Требования по информационной безопасности сегодня и завтра:

что ожидать от российских регуляторов?

Прозоров Андрей

2014-04

• 149-ФЗ «Об информации, ИТ и защите информации»

• 152-ФЗ «О персональных данных»

• 98-ФЗ «О Коммерческой тайне»

• 126-ФЗ «О связи»

• ФЗ № 395-1 «О банках и банковской деятельности»

• 161-ФЗ «О национальной платежной системе»

• …

• ПП 1119 «Об утверждении требований к защите ПДн при

их обработке ИСПДн»

• ПП 2036-р «Об утверждении Стратегии развития отрасли

ИТ в РФ на 2014 - 2020 годы и на перспективу до 2025

года»

• …

Законов много

Военно-промышленная комиссия при Правительстве Российской Федерации (ВПК), Госкорпорации, ГУСП, ГФС России, МВД России, МИД России, Минвостокразвития России, Минздрав России, Минкомсвязь России, Минкультуры России, Минобороны России, Минобрнауки России, Минприроды России, Минпромторг России, Минрегион России, Минсельхоз России, Минспорт России, Минстрой России, Минтранс России, Минтруд России, Минфин России, Минэкономразвития России, Минэнерго России, Минюст России, МЧС России, Пенсионный фонд Российской Федерации, Росавиация, Росавтодор, Росаккредитация, Росалкогольрегулирование, Росархив, Росводресуры, Росгидромет, Росграница, Росжелдор, Росздравнадзор, Росимущество, Роскомнадзор, Роскосмос, Рослесхоз, Росмолодежь, Росморречфлот, Роснедра, Рособоронзаказ, Рособоронпоставка, Рособрнадзор, Роспатент, Роспечать, Роспотребназор, Росприроднадзор, Росреестр, Росрезерв, Росрыболовство, Россвязь, Россельхознадзор, Россотрудничество, Росстандарт, Росстат, Ростехнадзор, Ространснадзор, Роструд, Ростуризм, Росфинмониторинг, Росфиннадзор, СВР России, Следственный комитет Российской Федерации, Спецстрой России, Управление делами Президента РФ, ФАНО России, ФАС России, Федеральная служба по интеллектуальной собственности, патентам и товарным знакам, Федеральное казначейство, Федеральный фонд обязательного медицинского страхования, ФМБА России, ФМС России, ФНС России, Фонд социального страхования Российской Федерации, ФСБ России, ФСВТС России, ФСИН России, ФСКН России, ФСО России, ФССП России, ФСТ России, ФСТЭК России, ФСФР России, ФТС России, Центральный банк Российской Федерации

Ведомственных приказов много

Регуляторы ИБ

Общие …

Отраслевые

ФСБ России

ФСТЭК России

РКН

Проблема не только в количестве документов, но и в их обновлении…

Законы часто обновляются

• 98-ФЗ (от 2004 года) – 4+1 раз

• 149-ФЗ (от 2006 года) – 9 раз (большинство про блокировки сайтов Интернет и ГосИС)

• 152-ФЗ (от 2006 года) – 11 раз

• 126-ФЗ (от 2003 года) – 40 раз

Изменение подхода по защите ПДн

4-книжие ФСТЭК (2008)

Приказ 58 (2010)

ПП1119 (2012) +

Приказ 21 (2013)

…

Как уследить за всеми обновлениями и новостями?

Форумы и блоги ИБ в РФ

20+ площадок, на которых обсуждаются вопросы ИБ

130+ блогов по ИБ

bit.ly/1jofF7G

Твиттер

Мой твиттер - @3dwave

Список экспертов ИБ в РФ - bit.ly/1fF5QiZ

Другие социальные сети

Мой ФБ - www.facebook.com/andrey.prozorov.7

Regulation.gov.ru

• Единый портал для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения

• Настраиваемые уведомления

А если подробнее

Главные темы

• ПДн

• ГосИС (350+)

• КТ

• Интернет

• КВО

• Банки

• НПС

Тренды

• Увеличение требований и рекомендаций

• Общественные обсуждения документов (+рабочие группы)

• Отечественное ПО, АО (и СЗИ)

• Контроль сети Интернет

• Новые технологии и СЗИ (виртуализация, cloud, BYOD, DLP…)

• Кибербезопасность

• Центры реагирования на инциденты

Законопроект по ПДн

• Законопроект №416052-6 о внесении изменений в 152-ФЗ и ст.28.3 КоАП

• Декабрь 2013

• Члены Совета Федерации В.И.Матвиенко, Р.У.Гаттаров, А.А.Клишас, Л.Н.Бокова, Ю.В.Шамков, К.Э.Добрынин

• Депутаты Государственной Думы Д.Ф.Вяткин, З.А.Муцоев

• Текст и подробности - http://bit.ly/1hwCsN8

Что ожидаем от закона по ПДн1

• Понятие «обработчик» (лицо, осуществляющее обработку ПДн по поручению оператора). Обработчик не обязан дополнительно получать согласие субъекта ПДн

• Не требуется защищать конфиденциальность общедоступных и обезличенных ПДн

• Конкретнее про биометрические ПДн (автоматическая идентификация субъекта)

• Возможность получение согласия дистанционно

• Конкретнее про трансграничную передачу

Что ожидаем от закона по ПДн2

• Чуть больше внимания гос.органам (расширен их перечень в ст.18.1 п.3),

• Упрощение мер защиты (п.19) («может достигаться» вместо «достигается»)

• Операторы могут сами определять угрозы ПДн до выхода документов регуляторов (ст.19.5)

• Уведомление РКН об утечках ПДн («факт неправомерного раскрытия»)

• +? РКН предоставляется право на возбуждение дел по КоАП ст.13.11 (ПДн)

Штрафы сейчас

• КоАП Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

• Для юр.лиц штраф 5 000-10 000 рублей

Правки в КоАП по ПДн (проект)

ID: 00/03-10560/12-13/4-13-4

Увеличение штрафов (юр.лица): • Обработка ПДн с нарушением требований к

содержанию согласия субъектов ПДн - 15 000 - 50 000 рублей

• Обработка ПДн без согласия субъектов ПДн (если оно нужно) - 30 000 - 50 000 рублей

• Незаконная обработка специальных категорий ПДн (в случаях, не предусмотренных законодательством РФ) - 150 000 - 300 000 рублей

Новые статьи КоАП по ПДн (проект)1

Статья 13.11.2. Непредставление оператором информации и (или) доступа к сведениям, предусмотренных законодательством РФ о ПДн.

• Необеспечение неограниченного доступа к политике в области ПДн и сведениях о реализуемых мерах защиты - 15 000 - 30 000 рублей

• Непредоставление субъекту ПДн информации, касающейся обработки его ПДн - 20 000 - 40 000 рублей

Новые статьи КоАП по ПДн (проект)2

Статья 13.11.3. Несоблюдение требований законодательства РФ о ПДн по обеспечению безопасности ПДн. • Невыполнение обязанностей по соблюдению условий,

обеспечивающих сохранность ПДн при хранении материальных носителей, если с ПДн произошел инцидент (при отсутствии признаков уголовно наказуемого деяния) - 25 000 - 50 000 рублей

• Невыполнение обязанностей по защите ПДн при автоматизированной обработке если с ПДн произошел инцидент (при отсутствии признаков уголовно наказуемого деяния) - 100 000 - 200 000 рублей

• Инциденты с ПДн в государственных и муниципальных учреждениях - штраф на должностное лицо в размере 30 000 - 50 000 рублей

Новый подход ФСТЭК России

Приказ 21 2013

Приказ 17 2013

Проект Приказа по

АСУ ТП

Меры защиты информации в государственных информационных системах 2014

СТР-К не отменен…

Другое про ФСТЭК России

• Приказ N 55/86/20 о классификации ИСПДн официально утратил силу

• Готовится новая методика определения актуальных угроз (для всех типов информации)

• Подготовлен проект «Рекомендации по обновлению сертифицированных СЗИ»

• Готовятся документы по защите среды виртуализации и облачных вычислений

• …

Новости ФСБ России

• Заканчивается пересмотр проекта приказа по защите ПДн (про использование СКЗИ)

• СКЗИ для защиты ПДн должны быть сертифицированы

• Рекомендаций и разъяснений разрабатывать не собираются

• Планируется изменение подхода по сертификации СКЗИ

Изменения по КТ1

Утвержден Федеральный закон от 12.03.2014 № 35-ФЗ "О внесении изменений в части первую, вторую и четвертую Гражданского кодекса Российской Федерации и отдельные законодательные акты Российской Федерации". Документ помимо прочего вносит правки в закон № 98-ФЗ "О коммерческой тайне" (начало действия правок - 01.10.2014).

Изменения по КТ2

Информация, составляющую секрет производства (ноу-хау)

Информация, которая имеет действительную или

потенциальную коммерческую ценность в силу неизвестности

ее третьим лицам

секрет производства = ноу-хау = информация, составляющая коммерческую тайну /

Изменения по КТ3

• +ст. 6.1. "Права обладателя информации, составляющей коммерческую тайну“

• Вернули положения про возмещение причиненные работодателю убытков, если работник виновен в разглашении ИКТ (в.т.ч. в отношении работников, прекративших трудовые отношения)

Банки и ИБ

• Ожидаем обновления 382-П и СТО БР ИББС 1.0

• Методика составления МУ подготовлена и согласована со ФСТЭК России

• Подготовлены проекты новых рекомендаций: – управление инцидентами

– предотвращение утечек

– ИБ на всех этапах жизненного цикла приложений

– защита виртуализации

– ресурсное обеспечение

– …

Основания для блокировки сайтов

• Наркотики • Призывы к суициду • Порно с несовершеннолетними • Фильмы, защищенные исключительными

правами • Наличие призывов к массовым

беспорядкам, экстремизм • … • Размещение ложной

информации о банках (проект)

КВО

ФСТЭК России и ФСБ России