SlideShare ist ein Scribd-Unternehmen logo

Что нам ждать от законодательства по безопасности критической инфраструктуры

Aleksey Lukatskiy
Aleksey Lukatskiy

Презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго и т.п.

Recht
1 von 31
Downloaden Sie, um offline zu lesen
31 марта 2017 Бизнес-консультант по безопасности Последствия принятия законопроекта по безопасности критической инфраструктуры Алексей Лукацкий
Законопроект Внесение в ГосДуму • Выполнение требований ФСБ по реагированию на инциденты • Присоедине- ние к сетям электросвязи • Новый регулятор (ФСТЭК или ФСБ) • Категорирование объектов КИИ Декабрь 2016 • Присоединение к ГосСОПКЕ
Кто будет отнесен к КИИ? единообразия в терминологии в основных нормативных правовых актах – законопроекте о безопасности КИИ, основах госполитики в области безопасности АСУ ТП, приказе ФСТЭК №31 и документах МинЭнерго и МЧС Отсутствие
Что такое критическая информационная инфраструктура? Законопроект «О безопасности КИИ» 2013 • Совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов и обеспечивающих их взаимодействие информационно- телекоммуникационных сетей, а также информационных систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка 2014 • Совокупность информационных систем, информационно- телекоммуникационных сетей и сетей связи, прекращение или нарушение которых может повлечь отрицательные (негативные) последствия в политической, социальной, экономической, экологической сферах, а также в сфере обороноспособности, обеспечения безопасности государства и правопорядка, управления и предоставления государственных услуг 2016 • Совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой
Отдельные категории субъектов КИИ возможно, перейдут под регулирование Банка России с его множеством нормативных документов по защите информации (пока на уровне предложений) Финансовые организации подпадают под регулирование Министерства связи и массовых коммуникаций, которое разработает требования по защите по согласованию с ФОИВ по безопасности КИИ Операторы связи
Объекты КИИ образца 2016-го года Госорганы Оборонная промышленность Здравоохранение Транспорт Отрасль связи Кредитно-финансовая сфера Энергетика Топливная промышленность Атомная промышленность Ракетно-космическая промышленность Горнодобывающая промышленность Металлургическая промышленность Химическая промышленность Правоохранительные структуры МЧС Географические и навигационные системы Системы спецназначения Водоснабжение и гидротехнические сооружения Управление потенциально опасными объектами Системы телерадиовещания и информирования населения Общегосударственные кадастры и базы данных
Кто регулятор? ФОИВ по безопасности КИИ • Правила ведения реестра • Проверка правильности категорирования • Требования по безопасности для каждой категории значимых объектов • Госконтроль ФОИВ по ГосСОПКЕ • Оценка состояния защищенности • Порядок реагирования на компьютерные инциденты • Порядок ликвидации последствий компьютерных атак • Порядок обмена информацией об инцидентах • Устанавливает на объектах КИИ и сетях электросвязи элементы ГосСОПКИ • Требования к ГосСОПКЕ Минкомсвязи • Требования по безопасности для объектов связи и ИТС • Порядок и техусловия установки элементов ГосСОПКИ на сетях электросвязи Правительство • Показатели критериев категорирования • Порядок категорирования • Порядок госконтроля значимых объектов • Порядок подготовки и использования сетей электросвязи для значимых объектов
Независимо от законопроекта по безопасности КИИ
Национальный координационный центр по компьютерным инцидентам НКЦКИ Субъекты КИИ Уполномоченные органы иностранных государств Международные и неправительственные организации Обмен информацией о компьютерных инцидентах
Законопроект Принятие в первом чтении • Исключение из надзора по ФЗ- 294 • Уголовная ответственно сть • Отнесение к гостайне • Выполнение требований по ИБ Январь 2016 • Установка средств обнаружения атак на сетях операторов связи Принятие во втором чтении запланировано на весну 2017
Иерархия требований по безопасности ФЗ ФОИВ в области безопасности КИИ Требования к АСУ ТП Деятельность по обеспечению безопасности Требования к информационным системам Минкомсвязь Требования к ИТС и сетям связи ФОИВ по ГосСОПКЕ Требования к элементам ГосСОПКИ Требования по реагированию на инциденты Требования по отражению атак Иные ФОИВы Дополняющие требования Субъект КИИ Корпоративные требования
Какие документы уже есть? • Документы ФСТЭК по КСИИ • Основы госполитики в области обеспечения безопасности АСУ ТП КВО • Указ Президента №31с • ПП-861 по уведомлению об инцидентах на объектах ТЭК • Методические рекомендации по созданию центров ГосСОПКИ • Приказ ФСТЭК №31 • РД на промышленные МСЭ Разработаны
Что субъекты КИИ могут ждать от регуляторов? Субъект КИИ ФОИВ по безопасности КИИ ФОИВ по ГосСОПКЕ Информация по: • угрозам • уязвимостям • требованиям ИБ Информация по: • средствам и способам атак • методам обнаружения и предупреждения • требованиям к ГосСОПКЕ
Какие документы планируется принять? • Постановления Правительства «Об утверждении показателей критериев категорирования элементов КИИ, значений таких показателей, а также порядка категорирования объектов КИИ» • Постановления Правительства «Об утверждении порядка осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ» • Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования значимых объектов КИИ»
Какие документы планируется принять? • Поправки в закон о связи • Приказ Минкомсвязи «Об утверждении требований по обеспечению безопасности значимых объектов КИИ» • Приказ Минкомсвязи «Об утверждении порядка и технических условий установки и эксплуатации для операторов связи устанавливаемых в сетях электросвязи технических средств, предназначенных для поиска признаков компьютерных атак»
Какие документы планируется принять? • Приказ уполномоченного ФОИВ об утверждении требований по обеспечению безопасности значимых объектов КИИ • Приказ уполномоченного ФОИВ об утверждении формы предоставления сведений о проведенном категорировании • Приказ уполномоченного ФОИВ об утверждении формы акта по результатам проведенной проверки в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ • Приказ уполномоченного ФОИВ об утверждении формы реестра объектов КИИ и правил его ведения
Требования ФСТЭК по сертификации промышленных СрЗИ установление требований по оценке соответствия средств защиты информации, используемых для защиты АСУ ТП (как минимум) и, возможно, для объектов критической информационной инфраструктуры Также в планах на 2017-й год у ФСТЭК включена разработка требований по защите станков с ЧПУ Предполагается
Какие документы планируется принять? • Методика обнаружения компьютерных атак на информационные системы и информационно- телекоммуникационные сети государственных органов и по согласованию с их владельцами - на иные информационные системы и информационно-телекоммуникационные сети • Порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах, связанных с функционированием информационных ресурсов Российской Федерации • Методические рекомендации по организации защиты критической информационной инфраструктуры Российской Федерации от компьютерных атак
Какие документы планируется принять? • Порядок обмена информацией между федеральными органами исполнительной власти и уполномоченными органами иностранных государств (международными организациями) о компьютерных инцидентах, связанных с функционированием информационных ресурсов • Порядок осуществления деятельности субъектов СОПКИ в области обнаружения, предупреждения и ликвидации последствий компьютерных атак • Порядок и периодичность проведения мероприятий по оценке степени защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак
3 варианта развития ситуации Рост защищенности Все останется как есть Схлопывание рынка ₽
Может ли все остаться как есть? 2006 Законопроект «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры» 2012 Законопроект «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации»» 2013 Законопроект «О безопасности критической информационной инфраструктуры Российской Федерации» 2016 Законопроект «О безопасности критической информационной инфраструктуры Российской Федерации»
Пока регуляторы думают преимущественно об антитеррористической защищенности
Рынок кибербезопасности РФ 2000+ интеграторов 300+ производителей 100+ аудиторов 30+ образовательных центра 40+ испытательных лаборатории 9 органов по сертификации 440+ органов по аттестации Рынок кибербезопасности РФ Рынок кибербезопасности КИИ РФ 20+ интеграторов 15+ производителей 7+ аудиторов 3+ образовательных центра 10%
Безопасность ради безопасности Отнесение сведений о мерах защиты информации на объектах КИИ к гостайне?
Кто находится на пересечении? ГТ Рынок кибербезопасности АСУ ТП Рынок кибербезопасности РФ связанные с лицензией на работу со сведениями, составляющими гостайну • Персонал • Консалтинг • Технологии АСУ ТП • Технологии ИБ • Процессы Ограничения
Зарубежное оборудование Вредоносные программы Зарубежные средств защиты информации Зарубежные АСУ ТП Подключение к Интернет Подключение к зарубежным производителям Внедрение Wi-Fi и мобильности Можно ли изолировать критическую инфраструктуру в рамках гостайны? Интеграция с корпоративными сетями
Третий сценарий Потребности бизнеса Требования государства Цифровая трансформация Критическая информационная инфраструктура
Дорожная карта Гармонизация терминологии и НПА ФСТЭК, МЧС, ФСБ, СовБез, МинЭнерго, Минтранс, Росатом, Минкомсвязь, ЦБ… Координирующий орган Связь между различными отраслями Государственно-частное партнерство Партнерство, а не давление на бизнес и не диктовка требований Разработка нормативной базы Подзаконные акты (Постановления Правительства, приказы и др.) и учет принятых НПА . Государство
Дорожная карта Усиление ответственности Административная и уголовная ответственность Категорирование Четкие критерии и возможность владельцам КИИ самостоятельно себя категорировать Гибкость применения СрЗИ Стимулирование разработки отечественных СрЗИ и установление дополнительных требований к зарубежным СрЗИ Требования к разработчикам КИИ Установка и контроль реализации требований по ИБ к разработчикам АСУ ТП и иных ИТ КИИ . Государство
Дорожная карта Подготовка кадров Повышение квалификации и разработка ФГОС От требований к рекомендациям Методологическая помощь и отраслевые стандарты Обмен информацией об угрозах В том числе и с государством (ГосСОПКА) и международными организациями (ISAC/CERT) Регулярный аудит и киберучения Анализ эффективности принятых мер и подготовка к действиям в нештатных ситуациях . Бизнес
Спасибо! alukatsk@cisco.com

Empfohlen

Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФAleksey Lukatskiy
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииAleksey Lukatskiy
 
Текущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыТекущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
 
Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБAleksey Lukatskiy
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
 
Особенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомОсобенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомAleksey Lukatskiy
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для биржAleksey Lukatskiy
 
пр Импортозамещение в ИБ
пр Импортозамещение в ИБпр Импортозамещение в ИБ
пр Импортозамещение в ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Empfohlen

Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФAleksey Lukatskiy
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииAleksey Lukatskiy
 
Текущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыТекущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
 
Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБAleksey Lukatskiy
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
 
Особенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомОсобенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомAleksey Lukatskiy
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для биржAleksey Lukatskiy
 
пр Импортозамещение в ИБ
пр Импортозамещение в ИБпр Импортозамещение в ИБ
пр Импортозамещение в ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Последние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымПоследние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымAleksey Lukatskiy
 
Законопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктурыЗаконопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктурыАйдар Гилязов
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещейAleksey Lukatskiy
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхAleksey Lukatskiy
 
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхПрименение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхAleksey Lukatskiy
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 
Категорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираКатегорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираAleksey Lukatskiy
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Aleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиAleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиAleksey Lukatskiy
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Expolink
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 
Security regulations public
Security regulations publicSecurity regulations public
Security regulations publicExpolink
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаAleksey Lukatskiy
 

Weitere ähnliche Inhalte

Was ist angesagt?

Последние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымПоследние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымAleksey Lukatskiy
 
Законопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктурыЗаконопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктурыАйдар Гилязов
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещейAleksey Lukatskiy
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхAleksey Lukatskiy
 
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхПрименение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхAleksey Lukatskiy
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 
Категорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираКатегорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираAleksey Lukatskiy
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Aleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиAleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиAleksey Lukatskiy
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Expolink
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 

Was ist angesagt? (20)

Последние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымПоследние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным данным
 
Законопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктурыЗаконопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктуры
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещей
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
 
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхПрименение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данных
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Категорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираКатегорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мира
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 
Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
 

Ähnlich wie Что нам ждать от законодательства по безопасности критической инфраструктуры

Security regulations public
Security regulations publicSecurity regulations public
Security regulations publicExpolink
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаAleksey Lukatskiy
 
Программа курса "Обзор требований по ИБ ГИС"
Программа курса "Обзор требований по ИБ ГИС"Программа курса "Обзор требований по ИБ ГИС"
Программа курса "Обзор требований по ИБ ГИС"Aleksey Lukatskiy
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхAleksey Lukatskiy
 
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...Expolink
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТПAleksey Lukatskiy
 
сэйфнет концепция направления Rev_9(бе) без приложений
сэйфнет концепция направления Rev_9(бе) без приложенийсэйфнет концепция направления Rev_9(бе) без приложений
сэйфнет концепция направления Rev_9(бе) без приложенийAgency for Strategic Initiatives
 
Решения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системРешения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системCisco Russia
 
ISACA Cyber Security Law Draft
ISACA Cyber Security Law DraftISACA Cyber Security Law Draft
ISACA Cyber Security Law DraftIsacaKyiv
 
Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Cisco Russia
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Expolink
 
Текущее состояние проблемы безопасности АСУ ТП в России и мире
Текущее состояние проблемы безопасности АСУ ТП в России и миреТекущее состояние проблемы безопасности АСУ ТП в России и мире
Текущее состояние проблемы безопасности АСУ ТП в России и миреКРОК
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Aleksey Lukatskiy
 
TTK DDOS FREE Roman Emelyanov
TTK DDOS FREE Roman EmelyanovTTK DDOS FREE Roman Emelyanov
TTK DDOS FREE Roman EmelyanovRoman Emelyanov
 
Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...Vsevolod Shabad
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Personal data future regulations
Personal data future regulationsPersonal data future regulations
Personal data future regulationsAleksey Lukatskiy
 
Вопросы деятельности Минкомсвязи
Вопросы деятельности МинкомсвязиВопросы деятельности Минкомсвязи
Вопросы деятельности МинкомсвязиVadim Novikov
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Cisco Russia
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Aleksey Lukatskiy
 

Ähnlich wie Что нам ждать от законодательства по безопасности критической инфраструктуры (20)

Security regulations public
Security regulations publicSecurity regulations public
Security regulations public
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
 
Программа курса "Обзор требований по ИБ ГИС"
Программа курса "Обзор требований по ИБ ГИС"Программа курса "Обзор требований по ИБ ГИС"
Программа курса "Обзор требований по ИБ ГИС"
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данных
 
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТП
 
сэйфнет концепция направления Rev_9(бе) без приложений
сэйфнет концепция направления Rev_9(бе) без приложенийсэйфнет концепция направления Rev_9(бе) без приложений
сэйфнет концепция направления Rev_9(бе) без приложений
 
Решения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системРешения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных систем
 
ISACA Cyber Security Law Draft
ISACA Cyber Security Law DraftISACA Cyber Security Law Draft
ISACA Cyber Security Law Draft
 
Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
 
Текущее состояние проблемы безопасности АСУ ТП в России и мире
Текущее состояние проблемы безопасности АСУ ТП в России и миреТекущее состояние проблемы безопасности АСУ ТП в России и мире
Текущее состояние проблемы безопасности АСУ ТП в России и мире
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
 
TTK DDOS FREE Roman Emelyanov
TTK DDOS FREE Roman EmelyanovTTK DDOS FREE Roman Emelyanov
TTK DDOS FREE Roman Emelyanov
 
Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятора
 
Personal data future regulations
Personal data future regulationsPersonal data future regulations
Personal data future regulations
 
Вопросы деятельности Минкомсвязи
Вопросы деятельности МинкомсвязиВопросы деятельности Минкомсвязи
Вопросы деятельности Минкомсвязи
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
 

Mehr von Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 

Mehr von Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Что нам ждать от законодательства по безопасности критической инфраструктуры

  • 1. 31 марта 2017 Бизнес-консультант по безопасности Последствия принятия законопроекта по безопасности критической инфраструктуры Алексей Лукацкий
  • 2. Законопроект Внесение в ГосДуму • Выполнение требований ФСБ по реагированию на инциденты • Присоедине- ние к сетям электросвязи • Новый регулятор (ФСТЭК или ФСБ) • Категорирование объектов КИИ Декабрь 2016 • Присоединение к ГосСОПКЕ
  • 3. Кто будет отнесен к КИИ? единообразия в терминологии в основных нормативных правовых актах – законопроекте о безопасности КИИ, основах госполитики в области безопасности АСУ ТП, приказе ФСТЭК №31 и документах МинЭнерго и МЧС Отсутствие
  • 4. Что такое критическая информационная инфраструктура? Законопроект «О безопасности КИИ» 2013 • Совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов и обеспечивающих их взаимодействие информационно- телекоммуникационных сетей, а также информационных систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка 2014 • Совокупность информационных систем, информационно- телекоммуникационных сетей и сетей связи, прекращение или нарушение которых может повлечь отрицательные (негативные) последствия в политической, социальной, экономической, экологической сферах, а также в сфере обороноспособности, обеспечения безопасности государства и правопорядка, управления и предоставления государственных услуг 2016 • Совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой
  • 5. Отдельные категории субъектов КИИ возможно, перейдут под регулирование Банка России с его множеством нормативных документов по защите информации (пока на уровне предложений) Финансовые организации подпадают под регулирование Министерства связи и массовых коммуникаций, которое разработает требования по защите по согласованию с ФОИВ по безопасности КИИ Операторы связи
  • 6. Объекты КИИ образца 2016-го года Госорганы Оборонная промышленность Здравоохранение Транспорт Отрасль связи Кредитно-финансовая сфера Энергетика Топливная промышленность Атомная промышленность Ракетно-космическая промышленность Горнодобывающая промышленность Металлургическая промышленность Химическая промышленность Правоохранительные структуры МЧС Географические и навигационные системы Системы спецназначения Водоснабжение и гидротехнические сооружения Управление потенциально опасными объектами Системы телерадиовещания и информирования населения Общегосударственные кадастры и базы данных
  • 7. Кто регулятор? ФОИВ по безопасности КИИ • Правила ведения реестра • Проверка правильности категорирования • Требования по безопасности для каждой категории значимых объектов • Госконтроль ФОИВ по ГосСОПКЕ • Оценка состояния защищенности • Порядок реагирования на компьютерные инциденты • Порядок ликвидации последствий компьютерных атак • Порядок обмена информацией об инцидентах • Устанавливает на объектах КИИ и сетях электросвязи элементы ГосСОПКИ • Требования к ГосСОПКЕ Минкомсвязи • Требования по безопасности для объектов связи и ИТС • Порядок и техусловия установки элементов ГосСОПКИ на сетях электросвязи Правительство • Показатели критериев категорирования • Порядок категорирования • Порядок госконтроля значимых объектов • Порядок подготовки и использования сетей электросвязи для значимых объектов
  • 8. Независимо от законопроекта по безопасности КИИ
  • 9. Национальный координационный центр по компьютерным инцидентам НКЦКИ Субъекты КИИ Уполномоченные органы иностранных государств Международные и неправительственные организации Обмен информацией о компьютерных инцидентах
  • 10. Законопроект Принятие в первом чтении • Исключение из надзора по ФЗ- 294 • Уголовная ответственно сть • Отнесение к гостайне • Выполнение требований по ИБ Январь 2016 • Установка средств обнаружения атак на сетях операторов связи Принятие во втором чтении запланировано на весну 2017
  • 11. Иерархия требований по безопасности ФЗ ФОИВ в области безопасности КИИ Требования к АСУ ТП Деятельность по обеспечению безопасности Требования к информационным системам Минкомсвязь Требования к ИТС и сетям связи ФОИВ по ГосСОПКЕ Требования к элементам ГосСОПКИ Требования по реагированию на инциденты Требования по отражению атак Иные ФОИВы Дополняющие требования Субъект КИИ Корпоративные требования
  • 12. Какие документы уже есть? • Документы ФСТЭК по КСИИ • Основы госполитики в области обеспечения безопасности АСУ ТП КВО • Указ Президента №31с • ПП-861 по уведомлению об инцидентах на объектах ТЭК • Методические рекомендации по созданию центров ГосСОПКИ • Приказ ФСТЭК №31 • РД на промышленные МСЭ Разработаны
  • 13. Что субъекты КИИ могут ждать от регуляторов? Субъект КИИ ФОИВ по безопасности КИИ ФОИВ по ГосСОПКЕ Информация по: • угрозам • уязвимостям • требованиям ИБ Информация по: • средствам и способам атак • методам обнаружения и предупреждения • требованиям к ГосСОПКЕ
  • 14. Какие документы планируется принять? • Постановления Правительства «Об утверждении показателей критериев категорирования элементов КИИ, значений таких показателей, а также порядка категорирования объектов КИИ» • Постановления Правительства «Об утверждении порядка осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ» • Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования значимых объектов КИИ»
  • 15. Какие документы планируется принять? • Поправки в закон о связи • Приказ Минкомсвязи «Об утверждении требований по обеспечению безопасности значимых объектов КИИ» • Приказ Минкомсвязи «Об утверждении порядка и технических условий установки и эксплуатации для операторов связи устанавливаемых в сетях электросвязи технических средств, предназначенных для поиска признаков компьютерных атак»
  • 16. Какие документы планируется принять? • Приказ уполномоченного ФОИВ об утверждении требований по обеспечению безопасности значимых объектов КИИ • Приказ уполномоченного ФОИВ об утверждении формы предоставления сведений о проведенном категорировании • Приказ уполномоченного ФОИВ об утверждении формы акта по результатам проведенной проверки в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ • Приказ уполномоченного ФОИВ об утверждении формы реестра объектов КИИ и правил его ведения
  • 17. Требования ФСТЭК по сертификации промышленных СрЗИ установление требований по оценке соответствия средств защиты информации, используемых для защиты АСУ ТП (как минимум) и, возможно, для объектов критической информационной инфраструктуры Также в планах на 2017-й год у ФСТЭК включена разработка требований по защите станков с ЧПУ Предполагается
  • 18. Какие документы планируется принять? • Методика обнаружения компьютерных атак на информационные системы и информационно- телекоммуникационные сети государственных органов и по согласованию с их владельцами - на иные информационные системы и информационно-телекоммуникационные сети • Порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах, связанных с функционированием информационных ресурсов Российской Федерации • Методические рекомендации по организации защиты критической информационной инфраструктуры Российской Федерации от компьютерных атак
  • 19. Какие документы планируется принять? • Порядок обмена информацией между федеральными органами исполнительной власти и уполномоченными органами иностранных государств (международными организациями) о компьютерных инцидентах, связанных с функционированием информационных ресурсов • Порядок осуществления деятельности субъектов СОПКИ в области обнаружения, предупреждения и ликвидации последствий компьютерных атак • Порядок и периодичность проведения мероприятий по оценке степени защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак
  • 20. 3 варианта развития ситуации Рост защищенности Все останется как есть Схлопывание рынка ₽
  • 21. Может ли все остаться как есть? 2006 Законопроект «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры» 2012 Законопроект «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации»» 2013 Законопроект «О безопасности критической информационной инфраструктуры Российской Федерации» 2016 Законопроект «О безопасности критической информационной инфраструктуры Российской Федерации»
  • 22. Пока регуляторы думают преимущественно об антитеррористической защищенности
  • 23. Рынок кибербезопасности РФ 2000+ интеграторов 300+ производителей 100+ аудиторов 30+ образовательных центра 40+ испытательных лаборатории 9 органов по сертификации 440+ органов по аттестации Рынок кибербезопасности РФ Рынок кибербезопасности КИИ РФ 20+ интеграторов 15+ производителей 7+ аудиторов 3+ образовательных центра 10%
  • 24. Безопасность ради безопасности Отнесение сведений о мерах защиты информации на объектах КИИ к гостайне?
  • 25. Кто находится на пересечении? ГТ Рынок кибербезопасности АСУ ТП Рынок кибербезопасности РФ связанные с лицензией на работу со сведениями, составляющими гостайну • Персонал • Консалтинг • Технологии АСУ ТП • Технологии ИБ • Процессы Ограничения
  • 26. Зарубежное оборудование Вредоносные программы Зарубежные средств защиты информации Зарубежные АСУ ТП Подключение к Интернет Подключение к зарубежным производителям Внедрение Wi-Fi и мобильности Можно ли изолировать критическую инфраструктуру в рамках гостайны? Интеграция с корпоративными сетями
  • 28. Дорожная карта Гармонизация терминологии и НПА ФСТЭК, МЧС, ФСБ, СовБез, МинЭнерго, Минтранс, Росатом, Минкомсвязь, ЦБ… Координирующий орган Связь между различными отраслями Государственно-частное партнерство Партнерство, а не давление на бизнес и не диктовка требований Разработка нормативной базы Подзаконные акты (Постановления Правительства, приказы и др.) и учет принятых НПА . Государство
  • 29. Дорожная карта Усиление ответственности Административная и уголовная ответственность Категорирование Четкие критерии и возможность владельцам КИИ самостоятельно себя категорировать Гибкость применения СрЗИ Стимулирование разработки отечественных СрЗИ и установление дополнительных требований к зарубежным СрЗИ Требования к разработчикам КИИ Установка и контроль реализации требований по ИБ к разработчикам АСУ ТП и иных ИТ КИИ . Государство
  • 30. Дорожная карта Подготовка кадров Повышение квалификации и разработка ФГОС От требований к рекомендациям Методологическая помощь и отраслевые стандарты Обмен информацией об угрозах В том числе и с государством (ГосСОПКА) и международными организациями (ISAC/CERT) Регулярный аудит и киберучения Анализ эффективности принятых мер и подготовка к действиям в нештатных ситуациях . Бизнес