Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном законодательстве по ИБ в ближайшее время
2 likes775 views
Документ освещает изменения и перспективы в законодательстве Российской Федерации в области безопасности информации, включая защиту персональных данных, критической инфраструктуры и государственные информационные системы. Основное внимание уделяется новым приказам и законопроектам, касающимся порядка обработки и защиты персональных данных, а также актуализации внутренних документов кредитных организаций для снижения рисков. Актуализируются требования к аккредитации и сертификации средств защиты, а также представляются прогнозы на будущее, касающиеся гармонизации законодательства России с международными стандартами.
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном законодательстве по ИБ в ближайшее время
- 1. Что нас ждет в отечественном законодательстве по ИБ? Лукацкий Алексей, консультант по безопасности
- 4. Недавние и планируемые изменения по направлению ПДн Что было • Приказ ФСТЭК №21 по защите ПДн в ИСПДн • Приказ об отмене «приказа трех» по классификации ИСПДн • Приказ и методичка РКН по обезличиванию • Новая версия стандарта Банка России (СТО БР ИББС) • Закон 242-ФЗ о запрете хранения ПДн россиян за границей • Письмо Банка России 42-Т Что будет • Проект приказа ФСБ по использованию СКЗИ для защиты ПДн • Законопроект Совета Федерации по внесению изменений в ФЗ-152 • Законопроект по внесению изменений в КоАП • Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн • Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181)
- 5. Что рекомендует письмо 42-Т • В целях снижения операционного, правового и репутационного рисков кредитным организациям целесообразно актуализировать внутренние документы, определяющие: – Порядок хранения и уничтожения документов, в том числе на бумажных носителях, содержащих персональные данные клиентов – Персональную ответственность работников кредитных организаций, осуществляющих непосредственную обработку персональных данных, за сохранение и обеспечение конфиденциальности информации, образующейся в процессе обслуживания клиентов – Условия, обеспечивающие конфиденциальность и сохранность материальных носителей персональных данных, исключающие несанкционированный доступ к ним с момента создания данных документов до истечения сроков их хранения и уничтожения
- 6. На что намекает письмо 42-Т • Недостатки в деятельности, связанные с исполнением норм ФЗ-152 должны рассматриваться как негативный фактор при оценке качества управления кредитной организацией, в том числе при оценке организации системы внутреннего контроля в соответствии с положением 242-П • Согласно ст.48 177-ФЗ от 23.12.2003 «О страховании вкладов физических лиц в банках Российской Федерации» такой недостаток может послужить причиной прекращения права банка на привлечение во вклады денежных средств физлиц и на открытие и ведение банковских счетов физлиц – По сути плохая обработка персональных данных может стать причиной невозможности заниматься основной деятельностью кредитной организации
- 7. Законопроект по штрафам • В новом законопроекте меняется текст статьи 13.11, которая устанавливает два состава правонарушений – Нарушение требований к письменному согласию субъекта – Обработка ПДн без согласия или иных законных оснований • Также вводится еще 3 новых статьи: – 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K) – 13.11.2 - непредоставление оператором информации и (или) доступа к сведениям, предусмотренным законодательством о ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в отношении обработки ПДн (<=40K) – 13.11.3 - несоблюдение требований по обеспечению безопасности ПДн (<=200K)
- 8. Законопроект РГ Совета Федерации • Вводится понятия «обработчика» • Защита ПДн в составе профессиональной тайны – В соответствие с требованиями по защите тайны • Условия обработки ПДн обработчиком – Наличие договора = согласие • Новые условия необеспечения конфиденциальности ПДн • Электронная, в т.ч. дистанционная форма согласия на обработку ПДн • Биометрические ПДн – Только при автоматической идентификации субъекта • Трансграничная обработка ПДн – Также при наличии договора – Не распространять требование за пределами РФ
- 9. Законопроект РГ Совета Федерации • Государственные и муниципальные организации заменяются на организации, обрабатывающие ПДн в целях оказания государственных и муниципальных услуг • Защита ПДн – Гармонизация формулировок • Уведомление РКН – Гармонизация формулировок • Возможность самостоятельной разработки модели угроз – До принятия соответствующих актов ФОИВами
- 10. Проект приказа ФСБ • Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн
- 11. Проект приказа ФСБ • Даны разъяснения (имеющие характер обязательных) положений ПП-1119 – Например, что такое «организация режима обеспечения безопасности помещений», «сохранность персональных данных», «электронный журнал сообщений» и т.п. • Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными • 8-й Центр сознательно или несознательно, но ограничил применение для защиты ПДн СКЗИ классом КС3 (!) и выше – Если вы считаете, что потенциальный нарушитель может получить доступ к средствам вычислительной техники, на которых установлены СКЗИ, то необходимо применять СКЗИ не ниже КС3
- 12. Проект приказа ФСБ • Если вдуматься чуть глубже, то вы обязаны будете применять СКЗИ класса КВ1, если вы опасаетесь, что нарушитель может привлечь специалистов, имеющих опыт разработки и анализа СКЗИ – А сейчас нет ограничений на таких специалистов - криптографию преподают в 100 с лишним ВУЗах России • СКЗИ КВ2 применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО – Прощай open source • СКЗИ КА1 применяются, когда могут быть использованы недекларированные возможности в системном ПО
- 13. Соответствие уровней защищенности классам СКЗИ Уровень защищенности 3-й тип угроз 2-й тип угроз 1-й тип угроз 4 КС1+ КС1+ КС1+ 3 КС1+ КВ2+ - 2 КС1+ КВ2+ 1 - КВ2+ КА1 • В зависимости от совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак СКЗИ подразделяются на классы
- 14. Проект приказа ФСБ • Все помещения, в которых ведется обработка ПДн, должны по окончании рабочего дня не просто закрываться, а опечатываться (!) – Это минимум требований для 4-го уровня защищенности • На 1-м уровне от вас потребуют на первых и последних этажах зданий установки решеток или ставень (!) • Все носители персональных данных должна учитываться поэкземплярно
- 15. Что еще планируется • Изменения в ФЗ «О лицензировании отдельных видов деятельности» (рабочая группа экспертного совета Минкомсвязи) – В части определения лицензий на ТЗКИ и шифрования – Введение термина «собственные нужды» – Замена термина «конфиденциальная информация» • Уведомление оператором ПДн субъекта о несанкционированном доступе третьих лиц к ПДн субъекта – Поправки в ФЗ-152 и, возможно, КоАП • Отраслевые модели угроз ПДн – Банка России (уже год ждет согласования с ФСБ) – для банков – Минкомсвязи – для операторов связи
- 16. Банковская модель угроз • Проект Указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных» • Согласована с ФСТЭК • Практически согласована с ФСБ
- 17. Закон о запрете хранения ПДн россиян за границей • Реализация положения ФЗ-242 «о запрете хранения ПДн россиян за границей» – Запрет хранения – Наказание за нарушение – Выведение РКН из под действия 294-ФЗ • Вступает в силу с 1 сентября 2016 года • Будут вноситься изменения – По части «независимого органа» – По части контроля/надзора – По части хранения за пределами РФ
- 18. Вы не забыли про Конвенцию? • Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181) • В 2015-м (возможно) будет принята новая редакция Евроконвенции – со всеми вытекающими
- 20. Недавние и планируемые изменения по направлению КИИ/КСИИ/КВО/АСУ ТП Что было • Постановление Правительства №861 от 02.10.2013 • Приказ ФСТЭК №31 по защите АСУ ТП Что будет • Законопроект по безопасности критических информационных инфраструктур • Законопроект о внесении изменений в связи с принятием закона о безопасности КИИ • Подзаконные акты • Методические документы ФСТЭК
- 21. Новый приказ ФСТЭК №31 • «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» – Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений
- 22. Ключевые отличия требований по ИБ КСИИ и АСУ ТП • Объект защиты • Классификация АСУ ТП / КСИИ • Уровень открытости циркулируемой в АСУ ТП / КСИИ информации • Парадигма • Требования по защите • Требования по оценке соответствия • Участники процесса защиты информации
- 23. Меры по защите информации • Организационные и технические меры защиты информации, реализуемые в АСУ ТП – идентификация и аутентификация субъектов доступа и объектов доступа – управление доступом субъектов доступа к объектам доступа – ограничение программной среды – защита машинных носителей информации – регистрация событий безопасности – антивирусная защита – обнаружение (предотвращение) вторжений – контроль (анализ) защищенности – целостность АСУ ТП – доступность технических средств и информации – защита среды виртуализации
- 24. Меры по защите информации • продолжение: – защита технических средств и оборудования – защита АСУ ТП и ее компонентов – безопасная разработка прикладного и специального программного обеспечения разработчиком – управление обновлениями программного обеспечения – планирование мероприятий по обеспечению защиты информации – обеспечение действий в нештатных (непредвиденных) ситуациях – информирование и обучение пользователей – анализ угроз безопасности информации и рисков от их реализации – выявление инцидентов и реагирование на них – управление конфигурацией информационной системы и ее системы защиты
- 25. Меры по защите информации: общее Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
- 26. Меры по защите информации: различия Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
- 27. ФСТЭК унифицирует требования по защите информации Особенность Приказ по защите ПДн Приказ по защите ГИС/МИС Проект приказа по АСУ ТП Требования по защите привязаны к 4 уровням защищенности ПДн 4 классам защищенности ГИС/МИС 3 классам защищенности АСУ ТП Порядок в триаде КЦД КЦД ДЦК Возможность гибкого выбора защитных мер Да Да Да Проверка на отсутствие «закладок» Требуется для угроз 1-2 типа (актуальность определяется заказчиком) Требуется для 1-2 класса защищенности ГИС/МИС Требуется только при выборе сертифицированных средств защиты
- 28. Но разница между требованиями ФСТЭК все-таки есть Особенность Приказ по защите ПДн Приказ по защите ГИС/ МИС Проект приказа по АСУ ТП Оценка соответствия В любой форме (нечеткость формулировки и непонятное ПП-330) Только сертификация В любой форме (в соответствии с ФЗ-184) Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация Обязательна Возможна, но не обязательна Контроль и надзор Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн) ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)
- 29. Поправки в связи с принятием закона о безопасности КИИ • Поправки в УК РФ и УПК РФ – Внесение изменений в статьи 272, 274, 151 (УПК) • Поправки в закон «О государственной тайне» – Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени опасности • Поправки в 294-ФЗ – Выведение из под порядка проведения проверок КИИ • Поправки в 184-ФЗ – Исключение двойного регулирования
- 30. Что еще готовится в связи с законопроектом о безопасности КИИ? • Определение ФОИВ, уполномоченного в области безопасности КИИ – Через 6 месяцев после принятия закона • Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры» – Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ • Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования и взаимодействия объектов КИИ» • Приказ уполномоченного ФОИВ об утверждении требований по безопасности КИИ – Это не 31-й приказ!!!
- 31. Что еще готовится в связи с законопроектом о безопасности КИИ? • Приказы уполномоченного ФОИВ об аккредитации, о представлении сведений для категорирования, о контроле/ надзоре, о реестре объектов КИИ • Приказ ФСБ об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на объектах КИИ • Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА • Приказ ФСБ о порядке доступа к информации в СОПКА • Приказ ФСБ об утверждении требований к техсредствам СОПКА • Приказ ФСБ об установке и эксплуатации техсредств СОПКА Приказ ФСБ о национальном CERT • Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи
- 32. Планируемые методические документы ФСТЭК • Применение «старых» документов ФСТЭК по КСИИ в качестве рекомендательных и методических – «Рекомендации…» и «Методика определения актуальных угроз…» • Методичка по реагированию на инциденты (в разработке) • Методичка по анализу уязвимостей (в разработке) • Методичка по управлению конфигурацией (в разработке) • Методичка по аттестации (в разработке) • Методичка по мерам защиты в АСУ ТП (в разработке) – По аналогии с «Мерами защиты в ГИС»
- 34. Недавние и планируемые изменения по направлению ГИС Что было • Приказ ФСТЭК №17 по защите информации в ГИС • Методический документ по мерам защиты информации в государственных информационных системах Что будет • Порядок моделирования угроз безопасности информации в информационных системах • Новая редакция приказа №17 и «мер защиты в ГИС» • Методические и руководящие документы ФСТЭК • Законопроекты о запрете хостинга ГИС за пределами РФ, о служебной тайне, по импортозамещению…
- 35. Что еще планируется? • Законопроект о запрете использования чиновниками и госслужащими несертифицированных мобильных устройств – Фактически эти нормы уже установлены действующими НПА • Законопроект о запрете размещения сайтов государственных органов за пределами Российской Федерации – Фактически эти нормы уже установлены действующими НПА • Законопроект о регулировании облачных вычислений – Установление особых требований по ИБ к облакам для госорганов • Новая статья в КоАП за препятствование доступу к сайтам в Интернет (уже принято) – Из антитеррористического пакета законов
- 36. ФСТЭК планирует установить новые требования к средствам защиты • ФСТЭК (2013-2015) – Требования к средствам доверенной загрузки – Требования к средствам контроля съемных носителей – Требования к средствам контроля утечек информации (DLP) – Требования к средствам аутентификации – Требования к средствам разграничения доступа – Требования к средствам контроля целостности – Требования к средствам очистки памяти – Требования к средствам ограничения программной среды – Требования к средствам управления потоками информации (МСЭ, однонаправленные МСЭ, коммутаторы…) – Требования к средствам защиты виртуализации – ГОСТы по защите виртуализации и облачных вычислений
- 37. У ФСТЭК большие планы по регулированию госорганов и муниципалов
- 38. Планируемые методические документы ФСТЭК • Порядок аттестации распределенных информационных систем • Порядок обновления программного обеспечения в аттестованных информационных системах • Порядок выявления и устранения уязвимостей в информационных системах • Порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации • …
- 40. Недавние и планируемые изменения по направлению НПС/банковской тайны Что было • 382-П (3007-У) • 2831-У (3024-У) • 55-Т • 42-Т • 49-Т • 242-П • СТО БР ИББС 1.0 и 1.2 • Отмена РС 2.3 и 2.4 • Принятие новых РС 2.5 и 2.6 Что будет • Новая редакция 382-П • Новые РС • Требования для организаций финансового рынка (ФСФР) • Банковский CERT • Отраслевая модель угроз ПДн
- 41. Планируемые изменения по направлению СТО БР ИББС • Проекты новых РС – Проект РС по ресурсному обеспечению информационной безопасности – Проект РС по виртуализации – Проект РС по предотвращению утечек информации • Пересмотр «старых» документов СТО (возможно) – СТО 1.1, РС 2.0, 2.1 и 2.2 • Разработка новых РС (возможно) – Противодействие мошенничеству – Облачные технологии и аутсорсинг – Распределение ролей 41
- 42. ОПЕРАТОРЫ СВЯЗИ
- 43. Недавние и планируемые изменения по направлению ССОП • Закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам регулирования отношений при использовании информационно-телекоммуникационной сети Интернет» и ФЗ-139 «О защите детей от негативной информации» • Постановление Правительства №611 от 15.04.2013 «Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи РФ» • Иных требований по информационной безопасности на операторов связи пока не планируется • Все изменения касаются контроля Интернет – Антипиратский закон, контроль социальных сетей, Единая система аутентификации (ЕСИА), запрет анонимайзеров, регулирование Интернет-компаний как организаторов распространения информации, регулирование облачных вычислений и т.п.
- 45. Бешеный принтер
- 46. Что может повлиять на законодательное регулирование в худшую сторону?
- 47. Нас ждут непростой конец года и начало следующего!
- 48. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 48 Благодарю вас за внимание security-request@cisco.com