок есть только Роскомнадзор ФСТЭК и ФСБ не любит упоминаний Генпрокуратуры Потребители не хотят оспаривать незаконные проверки Security Training © 2008 Cisco Systems, Inc. All rights reserved. 82/66
83.
Новости Cisco Security Training
© 2008 Cisco Systems, Inc. All rights reserved. 83/66
84.
Одна из последних
разработок Компаниями Cisco Systems и С- Терра СиЭсПи разработан http://www.s-terra.com/ VPNшлюз на базе сетевого модуля NME-RVPN (МСМ) и сервера Cisco UCS, с российской криптографией Поддержка Cisco ISR 2800, 2900, 3800 и 3900 Поддержка всей линейки VPN- решений компании S-Terra CSP Производительность от 95 Мбит/сек (NME-RVPN) до 3,2 Гбит/сек (UCS) Сертификат ФСБ СФ/114- 1411 от 20 марта 2010 года Security Training © 2008 Cisco Systems, Inc. All rights reserved. 84/66
85.
Cisco + Лаборатория
Касперского Компаниями Cisco Systems и Лабораторией Касперского создан модуль «антивирус + антиспам» для маршрутизаторов Cisco Поддержка маршрутизаторов Cisco ISR 2811, 2821, 2851, 3825, 3845, а также 800 Series Форм-фактор AXP-NME AXP-AIM Security Training © 2008 Cisco Systems, Inc. All rights reserved. 85/66
86.
Соответствие требованиям по
ИБ 450+ сертификатов ФСТЭК Сертификация по РД, ТУ, ГОСТ Р ИСО 15408, Минкомсвязь Сертификация одиночных образцов, партий и производства Сертификация в ФСБ Сертификация по НДВ (закладки) Соответствие требованиям по ПДн, КСИИ, СТР-К, СТО БР ИББС, ISO 2700x, COBIT, ITIL, PCI DSS Security Training © 2008 Cisco Systems, Inc. All rights reserved. 86/66
87.
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 87/66
88.
Security Training
© 2008 Cisco Systems, Inc. All rights reserved. 88/66
Jetzt herunterladen