SlideShare una empresa de Scribd logo
1 de 69
Descargar para leer sin conexión
Что нас ждет в отечественном 
законодательстве по ИБ? 
Лукацкий Алексей, консультант по безопасности
Активность законодателей только возрастает 
• В среднем 4 нормативных акта (проекта) в месяц 
– 2012 – 5, 2013 – 4, 2014 – 6 
– Активность будет только возрастать 
– В октябре почему-то всегда минимальная активность J
Это только начало 
• Около 50 нормативных актов уже запланировано к разработке на 
ближайшее время 
– Они не включены в диаграмму
Приоритеты давно определены 
• Национальная платежная система и банки 
• Госорганы 
• КВО и ТЭК 
• Операторы связи
Куда движется законодательство? 
Критические 
инфраструктуры 
Персональные данные 
ИБ 
Национальная 
платежная 
система 
Государственные 
ИС 
Субъекты 
Интернет- 
отношений 
Облачные 
технологии
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Недавние и планируемые изменения по направлению ПДн 
Что было 
• Приказ ФСТЭК №21 по защите ПДн в 
ИСПДн 
• Приказ об отмене «приказа трех» по 
классификации ИСПДн 
• Приказ и методичка РКН по 
обезличиванию 
• Новая версия стандарта Банка 
России (СТО БР ИББС) 
• Закон 242-ФЗ о запрете хранения 
ПДн россиян за границей 
• Письмо Банка России 42-Т 
• Приказ ФСБ №378 по использованию 
СКЗИ для защиты ПДн 
• ПП-911 по отмене обязательного 
обезличивания 
Что будет 
• Законопроект Совета Федерации по 
внесению изменений в ФЗ-152 
• Законопроект по внесению 
изменений в КоАП 
• Работа Межведомственного 
экспертного совета при Минкомсвязи 
по совершенствованию 
законодательства в области 
регулирования отношений, 
связанных с обработкой ПДн 
• Отраслевые модели угроз 
• Ратификация дополнительного 
протокола Евроконвенции (181)
На что стоит обратить внимания из недавнего 
• ПП-911 от 06.09.2014 об отмене 
обязательного обезличивания ПДн в 
государственных и муниципальных 
органах, установленное ПП-211 
– Теперь решение об обезличивании 
отдается на откуп самого оператору 
ПДн 
• Приказ ФСТЭК/ФСБ/Минкомсвязи 
№151/786/461 от 31.12.2013 отменяет 
приказ по классификации ИСПДн 
– Теперь только уровни защищенности 
• Приказ РКН от 05.09.2013 №996 
описывает различные варианты 
обезличивания ПДн
На что стоит обратить внимания из недавнего
Закон о запрете хранения ПДн россиян за границей 
• Реализация положения ФЗ-242 «о 
запрете хранения ПДн россиян за 
границей» 
– Запрет хранения 
– Наказание за нарушение 
– Выведение РКН из под действия 
294-ФЗ 
• Вступает в силу с 1 сентября 2016 
года 
– Будет сдвиг на 01.01.2015 
• Будут вноситься изменения 
– По части «независимого органа» 
– По части контроля/надзора 
– По части хранения за пределами РФ
Обеспечение конфиденциальности или шифрование? 
• Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 
• Согласно ст.7 под конфиденциальностью ПДн понимается 
обязанность операторами и иными лицами, получивших доступ к 
персональным данным: 
– Не раскрывать ПДн третьим лицам 
– Не распространять ПДн без согласия субъекта персональных 
данных 
– Если иное не предусмотрено федеральным законом 
• Оператор при обработке персональных данных обязан принимать 
необходимые правовые, организационные и технические меры 
или обеспечивать их принятие для защиты персональных данных 
от неправомерного или случайного доступа к ним… 
– Ст.19
Как обеспечить конфиденциальность ПДн? 
• Получить согласие субъекта на передачу ПДн в открытом виде 
• Сделать ПДн общедоступными 
• Обеспечить контролируемую зону 
• Использовать оптические каналы связи при правильной модели 
угроз 
• Использовать соответствующие механизмы защиты от НСД, 
исключая шифрование, например, MPLS или архивирование 
• Переложить задачу обеспечения конфиденциальности на 
оператора связи 
• Передавать в канал связи обезличенные данные 
• Использовать СКЗИ для защиты ПДн
Только 8-10% операторов использует СКЗИ
Как поступает сама ФСБ и РКН?
Как поступают в Правительстве, МКС, ФСТЭК, у 
Президента и в ФНС?
Вы можете принудить субъекта отказаться от 
конфиденциальности его ПДн 
• РКН раньше на 
своем сайте, а 
портал госуслуг до 
сих пор вынуждает 
вас отказаться от 
конфиденциально 
сти 
• У вас есть выбор – 
или соглашаться, 
или нет 
Ответ Роскомнадзора
А если сделать их общедоступными? 
• РЖД делает 
регистрационные 
данные 
пользователей 
своего сайта 
общедоступными 
• РКН не против 
• Шифрование в 
таком случае не 
нужно
А где у вас проходит граница ИСПДн?
Еще четыре сценария 
• Обезличивание из персональных данных делает неперсональные 
• Они выпадают из под ФЗ-152 
• Не требуется даже конфиденциальность Обезличивание 
• Оператор связи по закону «О связи» обязан обеспечивать тайну связи 
• Почему бы в договоре с оператором явно не прописать обязанность 
обеспечить конфиденциальность всех передаваемых данных, 
включая и ПДн 
Оператор связи 
• Снять информацию с оптического канала связи возможно, но 
непросто и недешево 
• Почему бы не зафиксировать в модели угроз соответствующую мысль Оптика 
• Для защиты от несанкционированного доступа на сетевом уровне 
могут применяться различные технологии; не только шифрование 
• Например, MPLS, обеспечивающая разграничение доступа 
Виртуальные 
сети
Приказ ФСБ №378 
• Настоящий документ устанавливает 
состав и содержание необходимых 
для выполнения установленных 
Правительством Российской 
Федерации требований к защите ПДн 
для каждого из уровней защищенности 
организационных и технических мер 
по обеспечению безопасности ПДн 
при их обработке в ИСПДн 
• Принят 10 июля 2014 года, вступил в 
силу с 28 сентября 2014 года
Приказ ФСБ 
• Даны разъяснения (имеющие характер обязательных) положений 
ПП-1119 
– Например, что такое «организация режима обеспечения 
безопасности помещений», «сохранность персональных данных», 
«электронный журнал сообщений» и т.п. 
• Средства криптографической защиты персональных данных 
могут быть ТОЛЬКО сертифицированными 
• 8-й Центр сознательно или несознательно, но ограничил 
применение для защиты ПДн СКЗИ классом КС3 (!) и выше 
– Если вы считаете, что потенциальный нарушитель может 
получить доступ к средствам вычислительной техники, на 
которых установлены СКЗИ, то необходимо применять СКЗИ не 
ниже КС3
Приказ ФСБ 
• Если вдуматься чуть глубже, то вы обязаны будете применять 
СКЗИ класса КВ, если вы опасаетесь, что нарушитель может 
привлечь специалистов, имеющих опыт разработки и анализа 
СКЗИ 
– А сейчас нет ограничений на таких специалистов - криптографию 
преподают в 100 с лишним ВУЗах России 
• СКЗИ КВ применяются, когда могут быть использованы 
недекларированные возможности в прикладном ПО или у 
нарушителя есть исходные коды прикладного ПО 
– Прощай open source 
• СКЗИ КА применяются, когда могут быть использованы 
недекларированные возможности в системном ПО
Соответствие уровней защищенности классам СКЗИ 
• В зависимости от совокупности предположений о возможностях, 
которые могут использоваться при создании способов, подготовке 
и проведении атак СКЗИ подразделяются на классы 
Уровень 
защищенности 
3-й тип угроз 2-й тип угроз 1-й тип угроз 
4 КС1+ КС1+ КС1+ 
3 КС1+ КВ - 
2 КС1+ КВ 
1 - КВ КА
Приказа ФСБ 
• Все помещения, в 
которых ведется 
обработка ПДн, должны 
по окончании рабочего 
дня не просто закрываться, а 
опечатываться (!) 
– Это минимум требований 
для 4-го уровня 
защищенности 
• На 1-м уровне от вас 
потребуют на первых и последних этажах зданий установки 
решеток или ставень (!) 
• Все машинные носители персональных данных должна 
учитываться поэкземплярно
О встраивании криптоядра в VPN 
• Можно ли использовать сертифицированное криптоядро в 
составе VPN-решений? 
– Можно 
• Будет ли такое использование легитимным? 
– Нет!!!
Законопроект по штрафам 
• В новом законопроекте меняется текст статьи 13.11, которая 
устанавливает два состава правонарушений 
– Нарушение требований к письменному согласию субъекта 
(<=50K) 
– Обработка ПДн без согласия или иных законных оснований 
(<=50K) 
• Также вводится еще 3 новых статьи: 
– 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K) 
– 13.11.2 - непредоставление оператором информации и (или) 
доступа к сведениям, предусмотренным законодательством о 
ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в 
отношении обработки ПДн (<=45K) 
– 13.11.3 – нарушение правил неавтоматизированной обработки и 
обезличивания (<=50K)
Законопроект РГ Совета Федерации 
• Вводится понятия «обработчика» 
• Защита ПДн в составе профессиональной тайны 
– В соответствие с требованиями по защите тайны 
• Условия обработки ПДн обработчиком 
– Наличие договора = согласие 
• Новые условия необеспечения конфиденциальности ПДн 
• Электронная, в т.ч. дистанционная форма согласия на обработку 
ПДн 
• Биометрические ПДн 
– Только при автоматической идентификации субъекта 
• Трансграничная обработка ПДн 
– Также при наличии договора 
– Не распространять требование за пределами РФ
Законопроект РГ Совета Федерации 
• Государственные и муниципальные организации заменяются на 
организации, обрабатывающие ПДн в целях оказания 
государственных и муниципальных услуг 
• Защита ПДн 
– Гармонизация формулировок 
• Уведомление РКН 
– Гармонизация формулировок 
• Возможность самостоятельной разработки модели угроз 
– До принятия соответствующих актов ФОИВами
Вы не забыли про Конвенцию? 
• Ратификация дополнительного протокола к конвенции о защите 
частных лиц в отношении автоматизированной обработки данных 
личного характера, о наблюдательных органах и трансграничной 
передаче информации (ETS N 181) 
• В 2015-м (возможно) будет принята новая редакция 
Евроконвенции 
– со всеми вытекающими
КРИТИЧЕСКИ ВАЖНЫЕ 
ОБЪЕКТЫ
Недавние и планируемые изменения по направлению 
КИИ / КСИИ / КВО / АСУ ТП 
Что было 
• Постановление 
Правительства №861 от 
02.10.2013 
• Приказ ФСТЭК №31 по 
защите АСУ ТП 
Что будет 
• Законопроект по 
безопасности критических 
информационных 
инфраструктур 
• Законопроект о внесении 
изменений в связи с 
принятием закона о 
безопасности КИИ 
• Подзаконные акты 
• Методические документы 
ФСТЭК
Новый приказ ФСТЭК №31 
• «Об утверждении Требований к 
обеспечению защиты информации в 
автоматизированных системах 
управления производственными и 
технологическими процессами на 
критически важных объектах, 
потенциально опасных объектах, а 
также объектах, представляющих 
повышенную опасность для жизни и 
здоровья людей и для окружающей 
природной среды» 
– Ориентация на объекты ТЭК, 
транспортной безопасности, 
использования атомной энергии, 
опасных производственных объектов, 
гидротехнических сооружений
Ключевые отличия требований по ИБ КСИИ и АСУ ТП 
• Объект защиты 
• Классификация АСУ ТП / КСИИ 
• Уровень открытости циркулируемой в АСУ ТП / КСИИ 
информации 
• Парадигма (КЦД vs ДЦК) 
• Требования по защите 
• Требования по оценке соответствия 
• Участники процесса защиты информации
Поправки в связи с принятием закона о безопасности КИИ 
• Поправки в УК РФ и УПК РФ 
– Внесение изменений в статьи 272, 274, 151 (УПК) 
• Поправки в закон «О государственной тайне» 
– Сведения о степени защищенности и мерах безопасности 
объектов средней и высокой степени опасности 
• Поправки в 294-ФЗ 
– Выведение из под порядка проведения проверок КИИ 
• Поправки в 184-ФЗ 
– Исключение двойного регулирования
Что еще готовится в связи с законопроектом о 
безопасности КИИ? 
• Определение ФОИВ, уполномоченного в области безопасности 
КИИ 
– Через 6 месяцев после принятия закона 
• Постановления Правительства «Об утверждении показателей 
критериев категорирования элементов критической 
информационной инфраструктуры» 
– Принятие в течение 6 месяцев после определения ФОИВ, 
уполномоченного в области безопасности КИИ 
• Постановление Правительства «Об утверждении порядка 
подготовки и использования ресурсов единой сети связи 
электросвязи для обеспечения функционирования и 
взаимодействия объектов КИИ» 
• Приказ уполномоченного ФОИВ об утверждении требований по 
безопасности КИИ 
– Это не 31-й приказ!!!
Что еще готовится в связи с законопроектом о 
безопасности КИИ? 
• Приказы уполномоченного ФОИВ об аккредитации, о 
представлении сведений для категорирования, о контроле/ 
надзоре, о реестре объектов КИИ 
• Приказ ФСБ об утверждении порядка реагирования на 
компьютерные инциденты и ликвидации последствий 
компьютерных атак на объектах КИИ 
• Приказ ФСБ о перечне и порядке предоставлений сведений в 
СОПКА 
• Приказ ФСБ о порядке доступа к информации в СОПКА 
• Приказ ФСБ об утверждении требований к техсредствам СОПКА 
• Приказ ФСБ об установке и эксплуатации техсредств СОПКА 
Приказ ФСБ о национальном CERT 
• Приказ Минкомсвязи об условиях установки СОВ на сетях 
электросвязи
Планируемые методические документы ФСТЭК 
• Применение «старых» документов ФСТЭК по КСИИ в качестве 
рекомендательных и методических 
– «Рекомендации…» и «Методика определения актуальных угроз…» 
• Методичка по реагированию на инциденты (в разработке) 
• Методичка по анализу уязвимостей (в разработке) 
• Методичка по управлению конфигурацией (в разработке) 
• Методичка по аттестации (в разработке) 
• Методичка по мерам защиты в АСУ ТП (в разработке) 
– По аналогии с «Мерами защиты в ГИС»
ГОСУДАРСТВЕННЫЕ 
ИНФОРМАЦИОННЫЕ 
СИСТЕМЫ
Недавние и планируемые изменения по направлению ГИС 
Что было 
• Приказ ФСТЭК №17 по 
защите информации в ГИС 
• Методический документ по 
мерам защиты информации 
в государственных 
информационных системах 
Что будет 
• Порядок моделирования 
угроз безопасности 
информации в 
информационных системах 
• Новая редакция приказа 
№17 и «мер защиты в ГИС» 
• Методические и 
руководящие документы 
ФСТЭК 
• Законопроекты о запрете 
хостинга ГИС за пределами 
РФ, о служебной тайне, по 
импортозамещению…
Что такое ГИС? 
• В РФ существует множество 
различных классификаций 
информационных систем 
– Особенно для государственных 
органов и органов местного 
самоуправления 
• В вопросе отнесения информационных 
систем госорганов к ГИС до сих пор 
остаются неясные моменты 
• Требования по безопасности 
прописаны преимущественно в ПП-424 
и приказе ФСТЭК №17 
– Возможны и иные требования, 
специфичные для отдельных видов 
ИС 
ГИС = создана в 
государственном 
органе 
ГИС = есть приказ 
о ее создании 
(вводе в 
эксплуатацию) 
ГИС = 
зарегистрирована 
в реестре
Что еще планируется? 
• Законопроект о запрете использования чиновниками и 
госслужащими несертифицированных мобильных устройств 
– Фактически эти нормы уже установлены действующими НПА 
• Законопроект о запрете размещения сайтов государственных 
органов за пределами Российской Федерации 
– Фактически эти нормы уже установлены действующими НПА 
• Законопроект о регулировании облачных вычислений 
– Установление особых требований по ИБ к облакам для госорганов 
• Новая статья в КоАП за препятствование доступу к сайтам в 
Интернет (уже принято) 
– Из антитеррористического пакета законов
ФСТЭК планирует установить новые требования к 
средствам защиты 
• ФСТЭК (2013-2015) 
– Требования к средствам доверенной загрузки (принят) 
– Требования к средствам контроля съемных носителей 
– Требования к средствам контроля утечек информации (DLP) 
– Требования к средствам аутентификации 
– Требования к средствам разграничения доступа 
– Требования к средствам контроля целостности 
– Требования к средствам очистки памяти 
– Требования к средствам ограничения программной среды 
– Требования к средствам управления потоками информации 
– Требования к МСЭ 
– Требования к средствам защиты виртуализации 
– ГОСТы по защите виртуализации и облачных вычислений 
– ГОСТ по защищенному программированию (SDLC)
У ФСТЭК большие планы по регулированию госорганов и 
муниципалов
Планируемые методические документы ФСТЭК 
• Порядок аттестации распределенных информационных систем 
• Порядок обновления программного обеспечения в аттестованных 
информационных системах 
• Порядок обновления сертифицированных средств защиты 
информации 
• Порядок выявления и устранения уязвимостей в 
информационных системах 
• Порядок реагирования на инциденты, которые могут привести к 
сбоям или нарушению функционирования информационной 
системы и (или) к возникновению угроз безопасности 
информации 
• …
Существуют и еще некоторые требования 
• ИС организаций, подключаемых к инфраструктуре, 
обеспечивающей информационно-технологическое 
взаимодействие ИС, используемых для предоставления 
государственных и муниципальных услуг в электронной форме 
– Приказ Минкомсвязи от 9 декабря 2013 г. №390 
• ИС общего пользования 
– ПП-424 + Приказ Минкомсвязи от 25 августа 2009 года №104 + 
Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 
• ИС открытых данных 
– Приказ Минкомсвязи России от 27.06.2013 №149 
• Сайты ФОИВ 
– Приказ Минэкономразвития России от 16.11.2009 №470 
• ИС, предназначенные для информирования общественности о 
деятельности ФОГВ и ОГВ субъектов РФ (ИСИОД)
УНИФИКАЦИЯ ЗАЩИТНЫХ 
МЕР ФСТЭК
Меры по защите информации 
• Организационные и технические меры защиты информации, 
реализуемые в АСУ ТП 
– идентификация и аутентификация субъектов доступа и объектов 
доступа 
– управление доступом субъектов доступа к объектам доступа 
– ограничение программной среды 
– защита машинных носителей информации 
– регистрация событий безопасности 
– антивирусная защита 
– обнаружение (предотвращение) вторжений 
– контроль (анализ) защищенности 
– целостность АСУ ТП 
– доступность технических средств и информации 
– защита среды виртуализации
Меры по защите информации 
• продолжение: 
– защита технических средств и оборудования 
– защита АСУ ТП и ее компонентов 
– безопасная разработка прикладного и специального 
программного обеспечения разработчиком 
– управление обновлениями программного обеспечения 
– планирование мероприятий по обеспечению защиты информации 
– обеспечение действий в нештатных (непредвиденных) ситуациях 
– информирование и обучение пользователей 
– анализ угроз безопасности информации и рисков от их 
реализации 
– выявление инцидентов и реагирование на них 
– управление конфигурацией информационной системы и ее 
системы защиты
Меры по защите информации: общее 
Защитная мера ПДн ГИС АСУ ТП 
Идентификация и аутентификация субъектов доступа и объектов доступа + + + 
Управление доступом субъектов доступа к объектам доступа + + + 
Ограничение программной среды + + + 
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + 
Регистрация событий безопасности + + + 
Антивирусная защита + + + 
Обнаружение (предотвращение) вторжений + + + 
Контроль (анализ) защищенности персональных данных + + + 
Обеспечение целостности информационной системы и КИ + + + 
Обеспечение доступности персональных данных + + + 
Защита среды виртуализации + + + 
Защита технических средств + + + 
Защита информационной системы, ее средств, систем связи и передачи данных + + +
Меры по защите информации: различия 
Защитная мера ПДн ГИС АСУ ТП 
Управление инцидентами + + 
Управление конфигурацией информационной системы и системы защиты КИ + + 
Безопасная разработка прикладного и специального программного обеспечения 
разработчиком + 
Управление обновлениями программного обеспечения + 
Планирование мероприятий по обеспечению защиты информации + 
Обеспечение действий в нештатных (непредвиденных) ситуациях + 
Информирование и обучение пользователей + 
Анализ угроз безопасности информации и рисков от их реализации + 
• Планы 
– Унификация перечня защитных мер для всех трех приказов 
– Выход на 2-хлетний цикл обновления приказов
Методические рекомендации ФСТЭК 
• 11 февраля 2014 утвержден 
методический документ «Меры 
защиты информации в 
государственных системах» 
• Методический документ 
детализирует организационные и 
технические меры защиты 
информации, а также определяет 
содержание мер защиты 
информации и правила их 
реализации 
• По решению оператора ПДн 
настоящий методический документ 
применяется для обеспечения 
безопасности ПДн
ФСТЭК унифицирует требования по защите информации 
Особенность Приказ по 
защите ПДн 
Приказ по 
защите ГИС/МИС 
Проект приказа по 
АСУ ТП 
Требования по 
защите 
привязаны к 
4 уровням 
защищенности 
ПДн 
4 классам 
защищенности 
ГИС/МИС 
3 классам 
защищенности АСУ 
ТП 
Порядок в 
триаде КЦД КЦД ДЦК 
Возможность 
Да Да Да 
гибкого выбора 
защитных мер 
Проверка на 
отсутствие 
«закладок» 
Требуется для 
угроз 1-2 типа 
(актуальность 
определяется 
заказчиком) 
Требуется для 1-2 
класса 
защищенности 
ГИС/МИС 
Требуется только 
при выборе 
сертифицированных 
средств защиты
Но разница между требованиями ФСТЭК все-таки есть 
Особенность Приказ по защите 
ПДн 
Приказ по 
защите ГИС/ 
МИС 
Проект приказа по 
АСУ ТП 
Оценка 
соответствия 
В любой форме 
(нечеткость 
формулировки и 
непонятное ПП-330) 
Только 
сертификация 
В любой форме (в 
соответствии с ФЗ-184) 
Аттестация Коммерческий 
оператор - на выбор 
оператора 
Госоператор - 
аттестация 
Обязательна Возможна, но не 
обязательна 
Контроль и 
надзор 
Прокуратура – все 
ФСТЭК/ФСБ – 
только 
госоператоры (РКН не 
имеет полномочий 
проверять коммерческих 
операторов ПДн) 
ФСТЭК ФСБ и ФОИВ, 
ответственный за 
безопасность КИИ 
(определяется в 
настоящий момент)
Единая методика моделирования угроз 
• Методика определения угроз 
безопасности информации в 
информационных системах 
• Распространяется на 
– ГИС / МИС 
– ИСПДн 
– КСИИ 
– АСУ ТП 
– Иные ИС и АС, в которых в 
соответствии с законодательством РФ 
и (или) требованиями заказчика должна 
быть обеспечена конфиденциальность, 
целостность и (или) доступность 
информации 
• Исключает угрозы СКЗИ и ПЭМИН
НАЦИОНАЛЬНАЯ 
ПЛАТЕЖНАЯ СИСТЕМА
Недавние и планируемые изменения по направлению 
НПС/банковской тайны 
Что было 
• 382-П (3007-У) 
• 2831-У (3024-У) 
• 55-Т 
• 42-Т 
• 49-Т 
• 242-П 
• СТО БР ИББС 1.0 и 1.2 
• Отмена РС 2.3 и 2.4 
• Принятие новых РС 2.5 
и 2.6 
Что будет 
• Новая редакция 382-П 
(3361-У) 
• Новые РС 
• Требования для 
организаций 
финансового рынка 
(ФСФР) 
• Банковский CERT 
• Отраслевая модель 
угроз ПДн
Указание 3361-У 
• Утверждено 14 августа 2014 
• Опубликовано в «Вестнике Банка 
России» №83 17 сентября 
• Вступает в силу с 16 марта 2015 года
Изменения в 382-П 
• Основные изменения 
– требования к обеспечению защиты 
информации при осуществлении 
переводов денежных средств с 
применением банкоматов и 
платежных терминалов, с 
использованием систем Интернет- 
банкинга, мобильного банкинга 
– требования к использованию 
платежных карт, оснащенных 
микропроцессором 
– факторы, которые должны 
учитываться при реализации 
требований 382-П (29 новых 
показателей оценки)
Что планирует Банк России в новой версии СТО? 
• СТО БР ИББС 1.0 (5-я версия) уже 
принят в ТК122 
– Принятие Банком России 
произошло путем подписания 
распоряжения Банка России от 17 
мая 2014 года № Р-399 и № Р-400 
– Вступил в силу с 01.06.2014 
• С 1-го июня отменены предыдущие 
версии СТО 1.0 и 1.2, а также РС 2.3 
(защита ПДн) и 2.4 (отраслевая 
модель угроз)
Также Банк России принял с 01.06.2014 
• Четвертую редакцию стандарта Банка России «Обеспечение 
информационной безопасности организаций банковской системы 
Российской Федерации. Методика оценки соответствия 
информационной безопасности организаций банковской системы 
Российской Федерации требованиям СТО БР 
ИББС-1.0-2014» (регистрационный номер СТО БР 
ИББС-1.2-2014) 
• Рекомендации в области стандартизации Банка России 
«Обеспечение информационной безопасности организаций 
банковской системы Российской Федерации. Менеджмент 
инцидентов информационной безопасности» (регистрационный 
номер РС БР ИББС-2.5-2014)
Также Банк России принял с 01.09.2014 
• Рекомендации в области стандартизации Банка России 
«Обеспечение информационной безопасности организаций 
банковской системы Российской Федерации. Обеспечение 
информационной безопасности на стадиях жизненного цикла 
автоматизированных банковских систем» (регистрационный 
номер РС БР ИББС-2.6-2014)
Планируемые изменения по направлению СТО БР ИББС 
• Проекты новых РС 
– Проект РС по ресурсному обеспечению информационной 
безопасности 
– Проект РС по виртуализации 
– Проект РС по предотвращению утечек информации 
• Пересмотр «старых» документов СТО 
• СТО 1.1, РС 2.0, 2.1 и 2.2 
• Разработка новых РС 
– Противодействие мошенничеству 
– Облачные технологии и аутсорсинг 
– Распределение ролей 
62
Письмо 49-Т от 24.03.2014 
• Об этом документе ходили 
достаточно давно 
– Чуть ли не с конца 2012-го года 
• Документ очень подробный 
– Расписывает не только 
технические, но и организационные 
вопросы по защите от 
вредоносного кода 
• Детализирует требования 382-П (или 
СТО БР ИББС) 
– Есть и нестыковки 
– Переложение 15 разделов 382-П 
на борьбу с вредоносным кодом 
• Требует участия органа управления 
кредитной организации
ОПЕРАТОРЫ СВЯЗИ
Недавние и планируемые изменения по направлению 
ССОП 
• Закон «О внесении изменений в отдельные законодательные акты 
Российской Федерации по вопросам регулирования отношений при 
использовании информационно-телекоммуникационной сети 
Интернет» и ФЗ-139 «О защите детей от негативной информации» 
• Постановление Правительства №611 от 15.04.2013 «Об 
утверждении перечня нарушений целостности, устойчивости 
функционирования и безопасности единой сети электросвязи РФ» 
• Иных требований по информационной безопасности на 
операторов связи пока не планируется 
• Все изменения касаются контроля Интернет 
– Антипиратский закон, контроль социальных сетей, Единая система 
аутентификации (ЕСИА), запрет анонимайзеров, регулирование 
Интернет-компаний как организаторов распространения 
информации, регулирование облачных вычислений и т.п.
В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ
Активность будет только нарастать
Нас ждут непростой конец года и начало следующего!
security-request@cisco.com 
Благодарю вас 
за внимание 
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная BRKSEC-1065 информация Cisco 69

Más contenido relacionado

La actualidad más candente

Российская rasputitsa как объяснение будущего отечественной отрасли ИБ
Российская rasputitsa как объяснение будущего отечественной отрасли ИБРоссийская rasputitsa как объяснение будущего отечественной отрасли ИБ
Российская rasputitsa как объяснение будущего отечественной отрасли ИБAleksey Lukatskiy
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?Cisco Russia
 
Текущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыТекущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиAleksey Lukatskiy
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхAleksey Lukatskiy
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациSoftline
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Aleksey Lukatskiy
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...Expolink
 
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...Expolink
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Cisco Russia
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФAleksey Lukatskiy
 
Категорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираКатегорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираAleksey Lukatskiy
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Aleksey Lukatskiy
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиAleksey Lukatskiy
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations updateCisco Russia
 

La actualidad más candente (20)

Российская rasputitsa как объяснение будущего отечественной отрасли ИБ
Российская rasputitsa как объяснение будущего отечественной отрасли ИБРоссийская rasputitsa как объяснение будущего отечественной отрасли ИБ
Российская rasputitsa как объяснение будущего отечественной отрасли ИБ
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
 
Текущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыТекущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктуры
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLP
 
Security apocalypse
Security apocalypseSecurity apocalypse
Security apocalypse
 
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
 
Категорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираКатегорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мира
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
 

Similar a Последние изменения законодательства по ИБ и его тенденции

Планируемые изменения законодательства по ИБ в России
Планируемые изменения законодательства по ИБ в РоссииПланируемые изменения законодательства по ИБ в России
Планируемые изменения законодательства по ИБ в РоссииAleksey Lukatskiy
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхAleksey Lukatskiy
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Cisco Russia
 
Последние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымПоследние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымAleksey Lukatskiy
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...elenae00
 
Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России  влияют на рынок информационной  безопасности  и...Как выборы Президента России  влияют на рынок информационной  безопасности  и...
Как выборы Президента России влияют на рынок информационной безопасности и...Positive Hack Days
 
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ  ПЕРСОНАЛЬНЫХ ДАННЫХПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ  ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХDialogueScience
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхAleksey Lukatskiy
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
 
Нужно ли использовать СКЗИ при защите ПДн?
Нужно ли использовать СКЗИ при защите ПДн?Нужно ли использовать СКЗИ при защите ПДн?
Нужно ли использовать СКЗИ при защите ПДн?Cisco Russia
 
Аудит СКЗИ и криптоключей на примере Банка
Аудит СКЗИ и криптоключей на примере БанкаАудит СКЗИ и криптоключей на примере Банка
Аудит СКЗИ и криптоключей на примере Банкаimbasoft ru
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхwebdrv
 
Security regulations public
Security regulations publicSecurity regulations public
Security regulations publicExpolink
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаAleksey Lukatskiy
 
Cloud and Russian regulation
Cloud and Russian regulationCloud and Russian regulation
Cloud and Russian regulationCisco Russia
 
Ключевые планируемые изменения законодательства по информационной безопасности
Ключевые планируемые изменения законодательства по информационной безопасностиКлючевые планируемые изменения законодательства по информационной безопасности
Ключевые планируемые изменения законодательства по информационной безопасностиAleksey Lukatskiy
 

Similar a Последние изменения законодательства по ИБ и его тенденции (20)

Планируемые изменения законодательства по ИБ в России
Планируемые изменения законодательства по ИБ в РоссииПланируемые изменения законодательства по ИБ в России
Планируемые изменения законодательства по ИБ в России
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
 
Последние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымПоследние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным данным
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...
 
Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России  влияют на рынок информационной  безопасности  и...Как выборы Президента России  влияют на рынок информационной  безопасности  и...
Как выборы Президента России влияют на рынок информационной безопасности и...
 
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ  ПЕРСОНАЛЬНЫХ ДАННЫХПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ  ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данных
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
 
Нужно ли использовать СКЗИ при защите ПДн?
Нужно ли использовать СКЗИ при защите ПДн?Нужно ли использовать СКЗИ при защите ПДн?
Нужно ли использовать СКЗИ при защите ПДн?
 
Аудит СКЗИ и криптоключей на примере Банка
Аудит СКЗИ и криптоключей на примере БанкаАудит СКЗИ и криптоключей на примере Банка
Аудит СКЗИ и криптоключей на примере Банка
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данных
 
Security regulations public
Security regulations publicSecurity regulations public
Security regulations public
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
 
пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2
 
Cloud and Russian regulation
Cloud and Russian regulationCloud and Russian regulation
Cloud and Russian regulation
 
Ключевые планируемые изменения законодательства по информационной безопасности
Ключевые планируемые изменения законодательства по информационной безопасностиКлючевые планируемые изменения законодательства по информационной безопасности
Ключевые планируемые изменения законодательства по информационной безопасности
 

Más de Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 

Más de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Последние изменения законодательства по ИБ и его тенденции

  • 1. Что нас ждет в отечественном законодательстве по ИБ? Лукацкий Алексей, консультант по безопасности
  • 2. Активность законодателей только возрастает • В среднем 4 нормативных акта (проекта) в месяц – 2012 – 5, 2013 – 4, 2014 – 6 – Активность будет только возрастать – В октябре почему-то всегда минимальная активность J
  • 3. Это только начало • Около 50 нормативных актов уже запланировано к разработке на ближайшее время – Они не включены в диаграмму
  • 4. Приоритеты давно определены • Национальная платежная система и банки • Госорганы • КВО и ТЭК • Операторы связи
  • 5. Куда движется законодательство? Критические инфраструктуры Персональные данные ИБ Национальная платежная система Государственные ИС Субъекты Интернет- отношений Облачные технологии
  • 7. Недавние и планируемые изменения по направлению ПДн Что было • Приказ ФСТЭК №21 по защите ПДн в ИСПДн • Приказ об отмене «приказа трех» по классификации ИСПДн • Приказ и методичка РКН по обезличиванию • Новая версия стандарта Банка России (СТО БР ИББС) • Закон 242-ФЗ о запрете хранения ПДн россиян за границей • Письмо Банка России 42-Т • Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн • ПП-911 по отмене обязательного обезличивания Что будет • Законопроект Совета Федерации по внесению изменений в ФЗ-152 • Законопроект по внесению изменений в КоАП • Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн • Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181)
  • 8. На что стоит обратить внимания из недавнего • ПП-911 от 06.09.2014 об отмене обязательного обезличивания ПДн в государственных и муниципальных органах, установленное ПП-211 – Теперь решение об обезличивании отдается на откуп самого оператору ПДн • Приказ ФСТЭК/ФСБ/Минкомсвязи №151/786/461 от 31.12.2013 отменяет приказ по классификации ИСПДн – Теперь только уровни защищенности • Приказ РКН от 05.09.2013 №996 описывает различные варианты обезличивания ПДн
  • 9. На что стоит обратить внимания из недавнего
  • 10. Закон о запрете хранения ПДн россиян за границей • Реализация положения ФЗ-242 «о запрете хранения ПДн россиян за границей» – Запрет хранения – Наказание за нарушение – Выведение РКН из под действия 294-ФЗ • Вступает в силу с 1 сентября 2016 года – Будет сдвиг на 01.01.2015 • Будут вноситься изменения – По части «независимого органа» – По части контроля/надзора – По части хранения за пределами РФ
  • 11. Обеспечение конфиденциальности или шифрование? • Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 • Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: – Не раскрывать ПДн третьим лицам – Не распространять ПДн без согласия субъекта персональных данных – Если иное не предусмотрено федеральным законом • Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… – Ст.19
  • 12. Как обеспечить конфиденциальность ПДн? • Получить согласие субъекта на передачу ПДн в открытом виде • Сделать ПДн общедоступными • Обеспечить контролируемую зону • Использовать оптические каналы связи при правильной модели угроз • Использовать соответствующие механизмы защиты от НСД, исключая шифрование, например, MPLS или архивирование • Переложить задачу обеспечения конфиденциальности на оператора связи • Передавать в канал связи обезличенные данные • Использовать СКЗИ для защиты ПДн
  • 13. Только 8-10% операторов использует СКЗИ
  • 15. Как поступают в Правительстве, МКС, ФСТЭК, у Президента и в ФНС?
  • 16. Вы можете принудить субъекта отказаться от конфиденциальности его ПДн • РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциально сти • У вас есть выбор – или соглашаться, или нет Ответ Роскомнадзора
  • 17. А если сделать их общедоступными? • РЖД делает регистрационные данные пользователей своего сайта общедоступными • РКН не против • Шифрование в таком случае не нужно
  • 18. А где у вас проходит граница ИСПДн?
  • 19. Еще четыре сценария • Обезличивание из персональных данных делает неперсональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность Обезличивание • Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн Оператор связи • Снять информацию с оптического канала связи возможно, но непросто и недешево • Почему бы не зафиксировать в модели угроз соответствующую мысль Оптика • Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование • Например, MPLS, обеспечивающая разграничение доступа Виртуальные сети
  • 20. Приказ ФСБ №378 • Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн • Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года
  • 21. Приказ ФСБ • Даны разъяснения (имеющие характер обязательных) положений ПП-1119 – Например, что такое «организация режима обеспечения безопасности помещений», «сохранность персональных данных», «электронный журнал сообщений» и т.п. • Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными • 8-й Центр сознательно или несознательно, но ограничил применение для защиты ПДн СКЗИ классом КС3 (!) и выше – Если вы считаете, что потенциальный нарушитель может получить доступ к средствам вычислительной техники, на которых установлены СКЗИ, то необходимо применять СКЗИ не ниже КС3
  • 22. Приказ ФСБ • Если вдуматься чуть глубже, то вы обязаны будете применять СКЗИ класса КВ, если вы опасаетесь, что нарушитель может привлечь специалистов, имеющих опыт разработки и анализа СКЗИ – А сейчас нет ограничений на таких специалистов - криптографию преподают в 100 с лишним ВУЗах России • СКЗИ КВ применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО – Прощай open source • СКЗИ КА применяются, когда могут быть использованы недекларированные возможности в системном ПО
  • 23. Соответствие уровней защищенности классам СКЗИ • В зависимости от совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак СКЗИ подразделяются на классы Уровень защищенности 3-й тип угроз 2-й тип угроз 1-й тип угроз 4 КС1+ КС1+ КС1+ 3 КС1+ КВ - 2 КС1+ КВ 1 - КВ КА
  • 24. Приказа ФСБ • Все помещения, в которых ведется обработка ПДн, должны по окончании рабочего дня не просто закрываться, а опечатываться (!) – Это минимум требований для 4-го уровня защищенности • На 1-м уровне от вас потребуют на первых и последних этажах зданий установки решеток или ставень (!) • Все машинные носители персональных данных должна учитываться поэкземплярно
  • 25. О встраивании криптоядра в VPN • Можно ли использовать сертифицированное криптоядро в составе VPN-решений? – Можно • Будет ли такое использование легитимным? – Нет!!!
  • 26. Законопроект по штрафам • В новом законопроекте меняется текст статьи 13.11, которая устанавливает два состава правонарушений – Нарушение требований к письменному согласию субъекта (<=50K) – Обработка ПДн без согласия или иных законных оснований (<=50K) • Также вводится еще 3 новых статьи: – 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K) – 13.11.2 - непредоставление оператором информации и (или) доступа к сведениям, предусмотренным законодательством о ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в отношении обработки ПДн (<=45K) – 13.11.3 – нарушение правил неавтоматизированной обработки и обезличивания (<=50K)
  • 27. Законопроект РГ Совета Федерации • Вводится понятия «обработчика» • Защита ПДн в составе профессиональной тайны – В соответствие с требованиями по защите тайны • Условия обработки ПДн обработчиком – Наличие договора = согласие • Новые условия необеспечения конфиденциальности ПДн • Электронная, в т.ч. дистанционная форма согласия на обработку ПДн • Биометрические ПДн – Только при автоматической идентификации субъекта • Трансграничная обработка ПДн – Также при наличии договора – Не распространять требование за пределами РФ
  • 28. Законопроект РГ Совета Федерации • Государственные и муниципальные организации заменяются на организации, обрабатывающие ПДн в целях оказания государственных и муниципальных услуг • Защита ПДн – Гармонизация формулировок • Уведомление РКН – Гармонизация формулировок • Возможность самостоятельной разработки модели угроз – До принятия соответствующих актов ФОИВами
  • 29. Вы не забыли про Конвенцию? • Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181) • В 2015-м (возможно) будет принята новая редакция Евроконвенции – со всеми вытекающими
  • 31. Недавние и планируемые изменения по направлению КИИ / КСИИ / КВО / АСУ ТП Что было • Постановление Правительства №861 от 02.10.2013 • Приказ ФСТЭК №31 по защите АСУ ТП Что будет • Законопроект по безопасности критических информационных инфраструктур • Законопроект о внесении изменений в связи с принятием закона о безопасности КИИ • Подзаконные акты • Методические документы ФСТЭК
  • 32. Новый приказ ФСТЭК №31 • «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» – Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений
  • 33. Ключевые отличия требований по ИБ КСИИ и АСУ ТП • Объект защиты • Классификация АСУ ТП / КСИИ • Уровень открытости циркулируемой в АСУ ТП / КСИИ информации • Парадигма (КЦД vs ДЦК) • Требования по защите • Требования по оценке соответствия • Участники процесса защиты информации
  • 34. Поправки в связи с принятием закона о безопасности КИИ • Поправки в УК РФ и УПК РФ – Внесение изменений в статьи 272, 274, 151 (УПК) • Поправки в закон «О государственной тайне» – Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени опасности • Поправки в 294-ФЗ – Выведение из под порядка проведения проверок КИИ • Поправки в 184-ФЗ – Исключение двойного регулирования
  • 35. Что еще готовится в связи с законопроектом о безопасности КИИ? • Определение ФОИВ, уполномоченного в области безопасности КИИ – Через 6 месяцев после принятия закона • Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры» – Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ • Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования и взаимодействия объектов КИИ» • Приказ уполномоченного ФОИВ об утверждении требований по безопасности КИИ – Это не 31-й приказ!!!
  • 36. Что еще готовится в связи с законопроектом о безопасности КИИ? • Приказы уполномоченного ФОИВ об аккредитации, о представлении сведений для категорирования, о контроле/ надзоре, о реестре объектов КИИ • Приказ ФСБ об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на объектах КИИ • Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА • Приказ ФСБ о порядке доступа к информации в СОПКА • Приказ ФСБ об утверждении требований к техсредствам СОПКА • Приказ ФСБ об установке и эксплуатации техсредств СОПКА Приказ ФСБ о национальном CERT • Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи
  • 37. Планируемые методические документы ФСТЭК • Применение «старых» документов ФСТЭК по КСИИ в качестве рекомендательных и методических – «Рекомендации…» и «Методика определения актуальных угроз…» • Методичка по реагированию на инциденты (в разработке) • Методичка по анализу уязвимостей (в разработке) • Методичка по управлению конфигурацией (в разработке) • Методичка по аттестации (в разработке) • Методичка по мерам защиты в АСУ ТП (в разработке) – По аналогии с «Мерами защиты в ГИС»
  • 39. Недавние и планируемые изменения по направлению ГИС Что было • Приказ ФСТЭК №17 по защите информации в ГИС • Методический документ по мерам защиты информации в государственных информационных системах Что будет • Порядок моделирования угроз безопасности информации в информационных системах • Новая редакция приказа №17 и «мер защиты в ГИС» • Методические и руководящие документы ФСТЭК • Законопроекты о запрете хостинга ГИС за пределами РФ, о служебной тайне, по импортозамещению…
  • 40. Что такое ГИС? • В РФ существует множество различных классификаций информационных систем – Особенно для государственных органов и органов местного самоуправления • В вопросе отнесения информационных систем госорганов к ГИС до сих пор остаются неясные моменты • Требования по безопасности прописаны преимущественно в ПП-424 и приказе ФСТЭК №17 – Возможны и иные требования, специфичные для отдельных видов ИС ГИС = создана в государственном органе ГИС = есть приказ о ее создании (вводе в эксплуатацию) ГИС = зарегистрирована в реестре
  • 41. Что еще планируется? • Законопроект о запрете использования чиновниками и госслужащими несертифицированных мобильных устройств – Фактически эти нормы уже установлены действующими НПА • Законопроект о запрете размещения сайтов государственных органов за пределами Российской Федерации – Фактически эти нормы уже установлены действующими НПА • Законопроект о регулировании облачных вычислений – Установление особых требований по ИБ к облакам для госорганов • Новая статья в КоАП за препятствование доступу к сайтам в Интернет (уже принято) – Из антитеррористического пакета законов
  • 42. ФСТЭК планирует установить новые требования к средствам защиты • ФСТЭК (2013-2015) – Требования к средствам доверенной загрузки (принят) – Требования к средствам контроля съемных носителей – Требования к средствам контроля утечек информации (DLP) – Требования к средствам аутентификации – Требования к средствам разграничения доступа – Требования к средствам контроля целостности – Требования к средствам очистки памяти – Требования к средствам ограничения программной среды – Требования к средствам управления потоками информации – Требования к МСЭ – Требования к средствам защиты виртуализации – ГОСТы по защите виртуализации и облачных вычислений – ГОСТ по защищенному программированию (SDLC)
  • 43. У ФСТЭК большие планы по регулированию госорганов и муниципалов
  • 44. Планируемые методические документы ФСТЭК • Порядок аттестации распределенных информационных систем • Порядок обновления программного обеспечения в аттестованных информационных системах • Порядок обновления сертифицированных средств защиты информации • Порядок выявления и устранения уязвимостей в информационных системах • Порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации • …
  • 45. Существуют и еще некоторые требования • ИС организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления государственных и муниципальных услуг в электронной форме – Приказ Минкомсвязи от 9 декабря 2013 г. №390 • ИС общего пользования – ПП-424 + Приказ Минкомсвязи от 25 августа 2009 года №104 + Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 • ИС открытых данных – Приказ Минкомсвязи России от 27.06.2013 №149 • Сайты ФОИВ – Приказ Минэкономразвития России от 16.11.2009 №470 • ИС, предназначенные для информирования общественности о деятельности ФОГВ и ОГВ субъектов РФ (ИСИОД)
  • 47. Меры по защите информации • Организационные и технические меры защиты информации, реализуемые в АСУ ТП – идентификация и аутентификация субъектов доступа и объектов доступа – управление доступом субъектов доступа к объектам доступа – ограничение программной среды – защита машинных носителей информации – регистрация событий безопасности – антивирусная защита – обнаружение (предотвращение) вторжений – контроль (анализ) защищенности – целостность АСУ ТП – доступность технических средств и информации – защита среды виртуализации
  • 48. Меры по защите информации • продолжение: – защита технических средств и оборудования – защита АСУ ТП и ее компонентов – безопасная разработка прикладного и специального программного обеспечения разработчиком – управление обновлениями программного обеспечения – планирование мероприятий по обеспечению защиты информации – обеспечение действий в нештатных (непредвиденных) ситуациях – информирование и обучение пользователей – анализ угроз безопасности информации и рисков от их реализации – выявление инцидентов и реагирование на них – управление конфигурацией информационной системы и ее системы защиты
  • 49. Меры по защите информации: общее Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
  • 50. Меры по защите информации: различия Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации + • Планы – Унификация перечня защитных мер для всех трех приказов – Выход на 2-хлетний цикл обновления приказов
  • 51. Методические рекомендации ФСТЭК • 11 февраля 2014 утвержден методический документ «Меры защиты информации в государственных системах» • Методический документ детализирует организационные и технические меры защиты информации, а также определяет содержание мер защиты информации и правила их реализации • По решению оператора ПДн настоящий методический документ применяется для обеспечения безопасности ПДн
  • 52. ФСТЭК унифицирует требования по защите информации Особенность Приказ по защите ПДн Приказ по защите ГИС/МИС Проект приказа по АСУ ТП Требования по защите привязаны к 4 уровням защищенности ПДн 4 классам защищенности ГИС/МИС 3 классам защищенности АСУ ТП Порядок в триаде КЦД КЦД ДЦК Возможность Да Да Да гибкого выбора защитных мер Проверка на отсутствие «закладок» Требуется для угроз 1-2 типа (актуальность определяется заказчиком) Требуется для 1-2 класса защищенности ГИС/МИС Требуется только при выборе сертифицированных средств защиты
  • 53. Но разница между требованиями ФСТЭК все-таки есть Особенность Приказ по защите ПДн Приказ по защите ГИС/ МИС Проект приказа по АСУ ТП Оценка соответствия В любой форме (нечеткость формулировки и непонятное ПП-330) Только сертификация В любой форме (в соответствии с ФЗ-184) Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация Обязательна Возможна, но не обязательна Контроль и надзор Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн) ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)
  • 54. Единая методика моделирования угроз • Методика определения угроз безопасности информации в информационных системах • Распространяется на – ГИС / МИС – ИСПДн – КСИИ – АСУ ТП – Иные ИС и АС, в которых в соответствии с законодательством РФ и (или) требованиями заказчика должна быть обеспечена конфиденциальность, целостность и (или) доступность информации • Исключает угрозы СКЗИ и ПЭМИН
  • 56. Недавние и планируемые изменения по направлению НПС/банковской тайны Что было • 382-П (3007-У) • 2831-У (3024-У) • 55-Т • 42-Т • 49-Т • 242-П • СТО БР ИББС 1.0 и 1.2 • Отмена РС 2.3 и 2.4 • Принятие новых РС 2.5 и 2.6 Что будет • Новая редакция 382-П (3361-У) • Новые РС • Требования для организаций финансового рынка (ФСФР) • Банковский CERT • Отраслевая модель угроз ПДн
  • 57. Указание 3361-У • Утверждено 14 августа 2014 • Опубликовано в «Вестнике Банка России» №83 17 сентября • Вступает в силу с 16 марта 2015 года
  • 58. Изменения в 382-П • Основные изменения – требования к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов, с использованием систем Интернет- банкинга, мобильного банкинга – требования к использованию платежных карт, оснащенных микропроцессором – факторы, которые должны учитываться при реализации требований 382-П (29 новых показателей оценки)
  • 59. Что планирует Банк России в новой версии СТО? • СТО БР ИББС 1.0 (5-я версия) уже принят в ТК122 – Принятие Банком России произошло путем подписания распоряжения Банка России от 17 мая 2014 года № Р-399 и № Р-400 – Вступил в силу с 01.06.2014 • С 1-го июня отменены предыдущие версии СТО 1.0 и 1.2, а также РС 2.3 (защита ПДн) и 2.4 (отраслевая модель угроз)
  • 60. Также Банк России принял с 01.06.2014 • Четвертую редакцию стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» (регистрационный номер СТО БР ИББС-1.2-2014) • Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (регистрационный номер РС БР ИББС-2.5-2014)
  • 61. Также Банк России принял с 01.09.2014 • Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (регистрационный номер РС БР ИББС-2.6-2014)
  • 62. Планируемые изменения по направлению СТО БР ИББС • Проекты новых РС – Проект РС по ресурсному обеспечению информационной безопасности – Проект РС по виртуализации – Проект РС по предотвращению утечек информации • Пересмотр «старых» документов СТО • СТО 1.1, РС 2.0, 2.1 и 2.2 • Разработка новых РС – Противодействие мошенничеству – Облачные технологии и аутсорсинг – Распределение ролей 62
  • 63. Письмо 49-Т от 24.03.2014 • Об этом документе ходили достаточно давно – Чуть ли не с конца 2012-го года • Документ очень подробный – Расписывает не только технические, но и организационные вопросы по защите от вредоносного кода • Детализирует требования 382-П (или СТО БР ИББС) – Есть и нестыковки – Переложение 15 разделов 382-П на борьбу с вредоносным кодом • Требует участия органа управления кредитной организации
  • 65. Недавние и планируемые изменения по направлению ССОП • Закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам регулирования отношений при использовании информационно-телекоммуникационной сети Интернет» и ФЗ-139 «О защите детей от негативной информации» • Постановление Правительства №611 от 15.04.2013 «Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи РФ» • Иных требований по информационной безопасности на операторов связи пока не планируется • Все изменения касаются контроля Интернет – Антипиратский закон, контроль социальных сетей, Единая система аутентификации (ЕСИА), запрет анонимайзеров, регулирование Интернет-компаний как организаторов распространения информации, регулирование облачных вычислений и т.п.
  • 68. Нас ждут непростой конец года и начало следующего!
  • 69. security-request@cisco.com Благодарю вас за внимание © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная BRKSEC-1065 информация Cisco 69