Курс по законодательству в области ИБ

Законодательство по

информационной безопасности

Лукацкий Алексей, консультант по безопасности

Обо мне

• Опыт работы в области ИБ – 20 лет

– «Ящик», госкорпорация, ритейл, банк, разработчик средств защиты, производитель сетевого оборудования

• Текущее место – Cisco

• Участник рабочей группы ЦБ/АРБ по разработке СТО БР ИББС ’2010/12, консультационного центра АРБ по ПДн (горячая линия) и требований по ИБ НПС

• Член Консультативного совета при РКН по защите прав субъектов ПДн

• Член рабочей группы при ФСТЭК по разработке требований по защите ПДн и государственных информационных систем

• Член рабочей группы при Совете Федерации по внесению изменений в ФЗ-152 и по разработке Стратегии кибербезопасности

• Эксперт РАЭК

Обо мне

• Участник ПК1 «Защита информации в кредитно-финансовой сфере» ТК122 Ростехрегулирования

• Участник ПК127 «Методы и средства обеспечения безопасности ИТ» ТК22 Ростехрегулирования (роль ISO/IEC JTC 1/SC 27 в России)

• Участник ТК 362 «Защита информации»

• Автор 5 книг и 600+ статей

• Автор множества курсов по ИБ

– «Что скрывает законодательство о персональных данных»

– «Измерение эффективности ИБ»

– «Моделирование угроз»

– «Управление инцидентами ИБ»

– «Как связать безопасность и бизнес» и многих других

Высокоуровневая карта курса

У нас есть информационные

активы?

У нас есть информационные

активы?

Что входит в активы? Что входит в активы?

Их надо защищать? Почему?

Их надо защищать? Почему?

Это обязанность Это обязанность

Это право Это право

• Где определена обязанность или право на защиту?

• Могу ли я сам установить требования по защите информации?

• Подпадаю ли я под какие-либо обязательные требованиям по защите информации?

• Ограничен ли я в устанавливаемых требованиях по защите информации?

• Обременен ли я какими-либо обязанностями в процессе реализации требований по

защите информации?

• Что мне грозит, если я не буду реализовывать требования по защите информации?

• Кто может меня проверить в отношении реализации требований по защите

информации?

О чем пойдет речь

• Основы государства и права

– Вертикальная и горизонтальная структура

– Основные принципы права

– Правила подготовки нормативных актов

• Законодательство в области ИБ

– История становления и развития

– Структура и иерархия

• Регуляторы в области ИБ

– ФСТЭК, ФСБ, ФСО, СВР, МинОбороны, Минсвязи и т.д.

• «Базовое» законодательство

– Трехглавый закон

• Технические регулирование. Сертификация и аттестация

• Лицензирование деятельности по защите информации


• Виды тайн

– Коммерческая тайна

– Персональные данные

– Конфиденциальная информация

– Банковская тайна

• Отраслевые требования

– Госорганы

– Операторы связи

– Критически важные объекты

– Участники НПС

– Банки

• Международное законодательство в России

– PCI DSS, ISO 2700x, ISM3, ITIL, COBIT, ISO 20000 и т.п.


• Наказание за несоблюдение законодательства в области


– КоАП, УК, ТК, регуляторы…

• Парафраз о правоприменительной практике

– Права ли пословица "Закон, что дышло…"?

– Решения российских судов, включая Верховный Суд и

Конституционный Суд

• Операционные риски, внутренний контроль

– SOX, ФСФР, COSO, Базель II и требования Банка России

ПРОБЛЕМЫ

РЕГУЛИРОВАНИЯ ИБ

Проблемы нормотворчества ИБ

• Отсутствие организационной системы выработки и реализации

государственной системы в области обеспечения ИБ с учетом

интересов граждан, общества и государства

• Отсутствие четко выраженной государственной информационной

политики и ее бессистемное развитие

• Низкая эффективность правоприменения

• Низкая правовая и информационная культура у регуляторов и

законодателей

• Неудовлетворительное финансирование

• Большое количество регуляторов и несогласованность их

действий между собой

• Исторический бэкграунд

ИБ В РОССИИ: ОТКУДА

ТОРЧАТ НОГИ?

Криптография в России ведет свой отсчет с времен Ивана

Грозного

• Активная

внешнеполитическая

деятельность

• Дипломатическая

переписка

• Войны и военные

конфликты

• Перлюстрация

переписки

революционеров

• 8-й Спецотдел ВЧК

• КГБ

Защита информации – удел спецслужб!

ПДИТР – что это такое?

• Противодействие иностранным

техническим разведкам

• Обеспечение государственной тайны

• Гостехкомиссия СССР

• Федеральная служба по техническому

и экспортному контролю

• Служба внешней разведки

• Главное разведывательное

управление

• Федеральная служба охраны

• …

А потом наступила перестройка!

• Малый бизнес, частное

предпринимательство

• Олигархи, приватизация

• Коммерческая тайна, конкуренция

• Потребность хранить свои тайны в

секрете

• А специалисты все те же

– ФСБ

– ФСТЭК

– БСТМ МВД

– Совет Безопасности

– ФСО

– Госдума

– …

Вы защищаете свою информацию от утечек через

батарею? А через кондиционер? А через розетки?

• Технические каналы утечки

информации

– ПЭМИН

– Виброакустика

– Видовые утечки

• Объектовая охрана

• Вирусов было мало и

распространялись они на 5-

тидюймовых дискетах со

скоростью один компьютер в

неделю, один этаж в месяц

• Скорость 2400 бод была

нормой, а владелец модема

USR на 33600 бод был богачом

Что важнее? Конфиденциальность или доступность? А

может неотказуемость или подотчетность?

• Изначально спецслужбы

обеспечивали только

конфиденциальность защищаемой


• Действующее законодательство

ориентировано на различные виды

тайн

– В российских НПА свыше 60 видов

тайн

• Почти ни слова о доступности и

целостности, о подотчетности и

аутентичности, о контролируемости

и неотказуемости

Все меняется, но не безопасники у регуляторов ;-(

Что?

С кем?

Способ?

Сколько?

Как?

Гостайна

ИТР

Закрыто

Неважно

Гриф (Кцд)

КТ, БТ, ПДн

Инсайдер, хакер

Открыто

ROI, TCO, NPV

Кто? КГБ эксКГБ

ДЦК

Формат Файлы Мультимедиа

Технологии Закрытые АС Облака, mobility

Изменения Статика Динамика

А ВООБЩЕ, ЧТО ТАКОЕ

ИНФОРМАЦИОННАЯ

БЕЗОПАСНОСТЬ?

От какого термина отталкиваться?

• Все зависит от определения ИБ

• ИБ – это не универсальное, не стандартное понятие

• Оно персонифицировано в каждой конкретной ситуации, для

каждой конкретной организации, для каждого конкретного CISO

– В одной и той же компании, разные CISO могут по-разному

заниматься ИБ

– В одной и той же компании при одном и том же CISO, но разных

CEO, ИБ может двигаться в разных направлениях

• ИБ – это понятие, зависящее от множества факторов/элементов

• От этого будет зависеть и спектр

рассматриваемого/учитываемого законодательства

Термин «безопасность»

• Безопасность – отсутствие опасности

– В.Даль

• Безопасность – состояние, при котором не угрожает опасность

– С.Ожегов

• Безопасность – состояние защищенности жизненно важных

интересов личности, общества и государства от внутренних и

внешних угроз

– ФЗ «О безопасности»


• Безопасность информации - деятельность, направленная на

предотвращение или существенное затруднение

несанкционированного доступа к информации (или воздействия

на информацию)

– ФСТЭК

• ИБ – технологическая задача, обеспечивающая целостность,

конфиденциальность и доступность

– А как же борьбы со спамом? Или шантаж DDoS?

• Безопасность - состояние защищенности объекта от внешних и

внутренних угроз


• Безопасность – системное свойство, позволяющее развиваться и

процветать в условиях конфликтов, неопределенности и рисков

на основе самоорганизации и управления

• Безопасность – деятельность людей, общества, государства по

выявлению, предупреждению, ослаблению, устранению и

отражению опасностей и угроз, способных погубить их, лишить

ценностей, нанести неприемлемый ущерб, закрыть путь для

выживания и развития

• Информационная безопасность - динамическое состояние

сохранения жизненно важных параметров предприятия в

информационной сфере

Как я понимаю ИБ?!

• Информационная безопасность - состояние защищенности

интересов стейкхолдеров предприятия в информационной

сфере, определяющихся совокупностью сбалансированных

интересов личности, общества, государства и бизнеса

• Очень емкое и многоуровневое определение

• Может без изменения применяться в ЛЮБОЙ организации

– Меняться будет только наполнение ее ключевых элементов –

стейкхолдеры, информационная сфера, интересы

Стейкхолдеры ИБ

• ИТ

• ИБ

• Юристы

• Служба внутреннего контроля

• HR

• Бизнес-подразделения

• Руководство

• Пользователи

Внутри предприятия

Внутри предприятия

• Акционеры

• Клиенты

• Партнеры

• Аудиторы

Снаружи предприятия

Снаружи предприятия

• ФСТЭК

• ФСБ

• Роскомнадзор

• СВР

• МО

• Банк России

Регуляторы Регуляторы

Информационная сфера

• Информационная сфера - это

совокупность информации,

информационной

инфраструктуры, субъектов,

осуществляющих сбор,

формирование,

распространение и

использование информации,

а также системы регулирования

возникающих при этом

отношений

• Обычно мы защищаем только

информацию и информационную

инфраструктуру

Интересы стейкхолдеров

• Универсального списка интересов не существует – у каждого

предприятия на каждом этапе его развития в различном

окружении при различных руководителях интересы различны

ИБ

• Конфиденциальность

• Целостность

• Доступность

Юристы

• Соответствие

• Защита от преследования

• Новые законы

Регуляторы

• Соответствие

Пользователи

• Тайна переписки

• Бесперебойный Интернет

• Комфорт работы

Акционеры

• Рост стоимости акций

• Контроль топ-менеджмента

• Прозрачность

ИТ

• Доступность сервисов

• Интеграция

• Снижение CapEx

У разной ИБ и угрозы разные!

Традиционные

• Вредоносное ПО

• DDoS

• Утечки

• НСД

• Превышение привилегий

• Нарушение работоспособности приложения

• Кража ключей ЭП

Нетрадиционные

• Приход регулятора с проверкой

• Отсутствие лицензии ФСБ у предприятия

• Отсутствие сертификата ФСТЭК на систему защиты

• Внесение изменения в аттестованный объект информатизации

Предметная область ИБ

Предметная область

Предметная область

Защита информации и

прав на нее

Защита информации и

прав на нее

Право на доступ к информации

Право на доступ к информации

Право на тайну Право на тайну

Право на интеллектуальную

собственность

Право на интеллектуальную

собственность

Защита от «вредной»


Защита от «вредной»


Защита информационных систем и прав на

них

Защита информационных систем и прав на

них

Источник: Доктрина информационной безопасности РФ

Что мы НЕ будем рассматривать?!

• Защита сведений, составляющих государственную тайну

• Защита интеллектуальной собственности

• Защита от вредной информации

• Корпоративное регулирование ИБ

• Электронная подпись и удостоверяющие центры

КТО ТАКОЙ АКАДЕМИК

РЫЖОВ?

Уровни политики безопасности РФ

Доктрина Доктрина

Концепция национальной безопасности Концепция национальной безопасности

Концепция информационной безопасности Концепция информационной безопасности

Программы Программы

Алгоритм поведения

Интересы личности, общества и государства

Угрозы

Оценка возможностей

парирования угроз и защиты интересов

Задачи Функции Структуры и органы

Меры

2 взгляда на безопасность РФ

Приоритеты безопасности

Безопасность личности

Безопасность общества

Безопасность государства

Безопасность государства

Безопасность общества

Безопасность личности

Результаты комиссии

академика Рыжова Текущее отношение

Кто привлекается к системе обеспечения безопасности

РФ?

Законодательная власть Исполнительная власть Судебная власть Государственные организации Общественные организации Граждане

Президент РФ Федеральное Собрание РФ Правительство РФ Совет Безопасности РФ Исполнительная власть

ФЗ

«О

безо

пасн

ости

»

Ко

нц

еп

ци

я

нац

ио

нал

ьн

ой

бе

зо

пасн

ости

Структура законодательного регулирования

Система общественных

отношений

Система права

Система законодательства

• Очень часто под термином «законодательство» понимают не только законы в собственном значении этого слова (акты, принятые парламентом), но и всю совокупность нормативных актов или даже всех вообще документов по конкретному вопросу

• Случаи перехода общественных отношений в правоотношения

– По воле субъекта

– Помимо воли и желания субъекта

– Регулируется моралью, обычаями, эстетическими нормами

ПРАВООТНОШЕНИЯ

Правоотношения

• Правоотношения – конкретное общественное отношение,

регулируемое правовыми нормами

• Правоотношение характеризуется следующими элементами:

– Объект правоотношения - то, по поводу чего складывается

правоотношение

– Субъекты правоотношения - стороны, участники правоотношения

– Содержание правоотношения - составляют два взаимосвязанных

элемента

• Субъективное право и юридическая обязанность, которыми

связаны субъекты правоотношения

• Субъективное право – это возможность определенного

поведения

• Юридическая обязанность – соответствующая обязанность

определенного поведения

Объекты правоотношений в области ИБ

• Государственная тайна

• Информация ограниченного доступа

• Работы и услуги в области защиты информации (шифрования)

• Операционные риски

• Оценка соответствия средств защиты информации

• Бесперебойность функционирования…

• Защита информации (сама по себе)

• Право на тайну (личной жизни, переписки, связи, телефонных

переговоров и т.д.)

• Виды деятельности субъектов

• Средства защиты информации

• Информационные системы

Виды информации ограниченного доступа

• 65 видов тайн в

российском

законодательстве

• Персональные

данные

• Коммерческая тайна

• Банковская тайна

• Тайна переписки

• Инсайдерская

информация

• Служебная тайна

• Тайна кредитной

истории

• …

Что такое конфиденциальная информация?

• Понятие «конфиденциальная информация» изъято из

терминологии законодательства

• Вместо него введены понятия

– «информация ограниченного доступа»

– «информация, в отношение которой установлено требование об

обеспечении ее конфиденциальности»

– «конфиденциальность информации»

• Формально не существует деятельности и по технической защите

конфиденциальной информации

– Нет объекта защиты!

• Указ Президента №188 «Об утверждении перечня сведений

конфиденциального характера» также формально теперь не связан

с другими нормативными актами

Виды деятельности

• Деятельность кредитных организаций

• Деятельность в области связи

• Деятельность, связанная с защитой государственной тайны

• Деятельность по технической защите конфиденциальной


• Деятельность по разработке и (или) производству средств защиты


• Разработка, производство, реализация и приобретение в целях

продажи специальных технических средств, предназначенных для

негласного получения информации

• Деятельность по изготовлению защищенной от подделок

полиграфической продукции

• Деятельность по производству и реализации специального

игрового оборудования

Право на тайну

• Тайна переписки, телефонных переговоров, почтовых,

телеграфных и иных сообщений

• Тайна частной жизни

• Личная тайна

• Семейная тайна

Риски, бесперебойность функционирования и ИБ

ИБ ИБ Риски Риски Бесперебойность Бесперебойность

Какие риски бесперебойности рассматривает Банк

России?

Меры по обеспечению бесперебойности

функционирования (по 2695-У)

• Меры, направленные на недопущение нарушений

функционирования операционных и технологических средств,

устройств, информационных систем, обеспечивающих учет

информации об остатках электронных денежных средств и их

перевод, а также меры по устранению нарушений

• Анализ причин нарушений функционирования операционных и

технологических средств, устройств, информационных систем,

выработку и реализацию мер по их устранению

• Обеспечение сохранения функциональных возможностей

операционных и технологических средств, устройств,

информационных систем при сбоях в их, осуществление их

тестирования в целях выявления недостатков функционирования,

а в случае выявления указанных недостатков принятие мер по их

устранению

Операционные риски

• …несанкционированное использование информационных систем и

ресурсов…, подлог и (или) подделка платежных и иных

документов, несанкционированное проникновение в

информационные системы, повреждение или утрата основных

средств и других материальных активов

• Выход из строя оборудования и систем (например, сбой (отказ) в

работе автоматизированной информационной системы платежной

НКО, систем связи, поломка оборудования)…, отсутствие

(несовершенство) системы защиты и (или) порядка доступа к

информации, неправильная организация информационного обмена

внутри платежной НКО, ошибки при вводе и обработке данных при

осуществлении переводов денежных средств без открытия

банковских счетов и связанных с ними иных банковских операций,

утеря документов и др.

– Указание Банка России 2840-У от 25 июня 2012 года

Субъект правоотношений

• Обладатель информации

– Посредник

• Потребитель информации

– Могут быть особенности ввоза шифровальных средств

• Оператор информационной системы

– Оператором информационной системы является собственник

используемых для обработки содержащейся в базах данных

информации технических средств, который правомерно

пользуется такими базами данных, или лицо, с которым этот

собственник заключил договор об эксплуатации информационной

системы

• Владелец сайта в сети «Интернет»

• Провайдер хостинга

• Разработчики ИТ и средств защиты информации

Обладатели информации

Обладатель информации Обладатель информации

Физическое лицо

Физическое лицо

Юридическое лицо

Юридическое лицо

Российская Федерация Российская Федерация

Субъект РФ Субъект РФ

Муниципальное образование

Муниципальное образование

Что такое информация?

• Информация – сведения (сообщения, данные) независимо от

формы их представления

– 149-ФЗ «Об информации, информационных технологиях и

защите информации»

– Юристы до сих пор спорят о правильном толковании термина

• Форма представления

– Письменная (и иные материальные формы – пластик и т.д.)

– Оптическая

– Электрические сигналы

– Устная

– Магнитная

– Полупроводниковая

– В виде изображения или видеозаписи

Права обладателя информации

• Обладатель информации вправе устанавливать свои требования

к информации ограниченного доступа, в частности:

– разрешать или ограничивать доступ к информации, определять

порядок и условия доступа,

– использовать информацию, в т.ч. распространять ее, по своему

усмотрению,

– передавать информацию другим лицам по договору или на ином

законном основании

– защищать установленными законом способом свои права

– осуществлять иные действия с информацией или разрешать

осуществление таких действий

Документированная информация

• Недокументированная информация ограниченного доступа также

требует защиты, но эти вопросы мало проработаны

• Отсутствие материального носителя для недокументированной

информации (например, воплощенная в устной форме) не

позволяет иметь полноценную доказательную базу, если

информация будет разглашена без согласия ее обладателя

– По этой причине существуют трудности правовой защиты видео-

и голосовой информации ограниченного доступа

Информация Информация

Документированная Документированная

Недокументированная Недокументированная

Обязанности обладателя информации

• Обладатель информации при осуществлении своих прав обязан:

– соблюдать права и законные интересы иных лиц

– принимать меры по защите информации

– ограничивать доступ к информации, если такая обязанность

установлена федеральными законами

Виды информационных систем

• Информационная система

– Совокупность содержащейся в базах данных информации и

обеспечивающих ее обработку информационных технологий и

технических средств

• Существуют разные классификации информационных систем

– ФЗ-149

– Приказ ФСТЭК №17

– РД ФСТЭК по автоматизированным системам (1Г, 2Б и т.д)

– РД ФСТЭК по ключевым система информационной

инфраструктуры

– Постановление Правительства №1119

– Совместный приказ ФСБ РФ и ФСТЭК РФ №416/489 от

31.08.2010 "Об утверждении Требований о защите информации,

содержащейся в информационных системах общего

пользования"

Классификация информационных систем по ФЗ-149

• Государственные информационные системы

– Федеральные информационные системы и региональные

информационные системы, созданные на основании

соответственно федеральных законов, законов субъектов

Российской Федерации, на основании правовых актов

государственных органов

• Муниципальные информационные системы

– Созданы на основании решения органа местного

самоуправления

– Установленные требования к государственным информационным

системам распространяются на муниципальные

информационные системы, если иное не предусмотрено

законодательством РФ о местном самоуправлении

• Иные информационные системы

Классификация информационных систем по приказу

ФСТЭК №17

• Информационная система имеет федеральный масштаб, если

она функционирует на территории РФ (в пределах федерального

округа) и имеет сегменты в субъектах Российской Федерации,

муниципальных образованиях и (или) организациях.

• Информационная система имеет региональный масштаб, если

она функционирует на территории субъекта РФ и имеет сегменты

в одном или нескольких муниципальных образованиях и (или)

подведомственных и иных организациях.

• Информационная система имеет объектовый масштаб, если она

функционирует на объектах одного федерального органа

государственной власти, органа государственной власти субъекта

РФ, муниципального образования и (или) организации и не имеет

сегментов в территориальных органах, представительствах,

филиалах, подведомственных и иных организациях

Обязанность защиты

• Обладатель информации обязан принимать меры по защите


– Ст.6 ФЗ-149

• Обладатель информации, оператор информационной системы в

случаях, установленных законодательством Российской

Федерации, обязаны обеспечить…

– Ст.16 ФЗ-149

Требования по защите устанавливает

Требования по защите устанавливает

Обладатель Обладатель

Законодательство РФ Законодательство РФ

• Какие

требования?

• Есть ли

ограничения?

• Какие

подводные

камни?

Какие требования по защите установлены

законодательством РФ?

• Защита информации в государственных информационных

системах

• Защита персональных данных

• Защита информации при осуществлении денежных переводов

– В рамках Национальной платежной системы

• Защита ключевых систем информационной инфраструктуры

– Вызывает вопросы

• Отдельные требования в рамках других сфер деятельности

– Кредитные бюро, разработчики игровых автоматов и т.д.

Какие требования по защите может установить

обладатель информации?

Требования по защите выбираются

Требования по защите выбираются

Самостоятельно Самостоятельно

На основе лучших практик

На основе лучших практик

• К лучшим практикам (стандартам) с требованиями по защите

принято относить

– ISO 270xx

– IT-Grundschutz Methodology

– СТО БР ИББС

– …

ВВЕДЕНИЕ В СИСТЕМУ

ПРАВА

Отрасли права

• Частное право

– Гражданское

• Публичное право

– Конституционное (государственное)

– Уголовное

– Административное

– Процессуальное

• Международное право

Взаимосвязь отраслей права

Госорган Компания Физлицо

Конституция

Прокуратура

Гражданское

право

Процессуальное

право

Административное

право

Конституционное

право

Суд

Суд Уголовное

право

Отрасли законодательства

• Семейное

• Земельное

• Хозяйственное

• О собственности

• Банковское

• Торговое

• Трудовое

• Налоговое

• Таможенное

• Информационное

• О государственной безопасности

• …

Источники права

• Нормативные акты

• Правовой обычай

– Представляет собой санкционированное государством правило

поведения, сложившееся в обществе в результате его

многократного и длительного применения

– В области ИБ отсутствуют, но есть в области права

• Прецедент (в России не применяется)

– Решение судебного органа по конкретному делу, которое

рассматривается в качестве образца при рассмотрении таких же

или аналогичных дел

– Существует два вида прецедентов: судебный и

административный (решение, принимаемое административным

органом или административным судом)

• Правовой договор

– Например, коллективный или международный договор

НОРМАТИВНЫЕ АКТЫ

Что такое НПА

• «Нормативный правовой акт - это письменный официальный

документ, принятый (изданный) в определенной форме

правотворческим органом в пределах его компетенции и

направленный на установление, изменение или отмену правовых

норм. В свою очередь, под правовой нормой принято понимать

общеобязательное государственное предписание постоянного

или временного характера, рассчитанное на многократное

применение»

– Постановление Государственной Думы Федерального Собрания

Российской Федерации от 11 ноября 1996 г. N 781-II ГД «Об

обращении в Конституционный Суд Российской Федерации»

Нормативные и ненормативные акты

• Указы Президента могут быть нормативными, т.е. содержать

общеобязательные правила поведения, и ненормативными

(например, о награждении какого-либо лица)

• Распоряжения Правительства РФ - не имеют нормативного

характера, принимаются по оперативным вопросам

• Ведомственные акты также могут быть нормативными и

ненормативными (например, о составе какого-либо комитета)

Нормативные и ненормативные акты

• Нормативные акты отличаются от ненормативных по следующим

признакам

– Адресованы неопределенному или широкому кругу лиц.

– Возможность неоднократного применения акта

• Бывают ситуации, когда в одном документе имеются как

правовые нормы, так и индивидуальные предписания

– В этом смысле такой документ следует считать «нормативным»

актом, но «источником права» будет, строго говоря, только та его

часть, где устанавливаются правовые нормы

Высокоуровневая иерархия нормативных актов

Нормативные акты

Нормативные акты

Международные Международные

Национальные Национальные

Законодательные Законодательные

Подзаконные Подзаконные

Иерархия нормативно-правовых актов

Международный договор

Международный договор

Конституция Конституция Федеральные

конституционные законы

Федеральные конституционные

законы

Основы законодательства

Основы законодательства

Кодексы Кодексы Федеральные

законы Федеральные

законы

Указы и Распоряжения Президента РФ

Указы и Распоряжения Президента РФ

Постановления и Распоряжения

Правительства РФ

Постановления и Распоряжения


Акты министерств и ведомств

Акты министерств и ведомств

Конституции и Уставы субъектов

РФ

Конституции и Уставы субъектов

РФ

Законы субъектов РФ

Законы субъектов РФ

Акты органов местного


Акты органов местного


ЮРИДИЧЕСКАЯ СИЛА

Юридическая сила

• Вертикальная

– Акт вышестоящего органа (должностного лица) обладает

бóльшей юридической силой, чем акт нижестоящего органа

(должностного лица)

• Горизонтальная

– Новый акт имеет бóльшую юридическую силу по отношению к

ранее принятому (изданному) по тому же вопросу нормативному

акту того же государственного органа (должностного лица)

– Классический принцип – последующий акт отменяет

предшествующий

– Могут быть исключения (но редко)

Юридическая сила и международные договора

• Горизонтальная

– Принцип «нового акта» не распространяется на ратификацию

международных договоров и на новые законы, посвященные тем

же вопросам, которые решены в международном договоре

• Государства не могут обуславливать неисполнение

международных договоров особенностями национального

законодательства

– Венская конвенция о праве международных договоров

Могут ли разные ФЗ иметь разную юридическую силу?

• в ст. 76 Конституции РФ не определяется и не может

определяться иерархия актов внутри одного их вида, в данном

случае - федеральных законов. Ни один федеральный закон в

силу ст. 76 Конституции РФ не обладает по отношению к другому

федеральному закону большей юридической силой. Правильный

же выбор на основе установления и исследования фактических

обстоятельств и истолкование норм, подлежащих применению в

конкретном деле, относится не к ведению КС РФ, а к ведению

судов общей юрисдикции и арбитражных судов. Данная правовая

позиция сформулирована и неоднократно подтверждена

Конституционным Судом РФ в ряде решений, в том числе в

определениях от 9 апреля 1998 года № 48-О, от 12 марта 1998

года № 51-О, от 19 мая 1998 года № 62-О, от 8 октября 1998 года

№ 195-О

– ОПРЕДЕЛЕНИЕ КС РФ от 05.11.1999 № 182-О

Что делать, если один ФЗ противоречит другому?

• В отношении федеральных законов как актов одинаковой

юридической силы применяется правило «lex posterior derogat

priori» («последующий закон отменяет предыдущие»),

означающее, что даже если в последующем законе отсутствует

специальное предписание об отмене ранее принятых

законоположений, в случае коллизии между ними действует

последующий закон; вместе с тем независимо от времени

принятия приоритетными признаются нормы того закона, который

специально предназначен для регулирования соответствующих

отношений

– ПОСТАНОВЛЕНИЕ КС РФ от 29.06.2004 № 13-П

ПОСТАНОВЛЕНИЕ

ПРАВИТЕЛЬСТВА №1009

Документы регуляторов

• Должны быть опубликованы в открытой печати

– п.2 ст.4 ФЗ-152

– п.17 Постановления Правительства №1009 от 13.08.1997 «Об

утверждении Правил подготовки нормативных правовых актов

федеральных органов исполнительной власти и их

государственной регистрации»

• Должны быть зарегистрированы в МинЮсте, т.к. могут

затрагивать обязанности гражданина и устанавливать правовой

статус организаций

– п.10 Постановления Правительства №1009 от 13.08.1997

• Должны быть подписаны только руководителем ФСТЭК, ФСБ

– п.9 Постановления Правительства №1009 от 13.08.1997

К чему это ведет?..

• Федеральные органы исполнительной власти направляют для

исполнения нормативные правовые акты, подлежащие

государственной регистрации, только после их регистрации и

официального опубликования

• При нарушении указанных требований нормативные правовые

акты, как не вступившие в силу, применяться не могут

– п.19 Постановления Правительства №1009 от13.08.1997

• Нелегитимность нормативно-правового акта определяет только

суд и МинЮст

Изменение 1009-ПП

• ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые

акты Правительства Российской Федерации»

– Проекты НПА и нормативных документов ФОИП, которыми

регулируются отношения в области организации и

осуществления государственного контроля (надзора), в области

установления, применения и исполнения обязательных

требований к продукции или связанным с ними процессам

проектирования (включая изыскания), производства,

строительства, монтажа, наладки, эксплуатации, хранения,

перевозки, реализации и утилизации, в области оценки

соответствия и в области безопасности процессов производства,

подлежат направлению в МЭР РФ на заключение об оценке

регулирующего воздействия

Изменение 1009-ПП (окончание)

• ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые

акты Правительства Российской Федерации»

– В этом заключении дается оценка регулирующего воздействия

соответствующих решений с целью выявления положений,

вводящих избыточные административные и иные ограничения и

обязанности для субъектов предпринимательской и иной

деятельности или способствующих их введению, а также

положений, способствующих возникновению необоснованных

расходов субъектов предпринимательской и иной деятельности и

бюджетов всех уровней бюджетной системы Российской

Федерации

ВСТУПЛЕНИЕ В СИЛУ

Вступление нормативного акта в силу

• Закон вступает в силу с момента его опубликования, если иное не

установлено в самом законе

• Порядок вступления в силу нормативно-правовых актов

определяется

– п.3.ст.15 Конституции РФ

– ФЗ от 14.06.94 № 5-ФЗ «О порядке опубликования и вступления в

силу федеральных конституционных законов, федеральных

законов, актов палат Федерального Собрания»

– Указом Президента РФ от 23 мая 1996 года № 763 «О порядке

опубликования и вступления в силу актов Президента

Российской Федерации, Правительства Российской Федерации и

нормативных правовых актов Федеральных органов

исполнительной власти»

– Постановление Правительства РФ от 13 августа 1997 г. № 1009

Вступление нормативного акта в силу

• По общему правилу федеральные конституционные законы,

федеральные законы вступают в силу одновременно на всей

территории РФ по истечении 10 дней после дня их официального

опубликования

• Однако самим законом может быть установлен специальный

порядок вступления его в силу

• Наиболее распространенным специальным правилом является

указание в самом законе точной даты вступления его в силу, но

могут быть и разновидности этого правила

– например, «Настоящий Федеральный закон вводится в действие

на всей территории Российской Федерации через шесть месяцев

после его официального опубликования» (ФЗ-152)

Опубликование закона

• В силу п.3.ст.15 Конституции РФ законы подлежат официальному

опубликованию

• Неопубликованные законы не применяются

• Любые нормативные правовые акты, затрагивающие права,

свободы и обязанности человека и гражданина, не могут

применяться, если они не опубликованы официально для

всеобщего сведения

• Официальным опубликованием закона считается первая

публикация полного текста соответствующего закона в

– «Парламентской газете»

– «Российской газете»

– Собрании законодательства РФ

– На официальном интернет-портале правовой информации

(www.pravo.gov.ru)

Опубликование актов Президента и Правительства

• Акты Президента РФ, имеющие нормативный характер,

вступают в силу одновременно на всей территории РФ по

истечении 7 дней после дня их первого официального


• Акты Правительства РФ, затрагивающие права, свободы и

обязанности человека и гражданина, устанавливающие правовой

статус федеральных органов исполнительной власти, а также

организаций, вступают в силу одновременно на всей территории

РФ по истечении 7 дней после дня их первого официального


• Иные акты Президента РФ и Правительства РФ, в том числе

акты, содержащие сведения, составляющие государственную

тайну, или сведения конфиденциального характера, вступают в

силу со дня их подписания

Опубликование актов Президента и Правительства

• Официальным опубликованием актов Президента РФ и

Правительства РФ считается публикация их текстов

– в «Российской газете»

– в Собрании законодательства РФ

– официальными являются также тексты названных актов,

распространяемые в машиночитаемом виде научно-техническим

центром правовой информации «Система»

• Так же как и законы, акты Президента РФ и Правительства РФ

могут устанавливать иной порядок вступления их в силу, что

широко используется в правотворческой деятельности как

Президента РФ, так и Правительства РФ

Опубликование ведомственных актов

• Под официальной публикацией признается публикация

– в газете "Российские вести" в течение 10 дней после дня их

регистрации

– а также в Бюллетене нормативных актов федеральных

органов исполнительной власти издательства "Юридическая

литература"

– Официальным также является указанный Бюллетень,

распространяемый в машиночитаемом виде научно -

техническим центром правовой информации "Система"

Опубликование актов субъектов РФ и органов местного


• Акты субъектов Российской Федерации подлежат официальному

опубликованию в изданиях субъекта РФ - так, например, в Москве

акты публикуются

– в газете «Тверская, 13»

– в «Ведомостях Московской Думы»

– в «Вестник Мэрии Москвы»

О КОРРУПЦИОГЕННОСТИ

НОРМАТИВНЫХ АКТОВ

О коррупциогенности НПА

• Любые нормативно-правовые акты должны проходить проверку

по методике проведения экспертизы проектов нормативных

правовых актов и иных документов в целях выявления в них

положений, способствующих созданию условий для проявления

коррупции

– Постановление Правительства от 5 марта 2009 г. №196

• Новый ФЗ-152 не проходил такую проверку!

О коррупциогенности НПА (продолжение)

• Факторы, связанные с реализацией полномочий органа

государственной власти

– Установление неопределенных, трудновыполнимых и

обременительных требований к организациям

– Отсутствие четкой регламентации прав организаций

– Возможность необоснованного установления исключений из

общего порядка для организаций по усмотрению органов власти

– Установление общеобязательных правил поведения в

подзаконном акте в условиях отсутствия закона

– Употребление неустоявшихся, двусмысленных терминов и

категорий оценочного характера

– 5 из 9 факторов!

О коррупциогенности НПА (продолжение)

• Факторы, связанные с правовыми пробелами

– Отсутствие порядка совершения органами власти определенных

действий либо одного из элементов такого порядка

– Отсутствие превентивных антикоррупционных норм

– Отсутствие норм о юридической ответственности служащих, а

также норм об обжаловании их действий (бездействия) и

решений

– Отсутствие норм, обеспечивающих возможность осуществления

контроля, в том числе общественного, за действиями органов

власти

– Отсутствие норм, предусматривающих раскрытие информации о

деятельности органов власти и порядка получения информации

по запросам граждан и организаций

– 5 из 7 факторов

О коррупциогенности НПА (окончание)

• Факторы системного характера

– Противоречия (нормативные коллизии), в том числе внутренние,

между нормами, создающие для органов власти возможность

произвольного выбора норм, подлежащих применению в

конкретном случае

ПРЕКРАЩЕНИЕ ДЕЙСТВИЯ


Прекращение действия нормативных актов

• Прекращение действия законов и других нормативно-правовых

актов, а также утрата ими юридической силы происходят в

результате следующих обстоятельств

– в результате истечения срока действия закона или иного

нормативно-правового акта, который заранее указывается в

самом акте

– в результате прямой отмены действующего нормативно-

правового акта и замены его другим актом, изданным

компетентным государственным органом

– в результате замены действующего нормативного акта другим

актом, устанавливающим в данной области новые правила

поведения. Юридическая сила прежнего акта утрачивается в

момент введения в действие нового акта

ИМЕЕТ ЛИ ЗАКОН

ОБРАТНУЮ СИЛУ?

Закон обратной силы не имеет

• Это в общем случае так, но в различных отраслях права

существуют особые правила действия правовых актов

• Для гражданско-правовых отношений, вытекающих из

заключенного договора, в качестве исключения введено правило

(п.2 ст.422 ГК РФ):

– действие закона, устанавливающего обязательные для сторон

правила, иные, чем те, которые действовали при заключении

договора, может распространяться на отношения, возникшие из

ранее заключенного договора, если это прямо указано в законе

Закон обратной силы не имеет

• В отношении уголовных правоотношений действует правило

иного рода (ст.10 УК РФ):

– уголовный закон, устанавливающий преступность деяния,

смягчающий наказание или иным образом улучшающий

положение лица, совершившего преступление, имеет обратную

силу, то есть распространяется на лиц, совершивших

преступление до вступления такого закона в силу...

• Уголовный закон, устанавливающий преступность деяния,

усиливающий наказание или иным образом ухудшающий

положение лица, обратной силы не имеет

ДЕЙСТВИЕ НОРМАТИВНОГО

АКТА В ПРОСТРАНСТВЕ

Действие нормативных актов в пространстве

• По территориальному критерию все нормативно-правовые акты

подразделяются на акты, действие которых распространяется на

– всю территорию государства

– акты, охватывающие определенную ее часть

– акты, действие которых распространяется за пределы

территории страны

• «Если международным договором Российской Федерации

установлены иные правила, чем предусмотренные законом, то

применяются правила международного договора»

– Ст.15 Конституции РФ

• Примеры: PCI DSS, Евроконвенция по персональным данным

Сила международных договоров

• Общепризнанные принципы и нормы международного права и

международные договоры РФ являются составной частью ее

правовой системы

• Если международным договором РФ установлены иные правила,

чем предусмотренные законом, то применяются правила

международного договора

– п. 4 ст. 15 Конституции РФ

• При этом Конституция РФ и федеральные законы имеют

верховенство на всей территории Российской Федерации

– п. 2 ст. 4 Конституции РФ

• Дуализм решается следующим образом - международный

договор и его нормы должен быть имплементирован в

национальное законодательство национальным законом

– Напрямую применять международный договор невозможно

ОСНОВНЫЕ

ДОКТРИНАЛЬНЫЕ

ПРИНЦИПЫ

Основные доктринальные принципы

• «Все, что не запрещено, разрешено» и наоборот

• Каждое правонарушение подразумевает ответственность

• Последующее отменяет предыдущее

• Приоритет специального закона по отношению к общему закону

• Незнание закона не освобождает от ответственности

• Неопубликованные законы не применяются

• Отягчающий закон обратной силы не имеет

• «Презумпция невиновности»

Все, что не запрещено, разрешено

• Основополагающий принцип частного права (диспозитивная

норма)

• У государственных органов принцип прямо противоположный –

«все, что не разрешено, запрещено» (императивная норма)

– Госорганы действуют только в рамках своей компетенции,

установленной нормативными актами

Каждое правонарушение подразумевает ответственность

• Если ответственность за нарушение какого-либо нормативного

требования не установлена, то и данное требование в

юридическом смысле не существует

Последующее отменяет предыдущее

• Posterior potior est priori – этот принцип относится ко всем

официальным юридическим актам

• В этом контексте формулируется следующее правило: из двух

правовых актов, изданных одним и тем же государственным

органом по одному и тому же вопросу, действует акт, принятый в

более позднее время

Общие и специальные нормы права

• По предмету действия различаются законы общие и специальные

• Специальный закон детализирует общее правило, устанавливает

исключения или особенности регулирования некоторых

отношений, которые входят в предмет регулирования общего

закона

• Отсюда вытекает принцип lex speciali derogat legi generali (если

есть специальный закон, то общий не применяется)

Общие и специальные нормы права

• Если нормативные акты, содержащие общую и специальную

норму находятся в иерархической соподчиненности, то акт

низшей силы может устанавливать специальные нормы лишь в

том случае, если это прямо предусмотрено актом высшей силы

• При наличии общей нормы закона подзаконные нормативные

акты применяются тогда, когда общий закон прямо

предусматривает установление специальных норм именно в

подзаконных актах – например, в постановлениях правительства

Пример: оценка соответствия

ФЗ-149 ФЗ-149

Оценка соответствия только для

государственных информационных

систем

Для остальных заказчиков

требований по оценке соответствия средств

защиты нет

ФЗ-152 ФЗ-152

Средства защиты персональных данных

подлежат оценке соответствия в установленном

порядке

Пример: защита ПДн при переводе денежных средств

ФЗ-152 ФЗ-152

Общие нормы по защите ПДн

Требования по защите установлены в ПП-

1119

Детальные требования

установлены приказом ФСТЭК №21

ФЗ-161 ФЗ-161

Распространяется на защиту информации при осуществлении

денежных средств, в т.ч. на ПДн

Требования по защите, в т.ч. ПДн,

установлены в 382-П

Неопубликованные законы не применяются

• Любой закон должен быть опубликован для всеобщего сведения,

прежде чем можно будет его применять и, в частности,

привлекать к юридической ответственности на основании этого

закона

• Нельзя привлекать к ответственности за нарушение закона,

которого не просто не знают, но и, по общему правилу, не могут

знать

• «Законы подлежат официальному опубликованию.

Неопубликованные законы не применяются. Любые нормативные

правовые акты, затрагивающие права, свободы и обязанности

человека и гражданина, не могут применяться, если они не

опубликованы официально для всеобщего сведения»

– ч.3 ст.15 Конституции РФ

Неопубликованные законы не применяются

• Не бывает нормативных правовых актов, не опубликованных для

всеобщего сведения. Если нормативный акт, тем более –

затрагивающий права, свободы и обязанности, не опубликован,

то он не является правовым, не имеет юридической силы

Пример: сертификация средств защиты ГИС и ПДн

• ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия

продукции (работ, услуг), используемой в целях защиты

сведений, относимых к охраняемой в соответствии с

законодательством РФ информации ограниченного доступа, не

содержащей сведения, составляющие государственную тайну, а

также процессов ее проектирования (включая изыскании),

производства, строительства, монтажа, наладки, эксплуатации,

хранения, перевозки, реализации, утилизации и захоронения,

об особенностях аккредитации органов по сертификации и

испытательных лабораторий (центров), выполняющих работы по

подтверждению соответствия указанной продукции (работ,

услуг)»

– ДСП

Постановление Правительства 330

• Сфера применения - государственные информационные ресурсы

и персданные

– Нелогично, но зато не на все виды информации

• Оценка соответствия осуществляется в формах обязательной

сертификации и государственного контроля (надзора)

– Теперь только сертифицированные средства защиты


• Принцип подтверждения соответствия – «ограниченный доступ к

информации и документам, касающимся установления

обязательных требований, сертификационных испытаний

продукции и подтверждения ее соответствия, а также методов и

способов защиты информации конфиденциального характера»

Где взять ПП-330?

• Cisco направила официальный запрос в ФСТЭК по факту

получения ПП-330

– Ответ: вы не лицензиат ФСТЭК, документ вам не положен

• Один лицензиат ФСТЭК направил официальный запрос в ФСТЭК

по факту получения ПП-330

– Ответ: мы не Правительство и не можем распространять его

документы

• Резюме: на законных основаниях получить текст ПП-330 вы не

можете

А надо ли выполнять ПП-330?

• На основании и во исполнение … могут принимать нормативные

правовые акты по отдельным вопросам, касающимся обработки

персональных данных… такие акты …подлежат официальному

опубликованию

– Ст.4.2 ФЗ-152

• Открытость и доступность для юридических лиц и

индивидуальных предпринимателей нормативных правовых

актов, устанавливающих обязательные требования, выполнение

которых проверяется при проведении государственного контроля

(надзора)

– ФЗ-294

Отягчающий закон обратной силы не имеет

• Закон, устанавливающий или отягчающий ответственность,

обратной силы не имеет, т.е. действует на будущее (ex nunc) и не

применяется к деяниям, которые были совершены до его

вступления в силу. Наоборот, смягчающий закон имеет обратную

силу, т.е. применяется к деяниям, совершенным до его принятия

• «Никто не может нести ответственность за деяние, которое в

момент его совершения не признавалось правонарушением. Если

после совершения правонарушения ответственность за него

устранена или смягчена, применяется новый закон»

– ч.2 ст.54 Конституции РФ

Отягчающий закон обратной силы не имеет

• Если закон устраняет ответственность, т.е. устанавливает, что

соответствующее деяние не является правонарушением, то он

должен применяться ex tunc – ко всем деяниям, которые были

совершены с момента принятия прежнего закона

– Все наказанные по прежнему закону должны быть

реабилитированы

• Если же закон не устраняет, а только смягчает юридическую

ответственность, т.е. не отрицает, что деяние является

правонарушением, то он должен применяться, по меньшей мере,

к тем уже совершенным деяниям, ответственность за которые

еще не наступила (например, наказание еще не назначено)

Обвиняемый считается невиновным, пока его виновность

не доказана

• Административное право (презумпция правомерности): истец

(заявитель) должен доказать, что административный акт не

соответствует закону

• Конституционное право (презумпция правомерности): заявитель

должен доказать, что закон не соответствует Конституции

• Уголовное право (презумпция невиновности): обвинитель должен

доказать, что обвиняемый совершил преступление

• Гражданское право: истец должен доказать, что ответчик не

выполнил обязательства или причинил вред

– Не существует понятия презумпции невиновности - речь идет лишь

об обязанности надлежащего ответчика выполнить обязательство

и возместить убытки или возместить причиненный им вред

– При этом предполагается вина лица, в отношении которого

установлено, что оно нарушило обязательство или причинило вред

Обвиняемый не обязан доказывать свою невиновность

• Частная формулировка презумпции невиновности

– Запрет возлагать доказывание невиновности на обвиняемого

(подсудимого) не лишает обвиняемого права опровергать доводы

обвинения и тем самым подтверждать свою невиновность

• В гражданском процессе лицо, против которого подан иск, не

обязано доказывать, что оно не является надлежащим ответчиком.

Оно признается надлежащим ответчиком лишь в том случае, если

истец предъявит достаточные доказательства того, что лицо,

привлеченное по данному делу в качестве ответчика, не выполнило

обязательство или причинило вред

– Лицо, уже признанное надлежащим ответчиков, обязано выполнить

требования истца, либо доказать, что оно не обязано выполнять

эти требования. Поэтому отсутствие вины, в частности, наличие

непреодолимой силы или умысла потерпевшего, доказывается

самим лицом, нарушившим обязательство или причинившим вред

РЕГУЛЯТОРЫ И ИХ

ТРЕБОВАНИЯ

Регуляторы в области ИБ

ИБ ИБ

ФСТЭК ФСТЭК

ФСБ ФСБ

Минком-связь

Минком-связь

МО МО

СВР СВР

ФСО ФСО

ЦБ

ЦБ

PCI

Council

РКН

СовБез

МВД

МинЭнерго

А это еще не все ;-)

• 23 августа 2012 года Президент Путин подписал Указ «Об

утверждении Положения об Управлении Президента Российской

Федерации по применению информационных технологий и

развитию электронной демократии»

– Участие в обеспечении реализации решений Президента

Российской Федерации, Администрации Президента Российской

Федерации, координационных и совещательных органов при

Президенте Российской Федерации по вопросам применения

информационных технологий в целях обеспечения безопасности

граждан в информационно-коммуникационных сетях

• Росфинмониторинг хочет регулировать электронные деньги

• Национальный антитеррористический комитет хочет

регулировать деятельность кибертеррористов и

киберэкстремистов

ДИНАМИКА ПРИНЯТИЯ


В среднем появляется 4 нормативных акта в месяц

0

1

2

3

4

5

6

7

8

Большинство нормативных актов обязательны

86

15

6 7

Обязательный

Рекомендации

Пожелание

Разъяснение

Процесс разработки нормативных актов продолжается

40

74 Проект Принят

Около половины всех нормативных актов – это

Федеральные Законы или Постановления Правительства

3

2

6 5

26

22

20

1 3

2 5

1 2

4

1 Распоряжение Правительства

Положение Банка России

Указание Банка России

Информационное сообщение

Федеральный закон

Приказ

Постановление Правительства

Поручение Правительства

Поручение Президента

Методика

Письмо Банка России

Кодекс

Политика

Стандарт

Письмо ФТС

Инициаторы появления нормативных актов

традиционные

14

18

17

12

5

14

15

2 2 1 1

3

1 1

1

Минкомсвязь

Банк России

ФСТЭК

ФСБ

Роскомнадзор

Президент России

Правительство России

Совет Федерации

Совет Безопасности

Минэкономразвития

Верховный суд

НП НПС

ФССП

Федеральная нотариальная палата

ФТС

НПС/банки/госорганы/операторы связи – в приоритете

последних дней

59

17

10

8

10

2 1 1 1 1 1 Все

НПС

Банки

Госорганы

Операторы связи

ТЭК

УК, ТСЖ, ЖК, ЖСК

Нотариусы

Что происходило относительно недавно?

• Постановления Правительства по персональным данным

• Финансовая отрасль

– ФЗ «О национальной платежной системе»

– ПП-584 и 382-П

• ФЗ «Об электронной подписи»

– Планируют вновь перенести на 01.01.2015

• ФЗ «О госуслугах» и СМЭВ

• Безопасность ТЭК и КВО

• Новые НПА о лицензировании

• Новые НПА об оценке соответствия

• Борьба с негативной информацией

• Интеграция в мировое сообщество

• Требования по УЦ и ЭП

Что будет происходить совсем скоро?

• Персональные данные

– Новые приказы ФСТЭК и ФСБ

• Финансовая отрасль

– Новые документы по НПС

– СТО БР ИББС v5

• Требования к КВО и ТЭК

• Контроль Интернет

– «Черные списки»

– Борьба с анонимайзерами

– Контроль социальных сетей

– Облачные технологии

• Контроль западного влияния

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Базовая иерархия документов по ПДн

Приказы и иные документы

Постановления Правительства

Законы

Конвенции и иные международные договора

Европейская Конвенция

Европейская Конвенция

ФЗ №152 от 26.07.2006

ФЗ №160 от 19.12.2005

ФЗ №152 от 26.07.2006

ФЗ №160 от 19.12.2005

№1119 от 01.11.2012 №1119 от 01.11.2012

Приказ ФСТЭК №21 от

18.02.2013

Приказ ФСТЭК №21 от

18.02.2013

2 методички от ФСБ

2 методички от ФСБ

№687 от 15.09.2008 №687 от

15.09.2008 №512 от 6.07.2008 №512 от 6.07.2008

№221 от 21.03.2012 №221 от

21.03.2012 №940 от

18.09.2012 №940 от

18.09.2012

Директивы Евросоюза /

Европарламента

Рекомендации ОЭСР

Рекомендации АТЭС

• Тематику ПДн поднимают около двух сотен федеральных

законов, указов Президента, постановлений Правительства и

других нормативных актов

– Не всегда напрямую – могут упоминаться категории ПДн,

относящиеся к разряду общедоступных и т.д.

Это не все?!

• Тематику ПДн поднимают около двух сотен федеральных

законов, указов Президента, постановлений Правительства и

других нормативных актов

– Не всегда напрямую – могут упоминаться категории ПДн,

относящиеся к разряду общедоступных и т.д.

– Знание законов, включая ГК РФ, позволяет оптимизировать

вопросы, связанные с обработкой ПДн

Обработка – это не только обработка

• Обработка ПДн – любое действие (операция) или совокупность

действий (операций), совершаемых с использованием средств

автоматизации или без использования таких средств с

персональными данными, включая сбор, запись, систематизацию,

накопление, хранение, уточнение (обновление, изменение),

извлечение, использование, передачу (распространение,

предоставление, доступ), обезличивание, блокирование,

удаление, уничтожение персональных данных

Что такое персональные данные

• Персональные данные – любая информация, относящаяся к

прямо или косвенно определенному или определяемому

физическому лицу (субъекту персональных данных)

– Ст.3 ФЗ-152

• «Персональные данные» означают любую информацию об

определенном или поддающемся определению физическом лице

(субъект данных)

– ФЗ от 19.12.2005 №160 «О ратификации конвенции Совета

Европы о защите физических лиц при автоматизированной

обработке персональных данных»

Кто такой субъект ПДн?

Клиенты

• Действующие

• Бывшие

• Потенциальные

Работники

• Действующие

• Бывшие

• Потенциальные

Другие

• Посетители

• Аудиторы

• Контрагенты

• Арендаторы

• Ближайшие родственники

• Регуляторы

• Граждане

Перечни ПДн

• 75 международных НПА, 13 кодексов РФ, более 100 ФЗ и 250

актов Правительства РФ устанавливают различные перечни

запрашиваемых ПДн

– ФЗ-16 «О транспортной безопасности»

– ФЗ-27 «Об индивидуальном (персонифицированном) учете в

системе обязательного пенсионного страхования»

– ФЗ-129 «О государственной регистрации юридических лиц и

индивидуальных предпринимателей»

– ФЗ-143 «Об актах гражданского состояния»

– ФЗ-179 «Трудовой кодекс РФ»

– ФЗ-218 «О кредитных историях»

– ФЗ-256 «О дополнительных мерах государственной поддержки

семей, имеющих детей»

Категории ПДн

• Специальные ПДн

– ПДн, касающиеся расовой, национальной принадлежности,

политических взглядов, религиозных или философских

убеждений, состояния здоровья, интимной жизни, а также

сведения о судимости

• Биометрические ПДн

• Общедоступные ПДн

– ПДн, доступ неограниченного круга лиц к которым предоставлен

с согласия субъекта ПДн или на которые в соответствии с

федеральными законами не распространяется требование

соблюдения конфиденциальности

• Все остальные

Об операторах и обработчиках ПДн

• В отличие от ФЗ-152 в Евроконвенции определено 2 категории

лиц, занимающихся обработкой ПДн

– Оператор, определяющих цели и содержание

– Обработчик

• В новом ФЗ понятие «обработчик» появляется в виде «лица,

осуществляющее обработку персональных данных по поручению

оператора»

Оператор ПДн

Оператор ПДн Обработчик

ПДн Обработчик

ПДн

Об операторах и обработчиках ПДн (продолжение)

• Оператор вправе поручить обработку персональных данных

другому лицу с согласия субъекта персональных данных, если

иное не предусмотрено федеральным законом, на основании

заключаемого с этим лицом договора, в том числе

государственного или муниципального контракта, либо путем

принятия государственным или муниципальным органом

соответствующего акта

– Ст.6 ФЗ-152

• Форма поручения оператора в 152-ФЗ жестко не

регламентирована, но в нем описывается вся система

взаимоотношений между оператором и обработчиком в части

обработки ПДн

Об операторах и обработчиках ПДн (окончание)

• Условия обработки ПДн обработчиками

– Указание перечня действий (операций) с ПДн, которые будут

совершаться обработчиком и цели обработки

– Обеспечение конфиденциальность ПДн

– Обеспечение безопасности ПДн при их обработке

– Требования к защите обрабатываемых ПДн в соответствие с

ст.19

• Ответственность перед субъектом за действия обработчика все

равно несет оператор

– Обработчик несет ответственность перед оператором

Должен ли обработчик иметь лицензию ФСТЭК?

• В поручение оператора обязательно должно быть включено

требование обеспечивать безопасность персональных данных

при их обработке, а также указать требования к защите

обрабатываемых персональных данных в соответствии со

статьей 19 ФЗ-152

• В п.3 требований ПП-1119 также говорится, что «договор между

оператором и уполномоченным лицом должен предусматривать

обязанность уполномоченного лица обеспечить безопасность

персональных данных при их обработке в информационной

системе»

Закон по внесению изменений …в связи с принятием ФЗ-

160 и ФЗ-152

• Федеральный закон №99 от 7 мая 2013 «О внесении изменений в

некоторые законодательные акты РФ в связи с принятием ФЗ «О

ратификации Конвенции Совета Европы о защите физических

лиц при автоматизированной обработке персональных данных» и

ФЗ «О персональных данных» внесён Правительством РФ

– Закон подготовлен во исполнение Россией обязательства по

статье 4 Конвенции Совета Европы о защите физических лиц при

автоматизированной обработке персональных данных,

предусматривающей принятие каждой стороной необходимых

мер в рамках своего национального законодательства с целью

ввести в действие основополагающие принципы защиты данных

не позднее момента вступления Конвенции в отношении неё в

силу

Закон по внесению изменений … в связи с принятием ФЗ-

160 и ФЗ-152

• Правки вносятся в

– ФЗ «Об образовании»

– ФЗ «О прокуратуре»

– ФЗ «Об оперативно-розыскной деятельности»

– ФЗ «Об актах гражданского состояния»

– ФЗ «О негосударственных пенсионных фондах»

– ФЗ «О государственной дактилоскопической регистрации»

– ФЗ «О государственной социальной помощи»

– ФЗ «О государственном банке данных о детях, оставшихся без

попечения родителей»

– Трудовой Кодекс

Закон по внесению изменений …в связи с принятием ФЗ-

160 и ФЗ-152

• Правки вносятся в

– ФЗ «Об обязательном страховании гражданской ответственности

владельцев транспортных средств»

– Гражданский процессуальный кодекс Российской Федерации

– ФЗ «О системе государственной службы»

– ФЗ «О связи»

– ФЗ «О лотереях»

– ФЗ «О государственной гражданской службе»

– ФЗ «О муниципальной службе»

– ФЗ «Об образовании в Российской Федерации»

Приказ РКН об утверждении «адекватных» стран

• 4 критерия отнесения к

«адекватным» странам (помимо

ратификации Конвенции)

– Наличие национального


– Наличие санкций и средств

правовой защиты

– Наличие уполномоченного

органа по защите прав субъектов

– Оказание содействия в

пресечении незаконной

деятельности

Список адекватных стран

• Австралия

• Аргентина

• Канада

• Марокко

• Малайзия

• Мексика

• Монголия

• Новая Зеландия

• Ангола

• Бенин

• Кабо-Верде

• Корея

• Перу

• Сенегал

• Чили

• Гонконг

• Швейцария

• Австрия, Бельгия, Болгария,

Дания, Великобритания,

Венгрия, Германия, Греция,

Ирландия, Испания, Италия,

Латвия, Литва, Люксембург,

Мальта, Нидерланды, Польша,

Португалия, Румыния, Словакия,

Словения, Финляндия, Франция,

Чехия, Швеция, Эстония

Что думает РКН об обработке ПДн при кадровом

делопроизводстве?

• Федеральная служба по надзору в сфере связи,

информационных технологий и массовых коммуникаций

разъясняет вопросы, касающиеся обработки персональных

данных работников, соискателей на замещение вакантных

должностей, а также лиц, находящихся в кадровом резерве

– 14 декабря 2012 года

• Разъяснения подготовлены по результатам совместного

обсуждения с представителями экспертного сообщества: А.В.

Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В.

Об архивах и ПДн

• Действие ФЗ-152 не распространяется на отношения,

возникающие при организации хранения, комплектования, учета и

использования содержащих персональные данные документов

Архивного фонда Российской Федерации и других архивных

документов

– ст.2 ФЗ-152

• Архивный фонд Российской Федерации - исторически

сложившаяся и постоянно пополняющаяся совокупность архивных

документов, отражающих материальную и духовную жизнь

общества, имеющих историческое, научное, социальное,

экономическое, политическое и культурное значение, являющихся

неотъемлемой частью историко-культурного наследия народов

Российской Федерации, относящихся к информационным

ресурсам и подлежащих постоянному хранению

– ст.3 ФЗ-125

О ведении архивов

• «Основные правила работы архивов организаций»

– Решение Коллегии Росархива от 06.02.2002

• Основными задачами архива организации являются:

– комплектование архива документами, состав которых

предусмотрен положением об архиве

– учет и обеспечение сохранности документов

– создание научно-справочного аппарата к документам архива

– использование хранящихся в архиве документов

• Требования к электронным архивам в кредитных организациях

установлены Указанием Банка России от 25.11.2009 №2346-У

• Банк России готовит проект Положения о порядке создания,

ведения и хранения баз данных на электронных носителях

О безопасности ПДн

• Оператор при обработке персональных данных обязан принимать

необходимые правовые, организационные и технические меры

или обеспечивать их принятие для защиты персональных данных

от неправомерного или случайного доступа к ним, уничтожения,

изменения, блокирования, копирования, предоставления,

распространения персональных данных, а также от иных

неправомерных действий в отношении персональных данных

– ст.19.1 ФЗ-152 «О персональных данных»

Разница между ФЗ и Евроконвенцией

ФЗ-152

• Требования определяют регуляторы

• Никакой привязки к природе ПДн, технологиям обработки, адекватности затрат

Евроконвенция

• Учитывает природу ПДн, возможности нарушителя, возможности технологии обработки, адекватность стоимости системы защиты наносимому ущербу

• Гибкий подход

Мероприятия по защите

• Определение угроз безопасности ПДн при их обработке в ИСПДн

• Применение организационных и технических мер по обеспечению

безопасности ПДн при их обработке в ИСПДн, необходимых для

выполнения требований к защите ПДн, исполнение которых

обеспечивает установленные Правительством Российской

Федерации уровни защищенности ПДн

• Применение прошедших в установленном порядке процедуру

оценки соответствия средств защиты информации

• Оценка эффективности принимаемых мер по обеспечению

безопасности ПДн до ввода в эксплуатацию ИСПДн

• Учет машинных носителей ПДн

• Обнаружение фактов несанкционированного доступа к ПДн и

принятием мер

Мероприятия по защите

• Восстановление ПДн, модифицированных или уничтоженных

вследствие несанкционированного доступа к ним

• Установление правил доступа к ПДн, обрабатываемым в ИСПДн,

а также обеспечением регистрации и учета всех действий,

совершаемых с ПДн в ИСПДн

• Контроль за принимаемыми мерами по обеспечению

безопасности ПДн и уровня защищенности ИСПДн

Кто должен защищать ваши персональные данные?

• Безопасность персональных данных при их обработке в

информационной системе обеспечивает оператор этой системы,

который обрабатывает персональные данные, или лицо,

осуществляющее обработку персональных данных по поручению

оператора на основании заключаемого с этим лицом договора

– п.3 ПП-1119

• Аутсорсинг защиты ПДн позволяет снять с себя часть задач (а

также затрат) по реализации подзаконных актов

– Но сам ФЗ-152 придется выполнять

Прежние сценарии классификации ИСПДн

• Специальные и типовые

• Тип и объем ПДн

• 4 класса типовых (Кх) Приказ 3-х Приказ 3-х

• Все специальные СТО БР ИББС СТО БР ИББС

• Типовые и специальные

• Тип, объем и характеристики безопасности

• 4 класса + подклассы на основе 6 характеристик Минсвязь Минсвязь

• Все специальные

• Тип и объем ПДн

• 4 класса (КхС) НАУФОР НАУФОР

• Типовые и специальные

• 5 классов специальных ИСПДн (АРМ А, АРМ П, ИСПДнОСхс) Тритон Тритон

Класс ИСПДн или уровень защищенности?

Старый ФЗ + ПП-781

• Класс ИСПДн определяется в зависимости от объема и типа ПДн

• Класс и модель угроз определяют защитные меры

• Класс определяется оператором

Новый ФЗ + ПП-1119

• Понятие «классификации» отсутствует

• Вводится понятие «уровень защищенности»

• Зависит от угроз

• Определяются Правительством РФ

Постановление Правительства ПП-1119

• ИСПДн-С

– Обработка специальных ПДн, исключая судимость

• ИСПДн-Б

– Обработка биометрических ПДн

• ИСПДн-О

– Обработка ПДн, полученных только из общедоступных

источников ПДн

• ИСПДн-И

– Обработка иных категорий ПДн

• ИСПДн-Ю

– Обработка ПДн только сотрудников юрлица

Уровни защищенности

• Под уровнем защищенности ПДн понимается комплексный

показатель, характеризующий требования, исполнение которых

обеспечивает нейтрализацию определенных угроз безопасности

ПДн при их обработке в ИСПДн

• Правительство РФ с учетом возможного вреда субъекту ПДн,

объема и содержания обрабатываемых ПДн, вида деятельности,

при осуществлении которого обрабатываются ПДн, актуальности

угроз безопасности ПДн устанавливает

– уровни защищенности ПДн при их обработке в ИСПДн в

зависимости от угроз безопасности этих данных

Категории нарушителей

• КН1 – нарушитель (группа нарушителей), самостоятельно осуществляющий (осуществляющая) создание методов и средств реализации атак и реализацию атак на информационную систему (нарушитель с низким потенциалом)

• КН2 – группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на информационную систему с привлечением специалистов в области разработки и анализа средств защиты информации, включая специалистов в области защиты информации от утечки по техническим каналам и (или) специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного программного обеспечения (нарушитель со средним потенциалом)

• КН3 – нарушитель или группа нарушителей, осуществляющая создание методов и средств реализации атак и реализацию атак на информационную систему с привлечением специалистов в области разработки и анализа средств защиты информации, включая специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного программного обеспечения (нарушитель с высоким потенциалом)

От модели нарушителей к категории

КН1 • Н1-Н3 • Н1-Н3

КН2 • Н4-Н5 • Н4-Н5

КН3 • Н6 • Н6

6 моделей нарушителя ФСБ Н1 – внешний нарушитель, действующий без помощи изнутри

Н2 – внутренний нарушитель, не являющийся пользователем СКЗИ

Н3 – внутренний нарушитель, являющийся пользователем СКЗИ

Н4 – нарушитель, привлекающий специалистов в области разработки СКЗИ и их анализа

Н5 – нарушитель, привлекающий НИИ в области разработки СКЗИ и их анализа

Н6 – спецслужбы иностранных государств

От нарушителей к угрозам

• Угрозы 1-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в составе информационной системы персональных данных

• Угрозы 2-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в составе информационной системы персональных данных

• Угрозы 3-го типа актуальны для информационной системы персональных данных, если для нее не актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в составе информационной системы персональных данных

От модели нарушителя к типам угроз

КН1 • Н1-Н3 • Н1-Н3

КН2 • Н4-Н5 • Н4-Н5

КН3 • Н6 • Н6 1 тип

2 тип

3 тип


Типы угроз

Кто определяет угрозы?

• Определение типа угроз безопасности персональных данных,

актуальных для информационной системы персональных данных,

производится оператором с учетом совокупности условий и

факторов, указанных в подпункте «е» пункта 2, а также оценки

вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1

Федерального закона «О персональных данных», и нормативных

правовых актов, принятых во исполнение части 5 статьи 19

Федерального закона «О персональных данных»

– Оценка вреда производится самостоятельно

– Моделирование угроз может проводится по любой методике

Пункт «е»

• Под актуальными угрозами безопасности персональных данных

понимается совокупность условий и факторов, создающих

актуальную опасность несанкционированного, в том числе

случайного, доступа к персональным данным, результатом

которого могут стать уничтожение, изменение, блокирование,

копирование, предоставление, распространение персональных

данных, а также иные неправомерные действия при их обработке в

информационной системе персональных данных

Моделирование угроз: старый и новый ФЗ

Старый ФЗ

• Модель угроз определяется оператором

• Экспертная оценка

• Методика моделирования жестко не зафиксирована

Новый ФЗ

• Актуальность угроз определяет Правительство

• ФОИВ, госорганы, Банк России принимают отраслевые модели угроз, согласуемые с ФСТЭК и ФСБ

• Ассоциации, союзы определяют дополнительные модели угроз «для себя», согласуемые с ФСТЭК и ФСБ в порядке, установленном Правительством

Постановление Правительства №940 от 18.09.2012

• Об утверждении Правил согласования проектов решений

ассоциаций, союзов и иных объединений операторов об

определении дополнительных угроз безопасности персональных

данных, актуальных при обработке персональных данных в

информационных системах персональных данных,

эксплуатируемых при осуществлении определенных видов

деятельности членами таких ассоциаций, союзов и иных

объединений операторов, с Федеральной службой безопасности

Российской Федерации и Федеральной службой по техническому

и экспортному контролю

ПП-940 от 18.09.2012

• Порядок определения дополнительных отраслевых угроз

• Срок рассмотрения – 30 дней

• Основания для отказа

– наличие в проекте решения дополнительных угроз, которые

реализуются в составе других дополнительных угроз

безопасности ПДн, не отраженных в проекте решения;

– наличие в проекте решения дополнительных угроз, которые

влекут за собой возникновение других дополнительных угроз

безопасности ПДн, не отраженных в проекте решения;

– несоблюдение бюрократических требований, установленных

Постановлением

Что планирует Банк России?

• Проект Указания Банка России «Об

определении угроз безопасности

персональных данных, актуальных

при обработке персональных

данных в информационных

системах персональных данных»

Методики моделирования угроз

• AS/NZS 4360

• HB 167:200X

• EBIOS

• ISO 27005 (ISO/IEC IS 13335-2)

• MAGERIT

• MARION

• MEHARI

• CRISAM

• OCTAVE

• ISO 31000

• NIST SP 800-3

• SOMAP

• Lanifex Risk Compass

• Austrian IT Security Handbook

• A&K Analysis

• ISF IRAM (включая SARA, SPRINT)

• OSSTMM RAV

• BSI 100-3

• ISO 13335-3

• ISO TR 13569

• ГОСТ Р 51344-99

• Дерево атак

• MS Threat Modeling

• OWASP

• N-Softgoal

• DSECCT

Методики моделирования угроз (окончание)

• Cisco SAFE

• РС БР ИББС-2.2

• РС БР ИББС-2.4

• Методика ФСБ

• Методика ФСТЭК для КСИИ

• Trike

• EBIOS

• FRAP

• MG-2, MG-3

• SOMAP

• IRAM

Предполагаемая структура методики моделирования

угроз ФСТЭК

Содержание по ГОСТ Р 52448-2005

• Модель угроз должна включать

– Описание ресурсов инфокоммуникационной структуры (объектов

безопасности) сети связи, требующих защиты

– Описание источников формирования дестабилизирующих

воздействий и их потенциальных возможностей

– Стадии жизненного цикла сети электросвязи

– Описание процесса возникновения угроз и путей их практической

реализации

• Приложение к модели угроз

– Полный перечень угроз

– База данных выявленных нарушений безопасности электросвязи

с описанием обстоятельств, связанных с обнаружением

нарушением

Содержание по ГОСТ Р 51344-99

• Документация оценки и определения риска включает

– Характеристика оборудования (техусловия, область применения,

использование по назначению)

– Любые относящиеся к делу предположения, которые были

сделаны (например, факторы безопасности и т.д.)

– Идентифицированные опасности

– Информация, на основании которой сделана оценка и

определение риска (использованные данные и источники)

– Сомнения, связанные с использованными данными и

источниками

– Цели, которые должны быть достигнуты защитными мерами

(например, конфиденциальность, целостность и т.д.)

– Меры безопасности, принимаемые для устранения выявленных

опасностей или уменьшения риска

Содержание по ГОСТ Р 51344-99 (окончание)

• Документация оценки и определения риска включает

– Остаточные риски

Содержание по ГОСТ Р 51901.1-2002

• Отчет по анализу риска/угроз включает

– Краткое изложение анализа

– Выводы

– Цели и область применения анализа

– Ограничения, допущения и обоснование предположений

– Описание соответствующих частей системы

– Методология анализа

– Результаты идентификации опасностей

– Используемые модели, в т.ч. допущения и их обоснования

– Используемые данные и их источники

– Результаты оценки величины риска

– Анализ чувствительности и неопределенности

Содержание по ГОСТ Р 51901.1-2002 (окончание)

• Отчет по анализу риска/угроз включает

– Рассмотрение и обсуждение результатов

– Рассмотрение и обсуждение трудностей моделирования

– Ссылки и рекомендации


• Оператор вправе своим решением определить для своей

информационной системы уровень защищенности персональных

данных выше, чем требуется в соответствии с Положением

• Определение уровня защищенности персональных данных ниже

требуемого в соответствии с Положением возможно только с

письменного разрешения ФСТЭК и ФСБ

КН1 КН2 КН3

К1 УЗ-2 УЗ-1 УЗ-1





Источник: sborisov.blogspot.com

Двойственность нового ФЗ

• Оператор самостоятельно определяет состав и перечень мер,

необходимых и достаточных для обеспечения выполнения

обязанностей, предусмотренных настоящим Федеральным

законом и принятыми в соответствии с ним нормативными

правыми актами, если иное не предусмотрено настоящим

Федеральным законом или другими федеральными законами

• К числу таких мер могут, в частности, относиться

– Применение мер обеспечения безопасности ПДн в соответствии

со статьей 19 настоящего Федерального закона

За госорганы все решит Правительство

• Правительство Российской Федерации устанавливает перечень

мер, направленных на обеспечение выполнения обязанностей,

предусмотренных настоящим Федеральным законом и

принятыми в соответствии с ним нормативными правыми актами

операторами, являющимися государственными и

муниципальными органами

– ПП-211

• За всех остальных перечень мер определяется ФСТЭК и ФСБ

– На основании и во исполнение федеральных законов

государственные органы, Банк России, органы местного

самоуправления в пределах своих полномочий могут принимать

нормативные правовые акты по отдельным вопросам,

касающимся обработки ПДн

Постановление Правительства №1119

• Постановление Правительства от

1 ноября 2012 года №1119

• Утвердило требования к защите

ПДн при их обработке в ИСПДн

• Вобрало в себя два проекта

Постановлений Правительства

• Признало утратившим силу ПП-781


• Требования привязаны к уровням защищенности

• Устанавливают общие требования

– Детализация уйдет в приказы ФСТЭК и ФСБ

• Текст отличается от предыдущей редакции проекта

• Защита только от актуальных угроз

• Организационные и технические меры

• Контроль выполнения

– Оператор самостоятельно

– Лицензиат ФСТЭК на деятельность по ТЗКИ

– Не реже 1 раза в 3 года

Сравнение ПП-781 и ПП-1119 Сравнение ПП-781 и ПП-1119

п/п Требование ПП-1119 ПП-781

1. Защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе

Нет Да

2. Методы и способы защиты информации в информационных системах устанавливаются ФСТЭК и ФСБ в пределах их полномочий

Да Да

3. Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора

Нет Да

4. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ

Да Нет

5. Контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом)

Да Нет

6. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия

Да Да

7. Информационные системы классифицируются в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства

Да Да

8. Порядок проведения классификации информационных систем устанавливается совместно ФСТЭК, ФСБ и Минкомсвязи

Нет Да

9. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств

Нет Да

10. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц

Да Да

11. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются ФСТЭК и ФСБ в пределах их полномочий

Нет Да

12. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных

Да Да

13. Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой

Нет Да

Сравнение ПП-781 и ПП-1119

Новые требования по защите ПДн в ПП-1119

4 уровень

• Организован режим обеспечения безопасности помещений, в которых размещена ИСПДн, исключающий возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц

• Обеспечивается сохранность носителей ПДн

• Руководителем оператора утвержден документ, определяющий перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей

3 уровень

• 4-й уровень защищенности +

• Назначено должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе персональных данных

• Доступ к содержанию электронного журнала сообщений возможен только должностному лицу (работнику) оператора или уполномоченного лица

2 уровень


• Применение средств защиты информации, успешно прошедших процедуру оценки соответствия в соответствии с законодательством Российской Федерации

1 уровень


• Факт изменения полномочий субъектов доступа к объектам доступа регистрировался автоматизированными средствами информационной системы персональных данных в электронном журнале безопасности

• Назначить структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе персональных данных

ВВЕДЕНИЕ В ПРИКАЗ №21

Новый приказ ФСТЭК

• №21 от 18.02.2013 «Об

утверждении Состава и

содержания организационных и

технических мер по обеспечению

безопасности персональных

данных при их обработке в

информационных системах

персональных данных»

• Отменяет Приказ ФСТЭК от

05.02.2010 №58

• Меры по защите ПДн в ГИС

принимаются в соответствии с

требованиями о защите

информации, содержащейся в ГИС

Вас могут защищать только лицензиаты ФСТЭК или вы

сами

• Для выполнения работ по обеспечению безопасности


системе в соответствии с законодательством Российской

Федерации могут привлекаться на договорной основе юридическое

лицо или индивидуальный предприниматель, имеющие лицензию

на деятельность по технической защите конфиденциальной


• Оценка эффективности реализованных в рамках системы защиты

персональных данных мер по обеспечению безопасности

персональных данных проводится оператором самостоятельно

или с привлечением на договорной основе юридических лиц и

индивидуальных предпринимателей, имеющих лицензию на

осуществление деятельности по технической защите


Меры по защите информации

• В состав мер по обеспечению безопасности ПДн, реализуемых в

рамках системы защиты ПДн с учетом актуальных угроз

безопасности ПДн и применяемых информационных технологий,

входят

– идентификация и аутентификация субъектов доступа и объектов

доступа

– управление доступом субъектов доступа к объектам доступа

– ограничение программной среды

– защита машинных носителей информации, на которых хранятся

и (или) обрабатываются персональные данные

– регистрация событий безопасности

– антивирусная защита

– обнаружение (предотвращение) вторжений

– контроль (анализ) защищенности персональных данных

Меры по защите информации

• продолжение:

– обеспечение целостности информационной системы и

персональных данных

– обеспечение доступности персональных данных

– защита среды виртуализации

– защита технических средств

– защита информационной системы, ее средств, систем связи и

передачи данных

– выявление инцидентов (одного события или группы событий),

которые могут привести к сбоям или нарушению

функционирования информационной системы и (или) к

возникновению угроз безопасности персональных данных, и

реагирование на них

– управление конфигурацией информационной системы и системы

защиты персональных данных

Как определяются защитные меры

• Выбор мер по обеспечению безопасности ПДн,

подлежащих реализации в системе защиты ПДн,

включает

– определение базового набора мер

– адаптацию базового набора мер с учетом

структурно-функциональных характеристик

ИСПДн, ИТ, особенностей функционирования

ИСПДн

– уточнение адаптированного базового набора с

учетом не выбранных ранее мер

– дополнение уточненного адаптированного

базового набора мер по обеспечению

безопасности ПДн дополнительными мерами,

установленными иными нормативными актами

Базовые меры Базовые меры

Адаптация базового набора


Уточнение адаптированного набора


Дополнение уточненного адаптированного набора Дополнение уточненного адаптированного набора

Компенсационные меры Компенсационные меры

А можно ли исключать защитные меры из списка?

• Исключение из базового набора мер возможно, если какие-либо

информационные технологии не используются в

информационной системе, или присутствуют структурно-

функциональные характеристики, не свойственные

информационной системе

• Например, мера

– ИАФ.6 «Идентификация и аутентификация пользователей, не

являющихся работниками оператора (внешних пользователей)»

при отсутствии внешних пользователей – если данная

характеристика не свойственна ИСПДн

– УПД.14 «Регламентация и контроль использования в

информационной системе технологий беспроводного доступа» -

если данная ИТ не используется в ИСПДн

А если какую-то меру невозможно реализовать?

• При невозможности технической

реализации отдельных выбранных мер

по обеспечению безопасности

персональных данных, а также с

учетом экономической

целесообразности на этапах

адаптации базового набора мер и

(или) уточнения адаптированного

базового набора мер могут

разрабатываться иные

(компенсирующие) меры,

направленные на нейтрализацию

актуальных угроз безопасности


Компенсирующие меры

• В ходе разработки системы защиты персональных данных

должно быть проведено обоснование применения

компенсирующих мер для обеспечения безопасности


• Пример: среда виртуализации на базе KVM, Xen или Hyper-V

Как бороться с недекларированными возможностями?

• В случае определения в качестве актуальных угроз безопасности

персональных данных 1-го и 2-го типов дополнительно к мерам

по обеспечению безопасности персональных данных могут

применяться следующие меры

– Проверка системного и (или) прикладного программного

обеспечения, включая программный код, на отсутствие

недекларированных возможностей с использованием

автоматизированных средств и (или) без использования таковых;

– Тестирование информационной системы на проникновения

– Использование в информационной системе системного и (или)

прикладного программного обеспечения, разработанного с

использованием методов защищенного программирования

• Что является доказательством реализации данных мер?

– Сертификат соответствия, договор на пентест, декларация

производителя…

Оценка соответствия средств защиты

• Меры по обеспечению безопасности персональных данных

реализуются в том числе посредством применения в

информационной системе средств защиты информации,

прошедших в установленном порядке процедуру оценки

соответствия, в случаях, когда применение таких средств

необходимо для нейтрализации актуальных угроз безопасности


• При использовании в информационных системах

сертифицированных по требованиям безопасности информации

средств защиты информации

• Финального ответа на вопрос об обязательной сертификации

средств защиты информации не существует

– Исключая государственные органы

Соответствие уровней защищенности классам

сертифицированных СЗИ

Тип СЗИ / ПО 4 уровень 3 уровень 2 уровень 1 уровень

СВТ Не ниже 6 Не ниже 5 Не ниже 5 Не ниже 5

IDS Не ниже 5

42 или Интернет

53 Не ниже 4 Не ниже 4

Антивирус Не ниже 5



МСЭ 5


43

31-2 или Интернет

43

31-2 или Интернет

43

НДВ в СЗИ - Не ниже 42 Не ниже 4 Не ниже 4

Системное

ПО - - - -

Прикладное

ПО - - - -

Информационное сообщение ФСТЭК от 20 ноября 2012

года

• Разъяснение о порядке

применения нового приказа ФСТЭК

по защите ПДн

• Разъяснение о действии

сертификатов ФСТЭК, выданных

до вступления в силу

Постановления Правительства

№1119

• Разъяснение о сертификации

систем обнаружения вторжений и

антивирусов в контексте новых

классов ИСПДн

Как соотносятся классы ИСПДн и уровни защищенности в

сертификатах?

• Но это еще не все…

СЗИ сертифицирована

для применения в

СЗИ может применяться

в ИСПДн с уровнем

защищенности

ИСПДн 1-го класса Все уровни защищенности

(до УЗ-1 включительно)

ИСПДн 2-го класса Не выше УЗ-4

ИСПДн 3-го класса и ниже Не определено

А что если в сертификате не упоминается класс ИСПДн?

• При обеспечении защищенности ПДн,

обрабатываемых в ИСПДн, могут

применяться СрЗИ, в сертификатах

соответствия на которые не

приведена информация о

возможности их использования для

защиты ПДн

– В этом случае функции

безопасности указанных СрЗИ

должны обеспечивать

соответствующие технические меры

по обеспечению определенного

уровня защищенности ПДн, которые

будут установлены готовящимся

приказом ФСТЭК по защите ПДн

Сравнение документов ФСТЭК с требованиями по защите

ПДн

Ключевые моменты «Четверокнижие» 2008-

го года

Приказ №58

2010-го года

Новый приказ

2012-го года

Возможность

самостоятельного

выбора защитных мер

Только для ИСПДн 4-го

класса

Только для

ИСПДн 4-го

класса

Да, для всех

уровней


Наличие

компенсирующих мер

Нет Нет Да

Возможность

адаптации к условиям

обработки и

используемым ИТ

Нет Нет Да

Гриф/статус Первоначально ДСП

(потом был снят),

утвержден внутренним

приказом

Открытый,

опубликован в

соответствие с

ПП-1009

Открытый, пока

не опубликован,

но планируется в

соответствии с

ПП-1009


ПДн


го года

Приказ №58

2010-го года


2012-го года

Привлечение к

обсуждению

экспертного

сообщества

Нет Нет Да

Аттестация ИСПДн Обязательная для

ИСПДн 1-го и 2-го

классов, декларирование

соответствия для 3-го

класса

Нет Нет, исключая

ПДн в ГИС

Оценка соответствия Сертификация Оценка

соответствия в

установленном

порядке

Оценка


установленном

порядке


ПДн


го года

Приказ №58

2010-го года


2012-го года

Лицензирование ТЗКИ Обязательное для

ИСПДн 1-го, 2-го и 3-го

(распределенная)

классов

Нет Нет

Борьба с утечками по

техническим каналам

Обязательная для

ИСПДн 1-го и 2-го

классов

Да, для ИСПДн

1-го класса

Нет (по выбору

оператора)

Контроль на наличие

НДВ в ПО

Да Только для ПО

СЗИ в ИСПДн 1-

го класса

Нет, исключая

СЗИ и актуальные

угрозы 1-го и 2-го

типа

Наличие базового и

расширенного набора

защитных мер

Нет Нет Да

Резюме

• Новый приказ ФСТЭК по защите персональных данных

устанавливает совершенно новый подход к защите ПДн,

базирующийся на лучших практиках и позволяющий операторам

ПДн самостоятельно выбирать оптимальный и адекватный набор


• Набор защитных мер для ПДн будет по своей номенклатуре,

условным обозначениям и номерам соответствовать набору

защитных мер для ГИС с целью обеспечения преемственности

требований

– Разница заключается только в наборе базовых мер и

возможности их исключения

• Существует ряд спорных вопросов, вытекающих из вышестоящих

нормативных актов

• В 2013-м году планируется принятие уточняющих документов

– Методика моделирования угроз, толкование мер

ПРОЕКТ ПРИКАЗА ФСБ

Вспоминаем…

• Операторы и иные лица, получившие доступ к ПДн, обязаны не

раскрывать третьим лицам и не распространять ПДн без согласия

субъекта ПДн, если иное не предусмотрено федеральным

законом

• Конфиденциальность информации - обязательное для

выполнения лицом, получившим доступ к определенной

информации, требование не передавать такую информацию

третьим лицам без согласия ее обладателя

Как обеспечить конфиденциальность?

• Получить согласие субъекта на передачу в открытом виде

• Обеспечить контролируемую зону

• Использовать оптические каналы связи

– И правильную модель угроз

• Переложить задачу обеспечения конфиденциальности на

оператора связи

– По договоре

• Использовать СКЗИ

Только 8-10% операторов использует СКЗИ

Как поступает сама ФСБ?

Как поступают в Правительстве, МКС, ФСТЭК, у

Президента и в ФНС?

Как поступает РКН?

Как поступает РКН - 2?

Неужели можно не использовать СКЗИ?

Проект приказа ФСБ

• Настоящий документ устанавливает

состав и содержание необходимых

для выполнения установленных

Правительством Российской

Федерации требований к защите ПДн

для каждого из уровней защищенности

организационных и технических мер

по обеспечению безопасности ПДн

при их обработке в ИСПДн

Когда должны применяться СКЗИ

• Криптографическая защита персональных данных

обеспечивается в следующих случаях

– если персональные данные подлежат криптографической защите

в соответствии с федеральными законами и принимаемыми в

соответствии с ними нормативными правовыми актами

– если для информационной системы персональных данных

выявлены угрозы, которые могут быть нейтрализованы только с

помощью СКЗИ

• В остальных случаях решение о необходимости обеспечения

криптографической защиты ПДн может быть принято оператором

на основании технико-экономического сравнения альтернативных

вариантов обеспечения безопасности ПДн

От модели нарушителя к типам угроз и классам СКЗИ

КН1 • Н1-Н3 • Н1-Н3

КН2 • Н4-Н5 • Н4-Н5

КН3 • Н6 • Н6 1 тип

2 тип

3 тип


Типы угроз

Соответствие уровней защищенности классам СКЗИ

Уровень


3-й тип угроз 2-й тип угроз 1-й тип угроз

4 КС1+ КС1+ КС1+

3 КС1+ КВ2+ -

2 КС1+ КВ2+

1 - КВ2+ КА1

В зависимости от совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак СКЗИ подразделяются на классы

Организационные меры при использовании СКЗИ

• На организационные меры, которые необходимо применять при

криптографической защите персональных данных с

использованием СКЗИ, разработанных и произведенных в

Российской Федерации, не распространяются требования

приказа ФАПСИ от 13 июня 2001 г. № 152

– Порядок определения организационных мер, которые

необходимо применять при криптографической защите

персональных данных с использованием СКЗИ, разработанных и

произведенных в Российской Федерации, установлен в

приложении к Положению

О встраивании криптоядра в VPN

• Можно ли использовать сертифицированное криптоядро в

составе VPN-решений?

– Можно

• Будет ли такое использование легитимным?

– Нет!!!

ОТРАСЛЕВЫЕ ТРЕБОВАНИЯ

Минздрав предупреждает?..

• Модель угроз типовой медицинской информационной системы

(МИС) типового лечебно-профилактического учреждения (ЛПУ)

• Методические рекомендации для организации защиты

информации при обработке ПДн в учреждениях

здравоохранения, социальной сферы, труда и занятости

• Методические рекомендации по составлению Частной модели

угроз безопасности ПДн при их обработке в ИСПДн учреждений

здравоохранения, социальной сферы труда и занятости

• Шаблоны документов (26 штук)

http://www.minzdravsoc.ru/docs/mzsr/informatics/4

http://www.minzdravsoc.ru/docs/mzsr/informatics/5

Регулирование ИБ в финансовой отрасли

• В планах (возможно) отдельные стандарты и рекомендации (или добавление в СТО 1.0) по безопасности для участников национальной платежной системы и т.д.

Классификатор 0.0

Термины и определения

0.1

Рекомендации по выполнению законодательных требований при

обработке ПДн

3 новых документа

• Отраслевая частная модель угроз

• Требования по безопасности ПДн

• Рекомендации по выполнению законодательных требований

• Также созданы новые пп.7.10-7.11 в СТО БР ИББС-1.0

• Опубликованы на сайте ЦБ и в «Вестнике Банка России» № 36-37

(1205-1206)

– Тут и тут

http://cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Stnd

http://cbr.ru/credit/Gubzi_docs/main.asp?Prtid=Met


• Программа действий по приведению в соответствие с ФЗ-152

– 14 шагов

• Рекомендации по классификации ИСПДн

• 8 алгоритмов обезличивания ПДн

• Перечень из 38-ми требуемых документов

– Предлагаются типовые шаблоны документов

– Имеется план приведения в соответствия из 49 пунктов

– Типовой перечень ПДн с указанием целей обработки

• Перечень из 20 типовых ошибок при реализации требований

законодательства о ПДн

Примеры документов

../../../Storage/Compliance/1Персональные данные/Практика/Согласие.doc

Требования по обеспечению ИБ ПДн (РС 2.3)

• Общий подход к определению требований

• Общие требования по безопасности ПДн в ИСПДн любого класса

• Требования по безопасности общедоступных и обезличенных

ПДн

• Требования по безопасности небиометрических, неспециальных

категорий, необщедоступных и необезличенных ПДн

• Требования по безопасности биометрических ПДн

• Требования по безопасности специальных категорий ПДн

Интересные особенности СТО БР ИББС в контексте

защиты ПДн

• Своя классификация ИСПДн и ПДн

– Отличная от «Приказа трех»

– Все ИСПДн специальные

• При условии принятия СТО требования регуляторов не

применяются

– Т.к. уже учтены и согласованы в СТО

– В противном случае применяются требования всех трех

регуляторов

• Лицензирование, аттестация не требуются

• Сертифицированными должны быть только СКЗИ

– Остальные СЗИ на усмотрение руководства организации

Резюме по рекомендациям Банка России и АРБ

• Требования по защите ПДн увязаны с уже существующими

требованиями по защите банковской тайны и иной банковской


• Банк либо принимает комплекс стандартов либо уходит под

требования регуляторов

• Из «интересного»

– ПДн не выделяются, как особая категория защищаемой

информации (в отличие от защиты прав субъектов ПДн)

– Защита не только ПДн, но и прав субъектов

– Большое количество рекомендаций по снижению затрат

– Наличие шаблонов документов и модели угроз

– Наличие рекомендаций по заполнению документов

– Согласование документов в ФСТЭК, ФСБ и Роскомнадзоре

Чьи требования выполнять для защиты ПДн?

СТО СТО

ФСТЭК ФСТЭК

ФСБ ФСБ

«Письмо шести» согласовано с

тремя регуляторами в области ПДн

Таблица соответствия требований

«Письмо шести»

• Реквизиты - №01-23/3148 от 28.06.2010

• Подписано ЦБ, АРБ, АРБР

– Согласовано ФСТЭК, ФСБ, РКН

• Активно рассылалось от имени Г.Тосуняна банкам

• ФЗ-184 «О техническом регулировании» установлен

рекомендательный статус стандартов и иных документов по

стандартизации

– В соответствии с указанным ФЗ стандарты и иные документы по

стандартизации подлежат обязательному исполнению в

организациях, если они добровольно принимают решение об их

введении

«Письмо шести» (окончание)

• ЦБ, АРБ, АРБР рекомендуют ввести Комплекс БР ИББС

решением организации (приказом, распоряжением) и

руководствоваться им при проведении работ по защите

информации, отнесенной к персональным данным, к банковской

тайне, к коммерческой тайне

• В случае, если Комплекс БР ИББС в кредитной организации не

вводится, она должна руководствоваться нормативно-правовыми

актами ФСБ России, Роскомнадзора и ФСТЭК России

Новая версия «Письма шести»

• Рассматривается возможность выпуска новой редакции письма-

обращения Банка Росси, Ассоциации российских банков,

Ассоциации региональных банков России (Ассоциация «Россия»)

и регуляторов

– Консультационный центр АРБ

• В 2012-м году выпущена облегченная версия «письма шести»

только от имени Банка России

– Легитимность СТО и преемственность «письма шести»

подтверждена

• В 2013-м году планируется новая версия «письма шести»

– После выхода приказов ФСТЭК и ФСБ, а также новой редакции

СТО БР ИББС

Реалии «письма шести»

• Письмо не имеет никакого статуса

– Не утверждено в МинЮсте, не подписано руководителем

регулятора

– Письмо ниже по статусу Постановления Правительства,

Федерального Закона и даже «приказа трех»

• Региональные управления ФСТЭК и ФСБ не всегда уведомлены

центральным аппаратом об этом письме, его содержании и сути

– Регуляторы могут проверять по своим нормативам ;-(

Но несмотря на это…

20

25

30

35

40

45

50

2007 2010

Приняли

Планируют

СТО в контексте новой редакции ФЗ-152

• Исходя из того, что до настоящего времени не завершено

формирование законодательной базы, направленной на

выполнение новых требований по защите ПДн рекомендуем

следующий подход

– в случае введения в организации БС РФ Комплекса БР ИББС,

следует продолжать руководствоваться отраслевыми

документами, содержащими положения по обработке и

обеспечению безопасности ПДн, а также порядком,

рекомендованном в Письме-обращении;

– в том случае, если не планируется введение комплекса БР

ИББС, следует руководствоваться ранее изданными

нормативными актами, а впоследствии подзаконными актами,

предусмотренными ст. 19 ФЗ № 261 от 25 июля 2011 года, после

их издания

Порядок работы

• Ввести СТО БР ИББС приказом по организации

• Представить информацию о решении в ЦБ

• Выполнить мероприятия из СТО БР ИББС

• Применить методические рекомендации

• Провести оценку соответствия

– Внешними силами (ABISS) или самооценка

• Выпустить документ о подтверждении соответствия организации

требованиям СТО БР ИББС-1.0

– С указанием соответствия в целом и по направлениям

регуляторов - РКН, ФСБ и ФСТЭК (в пределах их полномочий)

– Не позже 30 июня 2011 года направить этот документ в адрес ЦБ

(в территориальные органы регуляторов отошлет сам ЦБ)

– Повторно направлять такой документ раз в три года

Как защищать ПДн при переводе денежных средств?

НИР Тритон

• Принципы защиты ПДн оператора связи

– Экономическая обоснованность рекомендаций (требований)

исходя из ущерба субъектам и операторам ПДн

– Соответствие уровня рекомендаций (требований) по защите ПДн

имеющемуся уровню развития информационных технологий с

постепенным его повышением по мере готовности операторов

ПДн, информационных и защитных технологий, международного

и национального законодательства

– Учет специфики операторов связи

– Применение одних и тех же систем, средств и методов защиты

информации для обеспечения безопасности ПДн, КТ и иной


– Использование для защиты ПДн систем и средств защиты,

которые уже эксплуатируются операторами связи в составе

ИСПДн или инфраструктуры безопасности

НИР Тритон

• Наиболее полный набор документов по защите ПДн

– 18 иерархически выстроенных документов

Концепция

• Рекомендации

– По формированию целей обработки ПДн

– По определению категорий субъектов ПДн и самих ПДн

– По формированию модели угроз

• Описывает 16 принципов защиты ПДн

– Законность, непрерывность, адекватность, гибкость и т.п.

• Реверанс в сторону нормативных документов ФСТЭК и ФСБ

– Оставлена суть; ненужные или избыточные детали убраны

• Описание информационных систем операторов связи

• Требуется контроль эффективности

– В форме аттестации, декларирования соответствия или

внешнего государственного контроля

Информационная модель

<<include>><<include>>

<<include>>

<<include>>

<<include>>

Отчет для ПФР

+

+

+

+

Номер пенс. страхования

Фамилия

Имя

Отчество

Отчет для ФМС

+

+

+

+

+

+

+

+

+

+

Фамилия

Имя

Отчество

Пол

Дата рождения

Место рождения

Гражданство

Удостоверяющий документ

Квалификация

Должность

Отчет для ФНС

+

+

+

+

+

+

ИНН

Фамилия

Имя

Отчество

Документ

Адрес регистрации

Отчет для ФОМС

+

+

+

+

Фамилия

Имя

Отчетство

Адрес регистрации

Справочник работников

+

+

+

+

+

+

+

Фамилия

Имя

Отчество

Должность

Подразделение

Внутренний контакт

Фотография

Работник : 2

+

+

+

+

+

+

+

+

+

+

+

+

+

Табельный номер

Фамилия

Имя

Отчество

Должность

Подразделение

ИНН

Пенс.страхование

Семейное положение

Воинская обязанность

Фотография

Гражданство

Бизнес-аттрибуты

Государственный орган

Орган, осуществляющий

оперативно-розыскную

деятельность

Пенсионный фонд

Фонд обязательного

медицинского

страхования

Федеральная

миграционная служба

Федеральная налогвая

служба

Государственный орган,

получающий данные по

персоналу Военно-учетный стол

<<include>>

<<include>>

<<include>>

<<include>>

<<include>>

<<include>>

<<include>>

<<1>>

Работа с абонентами

<<1.1>>

Управление

продажами : 1

<<1.3>>

Расчеты с абонентами :

1

Деятельность

оператора связи

<<2>>


организацией связи

<<2.1>>

Управление персоналом : 1

<<2.2.>>


безопасностью : 1

<<1.2>>


взаимоотношенияи с

абонентами : 1

Классификатор ИСПДн

• Выделены внешние и внутренние ИСПДн

• Всего 17 типов разных ИСПДн

– Биллинг

– Борьба с мошенничеством

– CRM

– АРМ пользователей

– СОРМ

– И т.п.

• Описаны особенности каждого типа ИСПДн с учетом требований

по защите

Анализ рисков

• Методики высокоуровневой и низкоуровневой оценки рисков

безопасности ПДн

– Также включает оценку потенциального ущерба для субъектов и

операторов ПДн

– Учитываются юридические и финансовые риски

• Высокоуровневый анализ рисков проводится в целях

определения возможного ущерба с учетом всех внешних

факторов, без учета влияния ИТ

• Низкоуровневый анализ рисков основан на экспертной оценке

размера ущерба, вероятности реализации угроз безопасности

ПДн и уровня уязвимости ИСПДн

– Также содержит описание каналов реализации угроз и

систематизированный перечень угроз с оценкой вероятности их


Методика минимизации требований

• Снижение категории и объема ПДн

• Обезличивание ПДн

• Логическое структурирование ИСПДн и инфраструктуры

• Классификация ИСПДн как специальных

– С разработкой для них своего перечня требований

• Анализ необходимости применения СКЗИ

• Разделение зон ответственности между оператором связи и

внешней организацией

ТЭО средств защиты ПДн

• Обоснование оптимального набора средств защиты ПДн

• Оценка годового ущерба до и после внедрения средств защиты

ПДн

• Оценка эффективности средств защиты ПДн

Резюме по рекомендациям НИР Тритон

• Концепция согласована с ФСТЭК, ФСБ и Минкомсвязью

• Разработано 3 модели угроз и 3 профиля защиты от них

• Интересные особенности

– Учитывается отраслевая специфика

– ПДн не выделяются, как особая категория защищаемой


– Фокусировка только на защите ПДн (в отличии от защиты прав

субъектов ПДн)

– Большое количество рекомендаций по снижению затрат

Стандарт НАУФОР

• Рекомендуется всем участников

фондового рынка

– Если правилами НАУФОР не

установлено другое

• Согласован с ФСТЭК и ФСБ

• Стандарт утвержден Советом

директоров НАУФОР 27 декабря

2010 года протокол № 2010-1-

shРДН-0403

• Отправлен на согласование в

ФСФР

Структура стандарта

• Область применения

• Термины

• Обозначения и сокращения

• Концептуальная модель обеспечения ИБ ПДн в ИСПДн

• Общие рекомендации по обработке ПДн

• Классификация ИСПДн

• Рекомендации по обеспечению ИБ ПДн в ИСПДн

• Компенсационные меры

• Оценка и подтверждение соответствия

• Обеспечение ИБ ПДн с использованием СКЗИ

Классификация ИСПДн

• Все ИСПДн специальные

• Принципы классификации взяты из «Приказа трех»

• Определение итогового класса ИСПДн не так очевидно, но схоже

с классификацией типовых ИСПДн

– К1С – К4С

Рекомендации по защите

• Методы защиты похожи на Приказ №58

– Но есть и отличия

• Централизованные сбор событий и управление

• Двухфакторная аутентификация

• Имитация внешних атак

Компенсационные меры

• Меры, которые могут применяться в случае, если оператор ПДн

явным образом не может выполнить какое-либо требование

Стандарта, однако риск, связанный с невыполнением этого

требования, может быть значительно снижен путем принятия

других (компенса-ционных) мер

• Компенсационные меры могут применяться, если оператор ПДн

не может исполнить определенное положение Стандарта в

явном виде, в конкретное время и в отношении конкретного

ресурса (элемента, компонента) ИСПДн по причине технических,

или бизнес - ограничений, однако риск, связанный с

невыполнением этого требования, может быть снижен до

необходимого уровня путем принятия других (компенсационных)

мер

3 формы оценки соответствия

• В ходе государственного контроля и надзора, осуществляемого

органами исполнительными власти в соответствии с

действующим законодательством России

• Самооценка

– Декларация соответствия

• Аудит

– Перечень организаций, уполномоченных для проведения аудита

безопасности персональных данных, определяется НАУФОР

ТРЕБОВАНИЯ МВД

Что требует МВД в части сохранности ПДн?!

Где изложены требования МВД?

• Руководящий документ МВД РФ РД 78.36.003-2002

«Инженерно-техническая укрепленность. Технические средства

охраны. Требования и нормы проектирования по защите

объектов от преступных посягательств»

– Утв. МВД РФ 6 ноября 2002 г.

– Введен в действие с 01.01.2003

– Распространяется на вновь проектируемые, реконструируемые и

технически перевооружаемые объекты различных форм

собственности, охраняемые или подлежащие передаче под

охрану подразделениям вневедомственной охраны при органах

внутренних дел

Что изложено в требованиях МВД?

• Инженерно-техническая укрепленность

– Характеристики ограждения, ворот, дверных и оконных

конструкций, строительных конструкций, запирающих устройств

• Технические средства охранной и тревожной сигнализации

• Системы контроля и управления доступом

• Системы охранного телевидения

• Система оповещения

• Система охранного освещения

• Электроснабжение технических средств охраны

ЧТО ЕЩЕ ДОЛЖНО БЫТЬ

СДЕЛАНО ЕЩЕ?

Требования ст.18.1

• Назначение оператором, являющимся юридическим лицом,

ответственного за организацию обработки ПДн

– Подчинение руководству компании

• Издание оператором, являющимся юридическим лицом,

документов, определяющих политику оператора в отношении

обработки ПДн, а также локальных актов по вопросам обработки

ПДн, а также устанавливающих процедуры, направленные на

предотвращение и выявление нарушений законодательства

Российской Федерации, а также устранение последствий таких

нарушений

• Осуществление внутреннего контроля и (или) аудита

соответствия обработки ПДн настоящему Федеральному закону и

принятым в соответствии с ним нормативным правовым актом,

стандартам безопасности ПДн, политике оператора в отношении

обработки ПДн, локальным актам оператора


• Ознакомление работников оператора, непосредственно

осуществляющих обработку ПДн, с положениями

законодательства Российской Федерации о ПДн, документами,

определяющими политику оператора в отношении обработки

ПДн, локальных актов по вопросам обработки ПДн, стандартов

обеспечения безопасности ПДн и (или) обучение указанных

работников

• Оператор обязан опубликовать или иным образом обеспечить

неограниченный доступ к документу, определяющему его

политику в отношении обработки ПДн, а также опубликовать

сведения или иным образом обеспечить неограниченный доступ к

сведениям о реализуемых стандарте обеспечения безопасности

или требованиях по обеспечению безопасности обрабатываемых

ПДн


• Оператор, осуществляющий сбор ПДн с помощью

информационно-телекоммуникационных сетей, включая сеть

«Интернет», обязан опубликовать в соответствующей

информационно-телекоммуникационной сети документ,

определяющий его политику в отношении обработки ПДн, и

сведения о реализуемых стандарте обеспечения безопасности

или требованиях по обеспечению безопасности обрабатываемых

ПДн, а также обеспечить возможность доступа к указанному

документу с использованием средств соответствующей

информационно-телекоммуникационной сети

ПОСТАНОВЛЕНИЯ

ПРАВИТЕЛЬСТВА 687

Два постановления Правительства

• Два постановления

– Об утверждении Положения об обеспечении безопасности

персональных данных при их обработке в информационных

системах персональных данных (ПП-781)

– Об утверждении Положения об особенностях обработки

персональных данных, осуществляемой без использования

средств автоматизации (ПП-687)

• По логике вещей они делят всю обработку ПДн на

автоматизированную и бумажную, но…

– ПП-687 написано очень размыто и может быть (из практики)

использовано для ухода от ПП-1119 и вытекающих из него

требований регуляторов

Постановление №1119 vs №687

• Настоящее Положение

устанавливает требования к

обеспечению безопасности

персональных данных при их

обработке в информационных

системах персональных

данных, представляющих собой

совокупность персональных

данных, содержащихся в базах

данных, а также

информационных технологий и

технических средств,

позволяющих осуществлять

обработку таких персональных

данных с использованием

средств автоматизации (далее -

информационные системы).

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных,осуществляются при непосредственном участии человека.

Что же написано в 687-м на самом деле

• Обработка персональных данных не может быть признана

осуществляемой с использованием средств автоматизации

только на том основании, что персональные данные содержатся в

информационной системе персональных данных либо были

извлечены из нее

• Правила обработки персональных данных, осуществляемой без

использования средств автоматизации, установленные

нормативными правовыми актами федеральных органов

исполнительной власти… должны применяться с учетом

требований настоящего Положения

Здравый смысл ПП-687

• Достаточно, чтобы 4 операции (использование, уточнение,

распространение, уничтожение) осуществлялись с участием

человека, чтобы уйти под ПП-687

1С:Предприятие

• Изменение данных о клиенте (уточнение)

• Печать на принтере (распространение)

• Удаление старых клиентов (уничтожение)

• Анализ данных о клиенте (использование)

MS Outlook

• Изменение адреса e-mail для получателя письма (уточнение)

• Отправка письма (распространение)

• Удаление письма (уничтожение)

• Чтение письма (использование)

Самое главное

• Непосредственное участие - прямое, без промежуточных звеньев

участие человека в процессе

– Определение из словаря

– Часть процесса (операции) должен выполнять человек

(санкционировать, контролировать результаты и т.д.)

• Перечень мер, необходимых для обеспечения таких условий,

порядок их принятия, а также перечень лиц, ответственных за

реализацию указанных мер, устанавливаются оператором



Вспомним…

• Требования к хранению биометрических ПДн

– Материальные носители биометрических ПДн

– Технологии хранения вне ИСПДн

НПА ФОИВ

ПП

ФЗ ФЗ-152 ст.19.2

ПП-1119

ФСТЭК ФСБ

ПП-687 ПП-512

Самое главное

• Оператор вправе установить не противоречащие требованиям

законодательства Российской Федерации дополнительные

требования к технологиям хранения биометрических

персональных данных вне информационных систем

персональных данных в зависимости от методов и способов

защиты биометрических персональных данных в

информационных системах персональных данных этого

оператора



О Постановлении Правительства №211

• ПП-211 «Об утверждении перечня мер, направленных на

обеспечение выполнения обязанностей, предусмотренных

Федеральным Законом «О персональных данных» и принятыми в

соответствии с ним нормативными правовыми актами,

операторами, являющимися государственными или

муниципальными органами»

• Указанное постановление определяет перечень мер,

предусмотренный ст.18.1 ФЗ-152, но только для госорганов и

муниципалов

• Постановление во многом повторяет требования ФЗ-152

• Определена необходимость назначения главного за обработку

ПДн

О Постановлении Правительства №211

• Определен перечень документов, который должен быть

разработан госорганом или муниципальным органом

– Требование наличия документа, описывающего правила работы

с обезличенными данными

• Декларируется, что обработка ПДн без средств автоматизации

регламентируется ПП-687

• Описано требование обезличивания ПДн в ИСПДн согласно

требованиям и методам, установленным уполномоченным

органом по защите прав субъектов персональных данных

– Есть проект методических рекомендаций РКН

ПЛАНИРУЕМЫЕ ИЗМЕНЕНИЯ

Планируемые изменения

• Законопроект «О внесении изменений в

статью 857 части второй ГК РФ, статью 26 ФЗ «О банках и

банковской деятельности» и ФЗ «О персональных данных»

• Проект изменений в ФЗ-152

• Законопроект по внесению изменений в КоАП (в части

увеличения штрафов по ст.13.11)

• Проект методических рекомендаций РКН по обезличиванию

• Проект приказа ФСБ по ПДн

• Проект Постановления Правительства по надзору в сфере ПДн

• Указание Банка России с отраслевой моделью угроз

• Реформа Евроконвенции

Законопроект Аксакова

• Законопроектом предлагается внести в пункт 2 статьи 857 ГК РФ,

статью 26 ФЗ «О банках и банковской деятельности» и статьи 3 и

6 ФЗ «О персональных данных» изменения, расширяющие круг

субъектов, которым могут быть предоставлены сведения,

составляющие банковскую тайну

• В соответствии с законопроектом сведения, составляющие

банковскую тайну, могут предоставляться по поручению клиента

абсолютно всем третьим лицам

• Отзыв Правительства – негативный

• Первое чтение в Госдуме – в ноябре 2013 года

Проект методических рекомендаций РКН по

обезличиванию

• Введение идентификаторов

• Изменение состава или

семантики

• Декомпозиция

• Перемешивание

• Криптографическое

преобразование

РЕФОРМА ЕВРОКОНВЕНЦИИ

25 января 2012 года

• Основная идея реформы - учесть изменения, которые произошли

в цифровой экономике с момента принятия последних

документов в этой области еще в 1995-м году, а также снизить

обременения на операторов ПДн

– Для операторов отменяется уведомления уполномоченного

органа (оценка экономии - 2.3 млрд. евро в год)

– Снижаются требования по уведомлению о принятых мерах по

защите ПДн, что также позволит сэкономить не менее 130

миллионов евро

– Возрастает ответственность операторов ПДн - в случае

нанесения ущерба субъектам ПДн штраф может составить до 1

миллиона евро или до 2% от годового оборота нарушителя

– Санкции последовательны и пропорциональны - за первое

нарушение грозит прежупреждение от уполномоченного органа.

Затем идут штрафы от 250 тысяч евро или 0,5% от оборота за

мелкие прегрешения

25 января 2012 года

• Новые правила учитывают облачные вычисления, социальные

сети, сервисы определения местоположения и многие другие

онлайн-сервисы, которых в 90-х не было

– У граждан будет право требовать быстрого, без излишних

формальностей, уничтожения оператором их ПДн (при условии,

что это не противоречит правам и свободам других лиц и

организаций, а также интересам общества в целом)

• При этом правила по защите персданных теперь едины для всех

стран Евросоюза - никаких разночтений и разброда

• Четко зафиксировано требование как можно быстрее уведомлять

уполномоченные органы о серьезных утечках ПДн

– Желательно в течение 24 часов

• Правила едины для всех стран Евросоюза

• На обсуждение и вступление в силу дается 2 года!

Ключевые документы реформы

• Draft Proposal for a Regulation of the European Parliament and of the

Council on the protection of individuals with regard to the processing

of personal data and on the free movement of such data (General

Data Protection Regulation)

• Proposal for a Directive of the European Parliament and of the

Council on the protection of individuals with regard to the processing

of personal data by competent authorities for the purposes of

prevention, investigation, detection or prosecution of criminal offences

or the execution of criminal penalties, and the free movement of such

data

– Права граждан на неприкосновенность их частной жизни

ограничиваются законными интересами общества в сфере

обеспечения национальной безопасности, обороноспособности и

борьбы с серьёзными преступлениями

General DPR

• Основной лейтмотив новых правил – баланс интересов

• Данная директива не применима к обработке персональных

данных в случае, если

– Обработка ПДн проводится в рамках деятельности, не входящей

в число вопросов, регулируемых законодательством Евросоюза,

например, по вопросам обеспечения национальной безопасности

– ПДн обрабатываются органами и учреждениями Евросоюза

– ПДн обрабатываются физическим лицом, в отсутствие какого-

либо корыстного интереса, в рамках его собственной,

исключительно личной деятельности или деятельности его

домохозяйства

– ПДн обрабатываются компетентными органами с целью

предотвращения, расследования, обнаружения или

преследования уголовных преступлений либо исполнения

уголовных наказаний

General DPR

• Директива применяется и в отношении операторов,

зарегистрированных вне Евросоюза, если те обрабатывают ПДн

резидентов Евросоюза с целью оказания услуг или сбыта

товаров, либо с целью мониторинга их поведения

• Новая статья «Обработка персональных данных ребенка»

– Для детей до 13 лет обработка их ПДн допускается только с

согласия родителей или опекунов

• К специальным, особо защищаемым категориям ПДн отнесены

сведения о судимости, а вместо «философских убеждений»

предлагается написать просто «убеждения»

– Заметно расширен список исключений, когда такая обработка

возможна, в т.ч. (с определенными оговорками) в интересах

исторических, статистических и научных исследований

General DPR

• Новая отдельная статья посвящена праву «быть забытым», т.е.

праву на уничтожение ПДн

– Впервые собраны воедино и выделены в виде отдельной статьи

• Оператор, вместо уничтожения ПДн имеет право ограничить их

обработку

– На период, позволяющий оператору проверить точность ПДн, в

случае, если субъект ПДн оспаривает их точность

– Оператору ПДн более не нужны для выполнения своих задач,

однако они должны храниться в качестве доказательства

– Обработка ПДн ведется незаконно, и субъект ПДн возражает

против их уничтожения, требуя вместо этого ограничения их

использования

– Субъект ПДн требует перенести его Пдн в другую систему

автоматизированной обработки

General DPR

• Вводится право на перемещение данных

– Субъект ПДн должен иметь право, если его ПДн обрабатываются

электронными средствами и хранятся в структурированном и

общеупотребительном формате, получить от оператора копию

проходящих обработку ПДн в электронном структурированном

формате, который широко используется и допускает дальнейшее

использование данных субъектом ПДн

• Появилась отдельная статья, регламентирующая использование

профилирования

– Меры, способные повлечь правовые последствия или

существенно повлиять на физическое лицо, основанные

исключительно на автоматизированной обработке с целью

оценки определенных аспектов личности физического лица, либо

проанализировать или предсказать, в частности, эффективность

деятельности этого лица на работе, его экономическое

положение, местоположение, здоровье, персональные

предпочтения, надёжность или поведение

General DPR

• Появилась также отдельная статья «Защита ПД по умолчанию и

на стадии проектирования»

– Требует от операторов ПДн заранее предусматривать в своих

системах меры и процедуры обработки и защиты ПДн,

обеспечивающие исполнение требований законодательства

– Должны быть реализованы меры, обеспечивающие, что, по

умолчанию, обрабатываются только те ПДн, что необходимы для

каждой конкретной цели обработки, и что собираются и хранятся

лишь минимально необходимые ПДн

• В отдельную статью выделены положения, относящиеся к

обработчику – организации или лицу, обрабатывающему ПДн от

имени и в точном соответствии с инструкциями оператора

– Обработчик, собирающий дополнительные ПДн или отступающий

от указаний оператора, рассматривается как со-оператор и в

этой части несет все обязанности оператора

General DPR

• В отдельную статью собраны требования по документированию

деятельности оператора и обработчика

• Новая статья об оповещении контролирующих органов об

инцидентах, связанных с безопасностью ПДн, требует, по

возможности извещать об инцидентах в течение 24 часов

– В случае задержки, оператор будет обязан представить

объяснения

– Обработчик обязан оповещать оператора немедленно

• Новая статья обязывает оператора, в случае, если инцидент с

ПДн способен негативно повлиять на защищенность ПДн или на

неприкосновенность частной жизни субъекта ПДн, извещать об

этом субъекта «без ненужных задержек»

• В новом законодательстве предусматривается поблажка мелкому

бизнесу – будет необязательно держать в штате руководителя,

отвечающего за защиту ПДн

СТО БАНКА РОССИИ

Комплекс документов по стандартизации

• РС «Требования по обеспечению безопасности СКЗИ» (план)

• РС «Методика классификация активов» (план)

• РС «Методика назначения и описания ролей» (план)

Классификатор 0.0


0.1





Перемены в вопросе стандартизации ИБ банков

• В декабре 2010 года в России при Росстандарте создан новый

технический комитет - ТК 122 «Стандартизация в области

финансовых услуг»

– ТК 122 соответствует ISO TC 68 “Financial Services»

• Базовая организация – Центральный банк

• В связи с определенными разногласиями работы по

стандартизации в области информационной безопасности в

кредитно-финансовой сфере были перенесены из ТК 362 и

продолжены в рамках подкомитета №1 ТК 122

• В связи с выходом ФЗ-161 и разделением ответственности между

ГУБиЗИ и ДРР работы по развитию СТО были приостановлены

• Сейчас работы возобновляются

296

Структура ТК 122

297

Наименование технического комитета (ТК)/

подкомитета (ПК)

Соответствующие структуры ИСО

Специализация технического комитета (подкомитета) по виду продукции, услуг

ТК 122 «Стандарты финансовых

операций»

ISO/TC 68 “Financial Services”

Стандарты финансовых операций

ТК122/ПК № 1 «Безопасность финансовых (банковских) операций»

ISO/TC 68/SC 2 “Security management and general banking operations”

Обеспечение безопасности банковской деятельности и финансовых операций

ТК122/ПК № 2 «Технологии операций на финансовых рынках»

ISO/TC 68/SC 4 “Securities and related financial instruments”

Стандарты осуществления операций с ценными бумагами и производными финансовыми инструментами

ТК122/ПК № 3 «Технологии основных финансовых (банковских) операций»

ISO/TC68/SC 7 “Core banking”

Автоматизация исполнения основных банковских операций, в том числе связанных осуществлением платежей и переводом денежных средств

ТК122/ПК № 4 «Пластиковые карты и иные розничные банковские услуги»

ISO/TC 68/SC 7/WG 9 “Cards and related retail financial services“

Стандартизация процессов расчетов с использованием банковских карт и инструментов розничных платежей

ТК122/ПК № 5 «Мобильные платежи»

ISO/TC 68/SC 7/WG 10 “Mobile payments“

Стандартизация технологий осуществления мобильных платежей

Развитие СТО БР ИББС

• Новые темы – новые рекомендации по стандартизации (РС)

Крылов (начальник ГУБиЗИ)

• Совершенствование документов Комплекса в части обеспечения защиты персональных данных

• Менеджмент инцидентов, в том числе в системах ДБО

• Предоставление ресурсов для деятельности по обеспечению информационной безопасности

Сычев (зам.начальника ГУБиЗИ)

• Тоже самое +

• Рекомендации в части требований к обеспечению ИБ на всех этапах жизненного цикла банковских систем

• Требования к разработчикам банковских систем

Новые РС в рамках СТО БР ИББС

• Готовится новая РС «Ресурсное обеспечение информационной

безопасности»

– Как объяснить руководству/акционерам, зачем нужна ИБ и

сколько тратить?

• Готовится новая РС «Требования к банковским приложениям и

разработчикам банковских приложений»

– Минимальный набор требований к приложениям

• Готовится новая РС «Управление инцидентами информационной

безопасности»

– Не просто реагирование, а весь жизненный цикл инцидента

– Дополнит методичку АРБ и НПС

• 3 новых РС будут рассматриваться в ТК122 в первом полугодии

2013, чтобы к концу года иметь уже готовые и согласованные

документы

Какие стандарты готовятся в 2013-м году в ТК122

• Проект стандарта «Руководство по хорошим практикам

обеспечения защиты информации при оказании услуг

дистанционного банковского облуживания»

• Проект стандарта «Разработка электронных средств платежа.

Безопасность программного обеспечения электрон-ных средств

платежа»

• Проект стандарта «Обеспечение безопасности при

использовании электронных средств платежа и дистанционного

банковского обслуживания»

• Проект РС «Разработка системы документационного

обеспечения сертификации систем дистанционного банковского

обслуживания, включая электронные средства платежа»

Планы развития СТО в части ПДн

• Разработан проект отраслевой модели актуальных угроз

безопасности персональных данных

– Для этого планируется организовать работу с банковским

экспертным сообществом, провести согласование модели угроз с

ФСТЭК России и ФСБ России и ввести модель в действие

нормативным актом Банка России

• После ввода в действие документов регуляторов в области

обеспечения безопасности персональных данных провести

актуализацию РС 2.3

• Провести работу по переподписанию Письма-обращения в

кредитные организации об использовании организациями

банковской системы Российской Федерации документов

Комплекса для выполнения законодательства в области

персональных данных (переподписание «Письма шестерых»)

301

Планы развития СТО в части ПДн

• Определить отраслевую модель актуальных угроз безопасности


– Для этого планируется организовать работу с банковским

экспертным сообществом, провести согласование модели угроз с

ФСТЭК России и ФСБ России и ввести модель в действие

нормативным актом Банка России

• После ввода в действие документов регуляторов в области

обеспечения безопасности персональных данных провести

актуализацию РС 2.3

• Провести работу по переподписанию Письма-обращения в

кредитные организации об использовании организациями

банковской системы Российской Федерации документов

Комплекса для выполнения законодательства в области

персональных данных (переподписание «Письма шестерых»)

302

Изменения на этапе создания и ввода в эксплуатацию

автоматизированных систем

• Поэтапный переход от концепции обеспечения ЗИ в АБС,

реализуемый путем создания подсистем ИБ АБС, к реализации

концепции комплексного и согласованного применения систем и

средств ЗИ и организации процессов управления ими

– Преимущественно – по инфраструктурному (объектовому)

принципу, на уровне обеспечивающей компоненты

информационно-телекоммуникационной системы структурных

подразделений организаций банковской системы РФ

• Переориентация на сопровождение работ по созданию типовых

комплексных решений для реализации концепции защищённой

среды информационно-телекоммуникационной системы

структурных подразделений организаций банковской системы РФ

303

Изменения на этапе создания и ввода в эксплуатацию

автоматизированных систем (окончание)

• Постепенная унификация систем и средств ЗИ, применяемых и

внедряемых в структурных подразделениях организаций

банковской системы РФ

• Постепенный отказ от сопровождения работ по созданию

отдельных подсистем обеспечения ИБ АБС и переориентация на

деятельность по интеграции разрабатываемых прикладных

программных комплексов в создаваемую защищённую среду

информационно-телекоммуникационной системы структурных

подразделений организаций банковской системы РФ

304

Изменения на этапе эксплуатации автоматизированных

банковских систем

• Внедрение автоматизированного мониторинга действий

администраторов и пользователей АБС и выявление нарушений

регламентов эксплуатации АБС

• Автоматизация контроля эксплуатации применяемых средств и

систем защиты информации, в том числе контроль настроек

указанных средств и систем

• Контроль использования электронной почты и ресурсов сети

Интернет

• Предотвращение утечек конфиденциальной информации

305

Требования по ИБ к АБС: разница подходов

• Установить базовый набор требований

• Проводить оценку соответствия АБС по требованиям ИБ

• Проводить оценку разработчика АБС по широкому спектру

требований, включая и ИБ

306

ГУБиЗИ ГУБиЗИ ДРР ДРР

СТО БР ИББС в дальней перспективе

• Требования по облакам и виртуализации

• Требования по мобильному доступу

• Требования к DLP с банковской спецификой

• Пересмотр методики оценки в СТО БР ИББС

• Кросс-отраслевые стандарты с операторами связи по

формированию «пространства доверия»

307

Мобильные платежи неподвластны СТО БР ИББС

• Mobile Peer-to-Peer платежи

– Неформализованные транзакции между двумя людьми

• Платежи на базе Premium SMS

• mCommerce

• Сканирование

– QR Code

– Сканирование чеков

• Proximity

– IrDA

– Bluetooth

– NFC

• Mobile Acceptance Devices

Premium SMS с точки зрения СТО БР ИББС

• К участникам схемы “Premium SMS” требования СТО БР ИББС неприменимы, т.к. ни один из них не является кредитной организацией

– Денежные средства могут списываться со счета абонента у оператора связи

Мобильное

устройство

Мобильный

оператор

Контент-

провайдер

Банк

NFC с точки зрения СТО БР ИББС

• К участникам схемы NFC требования СТО БР ИББС

неприменимы, т.к. ни один из них не является кредитной

организацией

Мобильное

устройство

Торгово-сервисное

предприятие

Банк

Платежные

системы

Кто главный? 4 модели

• В рамках СТО БР

ИББС «главным»

всегда является

банк, как основной

участник перевода

денежных средств

• В модели

мобильных

платежей роль

банка уже не так

очевидна и СТО БР

ИББС применим не

во всех случаях

Оператор

• Независимо от банков

Оператор

• Независимо от банков

Банк

• Оператор дает только транспорт

Банк

• Оператор дает только транспорт

«Дружба»

• Необходима доверенная сторона

«Дружба»

• Необходима доверенная сторона

P2P

• Провайдер услуг работает напрямую с покупателем

P2P

• Провайдер услуг работает напрямую с покупателем

Будущее СТО БР ИББС

• СТО БР ИББС станет площадкой для обкатки новых решений и

технологий, которые, возможно, войдут в новые редакции 382-П

или иных положений Банка России

• Все зависит от договоренностей между ГУБЗИ и ДРР о развитии

СТО БР ИББС в Банке России

ОТРАСЛЕВАЯ

СТАНДАРТИЗАЦИЯ

Нужны ли отраслевые стандарты?

• Может ли головной регулятор в области ИБ учесть в своих

нормативах специфику отраслей экономики РФ?

– Мобильные устройства

– Тонкие клиенты

– ПО, которое не может быть сертифицировано по причине

отсутствия специалистов

– Виртуализация

– Высокие скорости передачи данных (10 Гбит/сек и выше)

– «Нестандартные» протоколы (iSCSI, Fiber Channel и т.п.)

– Неизменяемое ПО/оборудование

– Интернет-сервисы

Законны ли отраслевые стандарты?

• Согласно законодательству о техническом регулировании все

требования делятся на

– Обязательные – технические регламенты

– Добровольные (рекомендательные) – стандарты

• Стандарты делятся на

– Национальные стандарты

– Правила стандартизации, нормы и рекомендации по

стандартизации

– Стандарты организаций

– Своды правил

• Отраслевых стандартов по закону не существует

– Но любое предприятие может принять (присоединиться)

стандарт организации, разработанные головной организацией

Что думает Правительство?

• Целесообразно также предоставить федеральным органам

исполнительной власти право принимать отраслевые

нормативные акты по обеспечению безопасности персональных

данных при их обработке, согласованные с федеральным

органом исполнительной власти, уполномоченным в области

безопасности, и федеральным органом исполнительной власти,

уполномоченным в области противодействия техническим

разведкам и технической защиты информации, в пределах их

полномочий

– Официальный отзыв на проект федерального закона № 282499-5

"О внесении изменений в Федеральный закон "О персональных

данных", внесенный депутатом Государственной Думы

В.М.Резником

Как ГОСТ сделать обязательным?

• 17 октября 2009 года было принято Постановление

Правительства №822 «Об утверждении Положения об

особенностях стандартизации оборонной продукции (работ,

услуг), поставляемой по государственному оборонному заказу,


сведений, составляющих государственную тайну или относимых к

охраняемой в соответствии с законодательством Российской

Федерации иной информации ограниченного доступа, продукции

(работ, услуг), сведения о которой составляют государственную

тайну, а также процессов проектирования (включая изыскания),


хранения, перевозки, реализации, утилизации и захоронения

указанной продукции»


• Стандартизация продукции (работ, услуг), используемой в целях

защиты сведений, составляющих государственную тайну или

относимых к охраняемой в соответствии с законодательством

Российской Федерации иной информации ограниченного доступа,

продукции (работ, услуг), сведения о которой составляют

государственную тайну, поставляемой вне оборонного заказа, а

также процессов проектирования (включая изыскания),


хранения, перевозки, реализации, утилизации и захоронения

указанной продукции осуществляется Ростехрегулированием как

национальным органом по стандартизации, государственными

заказчиками работ по стандартизации продукции (работ, услуг) и

федеральными органами исполнительной власти,

уполномоченными в области обеспечения безопасности,

обороны, внешней разведки, противодействия техническим

разведкам и технической защиты информации


• Состав, содержание работ и мероприятий, выполняемых по

стандартизации указанной продукции (работ, услуг),

устанавливаются национальными стандартами ограниченного

распространения, утверждаемыми Федеральным агентством по

техническому регулированию и метрологии по согласованию с

федеральными органами исполнительной власти, являющимися

в соответствии с законодательством Российской Федерации

органами защиты государственной тайны, и Государственной

корпорацией по атомной энергии «Росатом»


• Обязательность применения документов, в которых установлены

требования к продукции (работам, услугам), а также к процессам

проектирования (включая изыскания), производства,

строительства, монтажа, наладки, эксплуатации, хранения,

перевозки, реализации, утилизации и захоронения указанной

продукции, устанавливается государственными заказчиками

работ по стандартизации продукции (работ, услуг) и

федеральными органами исполнительной власти,

уполномоченными в области обеспечения безопасности,

обороны, внешней разведки, противодействия техническим

разведкам и технической защиты информации


НАЦИОНАЛЬНАЯ

ПЛАТЕЖНАЯ СИСТЕМА

ФЗ «О национальной платежной системе»

• Федеральный закон от 27.06.2011 года № 161-ФЗ «О

национальной платежной системе»

• Платежная система - совокупность организаций,

взаимодействующих по правилам платежной системы в целях

осуществления перевода денежных средств, включающая

оператора платежной системы, операторов услуг платежной

инфраструктуры и участников платежной системы, из которых как

минимум три организации являются операторами по переводу


НПС – вершина регулирования денежных переводов

Стандарт Объект

защиты

Статус Обязательность Санкции Оценка

соответствия

ISO 270хх Все

активы

Международный

стандарт

Рекомендация Нет Сертификация

(внешний аудит)

СТО БР БТ, КТ,

ПДн

Отраслевой

стандарт

Рекомендация Нет Внешний аудит,

самооценка

ФЗ-152 ПДн Закон и

подзаконные

акты

Обязательный Штраф Не установлена

PCI DSS БТ, ПДн Международный

стандарт

Обязательный Штраф,

отключение от

VisaNet, запрет

запуска новых

услуг на базе

платежных карт

Внешний аудит,

сканирование,


НПС Данные о

денежных

переводах

Закон и

подзаконные

акты

Обязательный Штраф,

предписание об

устранении,

приостановление

оказания

операционных

услуг и т.д.

Внешний аудит,


Участники НПС

• Оператор по переводу денежных средств

• Оператор по переводу электронных денежных средств

• Банковский платежный агент

• Банковский платежный субагент

• Платежный агент

• Оператор платежной системы

• Оператор услуг платежной инфраструктуры

– Операционный центр

– Расчетный центр

– Платежный клиринговый центр

– Центральный платежный клиринговый контрагент

Непростая ситуация в регуляторе

• НПС - абсолютно новая и неизведанная тема для регулирования

• Определенный конфликт ГУБиЗИ и ДРР

• ЦБ – регулятор НПС и сам оператор своей ПС

– Контроль самого себя = конфликт интересов

• Увеличение числа департаментов надзора

– Департамент регулирования, управления и мониторинга

платежной системы Банка России

– Департамент регулирования расчетов

– Департамент банковского надзора

– Департамент банковского регулирования

– Главная инспекция кредитных организаций

– Департамент обеспечения и контроля операций на финансовых

рынках

• Слияние Банка России и ФСФР = новый мегарегулятор

Мы только в начале пути регулирования НПС

• Платежные карты

• Мобильные и

мгновенные

платежи

• Системы ДБО

• Банкоматы и ККТ

• Небанковские

организации

• Разработчики

платежных

приложений

Защита информации в НПС

• Обеспечение защиты информации в платежной системе

– Ст.27 ФЗ-161 (вступила в силу с 01.07.2012)

• Участники НПС обязаны обеспечивать защиту информации о

средствах и методах обеспечения информационной

безопасности, персональных данных и об иной информации,

подлежащей обязательной защите в соответствии с

законодательством Российской Федерации

Кто устанавливает требования по защите

• Правительство Российской Федерации устанавливает

требования к защите указанной информации

– Ст.27.1 ФЗ-161

• Контроль и надзор за выполнением требований, установленных

Правительством Российской Федерации, осуществляются ФСБ, и

ФСТЭК, в пределах их полномочий и без права ознакомления с

защищаемой информацией

– Ст.27.2 ФЗ-161

Но не только ФСТЭК и ФСБ

• Участники НПС обязаны обеспечивать защиту информации при

осуществлении переводов денежных средств в соответствии с

требованиями, установленными Банком России, согласованными

с ФСБ и ФСТЭК

– Ст.27.3 ФЗ-161

• Контроль за соблюдением установленных требований

осуществляется Банком России в рамках надзора в

национальной платежной системе в установленном им порядке,

согласованном с ФСТЭК и ФСБ

– Ст.27.3 ФЗ-161

На кого распространяются требования по защите

Структура основных нормативно-правовых актов по ИБ в

НПС


АРБ и НПС по

реагированию

на инциденты


ПРАВИТЕЛЬСТВА 584


• Об утверждении положения о защите информации в платежной

системе

• Настоящее Положение устанавливает требования к защите

информации о средствах и методах обеспечения

информационной безопасности, персональных данных и иной

информации, подлежащей обязательной защите в соответствии с

законодательством Российской Федерации, обрабатываемой

операторами по переводу денежных средств, банковскими

платежными агентами (субагентами), операторами платежных

систем и операторами услуг платежной инфраструктуры в

платежной системе

3 цели защиты информации

1. Обеспечение защиты информации от неправомерных доступа,

уничтожения, модифицирования, блокирования, копирования,

предоставления и распространения, а также от иных

неправомерных действий в отношении информации

2. Соблюдение конфиденциальности информации

3. Реализация права на доступ к информации в соответствии с

законодательством Российской Федерации

Обязательные требования: великолепная десятка

1. Создание и организация функционирования структурного

подразделения по защите информации или назначение

должностного лица, ответственного за организацию защиты


2. Включение в должностные обязанности работников,

участвующих в обработке информации, обязанности по

выполнению требований к защите информации

3. Осуществление мероприятий, имеющих целью определение

угроз безопасности информации и анализ уязвимости

информационных систем

4. Проведение анализа рисков нарушения требований к защите

информации и управление такими рисками

5. Разработка и реализация систем защиты информации в

информационных системах

Обязательные требования: великолепная десятка

6. Применение средств защиты информации (шифровальные

(криптографические) средства, средства защиты информации от

несанкционированного доступа, средства антивирусной защиты,

средства межсетевого экранирования, системы обнаружения

вторжений, средства контроля (анализа) защищенности)

7. Выявление инцидентов, связанных с нарушением требований к

защите информации, реагирование на них

8. Обеспечение защиты информации при использовании

информационно-телекоммуникационных сетей общего

пользования

9. Определение порядка доступа к объектам инфраструктуры

платежной системы, обрабатывающим информацию

10. Организация и проведение контроля и оценки выполнения

требований к защите информации на собственных объектах

инфраструктуры не реже 1 раза в 2 года

Кто может выполнять требования по защите?

• Для проведения работ по защите информации операторами и

агентами могут привлекаться на договорной основе организации,

имеющие лицензии на деятельность по технической защите

конфиденциальной информации и (или) на деятельность по

разработке и производству средств защиты конфиденциальной


• Контроль (оценка) соблюдения требований к защите информации

осуществляется операторами и агентами самостоятельно или с

привлечением на договорной основе организации, имеющей

лицензию на деятельность по технической защите


Есть ли жесткие требования?

• Операторы и агенты утверждают локальные правовые акты,

устанавливающие порядок реализации требований к защите


• Применение шифровальных (криптографических) средств

защиты информации операторами и агентами осуществляется в

соответствии с законодательством Российской Федерации

• Требования использования только сертифицированных СЗИ (не

СКЗИ) нет

– Фрагмент «в том числе прошедших в установленном порядке

процедуру оценки соответствия» из проекта Постановления в

финальной редакции был убран

• Требование наличия лицензии у участника НПС для обеспечения

защиты для собственных нужд также не устанавливается

ВВЕДЕНИЕ В ДОКУМЕНТЫ

БАНКА РОССИИ ПО ИБ

Требования по ИБ есть не только в документах по НПС

• Положением 242-П от 16.12.2003 «Об организации внутреннего

контроля в кредитных организациях и банковских группах»

• Письмо 70-Т от 23.06.2004 «О типичных банковских рисках»

• Письмо 92-Т от 30.06.2005 «Об организации управления

правовым риском и риском потери деловой репутации в

кредитных организациях и банковских группах»

• Письмо 76-Т от 24.05.2005 «Об организации управления

операционным риском в кредитных организациях»

• Письмо 60-Т от 27.04.2007 «Об особенностях обслуживания

кредитными организациями клиентов с использованием

технологии дистанционного доступа к банковскому счету клиента

(включая интернет-банкинг)»

Требования по ИБ есть не только в документах по НПС

• Письмо 140-Т от 05.09.2007 «По вопросам территориальных

учреждений» (о проверках обеспечения кредитными

организациями требований к информационной безопасности)

• Письмо 197-Т от 7.12.2007 «О рисках при дистанционном

банковском обслуживании»

• Письмо 36-Т от 31.03.2008 «О Рекомендациях по организации

управления рисками, возникающими при осуществлении

кредитными организациями операций с применением систем

интернет-банкинга»

• Письмо 11-Т от 30.01.2009 «О рекомендациях для кредитных

организаций по дополнительным мерам информационной

безопасности при использовании систем интернет-банкинга»

Требования по ИБ есть не только в основных документах

по НПС

• Письмо 120-Т от 02.10.2009 «О мерах безопасного использования

банковских карт»

• Письмо 141-Т от 26.10.2010 «О Рекомендациях по подходам

кредитных организаций к выбору провайдеров и взаимодействию

с ними при осуществлении дистанционного банковского

обслуживания»

• Указание 2695-У от 14.09.2011 «О требованиях к обеспечению

бесперебойности осуществления перевода электронных

денежных средств»

• Положение 379-П от 31.05.2012 «Положение о бесперебойности

функционирования платежных систем и анализе рисков в

платежных системах»

• Указание 2840-У от 25.06.2012 «О требованиях к управлению

операционным риском небанковскими кредитными

организациями…»

Риски, бесперебойность функционирования и ИБ

ИБ ИБ Риски Риски Бесперебойность Бесперебойность

379-П И 2695-У

Части 5 и 6 статьи 12 ФЗ-161

• Устанавливает, что оператор электронных денежных средств

обязан разработать правила осуществления перевода таких

средств, которые должны включать (помимо всего прочего)

– порядок обеспечения бесперебойности осуществления перевода

электронных денежных средств

• В качестве главной и безусловной обязанности оператора

электронных денежных средств установлена обязанность

обеспечивать бесперебойное осуществление перевода

электронных денежных средств в соответствии с требованиями,

установленными нормативными актами Банка России

– ч.6 ст.12 ФЗ-161

Указание 2695-У

• Указание от 14 сентября 2011 г. № 2695-У «О требованиях к

обеспечению бесперебойности осуществления перевода

электронных денежных средств»

• Оператор электронных денежных средств обязан принимать

следующие меры, направленные на обеспечение



• Для организации деятельности, связанной с обеспечением


денежных средств, оператор по переводу электронных денежных

средств утверждает внутренние документы

• Настоящее Указание вступает в силу с 29 сентября 2011 года

Меры по 2695-У

• Осуществлять меры, направленные на недопущение нарушений

функционирования операционных и технологических средств,

устройств, информационных систем, обеспечивающих учет

информации об остатках электронных денежных средств и их

перевод, а в случае возникновения указанных нарушений

осуществлять меры по их устранению

• Проводить анализ причин нарушений функционирования


информационных систем, выработку и реализацию мер по их

устранению

• Обеспечивать сохранение функциональных возможностей


информационных систем при сбоях в их, осуществлять их

тестирование в целях выявления недостатков функционирования,

а в случае выявления указанных недостатков принимать меры по

их устранению

Документы по 2695-У

• Перечень возможных причин нарушения функционирования


информационных систем, влекущих прекращение осуществления

перевода электронных денежных средств или его ненадлежащее

осуществление, и сроки их устранения

• План действий в случае нарушения функционирования


информационных систем, направленный на восстановление их

функционирования, в том числе путем применения резервных


информационных систем, а также сроки проведения мероприятий в

рамках применяемого плана

• Перечень и периодичность проведения регламентных работ по

обеспечению отказоустойчивости

Документы по 2695-У

• Порядок резервного копирования информации об осуществленном

переводе электронных денежных средств, об остатках

электронных денежных средств, а также хранения такой

информации, в том числе сроки ее хранения

• Порядок контроля за обеспечением бесперебойности

осуществления перевода электронных денежных средств

Бесперебойность функционирования ПС

• Положение № 379-П от 31.05.2012 «Об утверждении положения о

бесперебойности функционирования платежных систем и анализе

рисков в платежных системах»

• Оператор платежной системы должен провести анализ рисков,

определиться с уровнем их приемлемости, самостоятельно

выбрать меры для достижения или поддержания этого уровня

• 2695-У распространяется на операторов по переводу электронных

денежных средств, а 379-П на операторов платежных систем

• В отличие от 382-П в 379-П все решения делегируются оператору

ПС

• Учитывая переход Курило А.П. В Департамент регулирования

расчетов, «ответственный» за 379-П связь между

бесперебойностью и безопасностью денежных переводов остается

открытой

Какие риски бесперебойности рассматривает ДРР?

Операционный риск

• …несанкционированное использование информационных систем и

ресурсов…, подлог и (или) подделка платежных и иных

документов, несанкционированное проникновение в

информационные системы, повреждение или утрата основных

средств и других материальных активов

• Выход из строя оборудования и систем (например, сбой (отказ) в

работе автоматизированной информационной системы платежной

НКО, систем связи, поломка оборудования)…, отсутствие

(несовершенство) системы защиты и (или) порядка доступа к

информации, неправильная организация информационного обмена

внутри платежной НКО, ошибки при вводе и обработке данных при

осуществлении переводов денежных средств без открытия

банковских счетов и связанных с ними иных банковских операций,

утеря документов и др.

– Указание Банка России 2840-У от 25 июня 2012 года

Оператор платежной системы обязан в правилах ПС

• Определять систему управления рисками в платежной системе,

включая используемую модель управления рисками, перечень

мероприятий и способов управления рисками, с учетом требований

статьи 28 161-ФЗ. Перечень мероприятий должен быть составлен с

учетом требований части 3 статьи 28 161-ФЗ. Перечень способов

управления рисками определяется с учетом требований части 4 и

части 5 статьи 28 161-ФЗ

• Раскрывать порядок обеспечения бесперебойности

функционирования платежной системы в соответствии со

структурой, установленной пунктом 4, и с учетом требований

пунктов 5-7 Положения Банка России от 31 мая 2012 № 379-П «О

бесперебойности функционирования платежных систем и анализе

рисков в платежных системах»

– Рекомендации по оформлению документов, направляемых в Банк

России в целях регистрации операторов платежных систем

Новости регулирования управления рисками

• Законопроекты «О внесении изменений в федеральные законы «О

банках и банковской деятельности» и «О Центральном банке

Российской Федерации (Банке России)»

– Кредитная организация, банковская группа и банковский холдинг

обязаны будут ежеквартально публиковать информацию о

принимаемых рисках, процедурах их оценки, управления рисками

– На Совет директоров кредитной организации возлагается

обязанность по применению банковских методик управления

рисками и моделей количественной оценки рисков, включая оценку

активов

– Кредитная организация (головная кредитная организация

банковской группы) обязана соблюдать установленные Банком

России требования к системам управления рисками и капиталом,

внутреннего контроля кредитных организаций, в банковских

группах (это новая статья 111-2)

Новости регулирования управления рисками

• Законопроекты «О внесении изменений в федеральные законы «О

банках и банковской деятельности» и «О Центральном банке

Российской Федерации (Банке России)»

– Кредитная организация обязана создавать резервы на покрытие

различных рисков

– Полномочия на установление требований к системе управления

рисками и оценку ее качества возлагаются на Банк России. Он же

«устанавливает требования к банковским методикам

управления рисками и моделям количественной оценки рисков, в

том числе к качеству используемых в этих моделях данных,

применяемым кредитными организациями, в банковских группах

для целей оценки активов, расчёта норматива достаточности

собственных средств (капитала) и иных обязательных

нормативов»

ВЕРНЕМСЯ К ИБ НПС

Структура документов Банка России по защите НПС

Как связаны ПП-584 и документы Банка России

Платежная система Банка России и 382-П

• Банк России определяет порядок обеспечения защиты

информации в платежной системе Банка России для клиентов

Банка России в соответствии с требованиями к защите

информации, установленными договором об обмене

электронными сообщениями, заключаемым между Банком

России и клиентом Банка России

• Требования к защите информации в платежной системе Банка

России для клиентов Банка России устанавливаются договором

об обмене

– 384-П

• На чем построены требования по защите в договоре об обмене?

На СТО БР ИББС или на 382-П? Отличаются ли требования по

защите договора об обмене от 382-П/СТО БР ИББС?

Положение Банка России 382-П от 09.06.2012

• Положение 382-П согласовано с ФСТЭК и ФСБ

Что защищаем?

• Информации об остатках денежных средств на банковских счетах

• Информации об остатках электронных денежных средств

• Информации о совершенных переводах денежных средств, в том

числе информации, содержащейся в извещениях

(подтверждениях), касающихся приема к исполнению

распоряжений участников платежной системы, а также в

извещениях (подтверждениях), касающихся исполнения

распоряжений участников платежной системы

– требование об отнесении информации о совершенных переводах

денежных средств к защищаемой информации, хранящейся в

операционных центрах платежных систем с использованием

платежных карт или находящихся за пределами Российской

Федерации, устанавливается оператором платежной системы


• Информации, содержащейся в оформленных в рамках

применяемой формы безналичных расчетов распоряжениях

клиентов операторов по переводу денежных средств,

распоряжениях участников платежной системы, распоряжениях

платежного клирингового центра

• Информации о платежных клиринговых позициях

• Информации, необходимой для удостоверения клиентами права

распоряжения денежными средствами, в том числе данных

держателей платежных карт

• Ключевой информации средств криптографической защиты

информации, используемых при осуществлении переводов



• Информации о конфигурации, определяющей параметры работы

автоматизированных систем, программного обеспечения, средств

вычислительной техники, телекоммуникационного оборудования,

эксплуатация которых обеспечивается оператором по переводу

денежных средств, оператором услуг платежной инфраструктуры,

банковским платежным агентом (субагентом), и используемых

для осуществления переводов денежных средств, а также

информации о конфигурации, определяющей параметры работы

технических средств по защите информации

• Информации ограниченного доступа, в том числе персональных

данных и иной информации, подлежащей обязательной защите в

соответствии с законодательством Российской Федерации,

обрабатываемой при осуществлении переводов денежных

средств

Как защищать ПДн при переводе денежных средств?

• Ст.27 ФЗ-161 является частной нормой права

На чем базизуются требования 382-П?

• Требования по обеспечению ИБ в НПС базируются на

требованиях СТО БР ИББС

• Множество повторов другими словами

– Все-таки это первая версия, которая выпускалась в некоторой

спешке

• Но есть и отличия

– Некоторые моменты был сознательно упрощены

– Отдельные разделы (например, по СМИБ) были существенно

перефразированы

– Все попало в один документ (+2831-У)

– Требования обязательные, а не рекомендательные

– Есть ответственность за нарушения

– Есть и нововведения

– Нет отдельного раздела по ПДн

Нововведения 382-П

• Операторы по переводу денежных средств обязаны регулярно

информировать клиентов о новых угрозах и рисках и

рекомендациях по их нейтрализации/управлению

• В топ-менеджменте операторов по переводу денежных средств

или операторов услуг платежной инфраструктуры назначаются

кураторы по ИБ, которые не должны совпадать с кураторами по

ИТ

• На оператора платежной системы возлагается большая работа по

реагированию на инциденты, разработке методик анализа и

реагирования, информированию операторов по переводу и

операторов инфраструктуры о выявленных инцидентах и т.д.

• Оценка соответствия требованиям по ИБ проводится

самостоятельно или с приглашением внешних организаций в

соответствие с методикой, приведенной в приложении к 382-П

• Требование сертификации к средствам защиты не предъявляется

129 требований по защите информация при переводе


• Банк России интересует, чтобы требование было выполнено

качественно, а выбор конкретных технологий и средств защиты

информации - задача банков

ВНИМАНИЕ!

• Когда вы будете читать и анализировать 382-П учитывайте, что не

все требования применяются ко всем участникам НПС!!!

• В абсолютном большинстве случаев требования к ОПЭДС

совпадают с требованиями к ОПДС

– Также надо учитывать что ОПЭДС может быть как кредитной

организацией, так и небанковской кредитной организацией

– БПА и ОПС могут как кредитными, так и некредитными

организациями

– ОУПИ также делятся на ОЦ (в РФ и за ее пределами), КЦ и РЦ

Требование

382-П

ОПДС ОПЭДС БПА ОУПИ ОПС Примечание

… + + + - -

Для раздела 2.5

учитывайте еще и

стадию жизненного

цикла

Операторы по переводу денежных средств больше всех

попали под раздачу

• Операторы ПС отвечают преимущественно за организацию и

контроль защиты информации в платежной системе

• Больше всего требования ложится на операторов по переводу


Источник: http://ibsec.blogspot.com/

Агенты должны защищать, а операторы управлять!

Источник: http://ibsec.blogspot.com/

На что не распространяется 382-П?

• Положение не регулирует безопасность

– ни операционных центров, расположенных за пределами России,

– ни систем ДБО,

– ни деятельности клиентов в системах электронных средств

платежа и

– участников карточных платёжных систем, регулируемую

стандартом PCI DSS

• Однако следует отметить, что, по всей видимости, Банк России

будет расширять данное Положение, включая в него

соответствующие дополнительные требования по мере

проработки вопросов интеграции требований PCI DSS – стандарта

карточной индустрии

– Из интервью А.П.Курило

Применение СКЗИ в НПС

• Оператор платежной системы самостоятельно определяет

необходимость использования СКЗИ, если иное не предусмотрено

федеральными законами и иными нормативными правовыми

актами Российской Федерации

• Если необходимость СКЗИ определена, то работы по

обеспечению защиты информации с помощью СКЗИ проводятся в

соответствии с Федеральным законом от 6 апреля 2011 года 63-

ФЗ «Об электронной подписи», Положением о разработке,

производстве, реализации и эксплуатации шифровальных

(криптографических) средств защиты информации (Положение

ПКЗ-2005), и технической документацией на СКЗИ

• В случае если участники НПС применяют СКЗИ российского

производителя, указанные СКЗИ должны иметь сертификаты

уполномоченного государственного органа

СКЗИ иностранного производства и мнение НПС

• «…оператор по переводу денежных средств вправе не

использовать в своей деятельности средства криптографической

защиты информации (далее - СКЗИ) российского производства,

заменив их на СКЗИ иностранного производства»

– Из письма НП НПС руководителю ДРР «О порядке применения

отдельных требований Положения Банка России от 09 июня 2012

года № 382-П» №НПС-02/1-197 от 16 апреля 2013 г.

Подчиненность участников НПС = рост бумажной

безопасности

Банк России

Операторы ПС

Оператор по переводу денежных средств

п.2.16 382-П п.3.1 382-П

п.3.1 382-П

Оценка соответствия

• Оценка соответствия осуществляется на основе:

– информации на бумажном носителе и (или) в электронном

виде, содержащей подтверждения выполнения порядка

применения организационных мер защиты информации и

использования технических средств защиты информации

– анализа соответствия порядка применения организационных мер

защиты информации и использования технических средств

защиты информации требованиям 382-П

– результатов контроля (мониторинга) выполнения порядка

обеспечения защиты информации при осуществлении переводов


• Оценка соответствия самостоятельно или с привлечением

сторонних организаций

• Проведение оценки соответствия не реже одного раза в два года,

а также по требованию Банка России

ОПДС

ОУПИ

ОПС

Порядок оценки соответствия

• Порядок проведения оценки и документирования результатов

определен в Приложении 1 к 382-П

• Перечень требований к обеспечению ИБ при осуществлении

переводов денежных средств, выполнение которых проверяется

при проведении оценки соответствия, определен в Приложении 2 к

382-П

• По срокам оценки соответствия в СТО БР и 382-П (3 и 2 года

соответственно) должны быть синхронизированы в ближайшее

время

Документирование результатов оценки

• На основании данной формы вычисляются обобщающие

показатели EV1пс, EV2пс и Rпс

• Показатель EV1пс определяет технические требования (п.2.4 –

2.10 382-П)

• Показатель EV2пс определяет процессные требования (п.2.11 –

2.17 382-П)

• Показатель Rпс - итоговый

Документирование результатов оценки

• В 382-П заложены элементы борьбы с полным не выполнением

отдельных требований с помощью корректирующих

коэффициентов К1 и К2

– Чтобы не повторить ошибку методики оценки соответствия по СТО

БР ИББС, в части оценки группового показателя по выполнению

требований по обработке ПДн (М9), когда невыполнение одного

требований приводит к понижению итогового уровня

Итоговая оценка

>= 0.85 • Работа по защите информации на необходимом уровне

0.7 – 0.85

• В целом работа по защите информации обеспечивает выполнение установленных требований

0.5 – 0.7

• Работа по защите информации не в полной мере обеспечивает выполнение установленных требований

< 0.5

• Работа по защите информации не обеспечивает выполнение установленных требований

ДРУГИЕ ДОКУМЕНТЫ ПО ИБ

В НПС

Письмо 34-Т от 01.03.2013

• О рекомендациях по повышению

уровня безопасности банкоматов и

платежных терминалов

• Оснащение специальным ПО для

выявления и предотвращения атак

• Обнаружение, фиксация атак и их

попыток

• Регулярный контроль действия

обслуживающих организаций

• Анализ и выявление уязвимостей

после атак или попыток их

совершения

• …

Новая форма отчетности нагрянула с 1 апреля 2013 года

• Указание 2926-У от 03.12.2013 «О внесении изменений в Указание

Банка России от 12 ноября 2009 года № 2332-У «О перечне,

формах и порядке составления и представления форм отчетности

кредитных организаций в Центральный банк Российской

Федерации» вводит новые формы отчетности

– Форма отчетности 0409258 «Сведения о несанкционированных

операциях, совершенных с использованием платежных карт» и

порядок составления и представления отчетности по форме

0409258

Как реагировать на инциденты?

• Утверждены Рабочей группой

Ассоциации российских банков и

НП «Национальный платежный

совет» по предотвращению

мошенничества в платежных

системах

– Протокол № 1 от 19 июля 2012 г.

– Разработаны с учетом Письма

Бюро специальных технических

мероприятий Министерства

внутренних дел Российской

Федерации (БСТМ МВД России)

от 17 января 2012 г. № 10/257

– Новая версия от 12.12.2012

Рекомендации АРБ / НП НПС по управлению инцидентами

Для клиентов –

юридических лиц

Для клиентов –

юридических лиц

Для клиентов – физических

лиц

Для клиентов – физических

лиц

Банку – плательщику

Банку – плательщику

Банку – получателю

Банку – получателю

Особенности рекомендаций АРБ / НПС

• 2 набора действий

– Традиционных для любого инцидента

– Специфических для систем ДБО

• Считается, что существуют сотрудники, ответственные за

реагирование на инциденты

• Не описывают процедуры сбора доказательств

• Не описывает место реагирования в процессе управления

инцидентами

• Некоторые упомянутые документы избыточны при работе с

правоохранительными органами

Почему отказывают в возбуждении дел?

Источник: Россельхозбанк, 2012

О двух платежных советах

• 2 апреля 2013 года состоялось заседание Комитета по

управлению рисками и защите интересов потребителей

финансовых продуктов АНПС

– На заседании Комитета было утверждено Положение о Комитете,

также были утверждены основные направления деятельности

– Особое внимание было уделено обсуждению предложений по

внесению в УК РФ в части борьбы с мошенничеством

– Также обсуждался вопрос по созданию методического пособия

«Взаимодействие правоохранительных органов с операторами

платежных систем»

?

Что думает Банк России о защищенности банкоматов?

• В настоящее время Департамент

регулирования расчетов Банка

России прорабатывает вопрос о

выпуске документа, содержащего

рекомендации по повышению уровня

безопасного использования

банкоматов и платежных терминалов

• В перспективе указанный проект

может быть взят за основу при

разработке документа в статусе

рекомендаций в области

стандартизации в рамках

соответствующих подкомитетов

ТК122 по стандартизации

«Стандарты финансовых операций»

Письмо 34-Т от 01.03.2013

• О рекомендациях по повышению

уровня безопасности банкоматов и


• Классификация мест установки по

степени риска, в т.ч. и подвергнуться

воздействию вредоносного кода, а

также совершения

несанкционированных операций

• Пересмотр классификации по мере

развития технологий атак

• Оснащение специальным ПО для

выявления и предотвращения атак

• Регулярный контроль действия

обслуживающих организаций

Письмо 34-Т от 01.03.2013 (окончание)

• Использование систем удаленного мониторинга состояния

банкомата или терминала

• 2 видеокамеры и хранение видеозаписей не менее 60 дней

• Обнаружение, фиксация атак и их попыток и информирование о

них заинтересованных участников рынка розничных платежных

услуг и Банка России

• Анализ и выявление уязвимостей после атак или попыток их

совершения

• Совершенствование системы защиты

• Обмен информацией с другими кредитными организациями

• Размещение на устройстве рекомендаций по защите PIN

• + требования по физической безопасности банкоматов и


Проект стандарта по защите банкоматов

• Разработан рабочей

группой с участием

представителей ГУУР и

ГУВО МВД РФ,

Центрального банка

России, Ассоциации

Российских банков

• Настоящий стандарт

распространяется на

деятельность кредитных

организаций и платежных

систем по установке и

эксплуатации банкоматов

и платежных терминалов

на территории РФ

Что думает Банк России о защищенности платежных

карт?

• Памятка для держателей

банковских карт о мерах

безопасного использования

банковских карт

– Письмо Банка России от

02.10.2009 №120-Т

• Рекомендации по раскрытию

информации об основных

условиях использования

банковской карты и о порядке

урегулирования конфликтных

ситуаций, связанных с ее

использованием

– Письмо Банка России от 22

ноября 2010 года № 154-Т

Что думает Банк России о PCI DSS?

• Какова судьба PCI DSS в контексте 382-П и СТО БР ИББС?

– PCI DSS включат в состав СТО БР ИББС?

– На базе PCI DSS будут создавать собственные нормативы?

• Банк России (через НП АБИСС) осуществил перевод 10

документов PCI DSS 2.0 для их анализа в ПК1 ТК122 и их

возможного последующего использования в рамках НПС. Цели:

– аутентичный перевод на русский язык PCI DSS и сопутствующих

документов, официально признаваемый PCI Council

– размещение перевода и поддержка его в актуальном состоянии

при изменений версий стандарта PCI DSS на сайте PCI Council

– использование перевода для более эффективного внедрения

PCI DSS в РФ для участников международных платежных систем

– использование перевода как основы для разработки Банком

России национальных требований и рекомендаций к индустрии

платежных карт

Какие документы PCI DSS переведены?

• Понимание назначения требований. Версия 2.0

• Требования и процедура аудита безопасности. Версия 2.0

• Глоссарий. Основные определения, аббревиатуры и сокращения

• Обзор изменений в версии PCI DSS 2.0 по сравнению с версией

1.2.1

• Опросный лист А для самооценки и свидетельство о соответствии

• Опросный лист B для самооценки и свидетельство о соответствии

• Опросный лист С для самооценки и свидетельство о соответствии

• Опросный лист C-VT для самооценки и свидетельство о

соответствии

• Опросный лист D для самооценки и свидетельство о соответствии

• Опросные листы для самооценки

Требования по защите информации в ДБО

Что думает Банк России о защищенности электронных

средств платежа?

• Письмо №172-Т от 14.12.2012 «О рекомендациях по вопросам

применения статьи 9 Федерального закона от 27.06.2011 № 161-

ФЗ «О национальной платежной системе»

– Рекомендации подготовлены Центральным банком Российской

Федерации в связи с обращениями кредитных организаций по

вопросам исполнения требований статьи 9 Федерального закона

от 27.06.2011 № 161-ФЗ «О национальной платежной системе»

• Департамент регулирования расчетов запланировал выпуск

отдельного положения по безопасности денежных переводов с

помощью электронных средств платежа

– Срок выхода – 2013 год

• ГУБЗИ запланирован разработку в рамках СТО БР ИББС новой

РС с требованиями по безопасности к платежным приложениям

– Срок выхода – 2013 год

Что думает Банк России о защите ДБО

• ГУБиЗИ Банка России

– Есть раздел 7.6 СТО БР ИББС

• ДРР Банка России

– «В дальнейшем требования, прописанные в положении 382-П,

будут конкретизированы включением требования по защите

дистанционного банковского обслуживания (ДБО), и электронных

средств платежа (ЭСП)», А.П.Курило

• ДИС Банка России

– Вместе с РАН подготовил рекомендации по защите информации

в ДБО

• И еще куча писем по ДБО и интернет-банкингу

Требования ДИС Банка России по защите ДБО

Минимальный Стандартный Повышенный

Требования по идентификации и

аутентификации клиентов + + +

Требования по идентификации и

аутентификации клиента и

удаленного банка

- + =

Требования по аутентификации и

регистрации операций + + =

Требования по защите транзакций + + +

Требования к криптографической

подсистеме + + +

Требования по хранению ключей + + +

Требования по безопасности

программного окружения + + +

Требования к журналам и аудиту + + =

Технологические требования + + +

Какие стандарты готовятся в 2013-м году в ТК122

• Проект стандарта «Руководство по хорошим практикам

обеспечения защиты информации при оказании услуг

дистанционного банковского облуживания»

• Проект стандарта «Разработка электронных средств платежа.

Безопасность программного обеспечения электрон-ных средств

платежа»

• Проект стандарта «Обеспечение безопасности при

использовании электронных средств платежа и дистанционного

банковского обслуживания»

• Проект РС «Разработка системы документационного

обеспечения сертификации систем дистанционного банковского

обслуживания, включая электронные средства платежа»

Единое пространство доверия с операторами связи

• Инфраструктура многих операторов связи используется при

оказании услуг по переводу денежных средств (как минимум,

ДБО)

• Минкомсвязь совместно с Банком России решило вернуться к

теме «Базового уровня информационной безопасности

операторов связи» (он же рекомендации ITU-T X.sbno) и сделать

именно эти требования (с некоторыми доработками) условием

подключения (выбора) банков к инфраструктуре оператора связи

• При этом Банком России будут разработаны рекомендации по

выбору именно тех операторов, которые прошли процедуру

добровольной сертификации на соответствие «базовому уровню»

401

УКАЗАНИЕ 2831-У


• Указание «Об отчетности по обеспечению защиты информации

при осуществлении переводов денежных средств операторов

платежных систем, операторов услуг платежной инфраструктуры,

операторов по переводу денежных средств»

• Оно устанавливает формы отчетности по обеспечению защиты

информации при осуществлении переводов денежных средств

операторов платежных систем, операторов услуг платежной

инфраструктуры, операторов по переводу денежных средств,

сроки предоставления отчетности и методики составления

отчетности

– На платежных агентов (субагентов) данное указание не

распространяется

– Но Банк России может самостоятельно запрашивать у платежных

агентов информацию в рамках 380-П


ПЛАНЫ ПО РАЗВИТИЮ

Планы по развитию 382-П

• Доработки 382-П

– Устраняются технические погрешности

– Устанавливаются сроки и требования по хранению информации,

требуемой правоохранительным органам

– Уточняются требования к аудиторам и оценщикам 382-П

• Разработан проект методики для надзора ЦБ по проверке 382-П

• Разработана методика пересчета показателей 382-П к

показателям, используемым в надзорной деятельности Банка

России

Что будет в новой редакции 382-П?

• ОПДС, БПА обеспечивают регистрацию действий клиентов,

выполняемых с использованием автоматизированных систем,

программного обеспечения; при этом регистрации подлежит

следующая информация о действиях клиентов, выполняемых с

использованием автоматизированной системы, программного

обеспечения:

– дата и время осуществления действия клиента;

– идентификатор клиента;

– код, соответствующий выполняемому действию;

– идентификационная информация, используемая для адресации

устройства, с использованием которого осуществлен доступ к

автоматизированной системе, ПО с целью осуществления

переводов ДС, которой в зависимости от технической

возможности является IP-адрес, МАС-адрес, номер sim-карты,

номер телефона и (или) иной идентификатор устройства

Новые требования к оценщикам

• Установление требований и условий к организациям,

осуществляющим оценку соответствия

– Лицензия (если необходима)

– Российское юрлицо

– Не менее 3-х работников

– Профильное образование

– Стаж работы

– Документально подтвержденный опыт проведения работ,

связанных с оценкой выполнения требований к обеспечению

защиты информации и (или) требований к обеспечению


Планы по развитию 203-й формы отчетности

• Будет меняться отчетность по инцидентам

– Разделение на инциденты отчетного и предыдущих отчетных

периодов

– Будут запрашиваться инциденты, зарегистрированные ОПДС, его

клиентами и БПА

– Будет детализация классификации инцидентов

– Введение суммы похищенных и намеченных к хищению средств

– Детализация мест совершения инцидента (до 2-х десятков)

– Подробное описание инцидентов (названия ПО, названия СЗИ,

имена операторов связи, названия АБС, названия сетевого

оборудования и т.д.)

– Указание причин возникновения инцидентов

– Уточнение вопросов взаимодействия с правоохранительными

органами

Текущий и предыдущий отчетные периоды

Стратегия развития НПС

• Проект Плана мероприятий Банка России по реализации

Стратегии развития национальной платежной системы

• Предложения

– Разработка Банком России совместно с профессиональными

объединениями участников рынка платежных услуг проекта

федерального закона, предусматривающего в целях

противодействия хищению денежных средств возможность

оперативно реагировать на выявленные факты совершения

незаконных операций, определяющих порядок и условия

приостановления перевода денежных средств, упрощенный

порядок возврата средств законным владельцам, а также

устанавливающих специальные составы уголовно наказуемых

деяний, связанных с незаконным распоряжением чужими

денежными средствами, находящимися на счетах, и

определяющих место совершения таких преступлений



– Создание системы, в рамках которой пользователи системы могут

осуществлять регулярный обмен информацией, содержащей

идентификационные сведения о лицах, в отношении которых

имеются подозрения в причастности к совершению

несанкционированных операций (единая негосударственная

информационная система о фактах мошеннических действий в

национальной платежной системе)

– Разработка требований и рекомендаций к программно-

аппаратным средствам, осуществляющим сбор информации о

платежных переводах, совершенных в безналичном порядке, от

субъектов НПС, а также хранение, обработку, консолидацию и

передачу данной информации в уполномоченные

правоохранительные органы



– Разработка рекомендаций по противодействию и

предотвращению хищений денежных средств (указанные цели

могут быть достигнуты через установление требований к самим

субъектам платежных услуг и их отчетам, проведение аттестации

и переаттестации (данные подходы аналогичны действующим в

системе сертификации QSA PCI SSC))

– Разработка нормативных и иных актов Банка России,

обеспечивающих проведение межбанковских расчетов через

платежную систему Банка России (или альтернативную систему) в

режиме реального времени («он-лайн»)

ГОСУДАРСТВЕННЫЕ

ИНФОРМАЦИОННЫЕ

РЕСУРСЫ

Новый приказ ФСТЭК

• №27 от 12.02.2013 «О защите

информации, не составляющей

государственную тайну,

содержащейся в государственных

информационных системах»

• Все новые и модернизируемые

системы должны создаваться по

новому приказу, а не по СТР-К

– Старые системы «живут» по СТР-К

• Меры по защите ПДн в ГИС

принимаются в соответствии с

требованиями о защите информации,

содержащейся в ГИС

На кого распространяется?

• Настоящие Требования являются обязательными при

обработке информации в государственных информационных

системах, функционирующих на территории Российской

Федерации, а также в муниципальных информационных

системах, если иное не установлено законодательством

Российской Федерации о местном самоуправлении

• Выполнение настоящих Требований является обязательным

при обработке информации ограниченного доступа, не

содержащей сведения, составляющие государственную тайну,

в ГИС, функционирующих на территории Российской

Федерации, а также в муниципальных информационных

системах, если иное не установлено законодательством

Российской Федерации о местном самоуправлении

На кого не распространяется?

• Настоящие Требования не распространяются на

государственные информационные системы Администрации

Президента Российской Федерации, Совета Безопасности

Российской Федерации, Федерального Собрания Российской

Федерации, Правительства Российской Федерации,

Конституционного Суда Российской Федерации, Верховного

Суда Российской Федерации, Высшего Арбитражного Суда

Российской Федерации и Федеральной службы безопасности

Российской Федерации

Кто субъект правоотношений?

• Настоящие Требования предназначены для обладателей

информации, заказчиков, заключивших государственный контракт

на создание ГИС, операторов ГИС, а также лиц, привлекаемых

обладателями информации, заказчиками или операторами в

соответствии с законодательством РФ к проведению работ по

защите информации, содержащейся в ГИС

• Лицо, обрабатывающее информацию, являющуюся

государственным информационным ресурсом, по поручению

обладателя информации (заказчика) или оператора и (или)

предоставляющее им вычислительные ресурсы (мощности) для

обработки информации на основании заключенного договора,

обеспечивает защиту информации в соответствии с ФЗ-149

– При этом существенным условием договора является обязанность

уполномоченного лица обеспечить защиту информации,

являющейся государственным информационным ресурсом, в

соответствии с настоящими Требованиями

Жизненный цикл защиты государственных


• Организация защиты информации, содержащейся в

информационной системе, включает:

– формирование требований к системе защиты информации

информационной системы

– разработку системы защиты информации информационной

системы

– внедрение системы защиты информации информационной

системы

– аттестацию информационной системы на соответствие

требованиям о защите информации и ввод ее в действие

– эксплуатацию системы защиты информации информационной

системы

– защиту информации при выводе из эксплуатации

информационной системы или после окончания обработки

информации конфиденциального характера

Как защищают государственные информационные

системы в США?

• FIPS PUB 199

– Определяет принципы

классификации ИС

• FIPS PUB 200

– Определяет 17 областей с

минимальным набором

требований по ИБ

• NIST SP800-53

– Определяет порядок выбора

нужных и конкретных защитных

мер

• Все государственные ИС в США

должны строиться на базе этих

требований

Защитные меры могут приоритезироваться

• В зависимости от

критичности

защищаемого объекта

защитные меры могут

быть расширены

дополнительными

механизмами

• Выделяется 3 уровня


– Базовый (Low)

– Расширенный

(Moderate)

– Усиленный (High)

Как определяются требования по защите?

• Требования к системе защиты информации информационной

системы определяются в зависимости от

– класса защищенности информационной системы

– актуальных угроз безопасности информации, установленных в

модели угроз безопасности информации

• Приказ вводит 4 класса защищенности и определяет методику их

выбора

– Класс защищенности определяется для информационной

системы в целом и, при необходимости, для ее отдельных

сегментов (составных частей)

– Класс защищенности информационной системы подлежит

пересмотру при изменении масштаба информационной системы

или значимости обрабатываемой в ней информации

Определение класса защищенности

• Классификация зависит от значимости обрабатываемой

информации и масштаба ГИС

Уровень значимости информации

Масштаб информационной системы

Федеральный Региональный Объектовый

УЗ 1 К1 К1 К1

УЗ 2 К1 К2 К2

УЗ 3 К2 К3 К3

УЗ 4 К3 К3 К4

1Г или 2 класс защищенности: как правильно?

Классы АС

Классы АС Классы ИС Классы ИС

Так было

Так стало

• Аттестация проводится по новым классам защищенности

Как моделируются угрозы?

• Актуальные угрозы безопасности информации определяются по

результатам оценки возможностей (потенциала, оснащенности и

мотивации) внешних и внутренних нарушителей, анализа

возможных уязвимостей информационной системы, возможных

способов реализации угроз безопасности информации и

последствий от нарушения свойств безопасности информации

(конфиденциальности, целостности, доступности)

• Модель угроз безопасности информации должна содержать

описание структурно-функциональных характеристик

информационной системы и актуальных угроз безопасности


– Моделирование угроз осуществляется на основе

разрабатываемых методических документах ФСТЭК

– Предполагается, что данная методика будет единой для ПДн и

ГИС

Как определяются защитные меры

• Выбор мер по обеспечению безопасности ГИС,

подлежащих реализации в системе защиты ГИС,

включает

– определение базового набора мер

– адаптацию базового набора мер с учетом

структурно-функциональных характеристик

ИСПДн, ИТ, особенностей функционирования

ИСПДн

– уточнение адаптированного базового набора с

учетом не выбранных ранее мер

– дополнение уточненного адаптированного

базового набора мер по обеспечению

безопасности ПДн дополнительными мерами,

установленными иными нормативными актами

Базовые меры Базовые меры





Дополнение уточненного адаптированного набора Дополнение уточненного адаптированного набора

Компенсационные меры Компенсационные меры

О компенсирующих мерах

• В случае выбора компенсирующих мер в ходе разработки

системы защиты информации информационной системы должно

быть проведено обоснование применения компенсирующих мер

защиты информации, а при аттестационных испытаниях оценена

достаточность и адекватность данных компенсирующих мер для

блокирования (нейтрализации) актуальных угроз безопасности


• При использовании в информационных системах новых

информационных технологий и выявлении дополнительных угроз

безопасности информации, для которых не определены меры

защиты информации, должны разрабатываться компенсирующие

меры в соответствии с настоящими требованиями

Оценка соответствия средств защиты

• Средства защиты информации,

применяемые в информационных

системах, должны быть

сертифицированы на

соответствие требованиям по

безопасности информации в

соответствии с законодательством


• При отсутствии

сертифицированных средств

защиты информации организуется

разработка (доработка)

необходимых средств защиты

информации и их сертификация

Соответствие классов защищенности классам

сертифицированных СЗИ

Тип СЗИ / ПО 4 класс 3 класс 2 класс 1 класс

СВТ Не ниже 5 Не ниже 5 Не ниже 5 Не ниже 5

IDS Не ниже 6

4 Интернет


Антивирус Не ниже 6

4 Интернет


МСЭ 4

3 Интернет

4

3 Интернет

4

3 Интернет

4

НДВ в СЗИ - - Не ниже 4 Не ниже 4

Резюме по приказу №17

• ФСТЭК активизирует усилия по разработке унифицированного

набора требований по защите информации ограниченного

доступа в государственных и муниципальных информационных

системах

• Новый приказ ФСТЭК по защите ГИС устанавливает совершенно

новый подход к защите ГИС, базирующийся на лучших практиках

и позволяющий заказчикам и операторам ГИС самостоятельно

выбирать оптимальный и адекватный набор защитных мер

• Нумерация требований по защите ГИС и ПДн совпадает для

унификации подходов

НАДО ЛИ БОРОТЬСЯ С

ПЭМИН?

Требования по ПЭМИН и виброакустике

• Защита речевой информации и информации, представленной в

виде информативных электрических сигналов и физических

полей, осуществляется в случаях, когда при определении угроз

безопасности персональных данных и формировании модели

угроз применительно к информационной системе являются

актуальными угрозы утечки акустической речевой информации,

угрозы утечки видовой информации и угрозы утечки информации

по каналам побочных электромагнитных излучений и наводок

– П.3.1 Приказа № 58

ПЭМИН: ФСТЭК против РКН

• Внеплановые проверки Роскомнадзора по «радиочастотному»

направлению

– Департамент здравоохранения города Москвы

– Управление архитектуры и градостроительства администрации

Ангарского муниципального образования

• Обнаружен факт эксплуатации генератора шума (для защиты от

ПЭМИН) без разрешения на использование радиочастот или

радиочастотных каналов и свидетельства о регистрации

радиоэлектронного средства

– Административная ответственность (по 13.4 КоАП)

– Генератор шума отключен

http://www.rsoc.ru/main/about/regional_news.shtml?id_news=2585

http://38.rsoc.ru/news/?id_news=97

http://38.rsoc.ru/news/?id_news=97

ПЭМИН: ФСТЭК против РКН (продолжение)

• Разрешено использовать без оформления отдельных решений

ГКРЧ генераторы шума в диапазоне 0,1-1000 МГц

– Решение ГКРЧ 05-10-03-001 от 28.11.2005 «О выделении полосы

радиочастот 0,1-1000 МГц для генераторов радиошума,

используемых в качестве средств защиты информации»

– Но потребуется регистрация генератора и получение разрешения

в ФАС на использование радиочастот в диапазоне 0,1-1000 МГц

• Большинство генераторов шума «бьет» до 2 Ггц или даже 10 ГГц

– Частное решение ГКРЧ может получаться около года


• Без соответствующих решений ГКРЧ, Минобороны России и ФСО

России не допускается разработка, модернизация, производство

и применение РЭС и ВЧУ, ввоз на территорию Российской

Федерации РЭС и ВЧУ, а также принятие технических

регламентов, национальных стандартов и правил применения,

касающихся вопросов использования полос радиочастот РЭС и

ВЧУ

– «Положение о порядке рассмотрения материалов, проведения

экспертизы и принятия решения о выделении полос радиочастот

для радиоэлектронных средств и высокочастотных устройств»,

утвержденное решением ГКРЧ от 17.11.2007 № 07-22-03-001


• …ГКРЧ является органом исполнительной власти, а ее решения

в качестве межведомственного координационного органа,

действующего при Мининформсвязи, приобретают обязательный

характер постольку, поскольку утверждаются данным

полномочным федеральным органом исполнительной власти в

области связи либо согласованным решением этого органа и

других заинтересованных федеральных органов исполнительной

власти

– п.2.4 постановления Конституционного суда Российской

Федерации от 28.02.2006 № 2-П

ПЭМИН: ФСТЭК против РКН (окончание)

• Наличие сертификата ФСТЭК является необходимым, но

недостаточным условием для эксплуатации генератора шума

– Данная ситуация сложилась в результате некорректных действий

руководства ФСТЭК России, убедившего производителей ГРШ в

возможности производства ГРШ, использующих радиочастоты в

диапазоне 0,1-2000 МГц, без соответствующего решения ГКРЧ

– Более того ФСТЭК России были выданы сертификаты

соответствия на ГРШ такого типа без учета требований

нормативных правовых актов в сфере связи

ЭЛЕКТРОННЫЙ

ДОКУМЕНТООБОРОТ

Электронный документооборот госорганов

• Приказ Минкомсвязи РФ от 02.09.2011

№ 221 «Об утверждении Требований к

информационным системам

электронного документооборота

ФОИВ, учитывающих в том числе

необходимость обработки посредством

данных систем служебной

информации ограниченного

распространения»

– Зарегистрировано в Минюсте РФ

15.11.2011 N 22304

• Приказ Минкомсвязи РФ от 27.12.2010

№ 190 «Об утверждении технических

требований к взаимодействию систем

в единой системе межведомственного

электронного взаимодействия»

Внутренний ЭД Внутренний ЭД Межведомственный

ЭД Межведомственный

ЭД

Межведомственный электронный документооборот

• Подсистема информационной безопасности каждой

информационной системы, подключаемой к системе

взаимодействия, должна обеспечивать установленные

законодательством Российской Федерации уровни защищенности

информации, обрабатываемой в этой системе

– Пока не утверждены

• Каналы защищаются VPN-решениями класса не ниже КС3

– Учитывайте, что речь идет о межведомственном, а не

внутреннем электронном документообороте

Внутренний электронный документооборот

• Защищенность от несанкционированного доступа в случаях, когда в СЭД предусмотрена обработка служебной информации ограниченного распространения - не ниже класса 1Г

• Для защиты служебной информации ограниченного распространения должны использоваться сертифицированные в соответствии с требованиями безопасности информации технические и (или) программные средства защиты информации

• Требования по защите информации и мероприятия по их выполнению, а также конкретные программно-технические средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности

– Пока не установлены

• СЭД не должна иметь прямого (незащищенного) подключения к Интернет в соответствии с Указом Президента №351

– Необходимо применение сертифицированных межсетевых экранов и VPN-решений (любого класса)

КРИТИЧЕСКИ ВАЖНЫЕ

ОБЪЕКТЫ

Как регулируется ИБ в КВО?

Безопасность ТЭК

• 21 июля 2011 года Президент РФ подписал Федеральный Закон

«О безопасности объектов топливно-энергетического комплекса»,

а также Федеральный закон «О внесении изменений в отдельные

законодательные акты Российской Федерации в части

обеспечения безопасности объектов топливно-энергетического

комплекса»

• Статья 11 «Обеспечение безопасности информационных систем

объектов топливно-энергетического комплекса»

– Требования и состав комплекса защитных мер пока не

определены

• В проекте постановления Правительства Российской Федерации

«Об утверждении требований обеспечения безопасности

объектов топливно-энергетического комплекса и требований

антитеррористической защищенности объектов топливно-

энергетического комплекса» ИБ не прописана, но… см. дальше

Мнение Минэнерго

• Три Постановления Правительства от 5 мая 2012 года

– № 458 «Об утверждении Правил по обеспечению безопасности и

антитеррористической защищенности объектов топливно-

энергетического комплекса»

– № 459 «Об утверждении Положения об исходных данных для

проведения категорирования объекта топливно-энергетического

комплекса, порядке его проведения и критериях

категорирования»

– № 460 «Об утверждении Правил актуализации паспорта

безопасности объекта топливно-энергетического комплекса»

• Позиция Минэнерго - т.к. в ст.11 ФЗ-256 «О безопасности

объектов ТЭК» нет требования разработать Постановление

Правительства, то и требования по защите можно использовать

текущие (от ФСТЭК и ФСБ)

Безопасность критически важных объектов

• Основные направления государственной политики в области

обеспечения безопасности автоматизированных систем

управления производственными и технологическими процессами

критически важных объектов инфраструктуры Российской

Федерации

– 4 июля 2012 года

– Разработаны в целях реализации основных положений

Стратегии национальной безопасности Российской Федерации

до 2020 года

• Включают

– Требования к разработчикам АСУ ТП

– Единая гос.система обнаружения и предотвращения атак

– Промышленная и научно-техническая политика,

фундаментальная и прикладная наука и повышение

квалификации кадров

А что дальше или Указ Президента 31с

• 28.12.2012 – встреча Президента с офицерами, назначенными на

высшие командные должности

– Говорит о защите стратегической инфраструктуры

• 29.12.2012 - Указ Президента №1711 об изменении состава

Межведомственной комиссии Совета Безопасности РФ по


– Добавление в комиссию представителей стратегических КВО

• 15.01.2013 - Указ Президента №31с «О создании государственной

системы обнаружения, предупреждения и ликвидации

последствий компьютерных атак на информационные ресурсы

РФ»

– Создание данной системы, разработка методики обнаружения

атак, обмен информацией между госорганами об инцидентах ИБ,

оценка степени защищенности критической информационной


НОРМАТИВНЫЕ

ДОКУМЕНТЫ ПО КСИИ


• Критически важный объект – объект, оказывающий существенное

влияние на национальную безопасность РФ, прекращение или

нарушения деятельности которого приводит к чрезвычайной

ситуации или к значительным негативным последствиям для

обороны, безопасности, международных отношений, экономики,

другой сферы хозяйства или инфраструктуры страны, либо для

жизнедеятельности населения, проживающего на

соответствующей территории, на длительный период времени


• Ключевая (критически важная) система информационной

инфраструктуры – информационно-управляющая или

информационно-телекоммуникационная система, которая

осуществляет управление критически важным объектом

(процессом), или информационное обеспечение таким объектом

(процессом), или официальное информирование граждан и в

результате деструктивных действий на которую может сложиться

чрезвычайная ситуация или будут нарушены выполняемые

системой функции управления со значительными негативными

последствиями

Ключевые системы образуются

• Государственной автоматизированной системой «Выборы»

• Системами органов государственной власти

• Автоматизированными системами управления войсками и оружием

• Спутниковыми системами, используемыми для обеспечения органов управления и в специальных целях

• Системами органов управления правоохранительных структур

• Средствами и системами телерадиовещания и другими системами информирования населения

• Общегосударственными кадастрами и базами данных справочной информации

• Магистральными сетями связи общего пользования и сетями связи общего пользования на участках, не

имеющих резервных или альтернативных видов связи

• Программно-техническими комплексами центров управления сетей связи

• Системами финансово-кредитной и банковской деятельности - расчетно-кассовые системы, системы

электронных платежей, информационные системы сбора обязательных платежей в бюджет,

информационные системы учета и распределения бюджетных поступлений и расходов

• Системами управления добычей и транспортировкой нефти, нефтепродуктов и газа

• Системами управления водоснабжением, водонапорным и гидротехническим оборудованием

• Системами управления энергоснабжением

• Системами управления транспортом

• Системами управления потенциально опасными объектами

• Системами предупреждения и ликвидации чрезвычайных ситуаций

• Географическими и навигационными системами

• И другими системами, влияющими на национальную безопасность страны

Номенклатура документов по КСИИ

Указ от 16.08.2004

№1085

Указ от 11.08.2003

№960

Приказ от

30.03.2002

№Пр-578

Проект

закона (снят)

№411-рс от

23.03.2006

4 «закрытых»

документа

ФСТЭК

Указы

Президента

Иные

документы

Распоряжения

Правительства

Отраслевые

документы

Секретарь

СовБеза РФ

от 08.11.2005

«Основы» от 28.09.2006

№1314-р от

27.08.2005

Нормативные документы

• Приказ Президента РФ от 30.03.2002 №Пр-578 «Перечень

критических технологий РФ»

• Указ Президента РФ от 11.08.2003 №960 «Вопросы Федеральной

службы безопасности РФ»

– П.20.1

• Указ Президента РФ от 16.08.2004 №1085 «Вопросы

Федеральной службы по техническому и экспортному контролю»

– П.1.1

• «Основы государственной политики в области обеспечения

безопасности населения Российской Федерации и защищенности

критически важных и потенциально опасных объектов от угроз»

от 28.09.2006

Нормативные документы

• Законопроект «Об особенностях обеспечения информационной

безопасности критически важных объектов информационной и

телекоммуникационной инфраструктуры»

• Документ Секретаря Совета Безопасности от 08.11.2005

«Система признаков критически важных объектов и критериев

отнесения функционирующих в их составе информационно-

телекоммуникационных систем к числу защищаемых от

деструктивных информационных воздействий»

• Распоряжение Правительства от 23.03.2006 №411-рс «Перечень

критически важных объектов Российской Федерации»

НОРМАТИВНЫЕ

ДОКУМЕНТЫ ФСТЭК

Нормативные документы ФСТЭК

• Методика определения актуальных угроз безопасности

информации в ключевых системах информационных

инфраструктурах

• Общие требования по обеспечению безопасности информации в

ключевых системах информационных инфраструктурах

• Базовая модель угроз безопасности информации в ключевых

системах информационных инфраструктурах

• Рекомендации по обеспечению безопасности информации в

ключевых системах информационных инфраструктурах

– Утверждены 18 мая 2007 года

Защищаемая информация

• Основной защищаемой информацией в КСИИ является

технологическая информация (программно-техническая,

командная, измерительная), которая не относится к информации

ограниченного доступа

– Информация ограниченного доступа в КСИИ защищается в

соответствии с действующими требованиями и нормами

(СТР-К или приказ №17)

Основные положения

• Область применения – КСИИ с открытой информацией

(неограниченного доступа)

• Описывает мероприятия по обеспечению безопасности

информации в КСИИ

– Отнесение систем к КСИИ

– Организация обеспечения ИБ в КСИИ

– Программное и аппаратное обеспечение ИБ в КСИИ

– Обеспечение ИБ при взаимодействии КСИИ с открытыми сетями

и системами

– Обеспечение ИБ при защите от вредоносных программ

– Действия, связанные с обслуживанием и модернизацией КСИИ, а

также аттестация организаций на право деятельности в области

защиты КСИИ, надзор в этой области и оценка соответствия

установленным требованиям

Отнесение систем к КСИИ

• В документе определяются признаки отнесения объектов к

критически важным

– Но финальная классификация отсутствует

• Критически важные объекты делятся на 3 типа в зависимости

назначения, функционирующих в их составе ИТКС

• Перечень критически важных объектов определен в секретном

Распоряжении Правительства от 23.03.2006 №411-рс «Перечень

критически важных объектов Российской Федерации»

• Реестр КСИИ ведется ФСТЭК

Отнесение систем к КСИИ

• КСИИ делятся на группы

– Системы сбора открытой информации, на основании которой

принимаются управленческие решения

– Системы хранения открытой информации

– Системы управления СМИ

– Системы управления критически важным объектом

• Уровень важности КСИИ определяется в соответствии с

«Системой признаков критически важных объектов и критериев

отнесения функционирующих в их составе информационно-

телекоммуникационных систем к числу защищаемых от

деструктивных информационных воздействий», утвержденной

Секретарем Совета Безопасности 08.11.2005

Требования по безопасности

• Требования по обеспечению безопасности информации в КСИИ

отличаются в зависимости от их типа и между собой не

пересекаются (!!!)

– 1-й тип – системы сбора и хранения открытой информации, а

также системы управления СМИ

– 2-й тип – системы управления критически важными объектами

• Требования по обеспечению безопасности информации в КСИИ

различных уровней важности соответствуют требованиям для

различных классов защищенности АС и МСЭ или уровней

контроля отсутствия НДВ

– Исключение составляют требования, для которых у ФСТЭК

отсутствуют руководящие документы – антивирусная защита,

анализ защищенности, обнаружение вторжений и требования

доверия к безопасности

Требования по защите КСИИ 1-го типа

Группы требований Уровень важности КСИИ

3 2 1

Управление доступом 1Г 1В 1Б

Регистрация и учет 1Г 1В 1Б

Обеспечение целостности 1Г 1В 1Б

Обеспечение безопасного межсетевого

взаимодействия в КСИИ 4 3 2

Уровень контроля отсутствия НДВ 4 3 2

Антивирусная защита + + +

Анализ защищенности + + +

Обнаружение вторжений + + +

Требования доверия к безопасности + + +

Требования по защите КСИИ 2-го типа

Группы требований Уровень важности КСИИ

3 2 1

Планирование обеспечения безопасности + + +

Действия в непредвиденных ситуациях + + +

Реагирование на инциденты + + +

Оценка рисков + + +

Защита носителей информации + + +

Обеспечение целостности + + +

Физическая защита и защиты среды + + +

Безопасность и персонал + + +

Информирование и обучение по вопросам ИБ + + +

Защита коммуникаций + + +

Аудит безопасности + + +

Стандарты Газпрома

• Стандарты Газпрома по ИБ

– СТО Газпром 4.2-0-004-2009 Система обеспечения

информационной безопасности ОАО «Газпром». Базовая модель

угроз информационной безопасности корпоративным

информационно-управляющим системам


информационной безопасности ОАО «Газпром». Руководство по

разработке требований к объектам защиты


информационной безопасности ОАО «Газпром». Правила оценки

рисков


информационной безопасности ОАО «Газпром». Правила

классификации объектов защиты

Стандарты Газпрома

• Стандарты Газпрома по безопасности АСУ ТП

– Р Газпром 4.2-0-003. Типовая политика информационной

безопасности автоматизированных систем управления

технологическими процессами

– СТО Газпром 4.2-2-002. Система обеспечения информационной

безопасности ОАО «Газпром». Требования к

автоматизированным системам управления технологическими

процессами

МОЖНО ЛИ ПРИМЕНЯТЬ

МЕЖДУНАРОДНЫЕ

СТАНДАРТЫ?

Что включено в международные стандарты по ИБ АСУ

ТП?

Источник: SCADA System Cyber Security – A Comparison of Standards

От каких угроз защищаемся?


Актуальна ли тема поддержки

ГОСТа?

Можно ли на базе ISO27001/27002?


Надо комбинировать

• В мае 2006 года в рамках

Chemical Sector Cyber Security

Program советом

по ИТ химической

индустрии (Chemical Information

Technology Council, ChemITC) в

рамках американского совета

химической индустрии были

предложены рекомендации по


в основу которых легли

стандарты ISO\IEC 17799 и ISA-

SP99

Рецепт хорошего стандарта

• Чтобы разрабатывать стандарт по безопасности АСУ ТП на базе

какого-либо имеющегося документа необходимо чтобы этот

документ включал в себя все основные требования по

безопасности

– Примером является FIPS PUB 200 / NIST SP800-53 в США или

ISO 27001-27005 в мире

– В России таких целостных и всесторонних нормативных

документов пока нет

• Добавить специфику АСУ ТП

– Лучше ориентироваться на NERC CIP, ISA SP99, NISTIR 7628

• Добавить отраслевую специфику

Где взять специфику АСУ ТП?

• Cyber Security Procurement

Language for Control Systems

• Документ (145 стр.) аккумулирует

принципы ИБ, которые должны

учитываться при разработке и

приобретении АСУ ТП и сервисов

с ней связанных

• Это рекомендация – не стандарт

Отраслевая специфика

В России еще ГАС «Выборы», кадастры и все, что

влияет на национальную безопасность

Кулинарная книга разработчика

• Специально для разработки

отраслевых стандартов

существует набор

рекомендаций, которые

должны включаться (не

забываться) при создании

собственного набора

требований по

безопасности АСУ ТП

Опыт в России есть! Надо только начать!

ТРЕБОВАНИЯ К

ОПЕРАТОРАМ СВЯЗИ

Какие требования по ИБ в отрасли связи?

• 1 марта 2012 г. Минэкономразвития опубликовало Проект

постановления Правительства «Об утверждении перечня

нарушений целостности, устойчивости функционирования и

безопасности единой сети электросвязи Российской Федерации»

– Регулирует отношения в области организации и осуществления

государственного контроля (надзора), установления, применения

и исполнения обязательных требований к продукции или

связанным с ними процессам эксплуатации, оценки соответствия

• Перечень был утвержден Распоряжением Правительства №611

от 15.04.2013

РКН новый регулятор ИБ в отрасли связи

• Требования по защите, а также требования по обеспечению

целостности и устойчивости для операторов связи установлены

– 113-м приказом Минсвязи от 27.09.2007 «Об утверждении

Требований к организационно-техническому обеспечению

устойчивого функционирования сети связи общего пользования»

– ГОСТ Р 53110-2008 «Система обеспечения информационной

безопасности сети связи общего пользования. Общие

положения»

– 1-м приказом Минкомсвязи от 9.01.2008 «Об утверждении

требований по защите сетей связи от несанкционированного

доступа к ним и передаваемой посредством их информации»

Защита детей от Интернет

• Закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам регулирования отношений при использовании информационно-телекоммуникационной сети Интернет» и ФЗ «О защите детей от негативной информации»

– Операторы связи, оказывающие услуги по предоставлению доступа к информационно-телекоммуникационной сети Интернет, обязаны осуществлять ограничение и возобновление пропуска трафика к сетевому адресу в информационно-телекоммуникационной сети Интернет в порядке, установленном Федеральным законом «Об информации, информационных технологиях и о защите информации»

• Блокирование Интернет-сайтов с противоправным контентом без суда и следствия по решению Роскомнадзора

• Блокирование сайтов с детским порно, пропагандой наркотиков и суицида

О проектах нормативных актов

• Проект приказа Минкомсвязи «Об утверждении Требований к

управлению сетями электросвязи»

– Системы управления сетями связи должны быть

сертифицированными

РЕГУЛИРОВАНИЕ ИНТЕРНЕТ

Контроль социальных сетей и Интернет

• Социальные сети и Интернет надо контролировать

– Юрий Чайка, Генеральная прокуратура

• Интернет не приемлет анонимности – надо контролировать

– Патриарх Кирилл, Русская Православная Церковь

– Рашид Нургалиев и Анатолий Мошков, МВД

– Николай Патрушев, Совет Безопасности

– Сергей Железняк, ГосДума

• Пользователи должны иметь Интернет-паспорта

– Евгений Касперский

Как контролировать кого-то в Интернет

• Заставить всех аутентифицироваться при входе в Интернет

– Постановление Правительства от 28.11.2011 № 977 «О федеральной ГИС «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей …»

• Запретить анонимайзеры

– Законопроект готовится к осенней сессии в Госдуме

• Лицензирование всех Интернет-компаний, а не только тех, кто оказывает телематику на возмездной основе

• Иметь возможность выемки логов у Интернет-компаний «задним числом», а не только с момента запроса в рамках ОРД

• Хостинг Интернет-сервисов только в России и по российским правилам

• Запретить западную криптографию

• Введение черных списков экстремистов (по аналогии с защитой детей)

• Усилить наказание

Работа активно идет

• Государственный контракт на тему «Зарубежный опыт регулирования ответственности участников правоотношений при использовании сети Интернет»

– Выиграл Институт законодательства и сравнительного правоведения при Правительстве РФ

– Отчет включает описание законодательства США, Великобритании, Франции, Германии, Китая, Канады, Казахстана, Белоруссии в области правового регулирования ответственности участников правоотношений при использовании сети Интернет за содержание размещаемой в сети информации, аналитические материалы, содержащие соответствующие нормативные правовые акты (отдельные нормы) указанных стран и результаты сравнительного исследования выявленных норм, регулирующих ответственность за содержание размещаемой в сети Интернет информации, и внесены предложения по совершенствованию законодательства РФ в области правового регулирования ответственности участников правоотношений при использовании сети Интернет за содержание размещаемой в сети информации

Контроль средств коммуникаций

• В начале февраля 2012 на сайте Минкомсвязи были

опубликованы результаты оценки регулирующего воздействия на

проект приказа Минкомсвязи России «О внесении изменений в

отдельные акты по вопросам применения средств связи»

– Обязательное требование к абонентским устройствам,

используемых в сети связи общего пользования, согласно

которому каждое абонентское устройство должно иметь

уникальный идентификационный номер

– Указанные абонентские устройства подлежат обязательному

подтверждению соответствия установленным требованиям в

целях обеспечения целостности, устойчивости

функционирования и безопасности единой сети электросвязи


• Новые проекты приказов Минкомсвязи по различным аспектам

СОРМ

Контроль Интернет-компаний

• На рассмотрении совета Госдумы РФ находится предложенный

Комитетом по вопросам собственности законопроект о внесении

изменений в закон об иностранных инвестициях в предприятия,

имеющие стратегическое значение для обеспечения обороны

страны и безопасности государства (57-ФЗ)

– законопроект предлагает дополнить список стратегических

предприятий компаниями, оказывающими «социально значимые

услуги в сети Интернет»

– «Под социально значимой услугой в сети Интернет

понимается в том числе осуществление: поиска информации

по запросам пользователей, почтового сервиса, загрузке,

хранению, просмотру визуального, аудиовизуального и иного

материала, по просмотру и правке различного рода справочной

информации, по созданию и размещению сайтов, по

кооперативному обмену файлами и иные коммуникационные

услуги в сети Интернет»

Регулирование облачных вычислений

• «Помимо этого сервер, предоставляющий услугу облачных

вычислений, должен находиться в России. В какой-то

степени такие условия осложняют жизнь хостерам, потому

что придется взаимодействовать с такими службами, как

ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо

сделать, чтобы облачные платформы в будущем имели

возможность нормальной работы не только с госорганами,

но и с другими структурами»

– Илья Массух, бывший советник министра связи и массовых

коммуникаций на конференции «Защита персональных

данных», 27 октября 2011 года

• Сейчас отмечен очередной этап интереса к теме

регулирования облаков – готовится новая законодательная

база

ОБ ИНТЕГРАЦИИ В

МИРОВОЕ СООБЩЕСТВО

О признании западных стандартов ИБ

• 9 декабря Президент Медведев подписал перечень поручений по

итогам заседания Международного консультативного совета по

созданию и развитию международного финансового центра в

Российской Федерации 28 октября 2011 года

– Рассмотреть вопрос о целесообразности смягчения требований к

вывозу отечественных шифровальных (криптографических)

средств за рубеж и о признании международных стандартов в

области защиты информации и представить соответствующие

предложения

– Поручение дано Путину В.В. Срок - до 1 марта 2012 года

• Результат – ФСБ рассмотрело данный вопрос и посчитало

смягчение нецелесообразным

О принятии международных конвенций

• Проект Кодекса (Конвенции) поведения ООН в области ИБ

– Инициирован Россией, Китаем, Узбекистаном и Таджикистаном

– Запрет на вмешательство в национальное Интернет-пространство

– Запрет на использование Интернет и социальных сетей для свержения правительств

• Россия заблокировала Конвенцию ОБСЕ по «правам человека» в Интернет

• Россия ратифицировала, а потом отозвала свою подпись под Будапештской Конвенцией о борьбе с киберпреступностью

– Мотивация – несогласие с вмешательством во внутренние Интернет-дела

• Россия отказалась вступать в IMPACT

– Мотивация – опасения раскрытия информации о национальной безопасности

Зато мы хотим дружить с СНГ

• Распоряжение Правительства РФ от 28.05.2012 №856-р «О

подписании соглашения о сотрудничестве государств -

участников содружества независимых государств в области

обеспечения информационной безопасности»

– Автор – Минкомсвязь

• Ключевые положения

– Сближение нормативной базы в области ИБ стран СНГ

– Развитие производства средств защиты

– Разработка межгосударственных стандартов, совместимых с

западными

– Согласование порядка сертификации средств защиты и взаимное

признание выданных в СНГ сертификатов

– И т.д.

О содействии иностранным инвестициям в ИТ

• 19 июня 2010 года бывший Президент Медведев поручил

Правительству Российской Федерации в целях содействия

иностранным инвестициям в производство медикаментов,

медицинской и компьютерной техники, телекоммуникационного,

энергетического и энергосберегающего оборудования, другой

высокотехнологичной продукции на территории Российской

Федерации оптимизировать процедуры таможенного

оформления, валютного и экспортного контроля при экспорте

готовой продукции, а также при импорте комплектующих и

оборудования

– Ничего не поменялось

Как регуляторы понимают оптимизацию таможенного

оформления

• Письмо ФТС от 12 декабря 2011 г. N 04-30/60671 «О направлении

памятки»

– Актуализированный с учетом увеличения стоимостной нормы

беспошлинного ввоза физическими лицами на таможенную

территорию Таможенного союза товаров для личного пользования в

сопровождаемом и несопровождаемом багаже воздушным

транспортом до 10 000 евро порядок перемещения физическими

лицами товаров для личного пользования через таможенную границу

Таможенного союза

• Таможенному декларированию подлежат среди прочего

технические средства, имеющие функции шифрования

– Товары для личного пользования, перемещение которых

физическими лицами через границу Российской Федерации

допускается с разрешения государственных органов

О продукции отечественного производства – методика

недоработана

• Приказ Минэкономразвития и Минпромторга, определяющий, что

считать ИТ-продукцией отечественного производства

• Параметр Кимп (стоимость импортного сырья, материалов,

комплектующих, имеющих отечественные аналоги) в формуле

расчета либо не вычислим либо будет всегда очень большим

(итог – низкий уровень локализации)

– Не установлен орган сличения материалов и комплектующих

иностранного и отечественного производства

– Не определены каталоги, считающиеся официальными

– Не определены процедуры и орган, утверждающие о наличии

отечественных аналогов

В России нет продукции отечественного производства

• Иностранные вендоры в России – резиденты со 100%-м участием

иностранных компаний

– Приказ обязывает создавать СП с госорганами, муниципалами

или Ростехнологиями

– СП должны быть переданы права на документацию и ПО –

передача интеллектуальных прав западной компании (особенно

из США) практически невозможна

• Заявитель должен осуществлять полный цикл сборки печатных

плат в России

– В России таких предприятий (даже оборонных) практически нет

– При наличии таких предприятий проще обратиться на Тайвань

или в Китай – себестоимость ниже

– Кстати, сборка печатных плат – экологически вредное

производство

КОНТРОЛЬ ЗАПАДНОГО

ВЛИЯНИЯ

Чего боятся отечественные производители средств

защиты?

• Риски, связанные со все более укрепляющимся положением

международных производителей на отечественном рынке

программного обеспечения в сфере ИБ, особенно принимая во

внимание фактическую либерализацию импорта СКЗИ

– До 90% отдельных сегментов российского рынка ИБ занимают

иностранные производители

– На отечественном рынке ИТ также превалируют технологии

иностранного происхождения

• Рост роли международных стандартов на национальном рынке

информационной безопасности, перекос регулирования

«экспорт/импорт» может привести к падению спроса на

продукцию отечественных производителей программного

обеспечения

Чего боятся в ФСБ/Совете Безопасности?

• В российских информационно-коммуникационных технологиях

используется до 98% зарубежных разработок и оборудования

– Данные ФСБ для Совбеза РФ

• В качестве угрозы рассматривается использование

несертифицированных отечественных и зарубежных ИТ, средств

защиты информации, средств информатизации,

телекоомуникации и связи при создании и развитии российской

информационной инфраструктуры

– Доктрина информационной безопасности РФ

• ФСБ не раз заявляла о том, что для борьбы с этой угрозой

национальной безопасности будут использованы два основных

механизмы

– Недопущение на российский рынок западных продуктов

– Сертификация средств защиты информации

О чем говорят властные структуры?

• Россия зависима от западных технологий

– Их разработчики находятся под колпаком у западных спецслужб

• Невозможность бороться с киберпреступлениями

– Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О

борьбе с киберпреступностью», а потом отозвал свою подпись

• Готовятся кибервойны

– США внесло в ООН предложение отвечать военными ударами на

кибератаки

• Законодательство других стран дает право спецслужбам

контролировать весь Интернет-трафик, проходящий через эти

страны

– В России такое же законодательство

• Западные страны пытаются вмешиваться в суверенитет России в

Интернет-пространстве

ЧТО ЕЩЕ

Стратегия кибербезопасности России

• Концептуальные взгляды на деятельность Вооруженных Сил

Российской Федерации в информационном пространстве

– В конце 2011 года документ появился на одном из сайтов

МинОбороны

• Сентябрь 2012 – готовится проект государственной стратегии

кибербезопасности

– Приравняет атаки на госсайты к захвату органов власти

Окультуривание в области ИБ

• Проект Совета Безопасности «Основные направления

государственной политики в области формирования культуры

информационной безопасности»

– Определяет цель, задачи, принципы и основные направления

государственной политики в области формирования культуры

информационной безопасности как важного условия развития

информационного общества в России и обеспечения

национальной безопасности

– Под культурой информационной безопасности понимаются

знания и навыки граждан, а также политики организаций в

области использования информационно-коммуникационных

технологий, необходимые для повышения уровня

информационной безопасности.

– Одной из основ культуры информационной безопасности

являются правила, нормы и стандарты безопасного

использования информационно-коммуникационных технологий

Готовятся новые РД ФСТЭК

• Требования к DLP-системам

• Требования к средствам доверенной загрузки

• Требования к средствам двухфакторной аутентификации

• Требования к средствам контроля съемных носителей


• Требования по защите беспроводного и удаленного доступа

• Идет работа с ФСБ и Минкомсвязи по определению границ сетей

организаций и операторов связи с целью разделения

ответственности и формированию единого пространства доверия

• Новое положение о сертификации средств защиты информации

• Рекомендации по обновлению сертифицированных средств

защиты информации

Готовятся новые ГОСТы на 2013-2014 годы

• «Уязвимости информационных систем. Классификация

уязвимостей информационных систем»

• «Уязвимости информационных систем. Правила описания

уязвимостей»

• «Уязвимости информационных систем. Содержание и порядок

выполнения работ по выявлению и оценке уязвимостей

информационных систем»

• «Порядок создания автоматизированных систем в защищенном

исполнении. Общие положения»

– Взамен текущей версии ГОСТ 51583-2000

• «Документация по технической защите информации на объекте

информатизации. Общие положения»

• «Информационные системы и объекты информатизации. Угрозы

безопасности информации. Общие положения»

Готовятся новые ГОСТы на 2013-2014 годы

• «Техника защиты информации. Номенклатура показателей качества»

– Взамен текущего ГОСТ Р 52447-2005

• «Основные термины и определения»

– взамен текущей версии ГОСТ Р 50922-2006

• «Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения»

• «Требования по защите информации, обрабатываемой с использованием технологий «облачных вычислений». Общие положения»

• «Требования по защите информации в информационных системах, построенных с использованием суперкомпьютерных и грид – технологий»

• Ряд стандартов по информационным войнам

Что осталось за бортом?

• Новая редакций Гражданского Кодекса

(в части режима КТ)

• Универсальная электронная карта

• Принятие стандартов ISO (15408,

27005, 18045) в России

• ГОСТ по моделированию угроз для

операторов связи

• Государственные образовательные

стандарты по ИБ

– А также стандарт АП КИТ по

квалификациями специалистов по ИБ

506

СЕРТИФИКАЦИЯ ИЛИ

ОЦЕНКА СООТВЕТСТВИЯ?

О сертификации средств защиты

• В НПА упоминаются разная сертификация

– Обязательная сертификация

– Сертификация

– Сертификация в системах сертификации ФСТЭК и ФСБ

– Добровольная сертификация

• Согласно Приказу Председателя Гостехкомиссии России от 27

октября 1995 г. № 199 обязательной сертификации подлежат

любые средства защиты информации ограниченного доступа

– В первоначальной версии этой приписки не было

• Однако сейчас ФСТЭК почти не упоминает сертификацию

– Методами и способами защиты информации от

несанкционированного доступа являются…использование

средств защиты информации, прошедших в установленном

порядке процедуру оценки соответствия


• Старые нормативные правовые акты

«говорят» преимущественно о

сертификации, а новые – об оценке


– Иногда встречается понятие

«аттестация» или «подтверждение

соответствия»

• Оценка соответствия ≠ сертификация

• Оценка соответствия регулируется

ФЗ-184 «О техническом

регулировании»

• Оценка соответствия - прямое или

косвенное определение соблюдения

требований, предъявляемых к

объекту

В ЧЕМ ПРОБЛЕМА С

СЕРТИФИКАЦИЕЙ?

Какие системы сертификации существуют?

ФСТЭК ФСБ МО СВР

Все, кроме

криптографии

СКЗИ

МСЭ

Антивирусы

IDS

BIOS

Сетевое

оборудование

Все для нужд

оборонного ведомства

Тайна, покрытая

мраком

Требования

открыты Требования закрыты (часто секретны). Даже лицензиаты

зачастую не имеют их, оперируя выписками из выписок

А еще есть 4 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,

«АйТиСертифика» (ЕВРААС), Ecomex и «Каскад»

Есть ли разница?

Единичный экземпляр

Партия Серия

Дата выпуска: 12 декабря 2010 года

CRC: E6D3A4B567

Место производства: Ирландия,

Дублин

Смена: 12

Версия ОС: 8.2

Производительность: 40 Гбит/сек

Дата выпуска: 12 декабря 2010 года

CRC: E6D3A4B567

Место производства: Ирландия,

Дублин

Смена: 12

Версия ОС: 8.2

Производительность: 40 Гбит/сек

Cisco ASA 5585-X Cisco ASA 5585-X

Процесс сертификации средств защиты информации в

ФСТЭК

Разработчик

Производитель

/ Заявитель

Испытательная

лаборатория

Орган по

сертификации

ФСТЭК

Продавец Потребитель Дистрибутор

Представительство

- Инициатором является разработчик СрЗИ

- Инициатором является продавец СрЗИ

- Инициатором является потребитель СрЗИ

- Поставка СрЗИ без сертификации

В чем проблема?

Единичный экземпляр

Партия Серия

Основная схема для

западных вендоров

Оценивается конкретный

экземпляр (образец)

Число экземпляров – 1-2


западных вендоров

Оценивается

репрезентативная выборка

образцов

Число экземпляров – 50-

200


российских вендоров

Оценивается образец +

инспекционный контроль за

стабильностью характеристик

сертифицированной

продукции

Число экземпляров -

неограничено

Выписанные сертификаты уже кому-то выданы!

Сертифицированное серийное производство: что это

значит?

• Серийное производство в контексте сертификации по

требованиям безопасности не означает ни производства

комплектующих, ни их сборки на территории Российской

Федерации

• Речь идет только об оценке соответствия массово поставляемого

оборудования в форме инспекционного контроля,

осуществляемого испытательной лабораторией

• В данном случае проводится аттестация производства на

территории испытательной лаборатории, проведение типовых

испытаний образцов продукции на соответствие требованиям по

безопасности информации и последующий инспекционный

контроль стабильности характеристик сертифицированной

продукции, обеспечивающих выполнение этих требований

– Инспекционный контроль не проводится с какой то

установленной заранее периодичностью

Сертифицированное серийное производство: что это

значит?

• Такой подход можно назвать псевдо-сертификацией

производства так как по сути представляет собой быструю

повторную сертификацию

• Использовать данную схему для оборудования, производимого за

пределами России, непросто – обязательно требуется

российское юридическое лицо, являющееся лицензиатом

– На сегодняшний день ни одна зарубежная компания, не имеет в

России такой лицензии и вынуждена обращаться за помощью к

соответствующим организациям

• Документов, определяющий порядок проведения сертификации

«серийного производства» в России нет

– Важнее всего не производство, а процесс выходного контроля,

позволяющий подтвердить, что при выпуске изделия оно

соответствуют проверенным образцам, и сертифицированные

параметры не ухудшены

Сертифицированное серийное производство по линии

ФСБ

• ФСБ не признает схем сертификации, отличных от «серийного

производства»

• Учитывая сложность получения лицензии ФСБ на деятельности в

области разработки средств защиты, а также сложность процесса

оценки соответствия и итогового получения сертификата,

«посторонних» в этой системе не бывает

– Таким образом ФСБ отсекает всех «лишних» игроков рынка и

может ограничиться только одной схемой сертификации

Процесс обновления сертифицированных СЗИ гораздо

сложнее

Разработчик

Производитель

/ Заявитель

Испытательная

лаборатория

Орган по


ФСТЭК

Продавец Потребитель

Представительство

Промежуточное резюме

• Здравый смысл и принцип «по аналогии» в области

сертификации средств защиты в России не работает

• Требования по сертификации берут свое начало в области

защиты гостайны и с тех пор не менялись

• Потребители не понимают специфики сертификации

СКОЛЬКО СТОИТ

СЕРТИФИКАТ?

Стоимость сертификации

• Ориентировочная средняя стоимость сертификации по линии

ФСТЭК составляет (для схемы сертификации единичного

экземпляра)

– По требованиям для межсетевых экранов (для 3-го класса

защищенности) - около 100 тысяч рублей

– На отсутствие НДВ (для 4-го класса) – около 150 тысяч рублей

– По «Общим критериям» - около 700 тысяч рублей

– По техническим условиям – около 300-400 тысяч рублей.

• Дополнительной статьей затрат может стать этап подготовки

исходных данных

– Заявители просят испытательную лабораторию разработать весь

комплект документации, цена которой разнится от 150 до 900

тысяч рублей

– При этом время, затраченное на разработку, отнимает основное

время сертификации – 3-4 месяца

Во что обходится сертификация?

• Стоимость СЗИ на 1 ПК – от 3,4 тысяч (Windows 7) до 5-8 тысяч

рублей

– +15-25% на годовую поддержку

• Стоимость СЗИ на 1 сервер – от 9 тысяч (Windows 2008 Server)

до 30-35 тысяч рублей

• Стоимость сканера защищенности – 9 тысяч рублей на 10 IP

• Антивирус на 1 ПК – 900-1000 рублей

– Если не брать Total Security, Endpoint Security и т.п.

• Стоимость МСЭ – от 10 тысяч до 10 миллионов рублей

• Стоимость IPS – от 45 -60 тысяч рублей

Во что обходится сертификация?

• Несколько офисов? 120-140 тысяч рублей на VPN «точка-точка»

– 10 офисов – 900-1200 тысяч рублей

• Стоимость оргмер (модели угроз, обследование, классификация,

обучение...) составит 540 тысяч рублей

• Стоимость аттестации 10 ПК составит около 200 тысяч рублей

– При невозможности вносить в систему изменения

• Итого (в год)

– 10 ПК + 1 сервер + Интернет = 900 тысяч рублей

– 100 ПК + 3 сервера + Интернет = 3915 тысяч рублей

– 100 ПК + 3 сервера + Интернет + 10 офисов = 5 миллионов

рублей

ВЕРНЕМСЯ К ОЦЕНКЕ

СООТВЕТСТВИЯ


• Оценка соответствия проводится в формах государственного

контроля (надзора), аккредитации, испытания, регистрации,

подтверждения соответствия, приемки и ввода в эксплуатацию

объекта, строительство которого закончено, и в иной форме

– ст.7 ФЗ-184 «О техническом регулировании»

• Самым распространенным мнением является уравнивание

оценки соответствия и подтверждения соответствия

– Это неверно!

7 форм оценки соответствия по ФЗ-184



Госконтроль и надзор

Госконтроль и надзор

Аккредитация Аккредитация

Испытания Испытания

Регистрация Регистрация

Подтверждение соответствия


Добровольная сертификация Добровольная сертификация

Обязательная сертификация Обязательная сертификация

Декларирование соответствия

Декларирование соответствия

Приемка и ввод в эксплуатацию Приемка и ввод в эксплуатацию

В иной форме В иной форме


• Документальное удостоверение соответствия продукции или

иных объектов, процессов проектирования (включая изыскания),


хранения, перевозки, реализации и утилизации, выполнения

работ или оказания услуг требованиям технических регламентов,

положениям стандартов, сводов правил или условиям договоров


• 3 формы подтверждения

– Добровольная сертификация

– Обязательная сертификация

– Обязательная декларация о соответствии


• Обязательное подтверждение соответствия проводится только в

случаях, установленных соответствующим техническим

регламентом, и исключительно на соответствие требованиям

технического регламента

– ст.23.1 ФЗ-184 «О техническом регулировании»

• В случае отсутствия тех.регламентов, действуют требования,

установленные органами исполнительной власти (ст.5.1 ФЗ-184),

а порядок их применения определяется Правительством (ст.5.2

ФЗ-184)

– Акты нижестоящих структур могут только конкретизировать

детали, а не устанавливать/изменять существо требований

– Поэтому ни ФСТЭК, ни ФСБ, ни ЦБ, никто иной не могут

требовать сертификации, если это не определено

Правительством РФ

Что попадает под 5-ю статью

• Особенности оценки соответствия

продукции (работ, услуг) и объектов, а

также соответственно процессов их

проектирования (включая изыскания),

производства, строительства, монтажа,

наладки, эксплуатации, хранения,

перевозки, реализации,

утилизации, захоронения

устанавливаются

Правительством Российской Федерации

– Не ФСТЭК определяет требования, а

Правительство

– ПП-608, ПП-1013, ПП-982, ПП-330

– Проект ПП по оценке соответствия

оборонной продукции

Об обязательной сертификации СЗИ

• Согласно ПП-608 обязательная сертификация средств защиты

предусматривается только для защиты гостайны

– В остальных случаях сертификация является добровольной

• Согласно ПП-1013 средства защиты не входят в перечень

товаров, подлежащих обязательной сертификации

– 1 декабря 2009 было принято новое ПП-982 «Об утверждении

единого перечня продукции, подлежащей обязательной

сертификации, и единого перечня продукции, подтверждение

соответствия которой осуществляется в форме принятия

декларации о соответствии»


• С 1-го декабря 2009 года существует единый перечень всех

товаров, которые подлежат обязательной сертификации...

– Исключая продукцию, требования к которой устанавливаются в

соответствии со статьей 5 Федерального Закона «О техническом

регулировании»

• Иными словами обязательная сертификация средств защиты

может быть определена отдельными нормативными актами…

– Особенности технического регулирования в части разработки и

установления обязательных требований ... устанавливаются

Президентом Российской Федерации, Правительством

Российской Федерации в соответствии с их полномочиями (ФЗ-

184 «О техническом регулировании»)

• ФСТЭК требует обязательной сертификации средств защиты (как

и аттестации) не гостайны, а Правительство нет

– Или все-таки да?!

Постановление Правительства 330?!

Гром с ясного неба!!!

• ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия


сведений, относимых к охраняемой в соответствии с

законодательством РФ информации ограниченного доступа, не

содержащей сведения, составляющие государственную тайну, а

также процессов ее проектирования (включая изыскании),


хранения, перевозки, реализации, утилизации и захоронения,

об особенностях аккредитации органов по сертификации и

испытательных лабораторий (центров), выполняющих работы по

подтверждению соответствия указанной продукции (работ,

услуг)»

– ДСП


• Сфера применения - государственные информационные ресурсы

и персданные

– Нелогично, но зато не на все виды информации

• Оценка соответствия осуществляется в формах обязательной

сертификации и государственного контроля (надзора)

– Теперь только сертифицированные средства защиты


• Принцип подтверждения соответствия – «ограниченный доступ к

информации и документам, касающимся установления

обязательных требований, сертификационных испытаний

продукции и подтверждения ее соответствия, а также

методов и способов защиты информации конфиденциального

характера»

Где взять ПП-330?

• Cisco направила официальный запрос в ФСТЭК по факту

получения ПП-330

– Ответ: вы не лицензиат ФСТЭК, документ вам не положен

• Один лицензиат ФСТЭК направил официальный запрос в ФСТЭК

по факту получения ПП-330

– Ответ: мы не Правительство и не можем распространять его

документы

• Резюме: официально получить текст ПП-330 вы не можете

Надо ли выполнять ПП-330?

• На основании и во исполнение федеральных законов

государственные органы, Банк России, органы местного

самоуправления в пределах своих полномочий могут принимать

нормативные правовые акты по отдельным вопросам,

касающимся обработки персональных данных

• Такие акты не могут содержать положения, ограничивающие

права субъектов персональных данных, устанавливающие не

предусмотренные федеральными законами ограничения

деятельности операторов или возлагающие на операторов не

предусмотренные федеральными законами обязанности, и

подлежат официальному опубликованию

– Ст.4.2 ФЗ-152

• Аналогичные нормы зафиксированы в ФЗ-294 о защите

юридических лиц при осуществлении государственного контроля

(надзора)

Сертифицированные СЗИ, банки и СТО БР ИББС

• В составе АБС должны применяться встроенные защитные меры,

а также рекомендуются к использованию сертифицированные

или разрешенные руководством организации к применению

средства защиты информации от НСД и НРД

– Раздел 7.4.2 СТО БР ИББС-1.0

• Выполнение функций обеспечения безопасности персональных

данных в ИСПДн должно обеспечиваться средствами защиты

информации, прошедшими в установленном порядке процедуру

оценки соответствия, а также комплексом встроенных

механизмов защиты ЭВМ, ОС, СУБД, прикладного ПО

– Раздел 6.3.2 РС БР ИББС 2.3

• Но каков юридический статус СТО БР ИББС в настоящий

момент?

Мнение Сенаторова М.Ю.

• Отсутствие в настоящее время технических регламентов,

устанавливающих требования к СЗИ, используемым для

обеспечения безопасности ПДн при их обработке в ИСПДн,

делает невозможным как оценку соответствия, так и добровольное

или обязательное подтверждение соответствия СЗИ.

• Таким образом, до выпуска документов, обеспечивающих

выполнение требований законодательства, считаем возможным

применение для обеспечения безопасности ПДн при их обработке

в ИС встроенных защитных мер, сертифицированных СЗИ, а

также средств защиты, не включённых в Единый перечень

товаров, к которым применяются запреты или ограничения на ввоз

или вывоз государствами - участниками таможенного союза, в

рамках ЕвразЭС в торговле с третьими странами

– Письмо ЦБР от от 17 ноября 2011 г. № 015-16-9/4713 “О средствах

защиты информации, применяемых при обработке персональных

данных”

Оценка соответствия в форме госконтроля (надзора)





– Государственный контроль и надзор – это тоже форма оценки


• Можно дожидаться надзорных мероприятий со стороны ФСТЭК…

• Согласно ФЗ-152 «О персональных данных» ни ФСТЭК, ни ФСБ

не имеют полномочий проводить проверки негосударственных

организаций

– Государственных могут

Оценка соответствия в форме приемки и ввода





– В соответствие с требованиями ст.18.1 и 19 152-ФЗ, п.3 ст.7 184-

ФЗ, п.13 ПП-1119, признать прошедшими испытания и ввести в

эксплуатацию следующие технические средства защиты

ИСПДн…

Оценка соответствия в форме испытания





• Испытания – определение одной или более характеристик

объекта оценки соответствия согласно процедуре

– ГОСТ Р ИСО/МЭК 17000

• Испытание – вид деятельности или процедура по оценке

соответствия, заключающаяся в экспериментальном

определении количественных или качественных характеристик

объекта оценки испытаний как результата воздействия на него

при его функционировании, моделировании или воздействий

– ГОСТ 16504-81

• В ГОСТ 16504-81 приведено 46 видов испытаний продукции

Испытания автоматизированных систем

• Испытание АС представляют собой процесс проверки

выполнения заданных функций системы, определения и проверки

соответствия требованиям ТЗ количественных и(или)

качественных характеристик системы, выявления и устранения

недостатков в действиях системы, в разработанной документации

– ГОСТ 34.603-92

• В ГОСТ 34.603-92 приведено 3 вида испытаний

– Предварительные, опытная эксплуатация, приемочные

• Испытания могут быть автономные и комплексные

– Автономные испытания охватывают часть АС, например, СЗИ

Небольшое изменение формулировки закона…

• Особенности оценки соответствия продукции (работ, услуг) и

объектов, а также соответственно процессов их проектирования

(включая изыскания), производства, строительства, монтажа,

наладки, эксплуатации, хранения, перевозки, реализации,

утилизации, захоронения устанавливаются Правительством



– Не ФСТЭК определяет требования, а Правительство

• Так было до 30.11.2011

…и куча новых вопросов, остающихся пока без ответов

• ФЗ-347 от 30.11.2011 разрабатывался для технического

регулирования объектов атомной энергетики, но…

– Нечеткости формулировки….

• Особенности оценки соответствия продукции (работ, услуг), а

также соответственно процессов их проектирования (включая

изыскания), производства, строительства, монтажа, наладки,

эксплуатации, хранения, перевозки, реализации, утилизации,

захоронения устанавливаются Правительством Российской

Федерации или уполномоченными ими федеральными органами

исполнительной власти

– Новая редакция ст.5 ФЗ-184

• Регуляторы стараются не упоминать данный фрагмент

КОГДА НУЖНА ИМЕННО

СЕРТИФИКАЦИЯ?

Кто требует оценки соответствия?

Нормативный

акт

Предмет

регулирования

Форма оценки


Субъект оценки


Указ Президента РФ

от 17 марта 2008

года № 351

Средства защиты

информации, включая

СКЗИ, при подключении

информационных систем и

СВТ, применяемых для

хранения, обработки и

передачи информации,

содержащей сведения,

составляющей гостайну,

либо информации,

обладателями, которой

являются госорганы и

которая содержит сведения,

составляющие служебную

тайну, к Интернет

Сертификация в

ФСБ и (или)

подтверждение


ФСТЭК

Операторы ИС,

владельцы ИС или

СВТ

Указ Президента РФ

от 17 марта 2008

года № 351


общедоступной

информации, размещаемой

в сетях международного

обмена


ФСБ и (или)



ФСТЭК

Госорганы



акт

Предмет






Постановление


от 18 мая 2009 года

№ 424


информации федеральных

ГИС, созданных или

используемых в

соответствии с ПП-98 от

12.02.2003

Оценка

соответствия (в том

числе в

установленных

случаях

сертификация)

Операторы

федеральных ГИС,

созданных или


соответствии с ПП-98

от 12.02.2003

Приказ Минкомсвязи

от 25 августа 2009

года № 104

МСЭ, антивирусы и системы

обнаружения другого

вредоносного ПО





12.02.2003

Для ИС общего

пользования - МСЭ,

должны иметь

сертификат ФСТЭК

Антивирусы и

системы

обнаружения

другого

вредоносного ПО

должны иметь

сертификат ФСБ

Операторы




соответствии с ПП-98

от 12.02.2003



акт

Предмет






Совместный приказ

ФСБ и ФСТЭК от 31

августа 2010 года №

416/489

СКЗИ, антивирусы, СОА,

МСЭ федеральных ГИС,




24.11.2009


ФСБ (или ФСТЭК

для систем II

класса)

Операторы

информационных

систем общего

пользования

Приказ Федеральной

службы охраны от 7

августа 2009 года №

487

Технические средства

доступа к сети Интернет

Аттестация в ФСБ

или ФСТЭК

ФОИВ и ОГВ

субъектов РФ



от 21 апреля 2010

года № 266

Средства защиты сведений,

составляющих гостайну, или

относимых к охраняемой в


законодательством РФ иной

информации ограниченного

доступа

Обязательная

сертификация и

государственный

контроль (надзор)

Загранучреждения

РФ



акт

Предмет






Приказ

Минэкономразвития

России от 15.02.2010

№ 54

СКЗИ и СЗИ от НСД в

рамках открытых торгов в

электронной форме при

продаже имущества

должников в ходе процедур,

применяемых в деле о

банкротстве

Сертификация Операторы

электронных

площадок


от 4 июля 1996 года

№ 85-ФЗ

Средства международного

информационного обмена

Сертификация Физические и

юридические лица,

обладающие

лицензией на работу

с конфиденциальной

информацией и

использующие

сертифицированные

средства

международного

информационного

обмена



акт

Предмет








№ 149-ФЗ



государственных


Оценка


Операторы


информационных

систем


Правительство от 26

июня 1995 №608




сертификация для

СЗИ гостайны

Продавцы или

исполнители

продукции



от 6 октября 2006 г.

№ 603

Игровые программы в

игровых автоматах

Доказательство

отсутствия

недекларированных

возможностей

Производители

игровых программ

для игровых

автоматов



№ 5481-1

Средства защиты гостайны Сертификация Не определено



№ 152-ФЗ



Оценка





акт

Предмет








ноября 2007 №781



Оценка





сентября 2012 №965



Оценка


Лицензиат

(соискатель)

деятельности по

производству и


защищенной от

подделок

полиграфической

продукции



марта 2012 №171


конфиденциальной


Оценка


форме


Лицензиат ФСБ (в

части разработки

средств защиты

информации)



акт

Предмет








февраля 2012 №79


конфиденциальной


Оценка


форме


Лицензиат ФСТЭК (в

части деятельности

по ТЗКИ)



января 2012 №36

Информационные системы

обеспечения и проведения

ЕГЭ и приема граждан в

образовательные

учреждения СПО и ВПО

Оценка


Органы

исполнительной

власти,

осуществляющее

управление в сфере

образования



сентября 2012 №928


информации в базовых


информационных ресурсах

Оценка


ФОИВ, ОИВ, органы


внебюджетных

фондов

Приказ ФСТЭК от 5




Оценка





акт

Предмет






РС БР ИББС-2.3-

2010



Оценка



(организация

банковской системы

РФ)

СТО БР ИББС-1.0-

2010

СКЗИ Обязательная

сертификация или

положительное

заключение ФСБ

Банк

Информационное

сообщение ФСТЭК

от 4 мая 2012

№240/24/1701

Средства защиты гостайны

и информации

ограниченного доступа


сертификация

Не установлено



мая 2010 №330

Средства защиты ПДн и


информационных ресурсов



государственный

контроль (надзор)




акт

Предмет







от 6 апреля 2011

№63-ФЗ

Средства ЭП и средства УЦ Подтверждение

соответствия ФСБ

Разработчики или

потребители

Положение Банка

России от 9 июня

2012 №382-П

СКЗИ отечественного

производства

Сертификация ФСБ Оператор по

переводу денежных

средств, оператор

услуг платежной

инфраструктуры,

банковский

платежный агент

(субагент)

Приказ ФСБ от 9


(ПКЗ-2005)

СКЗИ отечественного

производства

Оценка

соответствия в ФСБ

Разработчик СКЗИ

Приказ ФССП от 12

мая 2012 №248


информации банка данных в

исполнительном

производстве

Оценка


ФССП



акт

Предмет






Приказ

Гостехкомиссии от

27 октября 1995

№199


информации,

предназначенные для

защиты сведений,

составляющих

государственную тайну, а

также другой информации с

ограниченным доступом,

подлежащей защите в


действующим

законодательством, систем

управления экологически

опасными производствами,

объектами, имеющими

важное оборонное или

экономическое значение и

влияющими на безопасность

государства



Потребители,

поставщики или

производители

средств защиты



акт

Предмет






Методические

рекомендации ФСБ

от 21 февраля 2008

№149/54-144

СКЗИ для ПДн Обязательная

сертификация или

положительное

заключение ФСБ

Разработчик СКЗИ

или оператор ПДн

ГОСТ Р 51583:2000 Технические, программные,

программно-технические,

шифровальные средства

защиты информации и

средства для контроля

эффективности

автоматизированных систем

в защищенном исполнении

Сертификация

ГОСТ Р 51189-1998 Программные средства

систем вооружений

Сертификация Не установлено



ноября 2012 №1119



Оценка


Операторы ПДн



акт

Предмет







ноября 1999 №564

Средства защиты гостайны Обязательная

сертификация для

гостайны и

добровольная – для

иных средств

защиты

Разработчик,

изготовитель или

потребитель


декабря 2011 №796

Средства электронной

подписи

Подтверждение


Разработчики или

потребители


декабря 2011 №796

Системное и прикладное ПО

средств удостоверяющего

центра

Отсутствие НДВ и



Разработчики


августа 2002 №282

(СТР-К)





аттестация

объектов

информатизации

ФОИВ, ОГВ, ОГВ

субъектов РФ, органы

местного




акт

Предмет







мая 2007

Антивирусы, СКЗИ, МСЭ,

СЗИ от НСД и средства

защиты информации в

ключевых системах

информационной






декабря 2006


коммерческой тайны


Основные

направления… АСУ

ТП… Совета

Безопасности

Автоматизированные

системы управления КВО


Проект изменений в

ФЗ-149


информации в ГИС

Оценка


Заказчик или

оператор ГИС

Приказ ФСТЭК №17

от 12.02.2013


информации в ГИС

Сертификация Заказчик или

оператор ГИС



акт

Предмет







от 30 декабря 2004

№218-ФЗ


информации в бюро

кредитных историй

Сертификация Бюро кредитных

историй


от 10 января 2003

№20-ФЗ

Средства защиты ГАС

«Выборы»


Приказ Минфина от

25 апреля 2011

№50н

СКЗИ для выставления и

получения счетов-фактур в

электронном виде

Сертификация Участник

электронного

документооборота



июля 2007 №491

ГИС и составляющие ее

технические средства

реестра государственных и

муниципальных контрактов,

в которые включаются

сведения, составляющие

гостайну

Аттестация Не установлено



акт

Предмет






Указ Президента от

3 апреля 1995 №334

Шифровальные средства,

включая криптографические

средства обеспечения

подлинности информации

(электронная подпись), и

защищенных технических

средств хранения,

обработки и передачи


Сертификация

ФАПСИ

Пользователи СКЗИ

СТО БР ИББС-1.0-

2010

СЗИ в составе АБС Можно применять и

несертифицирован-

ные

Банк

Письмо Банк России

от 17 ноября 2011

№015-16-9/4713



Можно применять и

несертифицирован-

ные

Банк

Приказ ФСТЭК №21

от 18.02.2013

Средства защиты ПДн Оценка



Надо ли сертифицировать СКЗИ?

• СКЗИ должны удовлетворять требованиям технических

регламентов, оценка выполнения которых осуществляется в

порядке, определяемом 184-ФЗ «О техническом регулировании»

– ПКЗ-2005

• Качество криптографической защиты информации

конфиденциального характера, осуществляемой СКЗИ,

обеспечивается реализацией требований по безопасности

информации, предъявляемых к СКЗИ

АТТЕСТАЦИЯ И

ДЕКЛАРИРОВАНИЕ

Что такое аттестация?

• Под аттестацией объекта информатизации по требованиям

безопасности информации понимается комплекс организационно-

технических мероприятий, в результате которых посредством

специального документа - «Аттестата соответствия»

подтверждается, что объект соответствует требованиям

стандартов или иных нормативных документов по защите

информации, утвержденных ФСТЭК России

– Положение «По аттестации объектов информатизации по

требованиям безопасности информации» (утв. Председателем

Гостехкомиссии 25 ноября 1994 года)

– В ГОСТе РО 0043-003-2012 определение аналогичное

• Аттестуется не ИСПДн, а объект информатизации

Новые документы по аттестации

• ГОСТ РО 0043-003-2012 «Защита информации. Аттестация

объектов информатизации. Общие положения»

– Утвержден приказом Ростехрегулирования от 17.04.2012 № 2-СТ

РО

– Введен 2012-12-01

• Содержание

– Организация аттестации объектов информатизации на

соответствие требованиям по безопасности информации

– Порядок проведения аттестации объектов информатизации

– Ввод в действие и эксплуатация аттестованных по требованиям

безопасности объектов информатизации

– Контроль за соблюдением порядка аттестации и эксплуатации

аттестованных объектов информатизации

Новые документы по аттестации

• Второй ГОСТ в серии «Защита информации. Аттестация

объектов информатизации. Программа и методики испытаний»

• «Методические рекомендации управлениям ФСТЭК России по

федеральным округам об организации работ по аттестации

объектов информатизации по требованиям безопасности

информации», утвержденных директором ФСТЭК России в 2006-

м

Парафраз об аттестации

• Объект информатизации – совокупность информационных

ресурсов, средств и систем обработки информации,

используемых в соответствии с заданной информационной

технологией, средств обеспечения объекта информатизации,

помещений или объектов (зданий, сооружений, технических

средств), в которых они установлены, или помещения и объекты,

предназначенные для ведения конфиденциальных переговоров

– ГОСТ Р 51275-2006

– ГОСТ РО 0043-003-2012

Парафраз об аттестации (продолжение)

• Аттестат соответствия выдается владельцу аттестованного

объекта информатизации органом по аттестации на период, в

течение которого обеспечивается неизменность условий

функционирования объекта информатизации

– Положение по аттестации объектов информатизации по

требованиям безопасности информации

• Прикладная система или ИСПДн, не говоря уже об объекте

информатизации меняется постоянно

– Патчи, новые версии и даже новые настройки

– Умножаем на число программных и аппаратных систем…

Парафраз об аттестации (окончание)

• В случае изменения условий и технологии обработки

защищаемой информации владельцы аттестованных объектов

обязаны известить об этом орган по аттестации, который

принимает решение о необходимости проведения

дополнительной проверки эффективности системы защиты

объекта информатизации

– Положение по аттестации объектов информатизации по

требованиям безопасности информации

• Современная ИСПДн обновляется ежедневно (!)

– Новые патчи, hot fix, Service Packs для разного ПО

Об обязательной аттестации

• Обязательной аттестации подлежат объекты информатизации,

предназначенные для обработки информации, составляющей

государственную тайну, управления экологически опасными

объектами, ведения секретных переговоров

– В остальных случаях аттестация носит добровольный характер

(добровольная аттестация) и может осуществляться по

инициативе заказчика или владельца объекта информатизации

– Положение ФСТЭК по аттестации

• ФСТЭК подготовил новое положение по аттестации объектов

информатизации, обрабатывающих конфиденциальную

информацию (ДСП)

– ГОСТ РО 0043-003-2012



• ГОСТ РО 0043-003-2012

Аттестация и персональные данные

• В четверокнижии ФСТЭК аттестация была обязательной для

ИСПДн К1, К2 и распределенной К3

• В приказе № 58 требования аттестации нет!

• Что такое «оценка эффективности принимаемых мер по

обеспечению безопасности персональных данных до ввода в

эксплуатацию информационной системы персональных данных»

в ФЗ-152?

• По новому приказу ФСТЭК по ПДн для коммерческих операторов

ПДн аттестация носит добровольный характер

– По новому приказу ФСТЭК для госорганов аттестация

обязательная

Оценка соответствия ≠ аттестация






– Ни слова об аттестации (если не рассматривать «иную форму»)

О декларировании соответствия

• Для ИСПДн 3-го класса раньше подразумевалось

декларирование соответствия или обязательная аттестация (по

решению оператора)

• Декларирование соответствия - форма подтверждения

соответствия продукции требованиям технических регламентов


– Декларировать соответствие чему-то другому невозможно

– Технических регламентов по ИБ до сих пор нет

• Согласно «второй» версии четверокнижия – декларация

соответствия – это добровольное заявление оператора ПДн о

соответствии требованиям

О декларировании соответствия

ФЗ-184 ИЛИ ГОСТ Р

ИСО/МЭК 17000

ФЗ-184 и ГОСТ Р ИСО/МЭК 17000

ФЗ-184

• Прямое или косвенное определение соблюдения требований, предъявляемых к объекту

ГОСТ Р ИСО/МЭК 17000

• Доказательство того, что заданные требования к продукции, процессу, системе, лицу или органу выполнены

• Сертификационные лаборатории ФСТЭК зачастую придерживаются

подхода и терминологии ГОСТ Р ИСО/МЭК 17000, а не ФЗ-184

Что в сухом остатке

• Требование «оценки соответствия» есть и от него никуда не деться

– Не все регуляторы одинаково читают и трактуют ФЗ-184

• Однозначного ответа по обязательности сертификации для ПДн

нет

– При условии, что на ПП-330 и дальше будет висеть гриф «ДСП»

• Оценка соответствия может быть в различных формах

– От сертификации и государственного контроля и надзора до

приемки и ввода в эксплуатацию и испытаний

• Потребители не понимают особенностей оценки соответствия

средств защиты в России

• Госорганам всегда будут нужны средства защиты с сертификатами

ФСТЭК и ФСБ

– В остальных случаях возможно использование тонкостей

законодательства в зависимости от конкретной ситуации

ЛИЦЕНЗИРОВАНИЕ

О лицензировании

• ФСТЭК

• ФСБ

• Позиция судов и прокуратуры

ЛИЦЕНЗИРОВАНИЕ ФСТЭК

О лицензировании оператора по ТЗКИ

• В четверокнижии оператор ПДн обязан был получить лицензию

на ТЗКИ, но в приказе № 58 это требование исчезло

• В ФЗ-152 такого требования также нет

– Но по мнению отдельных сотрудников ФСТЭК по прежнему нужна

лицензия на ТЗКИ

О ТЗКИ

• Деятельность по технической защите конфиденциальной

информации лицензируется

– ст.17 ФЗ-128 «О лицензировании отдельных видов

деятельности»

• Под ТЗКИ понимается выполнение работ по… и (или) оказание

услуг по ее защите от несанкционированного доступа, в том

числе и по техническим каналам, а также от специальных

воздействий на такую информацию в целях ее уничтожения,

искажения или блокирования доступа к ней

– ст. 2 ПП-79 «О лицензировании деятельности по технической

защите конфиденциальной информации»

– Определение поменялось по сравнению с ПП-504

О лицензировании

• Действие ФЗ-128 не распространяется на

– Кредитные организации

– Предприятия связи

– Биржи

– Таможенную деятельность

– Нотариальную деятельность

– Страховую деятельность (исключая негосударственные ПФ)

– Профессиональных участников рынка ценных бумаг

– Внешнеэкономические операции

– Использование результатов интеллектуальной деятельности

– Образование

– ст.1 ФЗ-128

Нужна лицензия или нет?

• Персональные данные относятся к сведениям

конфиденциального характера

– Указ Президента от 6 марта 1997 года №188 «Об утверждении

перечня конфиденциального характера»

• Лицензия - специальное разрешение на осуществление

конкретного вида деятельности

– ФЗ-128 «О лицензировании отдельных видов деятельности»

• ФЗ-152, ГК РФ (ст.857), ФЗ-395-1 «О банках и банковской

деятельности», ФЗ-126 «О связи» уже обременяют оператора

защищать ПДн

– Оператор не должен спрашивать специального разрешения на

то, что и так уже вменено ему в обязанность

Нужна лицензия или нет?

• Комитет Государственной Думы по собственности дал по просьбе

Комитета по безопасности разъяснения о сфере действия

Федерального закона «О лицензировании отдельных видов

деятельности»

– Согласно этому разъяснению лицензию на деятельность по

технической защите конфиденциальной информации обязаны

получать только организации, оказывающие соответствующие

услуги в рамках предпринимательской деятельности, то есть на

платной основе

– Деятельность организаций по технической защите

конфиденциальной информации исключительно для собственных

нужд лицензированию не подлежит

Отсутствие лицензии на ТЗКИ как повод в отказе

сотрудничества

• Отделение ПФ РФ по Свердловской области объявило конкурс на

оказание услуг по проведению технического обслуживания КСПД

ПФР в Уральском федеральном округе

– Одним из условий конкурса было наличие лицензии на ТЗКИ

• ООО «СпецсвязьСервис» обратилось в ФАС с жалобой на

действия (бездействия) отделения ПФ РФ

– Один из пунктов жалобы – нелегитимность требования лицензии

на ТЗКИ

• ФАС признал такое требование обоснованным

Отсутствие лицензии на ТЗКИ как повод в отказе

сотрудничества

• Управление ФССП по СПб разместило извещение о проведении

открытого аукциона на право заключения госконтракта на

предоставление услуг связи и обслуживание корпоративной

мультисервисной телекоммуникационной инфраструктуры

– Одним из условий конкурса было наличие лицензии на ТЗКИ и

сертификата ФСТЭК

• ЗАО «ПетерСтар» обратилось в ФАС с жалобой на действия

Управления ФССП

– Действия, необоснованно ограничивающие количество его

участников

• ФАС признал оба условия необоснованными

http://ras.arbitr.ru/data/pdf/925aa253-bbf0-4002-bdb1-cdb4d51c454e/%D0%9056-17858-2010__20110427.pdf

Одна точка зрения ФСТЭК

• Лицензия на ТЗКИ нужна

юридическим лицам,

осуществляющим

предпринимательскую деятельность,

связанную с технической защитой

конфиденциальной информацией

– Примечание: в новом

законопроекте по 149-ФЗ термин

«конфиденциальная информация»

меняется на «информации, в

отношении которой установлено

требование об обеспечении ее

конфиденциальности»

Другая точка зрения ФСТЭК

• Вопрос про лицензию на ТЗКИ для

собственных нужд

• Согласно ст.49 ГК РФ отдельными

видами деятельности можно

заниматься только на основании

лицензии

• В соответствие с ФЗ-128 на ТЗКИ

нужна лицензия

Третья точка зрения ФСТЭК

• Вопрос про лицензию

на ТЗКИ для

оператора ПДн

• Лицензия должна

быть у того, кому

поручается защита

ваших ПДн, а

оператору иметь

лицензию

необязательно

Предфинальное мнение ФСТЭК

• Деятельность по ТЗКИ для

собственных нужд организации

является лицензируемой

деятельностью, поскольку п.5 ч.1

ст.12 ФЗ «О лицензировании…»

для лицензирования деятельности

по ТЗКИ исключения «для

обеспечения собственных нужд»

не предусмотрено

Мнение Банка России

• …до внесения поправок или до

получения прямого указания

(замечания) ФСТЭК

рекомендуем не заниматься

вопросом лицензирования на

осуществление деятельности по

ТЗКИ при проведении

мероприятий по обеспечению

безопасности в ИСПДн для

собственных нужд

Нужна ли лицензия ФСТЭК банкам?

• В настоящем стандарте требование получения лицензии на

деятельность по технической защите конфиденциальной

информации (информации ограниченного доступа) при

проведении мероприятий по обеспечению безопасности в

специальных ИСПДн для собственных нужд организаций БС РФ,

а также требование проведения аттестации специальных ИСПДн

не устанавливаются

– Раздел 9.6 СТО БР ИББС-1.0

Нужна ли лицензия ФСТЭК банкам?

• В случае введения в действие стандарта в организации БС РФ

указанные требования не являются обязательными при

проведении комплекса мероприятий по обеспечению

безопасности персональных данных в специальных ИСПДн

организаций БС РФ


Изменение в лицензировании ФСТЭК

• 3 февраля 2012 – новое Постановление Правительства №79 "О

лицензировании деятельности по технической защите

конфиденциальной информации«

– Пришло на смену ПП-504

• Объект защиты отсутствует

– Конфиденциальной информации больше нет

• Объект лицензирования – выполнение работ по защите, либо об

оказании услуг; либо об обоих видах вместе

– В тексте нигде не говорится о собственных нуждах или об

извлечении прибыли при выполнении работ

• Лицензия становится нужной всем, кто занимается контролем

защищенности конфиденциальной информации или установкой

средств защиты информации

– Эксплуатация СЗИ не лицензируется

Новости лицензирования ФСТЭК (окончание)

• ФСТЭК принуждает заключать договор с лицезиатами, но…

• Когда лицензиат может быть полезен

– Проектирование и создание системы защиты

– Установка средств защиты на новых объектах

– Регулярный контроль защищенности

– → объем работ понятен и прогнозируем

• Когда лицензиата пригласить физически невозможно

– ПК вышел из строя или появляется новый сотрудник, которому

нужен новый ПК

– → объем работ не прогнозируем = заключение договора

отнимает слишком много времени

Взгляд юриста на новое ПП-79

• Если работы и услуги из ПП-79 воспринимать как категории

Гражданского Кодекса (а обратных оснований нет), то они

предполагают наличие правоотношений продавец-покупатель

– В случае оказания услуг «для собственных нужд» такие

правоотношения «исполнитель-заказчик» отсутствуют

– → предмет лицензирования отсутствует!

• Косвенно такая трактовка подтверждает, если на место

«лицензиата» поставить индивидуального предпринимателя,

который физически не в состоянии выполнить требование по

количество и квалификации персонала

Самые последние новости

• Извлечение прибыли из деятельности по ТЗКИ

• Деятельность по ТЗКИ прописана в Уставе

• ТЗКИ поручена заказчиком ИСПДн или владельцем ПДн

Что думает МинЮст?

• «...обращаем внимание, что юридическую силу имеют

разъяснения органа государственной власти в случае, если

данный орган наделен в соответствии с законодательством

Российской Федерации специальной компетенцией издавать

разъяснения по применению нормативных правовых актов...»

– ФСТЭК не наделен такими полномочиями

• Помимо мнения регулятора (органа по лицензированию)

возможно существование мнение суда и мнение прокуратуры

– Они могут отличаться от мнения органа по лицензированию!

Лицензия ФСТЭК для обработчиков

• Ст.6.3 ФЗ-152 и п.3 ПП-1119 требует, чтобы договор между

оператором и уполномоченным лицом предусматривал

обязанность уполномоченного лица обеспечить безопасность


системе

– В явной форме!

• Следовательно обработчику требуется лицензия ФСТЭК?!

ЛИЦЕНЗИРОВАНИЕ ФСБ

Лицензия ФСБ

• На деятельность в области шифрования необходимо получить

лицензию ФСБ

• Применимы рассуждения о лицензии на ТЗКИ

– Свыше 10 уголовных дел против банков по 171 статье УК

– Мнение АРБ

Есть ли у вас лицензия на ТО СКЗИ?

• А нужна ли?

– Представители 8-

го Центра ФСБ

заявляют о

ненужности

лицензии для

собственных

нужд

Изменение в лицензировании ФСБ

• 4 лицензируемых вида деятельности в области шифрования

слились в один

– Распространение, разработка, техобслуживание и оказание услуг

– Лицензии стали бессрочными

• ФСБ стала терять контроль над процессом получения лицензий в

области шифрования

• Выпущено ПП-313 о лицензировании деятельности по

криптографии

– Острая критика проекта со стороны экспертного сообщества и

Минэкономразвития и требование устранить все недоработки

– Недоработки не устранены – постановление принято

• Вместо 4-х 28 новых видов работ в области шифрования

Квалификация – ключевое требование

• Обязательные и жесткие требования к квалификации персонала,

отвечающих за криптографию

– В зависимости от вида лицензируемых работ и услуг необходимо

иметь высшее профессиональное образование по

специальности, переподготовку в течение 1000 (500 или 100)

аудиторных часов и иметь стаж 5 (3) года

– 1000 аудиторных часов - это полноценный институтский курс по

информационной безопасности, читаемый в течении 5-6 лет!

А у вас есть лицензия на гостайну?

• Работы по разработке, модернизации и ремонту шифровальных

средств требуют наличия допуска к выполнению работ и

оказанию услуг, связанных с использованием сведений,

составляющих государственную тайну

• «Об утверждении Положения о лицензировании деятельности по

разработке, производству, распространению шифровальных

(криптографических) средств…»

– При этом распространение шифровальных услуг исчезло из

списка лицензируемых видов деятельности

– Размещение СКЗИ на сайте не является «передачей», но

является «распространением»

Риск лицензирования в ФСБ

• Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О

порядке осуществления иностранных инвестиций в

хозяйственные общества, имеющие стратегическое значение для

обеспечения обороны страны и безопасности государства»

– В целях обеспечения обороны страны и безопасности

государства настоящим Федеральным законом устанавливаются

изъятия ограничительного характера для иностранных

инвесторов и для группы лиц, в которую входит иностранный

инвестор, при их участии в уставных капиталах хозяйственных

обществ, имеющих стратегическое значение для обеспечения

обороны страны и без опасности государства, и (или)

совершении ими сделок, влекущих за собой установление

контроля над указанными хозяйственными обществами

Риск лицензирования в ФСБ (окончание)

• Хозяйственное общество, имеющее стратегическое значение для

обеспечения обороны страны и безопасности государства, -

предприятие созданное на территории Российской Федерации и

осуществляющее хотя бы один из видов деятельности, имеющих

стратегическое значение для обеспечения обороны страны и

безопасности государства и указанных в статье 6 настоящего

Федерального закона

– пп.11-14 – 4 вида лицензирования деятельности в области

шифрования

– Наличие всего лишь одного маршрутизатора с IPSec требует от

вас лицензии на ТО СКЗИ

Что изменилось недавно?

• 17 ноября 2011 года Президент подписал Федеральный закон «О

внесении изменений в статью 6 Федерального закона «Об

иностранных инвестициях в Российской Федерации» и

Федеральный закон «О порядке осуществления иностранных

инвестиций в хозяйственные общества, имеющие стратегическое

значение для обеспечения обороны страны и безопасности

государства»

– Из под действия закона выведены только банки, в уставном

капитале которых отсутствует доля (вклад) Российской

Федерации

Нужна ли лицензия ФСБ банкам?

• Получение организацией БС РФ лицензии ФСБ России — в

соответствии с требованиями законодательства Российской

Федерации


ПОЗИЦИИ СУДОВ,

ПРОКУРАТУРЫ И

НАЛОГОВОЙ

Что думают суды?

• Первая точка зрения заключается в том, что получение лицензии

на деятельность, подлежащую лицензированию, обязательно для

тех лиц, для которых эта деятельность является основной

– В случае если деятельность рассматривается как элемент

основной производственной деятельности, получение лицензии

на нее не требуется

– Эта позиция содержится в постановлениях ФАС ВВО от

06.05.2005 № А34-30702/ 2004-26-1135, апелляционной

инстанции Арбитражного суда Свердловской области от

02.02.2005 № а60-39874-С4, ФАС СЗО от 09.11.2007 № А05-

5724/2007, ФАС ВВО от 18.06.2008 №А31-6296/ 2007-13,

решении Арбитражного суда Свердловской области от

26.05.2008 №А60-5642/2008-С9

Что думают суды? (продолжение)

• Другие суды, напротив, признают требования административных

органов о необходимости лицензирования такой дополнительной

деятельности обоснованными, ссылаясь на то, что получение

прибыли не является квалифицирующим признаком ч. 2 ст. 14.1

КоАП РФ

– Они подчеркивают, что Закон №128-ФЗ не указывает на

необходимость получения лицензии только субъектами,

осуществляющими указанный вид деятельности в качестве

самостоятельной, не связанной с иными производственными

процессами

Что думают суды? (окончание)

• Также подчеркивается факт связанности данной дополнительной

деятельности, подлежащей лицензированию, с осуществлением

основного вида деятельности

– В этом случае суды признают дополнительную деятельность

предпринимательской, поскольку относят доходы, полученные от

основной деятельности в будущем периоде, к доходам,

полученным в том числе в результате осуществления

дополнительной деятельности

– Постановления ФАС УО от 06.01.2004 №Ф09-2532/03-АК, ФАС

СЗО от 20.05.2004 №А26-1050/ 04-22, Восемнадцатого

арбитражного апелляционного суда от 20.08.2008 №18АП-

4422/2008

Что думает налоговая?

• Нередко налоговые органы при оценке обоснованности

отнесения на себестоимость банковских услуг тех или иных

затрат требуют подтверждения того, что соответствующие услуги

оказаны налогоплательщику лицом, имеющим соответствующую

лицензию

– А если налогоплательщик не может представить фискалам

доказательства наличия у контрагентов лицензий на оказание

соответствующих услуг, то налоговики признают отнесение на

себестоимость соответствующих затрат неправомерным

– А могут и вовсе признать сделку между заказчиком и

поставщиком услуг по защите признать недействительной,

базируя свое решение на ст.173 ГК РФ «Недействительность

сделки юридического лица, выходящей за пределы его

правоспособности»

Как бороться с налоговой?

• В Положении о составе затрат, утвержденном Постановлением

Правительства РФ от 5 августа 1992 г. № 552 отнесение

на себестоимость затрат не обусловливается наличием

у контрагента налогоплательщика лицензии на соответствующий

вид деятельности

• Президиум ВАС РФ в Постановлении от 6 апреля 1999 г.

N 7486/98 указал, что налог исчисляется и уплачивается

исключительно на основании и в соответствии с теми правовыми

нормами, которые содержатся в законодательстве,

регулирующем условия налогообложения

Как бороться с налоговой? (окончание)

• Согласно ст.173 ГК РФ сделка, совершенная юрлицом,

не имеющим лицензии на занятие соответствующей

деятельностью, может быть признана судом недействительной

по иску этого юридического лица, его учредителя (участника) или

госоргана, осуществляющего надзор за деятельностью юрлица,

если доказано, что другая сторона сделки знала или заведомо

должна была знать о ее незаконности

– → сделка, совершенная без лицензии, является оспоримой, т.е.

порождает надлежащие правовые последствия до момента

признания ее недействительной судом

– До этого момента налоговая не вправе расценивать

произведенные по сделке расходы как не соответствующие

законодательству и не подлежащие отнесению на себестоимость

Что думает прокуратура?

• Прокуратурой г. Уфы проведена проверка соблюдения

законодательства о защите персональных данных

– в ООО «Исток-Сервис» и ООО «Инфорсер» при оказании

справочно-консультационных услуг при отделе государственного

технического осмотра и регистрации автомототранспортных

средств ГИБДД УМВД России по г.Уфа

• Установлено, что указанные юридические лица

– осуществляли обработку ПДн, являющихся сведениями

конфиденциального характера, без соответствующей лицензии

на деятельность по технической защите информации, и не

принимали предусмотренных федеральным законодательством

мер организационного, технического характера, по защите

персональных данных клиентов, что могло повлечь нарушение

конституционных прав граждан на неприкосновенность частной

жизни

Что думает прокуратура? (окончание)

• По данному факту, с целью устранения нарушений действующего

законодательства прокуратурой г.Уфы в Октябрьский районный

суд г.Уфы направлены исковые заявления о приостановлении и

признании незаконной деятельности ООО «Исток-Сервис» и ООО

«Инфорсер» по обработке и хранению персональных данных,

которые находятся на рассмотрении

ПРИМЕНЕНИЕ СКЗИ

Свыше 60 нормативных актов

• Первые публичные нормативные по

криптографии относятся к 1995 г.

• Основная предпосылка при

создании НПА – всецелый контроль

СКЗИ на всех этапах их жизненного

цикла

• В качестве базы при создании НПА

взят подход по защите

государственной тайны

• ФСБ продолжает придерживаться

этой позиции и спустя 17 лет,

несмотря на рост числа ее

противников

Три основные проблемы

Ввоз шифровальных средств на территорию Российской Федерации

Лицензирование деятельности, связанной с шифрованием

Использование сертифицированных шифровальных средств

Вы знаете, что такое шифровальные средства?

• Средства шифрования в любом исполнении

• Средства имитозащиты в любом исполнении

• Средства ЭЦП в любом исполнении

– Но не средства ЭП

• Средства кодирования

• Средства изготовления ключевых документов

• Ключевые документы

• но это не все

Вы знаете, что такое шифровальные средства?

(дополнение при импорте)

• Системы, оборудование и компоненты, разработанные или

модифицированные для выполнения криптоаналитических

функций


модифицированные для применения криптографических методов

генерации расширяющегося кода для систем с расширяющимся

спектром, включая скачкообразную перестройку кодов для систем

со скачкообразной перестройкой частоты


модифицированные для применения криптографических методов

формирования каналов или засекречивающих кодов для

модулированных по времени сверхширокополосных систем

• Криптография ≠ методы сжатия или кодирования

Но регулируются не только они ;-(

• Новый закон «О лицензировании отдельных видов деятельности»

заставил получать лицензии ФСБ на разработку, производство,

распространение и техническое обслуживание

– Информационных систем, защищенных с использование

шифровальных средств

– Телекоммуникационных систем, защищенных с использование


• Информационная система – совокупность содержащейся в БД

информации и обеспечивающих ее обработку ИТ и технических

средств

Конфиденциальность и шифрование

• Необходимость применения

шифровальных

(криптографических) средств, как

правило, проявляется в случаях,

когда безопасность хранения и

обработки информации не может

быть гарантированно обеспечена

другими средствами

– В число таких случаев входит,

например, случай передачи

персональных данных по сетям

общего пользования, в которых

принципиально невозможно

исключить доступ нарушителя к

передаваемой информации

Законы Законы

Конфиденциальность Конфиденциальность

Шифрование Шифрование

НПА регуляторов НПА регуляторов

≠

Что подлежит регулированию?

• Все этапы жизненного цикла шифровального средства

Ввоз Ввоз

Разработка Разработка

Производство Производство



Реализация Реализация

Распространение Распространение

Техническое обслуживание Техническое

обслуживание

Оказание услуг Оказание услуг Эксплуатация Эксплуатация

Вывоз Вывоз

Контроль и надзор

Контроль и надзор

ВВОЗ СКЗИ

Ввоз шифровальных средств

• Положение о порядке ввоза на таможенную территорию

таможенного союза и вывоза с таможенной территории

таможенного союза шифровальных (криптографических) средств

• Шифровальные (криптографические) средства, ввоз которых на

таможенную территорию таможенного союза и вывоз с

таможенной территории таможенного союза ограничен

• Данные положения применяются к ЛЮБЫМ производителям

• Если у средства функция шифрования не используется или

неосновная, то средство все равно считается шифровальным

Что может отнести к шифровальным средствам таможня?

• Принтеры, копиры и факсы

• Кассовые аппараты

• Карманные компьютеры

• Карманные машины для записи, воспроизведения и визуального

представления

• Вычислительные машины и их комплектующие

• Абонентские устройства связи

• Базовые станции

• Телекоммуникационное оборудование

• Программное обеспечение

Что относят к шифровальным средствам на таможне?

• Аппаратура для радио- и телевещания и приема

• Радионавигационные приемники, устройства дистанционного

управления

• Аппаратура доступа в Интернет

• Схемы электронные, интегральные, запоминающие устройства

• Прочее

• Большое количество позиций групп 84 и 85 Единого Таможенного

Тарифа таможенного союза Республики Беларусь, Республики

Казахстан и Российской Федерации

Правила ввоза

• Проверка легитимности ввоза по нотификации

– http://www.tsouz.ru/db/entr/notif/Pages/default.aspx

• Проверка легитимности ввоза по лицензии

– Копия положительного заключения ФСБ на ввоз

Упрощенная схема Упрощенная схема

• Ввоз по нотификации

По лицензии По лицензии

• Разрешение ФСБ

• Ввоз по лицензии Минпромторга

Что ввозится по нотификации

• Товары, содержащие шифровальные (криптографические) средства, имеющие любую из следующих составляющих:

– симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит; или

– асимметричный криптографический алгоритм, основанный на любом из следующих методов:

– на разложении на множители целых чисел, размер которых не превышает 512 бит;

– на вычислении дискретных логарифмов в мультипликативной группе конечного поля размера, не превышающего 512 бит; или

– o на дискретном логарифме в группе, отличного от поименованного в вышеприведенном подпункте “б” размера, не превышающего 112 бит

• Товары, у которых криптографическая функция заблокирована производителем


• Шифровальные (криптографические) средства, являющиеся

компонентами программных операционных систем,

криптографические возможности которых не могут быть

изменены пользователями, которые разработаны для установки

пользователем самостоятельно без дальнейшей существенной

поддержки поставщиком и техническая документация (описание

алгоритмов криптографических преобразований, протоколы

взаимодействия, описание интерфейсов и т.д.) на которые

является доступной

• Шифровальное (криптографическое) оборудование, специально

разработанное и ограниченное применением для банковских или

финансовых операций

• Средства аутентификации и ЭЦП


• Беспроводное радиоэлектронное оборудование,

осуществляющее шифрование информации только в

радиоканале с максимальной дальностью беспроводного

действия без усиления и ретрансляции менее 400м в

соответствии с техническими условиями производителя

• Шифровальные (криптографические) средства, используемые

для защиты технологических каналов информационно-

телекоммуникационных систем и сетей связи

• Портативные или мобильные радиоэлектронные средства

гражданского применения без сквозного шифрования

• Персональные смарт-карты

• Приемная аппаратура для радиовещания, коммерческого

телевидения и вещания на ограниченную аудиторию

• Средства защиты от копирования

ЭКСПЛУАТАЦИЯ СКЗИ

Старый Указ Президента 334

• Подписан 3 апреля 1995 года (изменен 25 июля 2000 года)

• Запрещено использование госорганами шифровальных средств

без сертификата ФСБ

• Запрещено госорганам размещать госзаказ на предприятиях,

использующих шифровальные средства без сертификата

• Применять меры к банкам, не применяющим сертифицированные

шифровальные средства при общении с Банком России

• Запретить деятельность юрлиц и физлиц, связанную с

…эксплуатацией шифровальных средств без лицензии ФСБ

• Запретить ввоз шифровальных средств без лицензии

Минпромторга и разрешения ФСБ

• Наказывать виновных по всей строгости закона

Действует ли Указ 334?

• Часть его норм продолжает действовать

– Например, требования по ввозу шифровальных средств и

использованию госорганов только сертифицированных


• Часть статей фактически отменены новыми нормативно-

правовыми актами

– Законом «О лицензировании отдельных видов деятельности»

– Законом «О техническом регулировании»

– Гражданским Кодексом

• В явном виде Указ 334 до сих пор не отменен

– Несмотря на циркулирующие слухи

Регулируется ли эксплуатация СКЗИ?

• Да! Основополагающий документ – ПКЗ-2005

• ПКЗ-2005 регулирует отношения, возникающие при разработке,

производстве, реализации и эксплуатации шифровальных

(криптографических) средств защиты информации с

ограниченным доступом, не содержащей сведений,

составляющих государственную тайну (далее - информация

конфиденциального характера)

– Приказ от 9.02.2005 № 66 (подписан директоров ФСБ,

регистрация в МинЮсте)

• ПКЗ-2005 не распространяется на иностранные СКЗИ

На кого распространяется ПКЗ-2005?

• ПКЗ-2005 применяется для

– защиты информации конфиденциального характера, подлежащей защите в соответствие с законодательством РФ

– защиты информации в федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ

– защиты информации в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее - организации, выполняющие государственные заказы)

– защиты информации, которая возлагается законодательством РФ на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации

– защиты информации, обладателем которой являются государственные органы или организации, выполняющие государственные заказы

Кто устанавливает требования по использованию СКЗИ?

• Режим защиты информации путем использования СКЗИ

устанавливается

– обладателем информации конфиденциального характера

– собственником (владельцем) информационных ресурсов

(информационных систем)

– уполномоченными ими лицами на основании законодательства


Кто устанавливает требования по использованию СКЗИ?


• Собственник (владелец) системы

Обмен собственной

информацией

Обмен собственной

информацией

• Госорган Обмен с

госорганами Обмен с

госорганами

• Организация госзаказа Обмен с

организациями госзаказа

Обмен с организациями

госзаказа


• Пользователь (потребитель)

Обработка и хранение без

передачи

Обработка и хранение без

передачи

Надо ли использовать сертифицированные СКЗИ при

трансграничной передаче?

• Если международным договором Российской Федерации

установлены иные правила, чем те, которые предусмотрены

настоящим Федеральным законом, применяются правила

международного договора

– Ст.4.4 152-ФЗ

• Сторона не должна запрещать или обусловливать специальным

разрешением трансграничные потоки персональных данных,

идущие на территорию другой Стороны, с единственной целью

защиты частной жизни

– Ст.12.2 Евроконвенции

Надо ли использовать сертифицированные СКЗИ при

трансграничной передаче? (окончание)

• Исключения из ст.12.2 Евроконвенции

– Передача отдельных категорий ПДн в силу характера этих

данных

– Передача на территорию государства, не являющегося стороной

Конвенции

– Передача через территорию государства , не являющегося

стороной Конвенции

Домашнее задание

• Во всех существующих в России нормативных актах

используется логическая связка «шифрование = защита

конфиденциальной информации»

– В этом случае необходимо применение сертифицированных

СКЗИ

• Если шифрование использовать для обезличивания, то вопрос

применения сертифицированных СКЗИ находится под большим

вопросом…

КОНТРОЛЬ И НАДЗОР

2 стратегии надзора

Найти и наказать Найти и наказать Помочь

устранить Помочь

устранить

• ФСТЭК, ФСБ, РКН, Банк России, МВД, прокуратора

Загадка

• Кто писал эти замечания?

– В нарушение п.6.1.7 РС БР ИББС 2.3-2010 не предоставлены

инструкции (руководства) на кажду. ИСПДн, которые готовятся

разработчиком ИСПДн в составе эксплуатационной

документации на ИСПДн и определяют порядок действий

администратора информационной безопасности ИСПДн и

персонала, занятого в процессе обработки персональных данных

– Расположение и площадь помещений, в которых установлены

СКЗИ соответствуют требованиям ФЗ "О санитарно-

эпидемиологическом благополучии населения" от 1999 года и

"Положения о государственном санитарно-эпидемиологическом

нормировании

Загадка (продолжение)


– В нарушение п.5 Постановления Правительства РФ №512 "Об

утверждении требований к материальным носителям

биометрических персональных данных и технологиям хранения

таких данных вне информационных систем персональных

данных" от 06.07.2008 в ОАО КБ "название банка" не утвержден

порядок передачи материальных носителей биометрических

персональных данных уполномоченным лицам

– Техническая укрепленность помещений, в которых установлены

СКЗИ, соответствует требованиям МВД № 78.36.003-2002

– Система защиты конфиденциальной информации проводится в

соответствии с "СТР-К", утвержденных 30.08.2002

Загадка (окончание)


– ООО КБ "название банка" при проведении самооценки не учтены

требования п.6.13 СТО БР ИББС 1.2-2010, предусматривающего

определенные значения группового показателя М9 по

наименьшему значению оценок входящих в него частных

показателей

Общее о проверках

• ФСТЭК и ФСБ имеют опыт проверок по линии защиты

конфиденциальной информации и не имеют опыта проведения

проверок по линии персональных данных и учатся на операторах

ПДн, постепенно набирая опыт

• ФСТЭК и ФСБ проверяют соответствие собственным

требованиям, не всегда легитимным

• РКН имеет опыт проверок по линии защиты прав субъектов ПДн,

но не имеет опыта проверок по линии защиты информации

• РКН проверяет соответствие требования ФЗ-152, забывая про

Европейскую Конвенцию

• Проверяющие не всегда юридически подкованы

Государственный контроль и надзор

• Любая проверка со стороны регулятора должна проводиться в

строгом соответствии с ФЗ от 26.12.2008 №294 «О защите прав

юридических лиц и индивидуальных предпринимателей при

проведении государственного и муниципального контроля

(надзора)»

– Если другие нормативные акты не сужают область действия

надзорного органа

– Предыдущий ФЗ-134 прекратил свое действие с 01.07.2009 г.

– Отдельные положения ФЗ-294 вступают в силу с 01.01.2010

Генпрокуратора – новый регулятор

• Генпрокуратура – новый регулятор на рынке безопасности

– Порядок согласования с органом прокуратуры проведения

проверок установлен приказом Генерального прокурора

Российской Федерации от 27 марта 2009 г. № 93

• Все плановые и внеплановые проверки должны быть

согласованы с Генпрокуратурой

– Плановые – до 31 декабря года, предшествующего

– Внеплановые – за 3 суток до проверки

• Сегодня в списке проверок есть только Роскомнадзор

– ФСТЭК и ФСБ не любит упоминаний Генпрокуратуры

– Потребители не хотят оспаривать незаконные проверки

http://79.125.23.79/

Согласование проверок

• Согласование проверок

– План проверок должен быть представлен в прокуратуру для

составления сводного плана до 1 ноября. Отсутствие правовых

оснований для проверки приведет к отказу прокураторы в ее

проведении

– Прокуратура согласовывает только выездные, не документарные

проверки

– Порядок согласования с органом прокуратуры проведения

внеплановой выездной проверки субъектов малого или среднего

предпринимательства установлен приказом Генерального

прокурора Российской Федерации от 27 марта 2009 г. № 93

– Согласно апрельских изменений ФЗ-294 любая выездная

внеплановая проверка должна быть согласована с

Генпрокуратору (а не только для малого и среднего бизнеса)

http://79.125.23.79/

Согласование проверок (окончание)

• С момента, как заработал Федеральный закон "О защите прав

юридических лиц и индивидуальных предпринимателей при

осуществлении государственного контроля (надзора) и

муниципального контроля", прокуроры рассмотрели больше 37

тысяч обращений всевозможных контролирующих органов

федерального, регионального и муниципального уровней. Все

обращения касались прописанного в законе согласования на

проведение внеплановых выездных проверок

– Прокурорами было отклонено больше 18,7 тысячи таких

заявлений, что составляет 50 процентов

– В некоторых, точнее, в 54 прокуратурах субъектов Федерации

было принято решение об отказе от 50 до 86 процентов всех

заявок

Госорганы и план проверок

• …считаем, что положения Закона № 294-ФЗ на отношения,

связанные с проведением проверок деятельности органов

государственной власти, органов местного самоуправления, не

распространяются, в связи с чем указанные органы не подлежат

включению в ежегодный план проведения плановых проверок,

предусмотренный настоящим Законом

– письмо Минэкономразвития от 22 декабря 2010 г. № Д05-4778

• вышеизложенные разъяснения не являются обязательными для

исполнения, а носят рекомендательный характер

– Оттуда же


• Принципы контроля и надзора

– Презумпция добросовестности

– Открытость и доступность для юридических лиц и

индивидуальных предпринимателей нормативных правовых

актов, устанавливающих обязательные требования, выполнение

которых проверяется при проведении государственного контроля

(надзора)

– Проведение проверок в соответствии с полномочиями органа

государственного контроля (надзора)

– Недопустимость проводимых в отношении одного юридического

лица несколькими органами государственного контроля (надзора)

проверок исполнения одних и тех же обязательных требований

– Недопустимость взимания органами государственного контроля

(надзора) с юридических лиц платы за проведение мероприятий

по контролю


• Особенности контроля и надзора

– .Для проверки нужно основании, которое выражается в виде

распоряжения (приказа), в котором среди прочего упомянуты -

цели, задачи и предмет проверки и правовые основания

проведения проверки

– Нормативные правовые акты, принятые органами

государственного контроля (надзора) в нарушение

законодательства Российской Федерации, признаются

недействительными полностью или частично в порядке,

установленном законодательством Российской Федерации

– Орган контроля не имеет права проверять исполнение

обязательных требований, которые не относятся к сфере его

компетенции

– Все проверки делятся на документарные и (или) выездные.

Документарные проверки проводятся в первую очередь


• Процедура проверки

– Уведомление о плановой проверке не позднее чем в течение

трех рабочих дней до начала ее проведения в виде заказного

письма с уведомлением или иным доступным способом

– Уведомление о внеплановой проверке не менее чем за двадцать

четыре часа до начала ее проведения любым доступным

способом

– Если в результате деятельности юридического лица причинен

или причиняется вред … предварительное уведомление

юридических лиц о начале проведения внеплановой выездной

проверки не требуется

– Акт проверки должен составлять сразу после ее завершения


• Плановые проверки

– Предметом плановой проверки является соблюдение

юридическим лицом в процессе осуществления деятельности

обязательных требований

– Плановое мероприятие по контролю может быть проведено не

более чем один раз в три года (кроме образования,

здравоохранения и социалки – можно чаще)

– План проверок должен быть размещен на сайте


• В административном регламенте РКН предусмотрено 3

основания для плановой проверки по ПДн

– Начало осуществления оператором ПДн деятельности по

обработке персональных данных

– Истечение 3-х лет с момента государственной регистрации

оператора ПДн

– Истечение 3-х лет с последней проверки


• Предмет внеплановой проверки

– Предметом внеплановой проверки является соблюдение

юридическим лицом обязательных требований, выполнение

предписаний органов государственного контроля (надзора),

проведение мероприятий по предотвращению причинения вреда

жизни, здоровью граждан, вреда животным, растениям,

окружающей среде, по обеспечению безопасности государства,

по предупреждению возникновения чрезвычайных ситуаций

природного и техногенного характера, по ликвидации

последствий причинения такого вреда

– Защита прав субъектов ПДн, а также выполнения требований по

обеспечению безопасности ПДн не подпадают ни под одно из

данных определений

– Также считает и сам РКН (из выступления на парламентских

слушаниях)


• Основания для внеплановых проверок

– Истечение срока исполнения юридическим лицом ранее

выданного предписания об устранении выявленного нарушения

обязательных требований

– Поступление в органы государственного контроля (надзора)

обращений и заявлений граждан, юридических лиц,

индивидуальных предпринимателей, информации от органов

государственной власти, органов местного самоуправления, из

средств массовой информации о фактах возникновения угрозы

или причинения вреда жизни, здоровью граждан, вреда

животным, растениям, окружающей среде, безопасности

государства, а также угрозы чрезвычайных ситуаций природного

и техногенного характера

– Обращения, не позволяющие установить лицо, обратившееся в

орган надзора, не могут служить основанием для проведения

внепланового мероприятия по контролю

Государственный контроль и надзор (продолжение по

основания для внеплановых проверок)

• Основания для внеплановых проверок

– нарушение прав потребителей (в случае обращения граждан,

права которых нарушены)

• В административном регламенте РКН по ПДн предусмотрено еще

4 новых основания

– Приказ руководителя РКН или руководителя территориального

органа РКН, изданный в соответствии с поручениями Президента

Российской Федерации, Правительства Российской Федерации

– Нарушение прав и законных интересов граждан действиями

(бездействием) операторов при обработке их персональных

данных

Государственный контроль и надзор (окончание по

основания для внеплановых проверок)

• В административном регламенте РКН по ПДн предусмотрено еще

4 новых основания

– Нарушение операторами требований законодательства РФ в

области ПДн, а также о несоответствии сведений, содержащихся

в уведомлении об обработке ПДн, фактической деятельности

– Поступление в РКН или его территориальные органы обращений

и заявлений граждан, юридических лиц, индивидуальных

предпринимателей, информации от органов государственной

власти, органов местного самоуправления, из средств массовой

информации, в том числе о следующих фактах

– Возникновение угрозы причинения вреда жизни,

здоровью граждан

– Причинение вреда жизни, здоровью граждан

То

ль

ко

это

буд

ет

со

гла

со

вы

ва

ть

ся

с

пр

окур

атур

ой


• Согласование проверок

– Внеплановые проверки тоже надо согласовывать с прокуратурой

до проверки и только когда существует угроза причинения вреда

– Внеплановую проверку можно начать без предварительного

согласования, но только при условии уже нанесенного вреда (и с

последующим уведомлением в течение 24 часов). При этом

прокуратура в течение суток определяет законность внеплановой

проверки


• Документарная проверка

– Предметом документарной проверки являются сведения,

содержащиеся в документах юридического лица

устанавливающих их организационно-правовую форму, права и

обязанности, документы, используемые при осуществлении их

деятельности и связанные с исполнением ими обязательных

требований, исполнением предписаний и постановлений органов

государственного контроля (надзора)

– В случае, если достоверность сведений вызывает обоснованные

сомнения либо эти сведения не позволяют оценить исполнение

юридическим лицом обязательных требований орган

государственного контроля (надзора) направляют в адрес

юридического лица мотивированный запрос с требованием

представить иные необходимые для рассмотрения в ходе

проведения документарной проверки документы

Государственный контроль и надзор (окончание по

документарным проверкам)

• Документарная проверка

– При проведении документарной проверки орган

государственного контроля (надзора) не вправе требовать у

юридического лица сведения и документы, не относящиеся к

предмету документарной проверки

• Выездная проверка

– Выездная проверка проводится в случае, если при

документарной проверке не представляется возможным

удостовериться в полноте и достоверности сведений или

оценить соответствие деятельности юридического лица

обязательным требованиям без проведения соответствующего

мероприятия по контролю


• Продолжительность проверок

– Продолжительность мероприятия по контролю не должна

превышать 20 дней. Для малого предприятия – 50 часов

– В исключительных случаях, связанных с необходимостью

проведения специальных исследований (испытаний), экспертиз

со значительным объемом мероприятий по контролю, на

основании мотивированного предложения должностного лица,

осуществляющего мероприятие по контролю, руководителем

органа государственного контроля (надзора) или его

заместителем срок проведения проверок может быть продлен, но

не более чем на 20 дней (15 часов для SMB)

Чем завершается проверка

• Акт проверки

• Предписание об устранении выявленных нарушений

• Составлением протокола об административном правонарушении

• Подготовка и направление материалов проверки в органы

прокуратуры, другие правоохранительные органы для решения

вопроса о возбуждении дела об административном

правонарушении, о возбуждении уголовного дела по признакам

правонарушений (преступлений), связанных с нарушением прав

субъектов персональных данных, в соответствии с

подведомственностью

Журнал проверок

• По окончании проверки должностное лицо проводившее поверку

делает запись в журнале учета проверок

– Хранится у оператора в прошитом, пронумерованном и

опечатанном виде

– Форма журнала определена приказом №141 Минэкономразвития

Если вы не согласны

• Юридическое лицо в случае несогласия с фактами, выводами,

предложениями, изложенными в акте проверки, либо с выданным

предписанием об устранении выявленных нарушений в течение

пятнадцати дней с даты получения акта проверки вправе

представить в соответствующие орган государственного контроля

(надзора) в письменной форме возражения в отношении акта

проверки и (или) выданного предписания об устранении

выявленных нарушений в целом или его отдельных положений

– При этом юридическое лицо вправе приложить к таким

возражениям документы, подтверждающие обоснованность таких

возражений

Если вы не согласны (окончание)

• Объединения юридических лиц

вправе обращаться в органы

прокуратуры с просьбой принести

протест на противоречащие закону

нормативные правовые акты, на

основании которых проводятся

проверки юридических лиц,

индивидуальных

предпринимателей

Особое мнение в акте проверки

Заявление на имя руководителя надзорного

органа об отмене

Исковое заявление в суд об отмене

ненормативного акта

Кассация в случае отрицательного

судебного решения

Признание результатов проверки недействительными

• Результаты проверки… с грубым нарушением установленных

настоящим Федеральным законом требований к организации и

проведению проверок, не могут являться доказательствами

нарушения … обязательных требований … и подлежат отмене

вышестоящим органом государственного контроля (надзора) или

судом на основании заявления юридического лица,

индивидуального предпринимателя

– Ст.20 ФЗ-294

Грубые нарушения

• Отсутствие оснований плановой проверки

• Нарушения сроков уведомления о проведении плановой

проверки

• Отсутствие оснований внеплановой проверки и согласования с

Прокуратурой в необходимых случаях

• Нарушения сроков и времени проверок в отношении малого

предпринимательства

• Проведения проверки без распоряжения или приказа

руководителя, заместителя руководителя органа

государственного контроля (надзора), органа муниципального

контроля

• Требования документов, не относящихся к предмету проверки

• Превышения установленных сроков проведения проверок

• Непредставления акта проверки

Узаконивание спорных вопросов с проверками ПДн

• В административном регламенте РКН от 14 ноября 2011 г. № 312

приведен перечень оснований для внеплановых и плановых

проверок, который расширяет закрытый перечень,

установленный 294-ФЗ

– Оспорила только прокуратура 2-х субъектов РФ

• РКН привлекает ФСТЭК, ФСБ и МВД в качестве экспертов

– РКН имеет право привлекать экспертов, экспертные организации,

аккредитованные РКН в соответствие с ПП-689 от 20.08.2009

– Данная позиция вызывает большое количество вопросов со

стороны экспертов, а также ФСТЭК и ФСБ

• Проект еще одного Постановления Правительства «Об

утверждении Положения о государственном контроле и надзоре

за соответствием обработки персональных данных требованиям

законодательства Российской Федерации в области

персональных данных» узаконивает основания для проверок

Проект нового Постановления Правительства о надзоре

• Госконтроль по линии ПДн включает в себя

– Мониторинг деятельности, направленный на предупреждение,

выявление и пресечение нарушений

– Действие данного Положения не распространяется на

деятельность по осуществлению контроля и надзора за

выполнением организационных и технических мер по

обеспечению безопасности персональных данных,

установленных в соответствие со статьей 19 Федерального

закона "О персональных данных"

• Проект Постановления Правительства «Об утверждении

Положения о государственном контроле и надзоре за

соответствием обработки персональных данных требованиям

законодательства Российской Федерации в области

персональных данных»

Проект нового Постановления Правительства

• «Письма счастья» в явной форме не относятся к документарным

проверкам

• Вся информация и документы запрашиваются только на

основании мотивированного письменного запроса

• РКН имеет право получать доступ к ИСПДн

• РКН имеет право применять меры по приостановлению или

прекращению деятельности, осуществляемой с нарушением ФЗ-

152

• Привлекаемые аккредитованные эксперты могут проверять

только то, что написано в ч.1 ст.18.1 ФЗ-152, за исключением п.3

Проект нового Постановления Правительства (окончание)

• Проверки госорганов, муниципалов и физлиц проводятся в

соответствие с внутренними планами РКН и они не должны

публиковаться, как это делается в отношении юрлиц и

индивидуальных предпринимателей

• Число оснований для плановых и внеплановых проверок по

сравнению с предыдущим проектом и административным

регламентом чуть снизилось, но незначительно

– А вот пункт об отсутствии необходимости согласовывать свои

внеплановые проверки с прокуратурой остался

ПРАВОНАРУШЕНИЯ

Виды правонарушений

• Уголовное

• Административное

• Дисциплинарное

• Гражданское

Наказание по КоАП по направлению ПДн

№ Название статьи Максимальное

наказание

13.11 Нарушение установленного законом

порядка сбора, хранения, использования

или распространения информации о

гражданах (персональных данных)

10.000 руб.

13.14 Разглашение информации с ограниченным

доступом

5.000 руб.

13.12 Нарушение правил защиты информации 20.000 руб. +

конфискация +


деятельности на

срок до 90 суток

13.13 Незаконная деятельность в области защиты


20.000 руб. +

конфискация



наказание

5.27 Нарушение законодательства о труде и об

охране труда

50.000 руб. +



срок до 90 суток +

дисквалификация

должностного

лица до 3-х лет

5.39 Отказ в предоставлении гражданину


1.000 руб.

19.4 Неповиновение законному распоряжению

должностного лица органа,

осуществляющего государственный надзор

(контроль)

10.000 руб.



наказание

19.6 Непринятие мер по устранению причин и

условий, способствовавших совершению

административного правонарушения

500 руб.

19.5 Невыполнение в срок законного

предписания (постановления,

представления, решения) органа

(должностного лица), осуществляющего

государственный надзор (контроль)

500.000 руб. +

дисквалификация

должностного

лица до 3-х лет

19.7 Непредставление сведений (информации) 5.000 руб.

19.20 Осуществление деятельности, не связанной

с извлечением прибыли, без специального

разрешения (лицензии)

20.000 руб. +



срок до 90 суток



наказание

20.25 Неуплата административного штрафа либо

самовольное оставление места отбывания

административного ареста

Двукратное

увеличение

штрафа

Против кого возбуждается дело о правонарушении?

Юридическое лицо или индивидуальный предприниматель

Руководитель юридического лица

Ответственное лицо у юридического лица

Наказание по УК

№ Название статьи Максимальное наказание

137 Нарушение

неприкосновенности

частной жизни

300.000 руб. + исправительные работы

на срок до 240 часов + арест до 6-ти

месяцев

140 Отказ в предоставлении

гражданину информации

200.000 руб. + лишение права занимать

должность на срок до 5-ти лет

171 Незаконное

предпринимательство

300.000 руб. + обязательные работы на

срок до 1-го года + арест до 6-ти месяцев

+ лишение права занимать должность на

срок до 5-ти лет

272 Неправомерный доступ к

компьютерной


500.000 руб. + принудительные работы

на срок до 5-ти лет +

ограничение/лишение свободы до 7-х лет

Материального ущерба нет, моральный вред не посчитаешь

Наказание по Трудовому Кодексу


наказание

237 Моральный вред, причиненный работнику

неправомерными действиями или бездействием

работодателя

Денежное

вознаграждение

по согласованию

195 Привлечение к дисциплинарной ответственности

руководителя организации, руководителя

структурного подразделения организации, их

заместителей по требованию представительного

органа работников

Увольнение

90 Ответственность за нарушение норм,

регулирующих обработку и защиту персональных

данных работника

Увольнение + УК

81 Расторжение трудового договора по инициативе

работодателя за разглашение охраняемой

законом тайны

Увольнение

Нарушение правил защиты информации

• Ст.13.12. Нарушение правил защиты информации (КоАП)

– п.1 – нарушение лицензионных условий (до 10К рублей)

– п.2. – использование несертифицированных СЗИ, если они

подлежат обязательной сертификации (до 20К рублей +

конфискация)

– п.3 – нарушение лицензионных условий по гостайне (до 20К

рублей)

– п.4. – использование несертифицированных СЗИ для гостайны

(до 30К рублей + конфискация)

– п.5 – грубое нарушение лицензионных условий (до 15К рублей +

приостановление деятельности до 90 суток)

Нарушение правил эксплуатации средств борьбы с

ПЭМИН

• Ст.13.4. Нарушение правил … установки… эксплуатации

радиоэлектронных средств и (или) высокочастотных устройств

– п.1 – нарушение правил установки (до 5К рублей + конфискация)

– п.2. – нарушение правил эксплуатации (до 10К рублей +

конфискация + приостановление деятельности до 90 суток)

Незаконная деятельность в области защиты информации

• Ст.13.13. Незаконная деятельность в области защиты

информации (КоАП)

– п.1 – занятие защитой информации без лицензии, если она

обязательна (до 20К рублей + конфискация)

– п.2. – занятие защитой гостайны и разработкой средств ее

защиты без лицензии (до 40К рублей + конфискация)

Ответственность за отсутствие лицензии

• 26 января 2012 – законопроект «О внесении изменений в

некоторые законодательные акты Российской Федерации по

вопросам лицензирования отдельных видов деятельности»

– Отменяются части первая и пятая статьи 13.12 КоАП

– Нарушение (и грубое нарушение) условий, предусмотренных

лицензией на осуществление деятельности в области защиты


– Отменяется также часть 1 статьи 13.13, касающуюся занятиями

видами деятельности в области защиты информации (за

исключением информации, составляющей государственную

тайну) без получения в установленном порядке специального

разрешения (лицензии), если такое разрешение (такая лицензия)

в соответствии с федеральным законом обязательно

(обязательна)

Что может измениться?

• Отмена ч.1 и ч.5 ст.13.12 КоАП

– Нарушение условий, предусмотренных лицензией на

осуществление деятельности в области защиты информации

– Грубое нарушение условий, предусмотренных лицензией на

осуществление деятельности в области защиты информации

• Отмена ч.1 ст.13.13 КоАП

– Занятие видами деятельности в области защиты информации (за

исключением информации, составляющей государственную

тайну) без получения в установленном порядке специального

разрешения (лицензии), если такое разрешение (такая лицензия)

в соответствии с федеральным законом обязательно

(обязательна)

Незаконная деятельность в области защиты информации

• Ст.171. Незаконное предпринимательство (УК РФ)

– п.1 – осуществление деятельности без регистрации (если

лицензия обязательна), с нарушением правил регистрации,

предоставление в лицензирующий орган заведомо ложных

сведений, если это причинило ущерб гражданам, организацияс

или государству или сопряжено с извлечением крупного дохода

(до 300К рублей или обязательные работы до 240 часов либо

арест до 6 месяцев)

– п.2 – то же, но группой лиц или извлечение особо крупного

дохода (до 500К рублей или лишение свободы до 5 лет)

Незаконно ввезенные СКЗИ

• Ст.16.2. Недекларирование или недостоверное декларирование

(КоАП)

– п.1 – недекларирование (до 20К рублей или конфискация или

двукратная стоимость контрабанды)

– п.2 – недостоверное декларирование с целью занижения суммы

пошлин (до 20К рублей или двукратная сумма неуплаченных

налогов или конфискация)

– п.3 – недостоверное декларирование с целью обхода

ограничений на ввоз (до 300К рублей или конфискация)

Незаконно ввезенные СКЗИ

• Ст.16.3. Несоблюдение ограничений на ввоз товаров (КоАП)

– п.1 – несоблюдение ограничений на ввоз, носящих

экономический характер (до 300К рублей)

– п.2 – несоблюдение ограничений на ввоз (до 100К рублей +


• Ст.16.7. Представление недействительных документов при

таможенном декларировании (КоАП)

– п.1 – недостоверное декларирование (до 300К рублей +


Недостоверная информация об услугах и продуктах в

области ИБ

• Ст.1095. Основания возмещения вреда, причиненного вследствие

недостатков товара, работы или услуги

– Вред, причиненный… имуществу юридического лица вследствие

… недостатков товара, работы или услуги, а также вследствие

недостоверной или недостаточной информации о товаре

(работе, услуге), подлежит возмещению продавцом или

изготовителем товара, лицом, выполнившим работу или

оказавшим услугу (исполнителем), независимо от их вины и от

того, состоял потерпевший с ними в договорных отношениях или

нет

• Правила, предусмотренные настоящей статьей, применяются

лишь в случаях приобретения товара (выполнения работы,

оказания услуги) в потребительских целях, а не для

использования в предпринимательской деятельности

PCI DSS: Штрафные санкции откладываются

• Каждая платежная система в каждом регионе имеет свои штрафы

• Пример

– Штраф $25К-100К в месяц

– Понижение на 1 уровень в иерархии

– Банки-эквайеры штрафуются на $25К за каждого

несоответствующего требованиям PCI DSS клиента

– При несообщение об инциденте – штраф $100К (до $500К)

Изменения в Уголовном Кодексе

• Законопроект № 559740-5 «О внесении изменений в Уголовный

кодекс Российской Федерации и отдельные законодательные

акты Российской Федерации (в части совершенствования

законодательства Российской Федерации)»

• Изменение в 272—274-й статьях

– Ст.272 – добавлен разъяснение размера «крупного» ущерба и

определение «компьютерной информации»

– Ст.273 – добавлен «злой умысел» и расширение статьи на

любые программы для нарушений свойств информации, а не

только на вирусы и системы удаленного управления

• 5.04.2012 на пленуме Верховного суда (ВС) одобрены поправки в

уголовное законодательство, направленные на выделение

некоторых видов мошенничества в отдельные составы

преступлений (ст.159)

– Подделка банковских карт, фишинг, мошенничество в ДБО и т.д.

Увеличение наказания за невыполнение ФЗ-152

10000 руб.

1000000 руб.

2% от дохода

Выручка за год

700000 руб.

• Срок давности (ст.4.5 КоАП) увеличивается с 3-х месяцев до 1

года

• Полномочия прокуратуры по возбуждению дела по 13.11 уходят в

РКН

Новые составы правонарушений по ПДн

• Невыполнение оператором обязанностей, предусмотренных

законодательством в области ПДн

– Законодательство – это не только ФЗ-152

– РКН настаивает только на ст.18 и 18.1

– Штраф – до 30 000 рублей

• Обработка ПДн без согласия (ст.13.11.1)

– Просто – до 50 000 рублей

– С доходом – сумма выручки за год, но не менее 500 000 рублей

– С вредом жизни и здоровью – до 600 000 рублей

– Рецидив – до 700 000 рублей

Новые составы правонарушений по ПДн

• Обработка спецкатегорий ПДн в случаях, не предусмотренных

законом


– С вредом жизни и здоровью – до 700 000 рублей


• Несоблюдение условий трансграничной передачи ПДн


– Повлекшее НСД – до 700 000 рублей


Новые составы правонарушений по защите информации

• Существующие составы правонарушений по ст.13.12

– Нарушение условий, предусмотренных лицензией ТЗКИ

– Использование несертифицированных информационных систем,

баз и банков данных, а также несертифицированных средств

защиты информации

– Нарушение условий, предусмотренных лицензией на гостайну

– Использование несертифицированных средств защиты гостайны

– Грубое нарушение условий, предусмотренных лицензией на ТЗКИ

• Новые составы правонарушений по законопроекту ФСТЭК

– Нарушение обязательных требований к защите информации (за

исключением информации, составляющей государственную тайну)

– Нарушение обязательных требований к защите информации,

составляющей государственную тайну

Понятие государственной измены тоже изменяется

• Введение в УК России нормы, устанавливающей ответственность за незаконное получение сведений, составляющих государственную тайну, лицом, которому она не была доверена или не стала известна по службе или работе, при отсутствии признаков государственной измены или шпионажа, позволит обеспечить системность охраны различных видов информации ограниченного доступа

– Из пояснительной записки к законопроекту об изменении статьи УК о государственной измене

• Ущерб безопасности РФ, в том числе ее конституционному строю, суверенитету, территориальной и государственной целостности

– Не только выдача, но и оказание финансовой, материально-технической, консультационной или иной помощи … международной либо иностранной организации или их представителям

Что будет, если нарушить НПА по НПС?

• Нарушения требований Федерального закона №161-ФЗ, принятых

в соответствии с ним нормативных актов Банка России,

выявленные при осуществлении надзора и подтвержденные

документами и информацией, являются основанием для

применения к поднадзорной организации действий и мер

принуждения, предусмотренных статьей 34 №161-ФЗ

– доведение до нарушителя информации о нарушении

– направление нарушителю рекомендаций об устранении

нарушения

– направление нарушителю предписание об устранении нарушения

– ограничение (приостановление) оказания операционных услуг

– исключение оператора платежной системы из реестра таких

операторов

– привлечение к административной ответственности

Административная ответственность по НПС

• Повторное в течение года неисполнение оператором платежной

системы, операционным центром, платежным клиринговым

центром предписания Банка России, направленного им на

осуществление надзора в национальной платежной системе

влечет наложение административного штрафа на должностных

лиц в размере от 30 до 50 тысяч рублей; на юридических лиц – от

100 до 500 тысяч рублей

– Ст.15.36 КоАП «Неисполнение предписания Банка России,

направленного им при осуществлении надзора в национальной

платежной системе»

Так выполнять или нет?

В ЗАКЛЮЧЕНИЕ

Что все это значит для вас?!

• Регуляторы не откажутся от регулирования отрасли ИТ/ИБ и

Интернет и только усилят свое влияние

• Потребители вынуждены будут увеличивать бюджеты на ИБ или

будут более активно принимать риски несоблюдения


– Безопасность все больше будет становиться бумажной, а не

реальной

Куды бечь?

© Izidor Gasperlin

© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 714

Благодарю вас

за внимание

[email protected]

Business

Курс по законодательству в области ИБ