SlideShare a Scribd company logo

Security apocalypse

Aleksey Lukatskiy
Aleksey Lukatskiy
News & Politics
1 of 33
Download to read offline
Апокалипсис безопасности Алексей Лукацкий, бизнес-консультант по безопасности © Cisco, 2010. Все права защищены. 1/74
© Cisco, 2010. Все права защищены. 2
• Риски, связанные со все более укрепляющимся положением международных производителей на отечественном рынке программного обеспечения в сфере ИБ, особенно принимая во внимание фактическую либерализацию импорта СКЗИ • Рост роли международных стандартов на национальном рынке информационной безопасности, перекос регулирования «экспорт/импорт» может привести к падению спроса на продукцию отечественных производителей программного обеспечения © Cisco, 2010. Все права защищены. 374
• В российских информационно-коммуникационных технологиях используется до 98% зарубежных разработок и оборудования Данные Совбеза РФ • ФСБ не раз заявляла о том, что для борьбы с этой угрозой национальной безопасности будут использованы два основных механизмы – недопущение на российский рынок западных продуктов и сертификация средств защиты информации • Угроза - использование несертифицированных отечественных и зарубежных ИТ, средств защиты информации, средств информатизации, телекоомуникации и связи при создании и развитии российской информационной инфраструктуры Доктрина информационной безопасности РФ © Cisco, 2010. Все права защищены. 474
• Россия зависима от западных технологий Их разработчики находятся под колпаком у западных спецслужб • Невозможность бороться с киберпреступлениями Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О борьбе с киберпреступностью», а потом отозвал свою подпись • Готовятся кибервойны США внесло в ООН предложение отвечать военными ударами на кибератаки • Законодательство других стран дает право спецслужбам контролировать весь Интернет-трафик, проходящий через эти страны В России такое же законодательство © Cisco, 2010. Все права защищены. 574
• Развивать свое, постепенно вытесняя все зарубежное недоверенное Пример: Китай • Дать возможность применять для гражданского применения все, что угодно, контролируя наиболее критичные сферы (гостайна, КВО, оборонка), пытаясь внедрить в них собственные наработки Запад Бизнес ИТ ИБ ИТ ИБ Россия © Cisco, 2010. Все права защищены. 674
• Выработка мер по минимизации непосредственного участия иностранных компаний в информатизации процессов государственного управления • Содействие развитию отечественного производства средств связи и телекоммуникаций, ПО, микроэлектронной базы и т.д. • И еще 5 предложений • По поводу СПО ФСБ не раз заявляла, что уровень затрат на анализ СПО и проприетарного ПО в контексте ИБ одинаков Основным поставщиком ПО для Сочи-2014 выбрана компания Microsoft – уже после принятия курса на СПО © Cisco, 2010. Все права защищены. 774
Большое количество регуляторов Легитимный ввоз криптографии в соответствие с правилами Таможенного союза Использование легитимной криптографии Требования сертификации Локальные и закрытые нормативные акты Отсутствие учета рыночных потребностей Исторический бэкграунд © Cisco, 2010. Все права защищены. 874
© Cisco, 2010. Все права защищены. 9
Газпром- ФСТЭК РЖД серт ФСО ФСБ PCI ЦБ ИБ Council Минком- СВР связь Рос- Росатом МО стандарт © Cisco, 2010. Все права защищены. 1074
• Персональные данные • Финансовая отрасль PCI DSS СТО БР ИББС-1.0 ФЗ «О национальной платежной системе» • Электронная подпись • Критически важные объекты • Госуслуги и УЭК • Новый ФЗ о лицензировании • И др. © Cisco, 2010. Все права защищены. 1174
Конвенции и иные Директивы Евросоюза / Европейская Рекомендации международные договора Европарламента Конвенция ОЭСР ФЗ №152 от 26.07.2006 Законы ФЗ №160 от 19.12.2005 Постановления №781 от №687 от №512 от Правительства 17.11.2007 15.09.2008 6.07.2008 2 открытых Регламенты Приказы и «Приказ трех» от документа и 1 2 открытых осуществления иные документы 13.02.2008 полуДСП от ФСТЭК документа ФСБ контроля и надзорар • Готовится 9 новых Постановлений Правительства © Cisco, 2010. Все права защищены. 1274
• Терминология ПДн, биометрические ПДн, обезличивание, обработка, автоматизированная обработка, трансграничная передача • Условия обработки ПДн без согласия • Появление «обработчика» ПДн (ЛОПДПО) • Условия обработки специальных категорий ПДн • Условия трансграничной передачи ПДн • Условия ограничения доступа субъекта к его ПДн • Условия непредоставления субъекту сведений • Контроль и надзор со стороны ФСТЭК и ФСБ • Содержание уведомления в РКН • Возмещение морального вреда © Cisco, 2010. Все права защищены. 1374
• Классификация ИСПДн – ее больше нет • Моделирование угроз – его больше нельзя делать самостоятельно • Требования по защите ПДн – стало жестче • Сертификация средств защиты – на уровне закона • Аттестация объектов информатизации – на уровне закона • Лицензирование деятельности по защите информации Об этом постоянно говорят регуляторы в лице ФСТЭК и ФСБ © Cisco, 2010. Все права защищены. 1474
• Безопасность персданных является обязательным условием обработки ПДн • За безопасность ПДн отвечают ФСТЭК и ФСБ ФСТЭК выпустил приказ №58 – планируется изменение ФСБ выпустила 2 методических документа в области криптографии – планируется изменение • Подход регуляторов Сертифицированные СЗИ и СКЗИ – изменений не планируется Вновь появляется аттестация • Отраслевые стандарты – прошлый тренд СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития… © Cisco, 2010. Все права защищены. 1574
ISO 15408:1999 («Общие критерии») в России (ГОСТ Р ИСО/МЭК 15408) так и не заработал Перевод СоДИТ ISO 15408:2009 – судьба неизвестна ;-( ПП-608 разрешает признание западных сертификатов – не работает ФЗ «О техническом регулировании» разрешает оценку по западным стандартам – не работает ПП-455 обязывает ориентироваться на международные нормы – не работает © Cisco, 2010. Все права защищены. 1674
• В четверокнижии ФСТЭК аттестация была обязательной для ИСПДн К1, К2 и распределенной К3 • В приказе № 58 требования аттестации нет! • Что такое «оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных»? Ст.19 нового старого ФЗ-152 • Во ФСТЭК готовятся документы по аттестации объектов информатизации, обрабатывающих конфиденциальную информцию © Cisco, 2010. Все права защищены. 1774
• Старые НПА «говорят» преимущественно о сертификации, а новые – об оценке соответствия • Оценка соответствия ≠ сертификация • Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту • Оценка соответствия регулируется ФЗ-184 «О техническом регулировании» © Cisco, 2010. Все права защищены. 1874
Требования Требования закрыты (часто секретны). Даже лицензиаты открыты зачастую не имеют их, оперируя выписками из выписок ФСТЭК ФСБ МО СВР Все, кроме СКЗИ Все для нужд Тайна, покрытая криптографии МСЭ оборонного ведомства мраком Антивирусы IDS BIOS Сетевое оборудование А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ, «АйТиСертифика» (ЕВРААС) и Ecomex © Cisco, 2010. Все права защищены. 1974
Число нормативных актов с требованиями сертификации по требованиям безопасности 8 7 6 5 4 3 2 1 0 * - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.) 20 © Cisco, 2010. Все права защищены. 2074
• Стоимость СЗИ на 1 ПК – от 3,4 тысяч (Windows 7) до 5-8 тысяч рублей +15-25% на годовую поддержку • Стоимость СЗИ на 1 сервер – от 9 тысяч (Windows 2008 Server) до 30-35 тысяч рублей • Стоимость сканера защищенности – 9 тысяч рублей на 10 IP • Антивирус на 1 ПК – 900-1000 рублей Если не брать Total Security, Endpoint Security и т.п. • Стоимость МСЭ – от 10 тысяч до 10 миллионов рублей • Стоимость IPS – от 45 -60 тысяч рублей © Cisco, 2010. Все права защищены. 2174
• Несколько офисов? 120-140 тысяч рублей на VPN «точка- точка» 10 офисов – 900-1200 тысяч рублей • Стоимость оргмер (модели угроз, обследование, классификация, обучение...) составит 540 тысяч рублей • Стоимость аттестации 10 ПК составит около 200 тысяч рублей При невозможности вносить в систему изменения • Итого (в год) 10 ПК + 1 сервер + Интернет = 900 тысяч рублей 100 ПК + 3 сервера + Интернет = 3915 тысяч рублей 100 ПК + 3 сервера + Интернет + 10 офисов = 5 миллионов рублей © Cisco, 2010. Все права защищены. 2274
© Cisco, 2010. Все права защищены. 23
• Кодекс (Конвенция) поведения ООН в области ИБ Инициирован Россией, Китаем, Узбекистаном и Таджикистаном Запрет на вмешательство в национальное Интернет-пространство Запрет на использования Интернет и социальных сетей для свержения правительств • Социальные сети и Интернет надо контролировать Юрий Чайка, Генеральная прокуратура • Интернет не приемлет анонимности – надо контролировать Кирилл, Русская Православная Церковь • Интернет не приемлет анонимности – надо контролировать Рашид Нургалиев, МВД • Пользователи должны иметь Интернет-паспорта Евгений Касперский © Cisco, 2010. Все права защищены. 2474
© Cisco, 2010. Все права защищены. 25
• Приказ, определяющий, что считать ИТ-продукцией отечественного производства • Параметр Кимп (стоимость импортного сырья, материалов, комплектующих, имеющих отечественные аналоги) в формуле расчета либо не вычислим либо будет всегда очень большим (итог – низкий уровень локализации) Не установлен орган сличения материалов и комплектующих иностранного и отечественного производства Не определены каталога, считающиеся официальными Не определены процедуры и орган, утверждающие о наличии отечественных аналогов © Cisco, 2010. Все права защищены. 2674
• Иностранные вендоры в России – резиденты со 100%-м участием иностранных компаний Приказ обязаывает создавать СП с госорганами, муниципалоами или Ростехнологиями СП должны быть переданы права на документацию и ПО – передача интеллектуальных прав западной компании (особенно из США) практически невозможна • Заявитель должен осуществлять полный цикл сборки печатных плат в России В России таких предприятий (даже оборонных) практически нет При наличии таких предприятий проще обратиться на Тайвань или в Китай – себестоимость ниже Кстати, сборка печатных плат – экологически вредное производство © Cisco, 2010. Все права защищены. 2774
© Cisco, 2010. Все права защищены. 28
Изменения Статика Динамика Технологии Закрытые АС Облака, mobility Формат Файлы Мультимедиа Что? Гостайна КТ, БТ, ПДн С кем? ИТР Инсайдер, хакер Как? Закрытость Открытость Сколько? Неважно ROI, TCO, NPV Кто? КГБ эксКГБ © Cisco, 2010. Все права защищены. 2974
Абсолютная непрогнозируемость изменений на рынке информационной безопасности © Cisco, 2010. Все права защищены. 3074
Закручивание Останется все, Либерализация гаек как есть • Вероятность - • Вероятность - • Вероятность - 20% (на 45% (на 30% (на данный данный данный момент) момент) момент) • Вероятность • Вероятность через 2 года - через 2 года - 25% и 10% (в 20% и 65% (в зависимости от зависимости от победителя победителя президентских президентских выборов) выборов) Экспертная оценка специалистов Cisco © Cisco, 2010. Все права защищены. 3174
http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco © Cisco, 2010. Все права защищены. 3274
Praemonitus praemunitus! Спасибо за внимание! security-request@cisco.com

Recommended

Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБ
Aleksey Lukatskiy
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
Cisco Russia
 
Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...
Positive Hack Days
 
News in FZ-152
News in FZ-152News in FZ-152
News in FZ-152
Aleksey Lukatskiy
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Aleksey Lukatskiy
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденции
Aleksey Lukatskiy
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
Aleksey Lukatskiy
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
Aleksey Lukatskiy
 

Recommended

Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБ
Aleksey Lukatskiy
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
Cisco Russia
 
Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...
Positive Hack Days
 
News in FZ-152
News in FZ-152News in FZ-152
News in FZ-152
Aleksey Lukatskiy
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Aleksey Lukatskiy
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденции
Aleksey Lukatskiy
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
Aleksey Lukatskiy
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
Aleksey Lukatskiy
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
RISClubSPb
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
Cisco Russia
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
Aleksey Lukatskiy
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
Softline
 
Конфидент: Dallas lock - комплексная система защиты информации
Конфидент: Dallas lock - комплексная система защиты информацииКонфидент: Dallas lock - комплексная система защиты информации
Конфидент: Dallas lock - комплексная система защиты информации
Expolink
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
Aleksey Lukatskiy
 
Регулирование ИБ в России
Регулирование ИБ в РоссииРегулирование ИБ в России
Регулирование ИБ в России
Aleksey Lukatskiy
 
Конфидент - Dallas Lock 8.0: комплексная система защиты информации
Конфидент - Dallas Lock 8.0: комплексная система защиты информацииКонфидент - Dallas Lock 8.0: комплексная система защиты информации
Конфидент - Dallas Lock 8.0: комплексная система защиты информации
Expolink
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
Aleksey Lukatskiy
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
Cisco Russia
 
Cisco crypto FAQ 2013
Cisco crypto FAQ 2013Cisco crypto FAQ 2013
Cisco crypto FAQ 2013
Cisco Russia
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
Cisco Russia
 
Криптография в России - импорт и лицензирование деятельности
Криптография в России - импорт и лицензирование деятельностиКриптография в России - импорт и лицензирование деятельности
Криптография в России - импорт и лицензирование деятельности
Cisco Russia
 
Часто задаваемые вопросы по импорту продукции с функцией криптографии
Часто задаваемые вопросы по импорту продукции с функцией криптографииЧасто задаваемые вопросы по импорту продукции с функцией криптографии
Часто задаваемые вопросы по импорту продукции с функцией криптографии
Cisco Russia
 
конфидент
конфидентконфидент
конфидент
Expolink
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
Aleksey Lukatskiy
 
Обзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекомаОбзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекома
Aleksey Lukatskiy
 
Шифровальные средства: ввоз и использование
Шифровальные средства: ввоз и использованиеШифровальные средства: ввоз и использование
Шифровальные средства: ввоз и использование
Cisco Russia
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
Aleksey Lukatskiy
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?
LETA IT-company
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISO
Aleksey Lukatskiy
 
Worldwide security requirements
Worldwide security requirementsWorldwide security requirements
Worldwide security requirements
Aleksey Lukatskiy
 

More Related Content

What's hot

Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
RISClubSPb
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
Cisco Russia
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
Softline
 
Регулирование ИБ в России
Регулирование ИБ в РоссииРегулирование ИБ в России
Регулирование ИБ в России
Aleksey Lukatskiy
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
Aleksey Lukatskiy
 
Cisco crypto FAQ 2013
Cisco crypto FAQ 2013Cisco crypto FAQ 2013
Cisco crypto FAQ 2013
Cisco Russia
 
Криптография в России - импорт и лицензирование деятельности
Криптография в России - импорт и лицензирование деятельностиКриптография в России - импорт и лицензирование деятельности
Криптография в России - импорт и лицензирование деятельности
Cisco Russia
 
Часто задаваемые вопросы по импорту продукции с функцией криптографии
Часто задаваемые вопросы по импорту продукции с функцией криптографииЧасто задаваемые вопросы по импорту продукции с функцией криптографии
Часто задаваемые вопросы по импорту продукции с функцией криптографии
Cisco Russia
 
конфидент
конфидентконфидент
конфидент
Expolink
 
Шифровальные средства: ввоз и использование
Шифровальные средства: ввоз и использованиеШифровальные средства: ввоз и использование
Шифровальные средства: ввоз и использование
Cisco Russia
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
Aleksey Lukatskiy
 

What's hot (20)

Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Конфидент: Dallas lock - комплексная система защиты информации
Конфидент: Dallas lock - комплексная система защиты информацииКонфидент: Dallas lock - комплексная система защиты информации
Конфидент: Dallas lock - комплексная система защиты информации
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
 
Регулирование ИБ в России
Регулирование ИБ в РоссииРегулирование ИБ в России
Регулирование ИБ в России
 
Конфидент - Dallas Lock 8.0: комплексная система защиты информации
Конфидент - Dallas Lock 8.0: комплексная система защиты информацииКонфидент - Dallas Lock 8.0: комплексная система защиты информации
Конфидент - Dallas Lock 8.0: комплексная система защиты информации
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
 
Cisco crypto FAQ 2013
Cisco crypto FAQ 2013Cisco crypto FAQ 2013
Cisco crypto FAQ 2013
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
 
Криптография в России - импорт и лицензирование деятельности
Криптография в России - импорт и лицензирование деятельностиКриптография в России - импорт и лицензирование деятельности
Криптография в России - импорт и лицензирование деятельности
 
Часто задаваемые вопросы по импорту продукции с функцией криптографии
Часто задаваемые вопросы по импорту продукции с функцией криптографииЧасто задаваемые вопросы по импорту продукции с функцией криптографии
Часто задаваемые вопросы по импорту продукции с функцией криптографии
 
конфидент
конфидентконфидент
конфидент
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
 
Обзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекомаОбзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекома
 
Шифровальные средства: ввоз и использование
Шифровальные средства: ввоз и использованиеШифровальные средства: ввоз и использование
Шифровальные средства: ввоз и использование
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?
 

Viewers also liked

Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISO
Aleksey Lukatskiy
 
Worldwide security requirements
Worldwide security requirementsWorldwide security requirements
Worldwide security requirements
Aleksey Lukatskiy
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
Aleksey Lukatskiy
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
Aleksey Lukatskiy
 
Security finance measurement
Security finance measurementSecurity finance measurement
Security finance measurement
Aleksey Lukatskiy
 
Russian Finance Security Regulations
Russian Finance Security RegulationsRussian Finance Security Regulations
Russian Finance Security Regulations
Aleksey Lukatskiy
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Aleksey Lukatskiy
 
Психология в деятельности CISO
Психология в деятельности CISOПсихология в деятельности CISO
Психология в деятельности CISO
Aleksey Lukatskiy
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulations
Aleksey Lukatskiy
 
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
Aleksey Lukatskiy
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
Aleksey Lukatskiy
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
Aleksey Lukatskiy
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrime
Aleksey Lukatskiy
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
 
Future security regulations in Russia
Future security regulations in RussiaFuture security regulations in Russia
Future security regulations in Russia
Aleksey Lukatskiy
 

Viewers also liked (20)

Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISO
 
Worldwide security requirements
Worldwide security requirementsWorldwide security requirements
Worldwide security requirements
 
Security And Crisis
Security And CrisisSecurity And Crisis
Security And Crisis
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
 
Security finance measurement
Security finance measurementSecurity finance measurement
Security finance measurement
 
Russian Finance Security Regulations
Russian Finance Security RegulationsRussian Finance Security Regulations
Russian Finance Security Regulations
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
 
Психология в деятельности CISO
Психология в деятельности CISOПсихология в деятельности CISO
Психология в деятельности CISO
 
Security punishment
Security punishmentSecurity punishment
Security punishment
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulations
 
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
 
Security Metrics.pdf
Security Metrics.pdfSecurity Metrics.pdf
Security Metrics.pdf
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrime
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
 
Future security regulations in Russia
Future security regulations in RussiaFuture security regulations in Russia
Future security regulations in Russia
 

Similar to Security apocalypse

Personal data future regulations
Personal data future regulationsPersonal data future regulations
Personal data future regulations
Aleksey Lukatskiy
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Cisco Russia
 
Security regulations public
Security regulations publicSecurity regulations public
Security regulations public
Expolink
 
Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.
Expolink
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данных
Aleksey Lukatskiy
 
Тенденции российского рынка ИБ
Тенденции российского рынка ИБТенденции российского рынка ИБ
Тенденции российского рынка ИБ
Aleksey Lukatskiy
 
Ключевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным даннымКлючевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным данным
Aleksey Lukatskiy
 
Cloud and Russian regulation
Cloud and Russian regulationCloud and Russian regulation
Cloud and Russian regulation
Cisco Russia
 
Ключевые планируемые изменения законодательства по информационной безопасности
Ключевые планируемые изменения законодательства по информационной безопасностиКлючевые планируемые изменения законодательства по информационной безопасности
Ключевые планируемые изменения законодательства по информационной безопасности
Aleksey Lukatskiy
 
Security and geopolitics
Security and geopoliticsSecurity and geopolitics
Security and geopolitics
Expolink
 
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
Компания ИНТРО
 

Similar to Security apocalypse (20)

Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
 
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБТенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБ
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
 
Personal data future regulations
Personal data future regulationsPersonal data future regulations
Personal data future regulations
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
 
Security regulations public
Security regulations publicSecurity regulations public
Security regulations public
 
Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данных
 
Cisco SecureX in Russia
Cisco SecureX in RussiaCisco SecureX in Russia
Cisco SecureX in Russia
 
Особенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомОсобенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежом
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещей
 
Тенденции российского рынка ИБ
Тенденции российского рынка ИБТенденции российского рынка ИБ
Тенденции российского рынка ИБ
 
Ключевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным даннымКлючевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным данным
 
Cloud and Russian regulation
Cloud and Russian regulationCloud and Russian regulation
Cloud and Russian regulation
 
Ключевые планируемые изменения законодательства по информационной безопасности
Ключевые планируемые изменения законодательства по информационной безопасностиКлючевые планируемые изменения законодательства по информационной безопасности
Ключевые планируемые изменения законодательства по информационной безопасности
 
Планируемые изменения законодательства по ИБ в России
Планируемые изменения законодательства по ИБ в РоссииПланируемые изменения законодательства по ИБ в России
Планируемые изменения законодательства по ИБ в России
 
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
 
Security and geopolitics
Security and geopoliticsSecurity and geopolitics
Security and geopolitics
 
Алексей Лукацкий (Cisco) - Изменение геополитической обстановки - зло или бла...
Алексей Лукацкий (Cisco) - Изменение геополитической обстановки - зло или бла...Алексей Лукацкий (Cisco) - Изменение геополитической обстановки - зло или бла...
Алексей Лукацкий (Cisco) - Изменение геополитической обстановки - зло или бла...
 
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
 

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Security apocalypse

  • 1. Апокалипсис безопасности Алексей Лукацкий, бизнес-консультант по безопасности © Cisco, 2010. Все права защищены. 1/74
  • 2. © Cisco, 2010. Все права защищены. 2
  • 3. • Риски, связанные со все более укрепляющимся положением международных производителей на отечественном рынке программного обеспечения в сфере ИБ, особенно принимая во внимание фактическую либерализацию импорта СКЗИ • Рост роли международных стандартов на национальном рынке информационной безопасности, перекос регулирования «экспорт/импорт» может привести к падению спроса на продукцию отечественных производителей программного обеспечения © Cisco, 2010. Все права защищены. 374
  • 4. • В российских информационно-коммуникационных технологиях используется до 98% зарубежных разработок и оборудования Данные Совбеза РФ • ФСБ не раз заявляла о том, что для борьбы с этой угрозой национальной безопасности будут использованы два основных механизмы – недопущение на российский рынок западных продуктов и сертификация средств защиты информации • Угроза - использование несертифицированных отечественных и зарубежных ИТ, средств защиты информации, средств информатизации, телекоомуникации и связи при создании и развитии российской информационной инфраструктуры Доктрина информационной безопасности РФ © Cisco, 2010. Все права защищены. 474
  • 5. • Россия зависима от западных технологий Их разработчики находятся под колпаком у западных спецслужб • Невозможность бороться с киберпреступлениями Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О борьбе с киберпреступностью», а потом отозвал свою подпись • Готовятся кибервойны США внесло в ООН предложение отвечать военными ударами на кибератаки • Законодательство других стран дает право спецслужбам контролировать весь Интернет-трафик, проходящий через эти страны В России такое же законодательство © Cisco, 2010. Все права защищены. 574
  • 6. • Развивать свое, постепенно вытесняя все зарубежное недоверенное Пример: Китай • Дать возможность применять для гражданского применения все, что угодно, контролируя наиболее критичные сферы (гостайна, КВО, оборонка), пытаясь внедрить в них собственные наработки Запад Бизнес ИТ ИБ ИТ ИБ Россия © Cisco, 2010. Все права защищены. 674
  • 7. • Выработка мер по минимизации непосредственного участия иностранных компаний в информатизации процессов государственного управления • Содействие развитию отечественного производства средств связи и телекоммуникаций, ПО, микроэлектронной базы и т.д. • И еще 5 предложений • По поводу СПО ФСБ не раз заявляла, что уровень затрат на анализ СПО и проприетарного ПО в контексте ИБ одинаков Основным поставщиком ПО для Сочи-2014 выбрана компания Microsoft – уже после принятия курса на СПО © Cisco, 2010. Все права защищены. 774
  • 8. Большое количество регуляторов Легитимный ввоз криптографии в соответствие с правилами Таможенного союза Использование легитимной криптографии Требования сертификации Локальные и закрытые нормативные акты Отсутствие учета рыночных потребностей Исторический бэкграунд © Cisco, 2010. Все права защищены. 874
  • 9. © Cisco, 2010. Все права защищены. 9
  • 10. Газпром- ФСТЭК РЖД серт ФСО ФСБ PCI ЦБ ИБ Council Минком- СВР связь Рос- Росатом МО стандарт © Cisco, 2010. Все права защищены. 1074
  • 11. • Персональные данные • Финансовая отрасль PCI DSS СТО БР ИББС-1.0 ФЗ «О национальной платежной системе» • Электронная подпись • Критически важные объекты • Госуслуги и УЭК • Новый ФЗ о лицензировании • И др. © Cisco, 2010. Все права защищены. 1174
  • 12. Конвенции и иные Директивы Евросоюза / Европейская Рекомендации международные договора Европарламента Конвенция ОЭСР ФЗ №152 от 26.07.2006 Законы ФЗ №160 от 19.12.2005 Постановления №781 от №687 от №512 от Правительства 17.11.2007 15.09.2008 6.07.2008 2 открытых Регламенты Приказы и «Приказ трех» от документа и 1 2 открытых осуществления иные документы 13.02.2008 полуДСП от ФСТЭК документа ФСБ контроля и надзорар • Готовится 9 новых Постановлений Правительства © Cisco, 2010. Все права защищены. 1274
  • 13. • Терминология ПДн, биометрические ПДн, обезличивание, обработка, автоматизированная обработка, трансграничная передача • Условия обработки ПДн без согласия • Появление «обработчика» ПДн (ЛОПДПО) • Условия обработки специальных категорий ПДн • Условия трансграничной передачи ПДн • Условия ограничения доступа субъекта к его ПДн • Условия непредоставления субъекту сведений • Контроль и надзор со стороны ФСТЭК и ФСБ • Содержание уведомления в РКН • Возмещение морального вреда © Cisco, 2010. Все права защищены. 1374
  • 14. • Классификация ИСПДн – ее больше нет • Моделирование угроз – его больше нельзя делать самостоятельно • Требования по защите ПДн – стало жестче • Сертификация средств защиты – на уровне закона • Аттестация объектов информатизации – на уровне закона • Лицензирование деятельности по защите информации Об этом постоянно говорят регуляторы в лице ФСТЭК и ФСБ © Cisco, 2010. Все права защищены. 1474
  • 15. • Безопасность персданных является обязательным условием обработки ПДн • За безопасность ПДн отвечают ФСТЭК и ФСБ ФСТЭК выпустил приказ №58 – планируется изменение ФСБ выпустила 2 методических документа в области криптографии – планируется изменение • Подход регуляторов Сертифицированные СЗИ и СКЗИ – изменений не планируется Вновь появляется аттестация • Отраслевые стандарты – прошлый тренд СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития… © Cisco, 2010. Все права защищены. 1574
  • 16. ISO 15408:1999 («Общие критерии») в России (ГОСТ Р ИСО/МЭК 15408) так и не заработал Перевод СоДИТ ISO 15408:2009 – судьба неизвестна ;-( ПП-608 разрешает признание западных сертификатов – не работает ФЗ «О техническом регулировании» разрешает оценку по западным стандартам – не работает ПП-455 обязывает ориентироваться на международные нормы – не работает © Cisco, 2010. Все права защищены. 1674
  • 17. • В четверокнижии ФСТЭК аттестация была обязательной для ИСПДн К1, К2 и распределенной К3 • В приказе № 58 требования аттестации нет! • Что такое «оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных»? Ст.19 нового старого ФЗ-152 • Во ФСТЭК готовятся документы по аттестации объектов информатизации, обрабатывающих конфиденциальную информцию © Cisco, 2010. Все права защищены. 1774
  • 18. • Старые НПА «говорят» преимущественно о сертификации, а новые – об оценке соответствия • Оценка соответствия ≠ сертификация • Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту • Оценка соответствия регулируется ФЗ-184 «О техническом регулировании» © Cisco, 2010. Все права защищены. 1874
  • 19. Требования Требования закрыты (часто секретны). Даже лицензиаты открыты зачастую не имеют их, оперируя выписками из выписок ФСТЭК ФСБ МО СВР Все, кроме СКЗИ Все для нужд Тайна, покрытая криптографии МСЭ оборонного ведомства мраком Антивирусы IDS BIOS Сетевое оборудование А еще есть 3 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ, «АйТиСертифика» (ЕВРААС) и Ecomex © Cisco, 2010. Все права защищены. 1974
  • 20. Число нормативных актов с требованиями сертификации по требованиям безопасности 8 7 6 5 4 3 2 1 0 * - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.) 20 © Cisco, 2010. Все права защищены. 2074
  • 21. • Стоимость СЗИ на 1 ПК – от 3,4 тысяч (Windows 7) до 5-8 тысяч рублей +15-25% на годовую поддержку • Стоимость СЗИ на 1 сервер – от 9 тысяч (Windows 2008 Server) до 30-35 тысяч рублей • Стоимость сканера защищенности – 9 тысяч рублей на 10 IP • Антивирус на 1 ПК – 900-1000 рублей Если не брать Total Security, Endpoint Security и т.п. • Стоимость МСЭ – от 10 тысяч до 10 миллионов рублей • Стоимость IPS – от 45 -60 тысяч рублей © Cisco, 2010. Все права защищены. 2174
  • 22. • Несколько офисов? 120-140 тысяч рублей на VPN «точка- точка» 10 офисов – 900-1200 тысяч рублей • Стоимость оргмер (модели угроз, обследование, классификация, обучение...) составит 540 тысяч рублей • Стоимость аттестации 10 ПК составит около 200 тысяч рублей При невозможности вносить в систему изменения • Итого (в год) 10 ПК + 1 сервер + Интернет = 900 тысяч рублей 100 ПК + 3 сервера + Интернет = 3915 тысяч рублей 100 ПК + 3 сервера + Интернет + 10 офисов = 5 миллионов рублей © Cisco, 2010. Все права защищены. 2274
  • 23. © Cisco, 2010. Все права защищены. 23
  • 24. • Кодекс (Конвенция) поведения ООН в области ИБ Инициирован Россией, Китаем, Узбекистаном и Таджикистаном Запрет на вмешательство в национальное Интернет-пространство Запрет на использования Интернет и социальных сетей для свержения правительств • Социальные сети и Интернет надо контролировать Юрий Чайка, Генеральная прокуратура • Интернет не приемлет анонимности – надо контролировать Кирилл, Русская Православная Церковь • Интернет не приемлет анонимности – надо контролировать Рашид Нургалиев, МВД • Пользователи должны иметь Интернет-паспорта Евгений Касперский © Cisco, 2010. Все права защищены. 2474
  • 25. © Cisco, 2010. Все права защищены. 25
  • 26. • Приказ, определяющий, что считать ИТ-продукцией отечественного производства • Параметр Кимп (стоимость импортного сырья, материалов, комплектующих, имеющих отечественные аналоги) в формуле расчета либо не вычислим либо будет всегда очень большим (итог – низкий уровень локализации) Не установлен орган сличения материалов и комплектующих иностранного и отечественного производства Не определены каталога, считающиеся официальными Не определены процедуры и орган, утверждающие о наличии отечественных аналогов © Cisco, 2010. Все права защищены. 2674
  • 27. • Иностранные вендоры в России – резиденты со 100%-м участием иностранных компаний Приказ обязаывает создавать СП с госорганами, муниципалоами или Ростехнологиями СП должны быть переданы права на документацию и ПО – передача интеллектуальных прав западной компании (особенно из США) практически невозможна • Заявитель должен осуществлять полный цикл сборки печатных плат в России В России таких предприятий (даже оборонных) практически нет При наличии таких предприятий проще обратиться на Тайвань или в Китай – себестоимость ниже Кстати, сборка печатных плат – экологически вредное производство © Cisco, 2010. Все права защищены. 2774
  • 28. © Cisco, 2010. Все права защищены. 28
  • 29. Изменения Статика Динамика Технологии Закрытые АС Облака, mobility Формат Файлы Мультимедиа Что? Гостайна КТ, БТ, ПДн С кем? ИТР Инсайдер, хакер Как? Закрытость Открытость Сколько? Неважно ROI, TCO, NPV Кто? КГБ эксКГБ © Cisco, 2010. Все права защищены. 2974
  • 30. Абсолютная непрогнозируемость изменений на рынке информационной безопасности © Cisco, 2010. Все права защищены. 3074
  • 31. Закручивание Останется все, Либерализация гаек как есть • Вероятность - • Вероятность - • Вероятность - 20% (на 45% (на 30% (на данный данный данный момент) момент) момент) • Вероятность • Вероятность через 2 года - через 2 года - 25% и 10% (в 20% и 65% (в зависимости от зависимости от победителя победителя президентских президентских выборов) выборов) Экспертная оценка специалистов Cisco © Cisco, 2010. Все права защищены. 3174
  • 32. http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco © Cisco, 2010. Все права защищены. 3274