Embed Size (px)
DESCRIPTION
Citation preview
Чего ждать от регуляторов в
ближайшие полгода?
Лукацкий Алексей, консультант по безопасности
Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность
ИТ» (ISO SC27 в
России)
«Защита
информации в
кредитных
учреждениях»
«Защита
информации»
при ФСТЭК
Разработка рекомендаций по ПДн,
СТО БР ИББС v4 и 382-П/2831-У
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза
документов Предложения
Экспертиза и
разработка
документов
Экспертиза и
разработка
документов
Консультативный
совет
Динамика принятия нормативных актов
0
1
2
3
4
5
6
7
8
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Базовая иерархия документов по ПДн
Приказы и иные документы
Постановления Правительства
Законы
Конвенции и иные международные договора
Европейская Конвенция
Европейская Конвенция
ФЗ №152 от 26.07.2006
ФЗ №160 от 19.12.2005
ФЗ №152 от 26.07.2006
ФЗ №160 от 19.12.2005
№1119 от 01.11.2012 №1119 от 01.11.2012
Приказ ФСТЭК №21 от
18.02.2013
Приказ ФСТЭК №21 от
18.02.2013
2 методички от ФСБ
2 методички от ФСБ
№687 от 15.09.2008 №687 от
15.09.2008 №512 от 6.07.2008 №512 от 6.07.2008
№221 от 21.03.2012 №221 от
21.03.2012 №940 от
18.09.2012 №940 от
18.09.2012
Директивы Евросоюза /
Европарламента
Рекомендации ОЭСР
Рекомендации АТЭС
Новый приказ ФСТЭК
• №21 от 18.02.2013
• Определяет состав и содержание
организационных и технических
мер
• Применяется для новых
(модернизируемых) ИСПДн
• Меры по защите ПДн в ГИС
принимаются в соответствии с
требованиями о защите
информации, содержащейся в
ГИС («новый СТР-К»)
Меры по защите информации
• В систему защиты ПДн в зависимости от актуальных угроз
безопасности ПДн и структурно-функциональных характеристик
ИСПДн включаются следующие меры
– идентификация и аутентификация субъектов доступа и объектов
доступа
– управление доступом субъектов доступа к объектам доступа
– ограничение программной среды
– защита машинных носителей информации, на которых хранятся
и (или) обрабатываются персональные данные
– регистрация событий безопасности
– антивирусная защита
– обнаружение (предотвращение) вторжений
– контроль (анализ) защищенности персональных данных
Меры по защите информации
• продолжение:
– обеспечение целостности информационной системы и
персональных данных
– обеспечение доступности персональных данных
– защита среды виртуализации
– защита технических средств
– защита информационной системы, ее средств, систем связи и
передачи данных
– выявление инцидентов (одного события или группы событий),
которые могут привести к сбоям или нарушению
функционирования информационной системы и (или) к
возникновению угроз безопасности персональных данных, и
реагирование на них
– управление конфигурацией информационной системы и системы
защиты персональных данных
Как определяются защитные меры
• Выбор мер по обеспечению безопасности ПДн,
подлежащих реализации в системе защиты ПДн,
включает
– выбор базового набора мер
– адаптацию выбранного базового набора мер
применительно к структурно-функциональным
характеристикам ИСПДн, реализуемым ИТ,
особенностям функционирования ИСПДн, а также
с учетом целей защиты персональных данных
– уточнение (включает дополнение или
исключение)
– дополнение адаптированного базового набора
мер по обеспечению безопасности ПДн
дополнительными мерами, установленными
иными нормативными актами
Базовые меры Базовые меры
Адаптация базового набора
Адаптация базового набора
Уточнение адаптированного набора
Уточнение адаптированного набора
Дополнение уточненного адаптированного набора Дополнение уточненного адаптированного набора
Компенсационные меры Компенсационные меры
Планируемые изменения
• Законопроект по внесению изменений в законодательные акты в
связи с принятием ФЗ-160 и ФЗ-152
• Законопроект «О внесении изменений в
статью 857 части второй Гражданского кодекса РФ, статью 26
Федерального закона «О банках и банковской деятельности» и
Федеральный закон «О персональных данных»
• Законопроект по внесению изменений в КоАП (в части
увеличения штрафов по ст.13.11)
• Проект методических рекомендаций РКН по обезличиванию
• Проект приказа РКН по странам, обеспечивающим адекватную
защиту прав субъектов
• Проект приказа ФСБ по ПДн
• Проект Постановления Правительства по надзору в сфере ПДн
Рост штрафов за невыполнение ФЗ-152
10000 руб.
1000000 руб.
2% от дохода
Выручка за год
700000 руб.
• 4 состава правонарушения
• Увеличение суммы штрафа
• Рост срока давности
• Переход полномочий от прокуратуры к
РКН
Проект нового Постановления Правительства о надзоре
• Госконтроль включает в себя
– Мониторинг деятельности, направленный на предупреждение,
выявление и пресечение нарушений
– Действие данного Положения не распространяется на
деятельность по осуществлению контроля и надзора за
выполнением организационных и технических мер по
обеспечению безопасности персональных данных,
установленных в соответствие со статьей 19 Федерального
закона "О персональных данных"
• Проект Постановления Правительства «Об утверждении
Положения о государственном контроле и надзоре за
соответствием обработки персональных данных требованиям
законодательства Российской Федерации в области
персональных данных»
Проект приказа ФСБ
• Настоящий документ устанавливает
состав и содержание необходимых
для выполнения установленных
Правительством Российской
Федерации требований к защите ПДн
для каждого из уровней защищенности
организационных и технических мер
по обеспечению безопасности ПДн
при их обработке в ИСПДн
• Оргмеры похожи на 152-й приказ
ФАПСИ («розовую инструкцию»)
Когда должны применяться СКЗИ
• Криптографическая защита персональных данных
обеспечивается в следующих случаях
– если персональные данные подлежат криптографической защите
в соответствии с федеральными законами и принимаемыми в
соответствии с ними нормативными правовыми актами
– если для информационной системы персональных данных
выявлены угрозы, которые могут быть нейтрализованы только с
помощью СКЗИ
• В остальных случаях решение о необходимости обеспечения
криптографической защиты ПДн может быть принято оператором
на основании технико-экономического сравнения альтернативных
вариантов обеспечения безопасности ПДн
От модели нарушителя к типам угроз и классам СКЗИ
КН1 • Н1-Н3 • Н1-Н3
КН2 • Н4-Н5 • Н4-Н5
КН3 • Н6 • Н6 1 тип
2 тип
3 тип
Категории нарушителей
Типы угроз
НАЦИОНАЛЬНАЯ
ПЛАТЕЖНАЯ СИСТЕМА
Структура основных нормативно-правовых актов по ИБ в
НПС
Рекомендации
АРБ и НПС по
реагированию
на инциденты
Мы только в начале пути регулирования НПС
• Платежные карты
• Мобильные и
мгновенные
платежи
• Системы ДБО
• Банкоматы и ККТ
• Небанковские
организации
• Разработчики
платежных
приложений
Письмо 34-Т от 01.03.2013
• О рекомендациях по повышению
уровня безопасности банкоматов и
платежных терминалов
• Классификация мест установки по
степени риска, в т.ч. и подвергнуться
воздействию вредоносного кода, а
также совершения
несанкционированных операций
• Пересмотр классификации по мере
развития технологий атак
• Оснащение специальным ПО для
выявления и предотвращения атак
• Регулярный контроль действия
обслуживающих организаций
Письмо 34-Т от 01.03.2013 (окончание)
• Использование систем удаленного мониторинга состояния
банкомата или терминала
• 2 видеокамеры и хранение видеозаписей не менее 60 дней
• Обнаружение, фиксация атак и их попыток и информирование о
них заинтересованных участников рынка розничных платежных
услуг и Банка России
• Анализ и выявление уязвимостей после атак или попыток их
совершения
• Совершенствование системы защиты
• Обмен информацией с другими кредитными организациями
• Размещение на устройстве рекомендаций по защите PIN
• + требования по физической безопасности банкоматов и
платежных терминалов
Новая форма отчетности грядет с 1 апреля 2013 года
• Указание 2926-У от 03.12.2013 «О внесении изменений в Указание
Банка России от 12 ноября 2009 года № 2332-У «О перечне,
формах и порядке составления и представления форм отчетности
кредитных организаций в Центральный банк Российской
Федерации» вводит новые формы отчетности
– Форма отчетности 0409258 «Сведения о несанкционированных
операциях, совершенных с использованием платежных карт» и
порядок составления и представления отчетности по форме
0409258
Планы по развитию 382-П
• Разрабатываются методические рекомендации по однозначной
интерпретации 382-П
– Разработка ведется вместе с сообществом
• Разработана методика пересчета показателей 382-П к
показателям, используемым в надзорной деятельности Банка
России
• Доработки 382-П
– Устраняются технические погрешности
– Устанавливаются сроки и требования по хранению информации,
требуемой правоохранительным органам
– Уточняются требования к аудиторам и оценщикам 382-П
• Разработан проект методики для надзора ЦБ по проверке 382-П
Планы по развитию 203-й формы отчетности
• Будет меняться отчетность по инцидентам
– Разделение на инциденты отчетного и предыдущих отчетных
периодов
– Будут запрашиваться инциденты, зарегистрированные ОПДС, его
клиентами и БПА
– Будет детализация классификации инцидентов
– Введение суммы похищенных и намеченных к хищению средств
– Детализация мест совершения инцидента (до 2-х десятков)
– Подробное описание инцидентов (названия ПО, названия СЗИ,
имена операторов связи, названия АБС, названия сетевого
оборудования и т.д.)
– Указание причин возникновения инцидентов
– Уточнение вопросов взаимодействия с правоохранительными
органами
Что думает Банк России о PCI DSS?
• Какова судьба PCI DSS в контексте 382-П и СТО БР ИББС?
– PCI DSS включат в состав СТО БР ИББС?
– На базе PCI DSS будут создавать собственные нормативы?
• Банк России (через НП АБИСС) осуществил перевод 10
документов PCI DSS 2.0 для их анализа в ПК1 ТК122 и их
возможного последующего использования в рамках НПС. Цели:
– аутентичный перевод на русский язык PCI DSS и сопутствующих
документов, официально признаваемый PCI Council
– размещение перевода и поддержка его в актуальном состоянии
при изменений версий стандарта PCI DSS на сайте PCI Council
– использование перевода для более эффективного внедрения
PCI DSS в РФ для участников международных платежных систем
– использование перевода как основы для разработки Банком
России национальных требований и рекомендаций к индустрии
платежных карт
Новые РС в рамках СТО БР ИББС
• Готовится новая РС «Ресурсное обеспечение информационной
безопасности»
– Как объяснить руководству/акционерам, зачем нужна ИБ и
сколько тратить?
• Готовится новая РС «Требования к банковским приложениям и
разработчикам банковских приложений»
– Минимальный набор требований к приложениям
• Готовится новая РС «Управление инцидентами информационной
безопасности»
– Не просто реагирование, а весь жизненный цикл инцидента
– Дополнит методичку АРБ и НПС
• 3 новых РС будут рассматриваться в ТК122 в первом полугодии
2013, чтобы к концу года иметь уже готовые и согласованные
документы
Планы развития СТО в части ПДн
• Определить отраслевую модель актуальных угроз безопасности
персональных данных
– Для этого планируется организовать работу с банковским
экспертным сообществом, провести согласование модели угроз с
ФСТЭК России и ФСБ России и ввести модель в действие
нормативным актом Банка России
• После ввода в действие документов регуляторов в области
обеспечения безопасности персональных данных провести
актуализацию РС 2.3
• Провести работу по переподписанию Письма-обращения в
кредитные организации об использовании организациями
банковской системы Российской Федерации документов
Комплекса для выполнения законодательства в области
персональных данных (переподписание «Письма шестерых»)
26
СТО БР ИББС в дальней перспективе
• Требования по облакам и виртуализации
• Требования по мобильному доступу
• Требования к DLP с банковской спецификой
• Пересмотр методики оценки в СТО БР ИББС
• Кросс-отраслевые стандарты с операторами связи по
формированию «пространства доверия»
27
ГОСУДАРСТВЕННЫЕ
ИНФОРМАЦИОННЫЕ
РЕСУРСЫ
«Новый СТР-К»
• Приказ ФСТЭК №17 от 12.02.2013 «Об
утверждении Требований о защите
информации, не составляющей
государственную тайну, содержащейся в
государственных информационных
системах»
• Для защиты информации во вновь
создаваемых или модернизируемых
государственных информационных
системах
– «Старые» автоматизированные
системы будут «жить» по СТР-К
Жизненный цикл защиты государственных
информационных систем
• Организация защиты информации, содержащейся в
информационной системе, включает:
– формирование требований к системе защиты информации
информационной системы
– разработку системы защиты информации информационной
системы
– реализацию системы защиты информации информационной
системы
– аттестацию информационной системы на соответствие
требованиям о защите информации и ввод ее в действие
– эксплуатацию системы защиты информации информационной
системы
– защиту информации при выводе из эксплуатации
информационной системы или после окончания обработки
информации конфиденциального характера
Как определяются требования по защите?
• Требования к системе защиты информации информационной
системы определяются в зависимости от
– класса защищенности информационной системы
– актуальных угроз безопасности информации, установленных в
модели угроз безопасности информации
• Приказ вводит 4 класса защищенности и определяет методику их
выбора
• Модель угроз безопасности информации должна содержать
описание структурно-функциональных характеристик
информационной системы и актуальных угроз безопасности
информации
– Моделирование угроз осуществляется на основе
разрабатываемых методических документах ФСТЭК
– Предполагается, что данная методика будет единой для ПДн и
ГИС
Меры по защите информации
• Идентификация и аутентификация субъектов доступа и объектов
доступа
• Управление доступом субъектов доступа к объектам доступа
• Ограничение программной среды
• Защита машинных носителей информации, на которых хранятся
и (или) обрабатываются персональные данные
• Регистрация событий безопасности
• Антивирусная защита
• Обнаружение (предотвращение) вторжений
• Контроль (анализ) защищенности персональных данных
• Обеспечение целостности информационной системы и
персональных данных
• Обеспечение доступности персональных данных
Меры по защите информации
• Защита среды виртуализации
• Защита технических средств
• Защита информационной системы, ее средств, систем связи и
передачи данных
• Выявление инцидентов (одного события или группы событий),
которые могут привести к сбоям или нарушению
функционирования информационной системы и (или) к
возникновению угроз безопасности персональных данных, и
реагирование на них
• Управление конфигурацией информационной системы и системы
защиты персональных данных
КРИТИЧЕСКИ ВАЖНЫЕ
ОБЪЕКТЫ
Безопасность ТЭК
• 21 июля 2011 года Президент РФ подписал Федеральный Закон
«О безопасности объектов топливно-энергетического комплекса»,
а также Федеральный закон «О внесении изменений в отдельные
законодательные акты Российской Федерации в части
обеспечения безопасности объектов топливно-энергетического
комплекса»
• Статья 11 «Обеспечение безопасности информационных систем
объектов топливно-энергетического комплекса»
– Требования и состав комплекса защитных мер пока не
определены
• В проекте постановления Правительства Российской Федерации
«Об утверждении требований обеспечения безопасности
объектов топливно-энергетического комплекса и требований
антитеррористической защищенности объектов топливно-
энергетического комплекса» ИБ не прописана, но… см. дальше
Мнение Минэнерго
• Три Постановления Правительства от 5 мая 2012 года
– № 458 «Об утверждении Правил по обеспечению безопасности и
антитеррористической защищенности объектов топливно-
энергетического комплекса»
– № 459 «Об утверждении Положения об исходных данных для
проведения категорирования объекта топливно-энергетического
комплекса, порядке его проведения и критериях
категорирования»
– № 460 «Об утверждении Правил актуализации паспорта
безопасности объекта топливно-энергетического комплекса»
• Позиция Минэнерго - т.к. в ст.11 ФЗ-256 «О безопасности
объектов ТЭК» нет требования разработать Постановление
Правительства, то и требования по защите можно использовать
текущие (от ФСТЭК и ФСБ)
Безопасность критически важных объектов
• Основные направления государственной политики в области
обеспечения безопасности автоматизированных систем
управления производственными и технологическими процессами
критически важных объектов инфраструктуры Российской
Федерации
– 4 июля 2012 года
– Разработаны в целях реализации основных положений
Стратегии национальной безопасности Российской Федерации
до 2020 года
• Включают
– Требования к разработчикам АСУ ТП
– Единая гос.система обнаружения и предотвращения атак
– Промышленная и научно-техническая политика,
фундаментальная и прикладная наука и повышение
квалификации кадров
А что дальше или Указ Президента 31с
• 28.12.2012 – встреча Президента с офицерами, назначенными на
высшие командные должности
– Говорит о защите стратегической инфраструктуры
• 29.12.2012 - Указ Президента №1711 об изменении состава
Межведомственной комиссии Совета Безопасности РФ по
информационной безопасности
– Добавление в комиссию представителей стратегических КВО
• 15.01.2013 - Указ Президента №31с «О создании государственной
системы обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные ресурсы
РФ»
– Создание данной системы, разработка методики обнаружения
атак, обмен информацией между госорганами об инцидентах ИБ,
оценка степени защищенности критической информационной
инфраструктуры
ФСТЭК
Готовятся новые РД ФСТЭК
• Требования к DLP-системам
• Требования к средствам доверенной загрузки
• Требования к средствам двухфакторной аутентификации
• Требования к средствам контроля съемных носителей
информации
• Требования по защите беспроводного и удаленного доступа
• Идет работа с ФСБ и Минкомсвязи по определению границ сетей
организаций и операторов связи с целью разделения
ответственности и формированию единого пространства доверия
Готовятся новые ГОСТы на 2013-2014 годы
• «Уязвимости информационных систем. Классификация
уязвимостей информационных систем»
• «Уязвимости информационных систем. Правила описания
уязвимостей»
• «Уязвимости информационных систем. Содержание и порядок
выполнения работ по выявлению и оценке уязвимостей
информационных систем»
• «Порядок создания автоматизированных систем в защищенном
исполнении. Общие положения»
– Взамен текущей версии ГОСТ 51583-2000
• «Документация по технической защите информации на объекте
информатизации. Общие положения»
• «Информационные системы и объекты информатизации. Угрозы
безопасности информации. Общие положения»
Готовятся новые ГОСТы на 2013-2014 годы
• «Техника защиты информации. Номенклатура показателей качества»
– Взамен текущего ГОСТ Р 52447-2005
• «Основные термины и определения»
– взамен текущей версии ГОСТ Р 50922-2006
• «Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения»
• «Требования по защите информации, обрабатываемой с использованием технологий «облачных вычислений». Общие положения»
• «Требования по защите информации в информационных системах, построенных с использованием суперкомпьютерных и грид – технологий»
• Ряд стандартов по информационным войнам
ДРУГОЕ
Что осталось за бортом?
• Новая редакций Гражданского Кодекса
(в части режима КТ)
• Универсальная электронная карта
• Принятие стандартов ISO (15408,
27005, 18045) в России
• ГОСТ по моделированию угроз для
операторов связи
• Государственные образовательные
стандарты по ИБ
– А также стандарт АП КИТ по
квалификациями специалистов по ИБ
• Концепция регулирования облачных
вычислений
• Стратегия кибербезопасности РФ
44
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 45
Благодарю вас
за внимание
