Russia Security furure regulations

1/66© 2008 Cisco Systems, Inc. All rights reserved.Security Training

Что происходит и будет происходить в России на ниве ИБ?

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved.Security Training 2/66

Общая тенденция

Абсолютная непрогнозируемость изменений на рынке информационной безопасности


Что происходит и будет происходить?

Персональные данные

Финансовая отрасль

PCI DSS

СТО БР ИББС-1.0

ФЗ «О национальной платежной системе»

КВО и госуслуги

ВТО

Оценка соответствия, а также контроль и надзор

Образование


Персональные данные


Последние изменения

ПДн для судебных приставов (законопроект № 332033-5)

ПДн авиапасажиров (законопроект № 373481-5)

ПДн переписи (законопроект № 364120-5)

ПП-125 от 4 марта 2010 г.

О перечне персональных данных, записываемых наэлектронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданинаРоссийской Федерации, по которым граждане РоссийскойФедерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию

Законопроект Резника


Предложения Резника

Трансграничная передача - передача персональных данных через Государственную границу Российской Федерации

Согласно ФЗ «О государственной границе» эта граница является географическим понятием, неприменимым к Интернет

Обработка ПДн с целью удовлетворения собственных потребностей, предполагающее обработку персональных данных при условии, что при этом не нарушаются права субъекта персональных данных

Без согласия субъекта ПДн

Согласие вообще требуется только при договорных отношениях


Предложения Резника (продолжение)

Соглашение /об обработке ПДн/ может быть заключено в устной форме или посредством совершения конклюдентных действий, либо путем акцепта субъектом персональных данных условий договора, оферта которого предложена оператором

Письменная форма согласия для трансграничной передачи, обработки специальных категорий ПДн и обработке с юридическими последствиями не обязательна



Оператор вправе продекларировать условия соглашения путем его размещения в форме, доступной для ознакомления неограниченному кругу лиц, или путем его предоставления по требованию лица намерившегося вступить в отношения с оператором

Ключевое отличие законопроекта Резника – многие вызывающие сейчас вопросы могут быть описаны в соглашении



Лицо, предоставляющее ПДн иного субъекта ПДн должно подтвердить свои полномочия по передачи таких ПДн или представить подтверждение получения согласия субъекта ПДн на обработку его ПДн, за исключением случаев установленных федеральными законами

Оператор обязан рассмотреть возражение… в течение семи рабочих дней со дня его получения и уведомить субъекта ПДн о результатах рассмотрения такого возражения, если иное не определено соглашением



Если ПДн были получены не от субъекта ПДн, за исключением случаев, если ПДн были предоставлены оператору на основании федерального закона или если ПДн являются общедоступными или ПДн были предоставлены на основании соглашения для установления или реализации договорных отношений, оператор до начала обработки таких ПДн обязан предоставить субъекту ПДн следующую информацию…

Требования по безопасности ПДн в государственных и муниципальных ИСПДн устанавливает Правительство, а в договорных отношениях - договор



В случае достижения цели обработки ПДн оператор обязан незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий трех рабочих дней с даты достижения цели обработки ПДн, если иное не предусмотрено федеральными законами или не определено соглашением

Обеспечение конфиденциальности ПДн не требуется… в случаях, определенных соглашением субъекта ПДн и оператора


Предложения Резника (окончание)

Исключение требований уведомления субъекта ПДн и РКН по фактам уничтожения ПДн и устранения нарушений в обработке ПДн

Исключить упоминание неавтоматизированной обработки ПДн

Перестать называть операторами обработчиков ПДн


Варианты создания отраслевых рекомендаций

Документы ФСТЭК без изменений, но применительно к нуждам отрасли

Полная переработка в соответствие с потребностями

отрасли

Рособразование

Минсоцздравразвитие

Финансы

Операторы связи


Комплекс стандартов ИБ

СТО

Общие положения

1.0

Аудит ИБ1.1

Методика оценки

соответствия1.2

РС

Рекомендации по

документации в области ИБ

2.0

Руководство по самооценке соответствия

ИБ2.1

Методика оценки рисков

2.2

Требования по ИБ ПДн

2.3

Отраслевая частная

модель угроз безопасности

ПДн2.4

СТО – стандарт организации

РС – рекомендации по стандартизации


Регулирование ИБ в финансовой отрасли

В планах (возможно) отдельные стандарты и рекомендации (или добавление в СТО 1.0) по безопасности для участников национальной платежной системы и т.д.

Классификатор0.0

Термины и определения

0.1

Рекомендации по выполнению законодательных требований при

обработке ПДн


3 новых документа

Отраслевая частная модель угроз

Требования по безопасности ПДн

Рекомендации по выполнению законодательных требований

Также созданы новые пп.7.10-7.11 в СТО БР ИББС-1.0


Рекомендации

Программа действий по приведению в соответствие с ФЗ-152

14 шагов

Рекомендации по классификации ИСПДн

8 алгоритмов обезличивания ПДн

Перечень из 38-ми требуемых документов

Предлагаются типовые шаблоны документов

Имеется план приведения в соответствия из 49 пунктов

Типовой перечень ПДн с указанием целей обработки

Перечень из 20 типовых ошибок при реализации требований законодательства о ПДн


Интересные особенности

Своя классификация ИСПДн и ПДн

Отличная от «Приказа трех»

Все ИСПДн специальные

При условии принятия СТО требования регуляторов не применяются

Т.к. уже учтены и согласованы в СТО

В противном случае применяются требования всех трех регуляторов

Лицензирование, аттестация не требуются

Сертифицированными должны быть только СКЗИ

Остальные СЗИ на усмотрение руководства организации


Операторы связи - НИР Тритон

Наиболее полный набор документов по защите ПДн

18 иерархически выстроенных документов


Концепция

Рекомендации

По формированию целей обработки ПДн

По определению категорий субъектов ПДн и самих ПДн

По формированию модели угроз

Описывает 16 принципов защиты ПДн

Законность, непрерывность, адекватность, гибкость и т.п.

Реверанс в сторону нормативных документов ФСТЭК и ФСБ

Оставлена суть; ненужные или избыточные детали убраны

Описание информационных систем операторов связи

Требуется контроль эффективности

В форме аттестации, декларирования соответствия или внешнего государственного контроля


Информационная модель

<<include>><<include>>

<<include>>

<<include>>

<<include>>

Отчет для ПФР

+

+

+

+

Номер пенс. страхования

Фамилия

Имя

Отчество

Отчет для ФМС

+

+

+

+

+

+

+

+

+

+

Фамилия

Имя

Отчество

Пол

Дата рождения

Место рождения

Гражданство

Удостоверяющий документ

Квалификация

Должность

Отчет для ФНС

+

+

+

+

+

+

ИНН

Фамилия

Имя

Отчество

Документ

Адрес регистрации

Отчет для ФОМС

+

+

+

+

Фамилия

Имя

Отчетство

Адрес регистрации

Справочник работников

+

+

+

+

+

+

+

Фамилия

Имя

Отчество

Должность

Подразделение

Внутренний контакт

Фотография

Работник : 2

+

+

+

+

+

+

+

+

+

+

+

+

+

Табельный номер

Фамилия

Имя

Отчество

Должность

Подразделение

ИНН

Пенс.страхование

Семейное положение

Воинская обязанность

Фотография

Гражданство

Бизнес-аттрибуты

Государственный орган

Орган, осуществляющий

оперативно-розыскную

деятельность

Пенсионный фонд

Фонд обязательного

медицинского

страхования

Федеральная

миграционная служба

Федеральная налогвая

служба

Государственный орган,

получающий данные по

персоналу Военно-учетный стол

<<include>>

<<include>>

<<include>>

<<include>>

<<include>>

<<include>>

<<include>>

<<1>>

Работа с абонентами

<<1.1>>

Управление

продажами : 1

<<1.3>>

Расчеты с абонентами :

1

Деятельность

оператора связи

<<2>>


организацией связи

<<2.1>>

Управление персоналом : 1

<<2.2.>>


безопасностью : 1

<<1.2>>


взаимоотношенияи с

абонентами : 1


Классификатор ИСПДн

Выделены внешние и внутренние ИСПДн

Всего 17 типов разных ИСПДн

Биллинг

Борьба с мошенничеством

CRM

АРМ пользователей

СОРМ

И т.п.

Описаны особенности каждого типа ИСПДн с учетом требований по защите


Анализ рисков

Методики высокоуровневой и низкоуровневой оценки рисков безопасности ПДн

Также включает оценку потенциального ущерба для субъектов и операторов ПДн

Учитываются юридические и финансовые риски

Высокоуровневый анализ рисков проводится в целях определения возможного ущерба с учетом всех внешних факторов, без учета влияния ИТ

Низкоуровневый анализ рисков основан на экспертной оценке размера ущерба, вероятности реализации угроз безопасности ПДн и уровня уязвимости ИСПДн

Также содержит описание каналов реализации угроз и систематизированный перечень угроз с оценкой вероятности их реализации


Методика минимизации требований

Снижение категории и объема ПДн

Обезличивание ПДн

Логическое структурирование ИСПДн и инфраструктуры

Классификация ИСПДн как специальных

С разработкой для них своего перечня требований

Анализ необходимости применения СКЗИ

Разделение зон ответственности между оператором связи и внешней организацией


ТЭО средств защиты ПДн

Обоснование оптимального набора средств защиты ПДн

Оценка годового ущерба до и после внедрения средств защиты ПДн

Оценка эффективности средств защиты ПДн


Резюме по рекомендациям НИР Тритон

Документы согласованы с ФСТЭК, ФСБ и Минкомсвязью

Разработано 3 модели угроз и 3 профиля защиты от них

Интересные особенности

Учитывается отраслевая специфика

ПДн не выделяются, как особая категория защищаемой информации

Фокусировка только на защите ПДн (в отличии от защиты прав субъектов ПДн)

Большое количество рекомендаций по снижению затрат


Национальная платежная система



Цель - регулировать деятельность организаций -операторов по переводу денежных средств, операторов по приему платежей, операторов платежных систем, операторов услуг платежной инфраструктуры и определить требования к функционированию платежной системы

Банк России вправе устанавливать требования к деятельности операционных центров значимых платежных систем, включая требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям

Ст.9 законопроекта



Чтобы стать участником платежной системы надо будет выполнить ряд условий, в т.ч. и требования по ИБ. Все участники "обязаны выполнять требования по оценке и управлению рисками, предусмотренные правилами платежной системы«

К обычным участникам платежной системы относятся операторы по переводу денежных средств и приему платежей, участники рынка ценных бумаг, почта и т.п.

Операторы платежной системы обязаны обеспечить оценку и управление рисками, а также разработать меры обеспечения информационной безопасности в платежной системе и обеспечить контроль их соблюдения



Своя платежная карта – свой аналог Visa, который «разрабатывает и принимает стандарты ...обеспечения информационной безопасности, обеспечивает контроль за их соблюдением»


КСИИ


Термины и определения

Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями


Номенклатура документов по КСИИ

Указ от 16.08.2004

№1085

Указ от 11.08.2003

№960

Приказ от 30.03.2002 №Пр-578

Проект закона (снят)

№411-рс от 23.03.2006

4 «закрытых» документа

ФСТЭК

УказыПрезидента

Иныедокументы

РаспоряженияПравительства

Отраслевыедокументы

Секретарь СовБеза РФ от 08.11.2005

«Основы» от 28.09.2006

№1314-р от 27.08.2005


Нормативные документы ФСТЭК

Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах

Общие требования по обеспечению безопасности информации в ключевых системах информационных инфраструктурах

Базовая модель угроз безопасности информации в ключевых системах информационных инфраструктурах

Рекомендации по обеспечению безопасности информации в ключевых системах информационных инфраструктурах

Утверждены 18 мая 2007 года


Отнесение систем к КСИИ

В документе определяются признаки отнесения объектов к критически важным

Но финальная классификация отсутствует

Критически важные объекты делятся на 3 типа в зависимости назначения, функционирующих в их составе ИТКС

Перечень критически важных объектов определен в секретном Распоряжении Правительства от 23.03.2006 №411-рс «Перечень критически важных объектов Российской Федерации»

Реестр КСИИ ведется ФСТЭК


Отнесение систем к КСИИ

КСИИ делятся на группы

Системы сбора открытой информации, на основании которой принимаются управленческие решения

Системы хранения открытой информации

Системы управления СМИ

Системы управления критически важным объектом

Уровень важности КСИИ определяется в соответствии с «Системой признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий», утвержденной Секретарем Совета Безопасности 08.11.2005


Требования по безопасности

Требования по обеспечению безопасности информации в КСИИ отличаются в зависимости от их типа и между собой не пересекаются (!!!)

1-й тип – системы сбора и хранения открытой информации, а также системы управления СМИ

2-й тип – системы управления критически важными объектами

Требования по обеспечению безопасности информации в КСИИ различных уровней важности соответствуют требованиям для различных классов защищенности АС и МСЭ или уровней контроля отсутствия НДВ

Исключение составляют требования, для которых у ФСТЭК отсутствуют руководящие документы – антивирусная защита, анализ защищенности, обнаружение вторжений и требования доверия к безопасности


Требования по защите КСИИ 1-го типа

Группы требованийУровень важности КСИИ

3 2 1

Управление доступом 1Г 1В 1Б

Регистрация и учет 1Г 1В 1Б

Обеспечение целостности 1Г 1В 1Б

Обеспечение безопасного межсетевого

взаимодействия в КСИИ4 3 2

Уровень контроля отсутствия НДВ 4 3 2

Антивирусная защита + + +

Анализ защищенности + + +

Обнаружение вторжений + + +

Требования доверия к безопасности + + +


Требования по защите КСИИ 2-го типа

Группы требованийУровень важности КСИИ

3 2 1

Планирование обеспечения безопасности + + +

Действия в непредвиденных ситуациях + + +

Реагирование на инциденты + + +

Оценка рисков + + +

Защита носителей информации + + +

Обеспечение целостности + + +

Физическая защита и защиты среды + + +

Безопасность и персонал + + +

Информирование и обучение по вопросам ИБ + + +

Защита коммуникаций + + +

Аудит безопасности + + +


Контроль государственных ресурсов


Контроль госорганов

Постановления и законы

ПП-424 от 18.05.2009 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»

Проект ФЗ «О государственных информационных ресурсах»

Госорганы обязаны обеспечить

защиту информации… от уничтожения, изменения и блокирования доступа к ней

постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования

восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более 8 часов

использование … СЗИ, прошедших оценку соответствия (в том числе в установленных случаях сертификацию)…


Контроль госорганов

Федеральной службе безопасности Российской Федерации совместно с Федеральной службой по техническому и экспортному контролю в 3-месячный срок утвердить требования о защите информации, содержащейся в информационных системах общего пользования

ПП-424

Где прописаны требования по ИБ

Спорный СТР-К от ФСТЭК

Приказ Минкомсвязи России от 25.08.2009 г № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования» (зарегистрирован в МинЮсте)


Госуслуги

Постановление Правительства РФ от 22 сентября 2009 г. № 754 «Об утверждении Положения о системе межведомственного электронного документооборота»

Главный регулятор – Федеральная служба охраны (ФСО)

Основной акцент на целостности и конфиденциальности

Законопроект «Об общих принципах организации предоставления государственных (муниципальных) услуг и исполнения государственных (муниципальных) функций»

Никто не понимает, что такое госуслуга. Нет объекта защиты, как можно говорить о защите?

Безопасность госуслуг – для многих это ЭЦП и УЦ


Скандал в благородном семействе

«Системный проект на создание и эксплуатацию инфраструктуры электронного правительства» был разработан Минкомсвязи и представлен в Совет при президенте РФ по развитию информационного общества в России

Президентский Совет (ФСБ, ФСО и т.д.) признали проект неудовлетворительным и дорогом (100 рублей за букву – всего 120 миллионов рублей на разработку)

Разработчик проекта – Ростелеком

Минкомсвязь заявил, что «проект нужно обсуждать не на президентском совете, а в среде профессионалов, исключив тем самым из числа специалистов представителей администрации президента и руководителей министерств и ведомств»


ВТО


ВТО

Всемирная Торговая Организация (ВТО) -международная организация, созданная для урегулирования торговых проблем в соответствии с соглашением крупнейших торговых стран мира о снижении экспортных и импортных барьеров

Процедура присоединения к ВТО, выработанная за полвека существования ГАТТ/ВТО, многопланова и состоит из нескольких этапов

Как показывает опыт стран-соискателей, этот процесс занимает в среднем 5-7 лет


Вступление в ВТО

На первом этапе в рамках специальных рабочих групп происходит детальное рассмотрение на многостороннем уровне экономического механизма и торгово-политического режима присоединяющейся страны на предмет их соответствия нормам и правилам ВТО

После этого начинаются консультации и переговоры об условиях членства страны-соискателя в данной организации. Эти консультации и переговоры, как правило, проводятся на двустороннем уровне со всеми заинтересованными странами-членами рабочих групп


Уступки и обязательства

Прежде всего переговоры касаются "коммерчески значимых" уступок, которые присоединяющаяся страна будет готова предоставить членам ВТО по доступу на ее рынки (фиксируются в двусторонних Протоколах по доступу на рынки товаров и услуг), а также по формату и срокам принятия на себя обязательств по Соглашениям, вытекающих из членства в ВТО (оформляется в Докладе Рабочей группы)


Основные принципы ВТО

взаимное предоставление режима наибольшего благоприятствования в торговле

взаимное предоставление национального режима товарам и услугам иностранного происхождения

регулирование торговли преимущественно тарифными методами

отказ от использования количественных и иных ограничений

прозрачность торговой политики

разрешение торговых споров путем консультаций и переговоров и т.д.


Многосторонние торговые отношения

Все страны-члены ВТО принимают обязательства по выполнению основных соглашений и юридических документов, объединенных термином "Многосторонние торговые соглашения«

Наиболее интересные с точки зрения ИБ

Соглашение по техническим барьерам в торговле

Генеральное соглашение по торговле услугами


Соглашение по техническим барьерам

Упор

на следование международным стандартам

на использование международных систем оценки соответствия

на создание технических регламентов и стандартов, не создающих препятствий для международной торговли

на создание импортируемым продуктам тех же условий, что и внутренним

«Не должно создаваться препятствий для принятия мер, необходимых для защиты ее важнейших интересов в области безопасности»

Исключения допускаются, но они не должны

Приводить к дискриминации стран

Скрыто ограничивать международную торговлю


ВТО и Россия


Россия и ВТО: история отношений

В 2007/8-м году Россия отказалась входить в ВТО самостоятельно

Создание Единого таможенного союза (Россия, Казахстан, Белоруссия) и намерение вступать в ВТО в составе союза

Договоренность Медведева и Обамы о вступлении России в ВТО в середине осени

И.Айвазовский. Хаос. Сотворение мира


Россия и ВТО

Россия подала заявку на вступление в ВТО в 1993 году

По итогам завершившихся переговоров Россия согласилась принять обязательства примерно по 110 секторам услуг из 155 секторов, предусмотренных классификацией ВТО

В некоторых случаях позиция России предусматривает более жесткие условия работы иностранных поставщиков услуг на российском рынке по сравнению с условиями, предусмотренными действующим законодательством

Такая позиция позволит, при необходимости, использовать дополнительные инструменты защиты национальных поставщиков услуг от иностранной конкуренции в будущем


Россия и ВТО

Переговоры по системным вопросам посвящены определению мер, которые Россия должна будет предпринять в области законодательства и его правоприменения для выполнения своих обязательств как будущего члена ВТО

Запросные требования стран ВТО в целом можно разделить на несколько групп, из них

запросы отдельных стран-членов РГ, выходящие за рамки обязательств многосторонних торговых соглашений ВТО (требования “ВТО+”)

По принятию каждого требования предусмотрен переходный период – от 1-го года до 5-ти лет (в ряде случае 6-7 лет)


Запросы членов рабочей группы

Либерализация мер нетарифного регулирования с точки зрения правил лицензирования в такой области как импорт средств связи и шифровальной техники

Россия обязалась создать более прозрачную систему для импорта электронных товаров, использующих шифрование –требование США

Приведение режимов технических барьеров в торговле в России в соответствие с правилами ВТО, совершенствование правоприменения в указанных сферах (в первую очередь касательно обязательной сертификации и регистрации, процедур повторной сертификации, подтверждения сертификатов соответствия)


Электронная торговля

В рамках ВТО многие страны приняли обязательства по электронной торговле, преодолении торговых барьеров и обеспечении доступа стран-членов ВТО к электронной коммерции

Что надо решить:

Единые стандарты по безопасности платежей

Единые стандарты ЭЦП


Либерализация криптографии


С чем согласилась Россия

Отсутствие дискриминации и прозрачность всех процедур, связанных с импортом криптографии

Соблюдение Вассенаарского соглашения

То что должно ввозиться свободно по Вассенаару, не должно ограничиваться при импорте в Россию (например, защита интеллектуальной собственности в DVD и т.п., мобильные телефоны и т.д.)

Категория 5, часть 2, список товаров двойного применения

Вся импортируемая криптография делится на 2 части

Ввозимая по уведомлению

Ввозимая после получения лицензии на импорт


Уведомительная схема

Аутентификация

Шифрование паролей и других идентификационных данных

ЭЦП

Симметричная криптография с длиной ключа до 56 бит

Ассиметричная криптография

На базе факторизации целых чисел - с длиной ключа до 512 бит

На базе вычисления дискретного логарифма в мультипликативной группе конечного поля - с длиной ключа до 512 бит

На базе вычисления дискретного логарифма в группах отличной от предыдущего пункта, - с длиной ключа до 112 бит


Уведомительная схема

Продукты для массового рынка

Критерии отнесения к массовому рынку пока не определены

ПО, включая ОС, в котором криптография не может быть изменена пользователем и оно не требует поддержки со стороны производителя

Шифрование технологических каналов

Шифрование с целью управления сетями и системами

Беспроводные сети с диапазоном до 400 метров

DECT, Bluetooth, 802.11

Продукты, в которых соответствующая функциональность заблокирована


Детали уведомительной схемы

Нотификация отсылается

В ФСБ

Перед первой поставкой

На каждый продукт

Если в течение 10 дней реакции нет, то «зеленый свет»

На практике регистрация нотификации занимает около 2-3 недель


Детали лицензионной схемы

Лицензия на импорт выдается

На партию

Генеральная (только по межправительственным соглашениям)

Для получения лицензии требуется пройти однократную техническую экспертизу импортируемого продукта

Отсутствие исходных кодов не является препятствием для импорта

Анализ проводит не ФСБ, а отдельная организация

Стоимость услуг прозрачна

Срок получения лицензии – не более 3 месяцев

Включая экспертизу


Российская практика

Сегодня в России только крупные вендоры ввозят шифровальные средства официально

Cisco

HP

IBM

И некоторые другие

Все остальное контрабанда ;-(

Достаточно запросить у поставщика ГТД

Риски для поставщиков

Ст.188 УК РФ, ст.16.2, 16.3, 16.7 КоАП + отзыв лицензии на распространение + арест контрабанды

Риски для потребителей (только для лицензиатов)

Отзыв лицензии ФСБ на оказание услуг + ст.14.1 КоАП


Усиление роли ФСБ


О встраивании криптоядра в VPN

Можно ли использовать сертифицированное криптоядро в составе VPN-решений?

Можно

Будет ли такое использование легитимным?

Нет!!!


Есть ли у вас лицензия на ТО СКЗИ?

А нужна ли?

Представители 8-го Центра ФСБ заявляют о ненужности лицензии для собственных нужд


Есть ли у вас лицензия на ТО СКЗИ?

Что такое ТО?

К деятельности по техническому обслуживанию шифровальных (криптографических) средств не относится эксплуатация СКЗИ в соответствии с требованиями эксплуатационной и технической документации, входящей в комплект поставки СКЗИ

Не относится к лицензируемой деятельности

Передача СКЗИ клиентам и «дочкам»

Генерация и передача сгенерированных ключей


Кто отвечает за IDS?

ФСТЭК имеет профиль защиты по IDS

И уже разработал новые РД по IDS и антивирусам

В списке сертифицированных СЗИ находится около 20 сертификатов на IDS

В т.ч. вся линейка Cisco IPS (4200 и AIM)

ФСБ планирует забрать эту тему под себя

У ФСБ существует всего две сертифицированных IDS –«Ручеек» и «Аргус» (проект «Упырь»)


За что еще хочет отвечать ФСБ?

Антивирусы

Существуют требования по сертификации антивирусов

Существует требование по использованию во всех госорганах сертифицированных антивирусов и IDS

Межсетевые экраны

Существуют требования по сертификации МСЭ


Об образовании в области ИБ


Деятельность Минкомсвязи

Минкомсвязь заказал АП КИТ профессиональныйстандарт по профессии «Специалист поинформационной безопасности»

Данный профессиональный стандарт будет отражатьсовременные квалификационные требования работодателей и использоваться для целей подготовки рабочих кадров и специалистов, оценки (сертификации), составлениядолжностных инструкций, тарификации и пр.

Стандарт нужен для

Оценки квалификации и сертификации сотрудников

Формирования госстандартов профессионального образования

Управления персоналом

Стандартизации и унификации требований к содержанию и качеству профессиональной деятельности


Квалификационные уровни

Национальная квалификация описывает 7 уровней

В области ИБ квалификация начинается с 3-го уровня

Уровень Краткое описание работНаименование

должности

3-й Участие в работах. Проведение

проверок. Наладка и регулировка.

Техник по ЗИ

4-й Сопровождение. Выполнение

сложных работ. Анализ

потребностей

Специалист по ЗИ

5-й Управление работами по

проектированию и внедрению

СЗИ. Подбор литературы

Инженер по ЗИ

6-й Работа в команде. Разработка

оргмер. Руководство. Организация

аттестаций, спецпроверок.

Начальник отдела ЗИ


Квалификационные уровни

Национальная квалификация описывает 7 уровней

В области ИБ квалификация начинается с 3-го уровня

Уровень Краткое описание работНаименование

должности

7-й Работа в команде. Руководство

работами по ЗИ. Создание

технологий ИБ. Контроль. Оценка

эффективности.

Главный специалист

по ЗИ


Деятельность Минобразнауки

Минобразование с осени внедряет государственные образовательные стандарты третьего поколения

В области ИБ вопросы создания стандартов курирует УМО вузов РФ по образованию в области ИБ (организатор ИКСИ)

Образование по ИБ организуется на трех уровнях

Высшее профессиональное образование (ВПО) – университеты и институты

Среднее профессиональное образование (СПО) – колледжи и лицеи

Начальное профессиональное образование (НПО) – училища и техникумы (только один прецедент в России)


Направления образования

2 направления обучения в рамках ВПО

Специалист – 5,5 лет

Бакалавриат / магистратура – 3 / 5 лет

Программы (стандарты) образования

Информационная безопасность телекоммуникационных систем

Информационная безопасность автоматизированных систем

Организация и технология защиты информации

Информационно-аналитические системы безопасности

Компьютерная безопасность

Криптография

Противодействие действиям иностранных технических разведок

В каждой программе существуют свои специализации

Grid, АСУ ТП, транспорт, мобильные технологии…


Особенности подготовки стандартов

По задумке ФГОС рассчитывается на 10-15 лет

Бизнес практически не участвует в подготовке требований

Стандарты формируют ВУЗы

В стандарт попало только то, что ВУЗы готовы преподавать сейчас


Что еще?..


Что еще?

ПП-266 от 21 апреля 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации … об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации»

Основной регулятор – Служба внешней разведки (СВР)


Что еще?

ПП-330 от 15 мая 2010 г. «Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, отнесенных к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие гостайну»

ДСП

Оценка соответствия проводится в формах обязательной сертификации и государственного контроля (надзора)


Генпрокуратора – новый регулятор

Генпрокуратура – новый регулятор на рынке безопасности

Порядок согласования с органом прокуратуры проведения проверок установлен приказом Генерального прокурора Российской Федерации от 27 марта 2009 г. № 93

Все плановые и внеплановые проверки должны быть согласованы с Генпрокуратурой

Плановые – до 31 декабря года, предшествующего

Внеплановые – за 3 суток до проверки

Сегодня в списке проверок есть только Роскомнадзор

ФСТЭК и ФСБ не любит упоминаний Генпрокуратуры

Потребители не хотят оспаривать незаконные проверки

http://79.125.23.79/


Генпрокуратора – новый регулятор

Генпрокуратура – новый регулятор на рынке безопасности

Порядок согласования с органом прокуратуры проведения проверок установлен приказом Генерального прокурора Российской Федерации от 27 марта 2009 г. № 93

Все плановые и внеплановые проверки должны быть согласованы с Генпрокуратурой

Плановые – до 31 декабря года, предшествующего

Внеплановые – за 3 суток до проверки

Сегодня в списке проверок есть только Роскомнадзор

ФСТЭК и ФСБ не любит упоминаний Генпрокуратуры

Потребители не хотят оспаривать незаконные проверки

http://79.125.23.79/


Новости Cisco


Компаниями Cisco Systems и С-Терра СиЭсПи разработан VPNшлюз на базе сетевого модуля NME-RVPN (МСМ) и сервера Cisco UCS, с российской криптографией

Поддержка Cisco ISR 2800, 2900, 3800 и 3900

Поддержка всей линейки VPN-решений компании S-Terra CSP

Производительность от 95 Мбит/сек (NME-RVPN) до 3,2 Гбит/сек (UCS)

Сертификат ФСБ СФ/114-1411 от 20 марта 2010 года

Одна из последних разработок

http://www.s-terra.com/


Компаниями Cisco Systems и Лабораторией Касперского создан модуль «антивирус + антиспам» для маршрутизаторов Cisco

Поддержка маршрутизаторовCisco ISR 2811, 2821, 2851, 3825,3845, а также 800 Series

Форм-фактор

AXP-NME

AXP-AIM

Cisco + Лаборатория Касперского


450+ сертификатов ФСТЭК

Сертификация одиночных образцов, партий и производства

Сертификация в ФСБ

Соответствие требованиям по ПДн, КСИИ, СТР-К, СТО БР ИББС, ISO 2700x, COBIT, ITIL, PCI DSS

Сертификация по НДВ (закладки)

Соответствие требованиям по ИБ

Сертификация по РД, ТУ, ГОСТ Р ИСО 15408, Минкомсвязь


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410


Business

Russia Security furure regulations