Embed Size (px)
DESCRIPTION
http://www.risc.today/
Citation preview
Что нас ждет в отечественном законодательстве по ИБ?
Лукацкий Алексей, консультант по безопасности
Куда движется законодательство?
ИБ Персональные данные
Критические инфраструктуры
Национальная платежная система
Государственные ИС
Субъекты Интернет-отношений
Облачные технологии
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Недавние и планируемые изменения по направлению ПДн
Что было
• Приказ ФСТЭК №21 по защите ПДн в ИСПДн
• Приказ об отмене «приказа трех» по классификации ИСПДн
• Приказ и методичка РКН по обезличиванию
• Новая версия стандарта Банка России (СТО БР ИББС)
• Закон 242-ФЗ о запрете хранения ПДн россиян за границей
• Письмо Банка России 42-Т
Что будет
• Проект приказа ФСБ по использованию СКЗИ для защиты ПДн
• Законопроект Совета Федерации по внесению изменений в ФЗ-152
• Законопроект по внесению изменений в КоАП
• Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн
• Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181)
Что рекомендует письмо 42-Т
• В целях снижения операционного, правового и репутационного рисков кредитным организациям целесообразно актуализировать внутренние документы, определяющие: – Порядок хранения и уничтожения документов, в том числе на бумажных носителях, содержащих персональные данные клиентов
– Персональную ответственность работников кредитных организаций, осуществляющих непосредственную обработку персональных данных, за сохранение и обеспечение конфиденциальности информации, образующейся в процессе обслуживания клиентов
– Условия, обеспечивающие конфиденциальность и сохранность материальных носителей персональных данных, исключающие несанкционированный доступ к ним с момента создания данных документов до истечения сроков их хранения и уничтожения
На что намекает письмо 42-Т
• Недостатки в деятельности, связанные с исполнением норм ФЗ-152 должны рассматриваться как негативный фактор при оценке качества управления кредитной организацией, в том числе при оценке организации системы внутреннего контроля в соответствии с положением 242-П
• Согласно ст.48 177-ФЗ от 23.12.2003 «О страховании вкладов физических лиц в банках Российской Федерации» такой недостаток может послужить причиной прекращения права банка на привлечение во вклады денежных средств физлиц и на открытие и ведение банковских счетов физлиц – По сути плохая обработка персональных данных может стать причиной невозможности заниматься основной деятельностью кредитной организации
Законопроект по штрафам
• В новом законопроекте меняется текст статьи 13.11, которая устанавливает два состава правонарушений – Нарушение требований к письменному согласию субъекта – Обработка ПДн без согласия или иных законных оснований
• Также вводится еще 3 новых статьи: – 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K) – 13.11.2 - непредоставление оператором информации и (или) доступа к сведениям, предусмотренным законодательством о ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в отношении обработки ПДн (<=40K)
– 13.11.3 - несоблюдение требований по обеспечению безопасности ПДн (<=200K)
Законопроект РГ Совета Федерации
• Вводится понятия «обработчика» • Защита ПДн в составе профессиональной тайны
– В соответствие с требованиями по защите тайны • Условия обработки ПДн обработчиком
– Наличие договора = согласие • Новые условия необеспечения конфиденциальности ПДн • Электронная, в т.ч. дистанционная форма согласия на обработку ПДн
• Биометрические ПДн – Только при автоматической идентификации субъекта
• Трансграничная обработка ПДн – Также при наличии договора – Не распространять требование за пределами РФ
Законопроект РГ Совета Федерации
• Государственные и муниципальные организации заменяются на организации, обрабатывающие ПДн в целях оказания государственных и муниципальных услуг
• Защита ПДн – Гармонизация формулировок
• Уведомление РКН – Гармонизация формулировок
• Возможность самостоятельной разработки модели угроз – До принятия соответствующих актов ФОИВами
Проект приказа ФСБ
• Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн
Проект приказа ФСБ
• Даны разъяснения (имеющие характер обязательных) положений ПП-1119 – Например, что такое «организация режима обеспечения безопасности помещений», «сохранность персональных данных», «электронный журнал сообщений» и т.п.
• Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными
• 8-й Центр сознательно или несознательно, но ограничил применение для защиты ПДн СКЗИ классом КС3 (!) и выше – Если вы считаете, что потенциальный нарушитель может получить доступ к средствам вычислительной техники, на которых установлены СКЗИ, то необходимо применять СКЗИ не ниже КС3
Проект приказа ФСБ
• Если вдуматься чуть глубже, то вы обязаны будете применять СКЗИ класса КВ1, если вы опасаетесь, что нарушитель может привлечь специалистов, имеющих опыт разработки и анализа СКЗИ – А сейчас нет ограничений на таких специалистов - криптографию преподают в 100 с лишним ВУЗах России
• СКЗИ КВ2 применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО – Прощай open source
• СКЗИ КА1 применяются, когда могут быть использованы недекларированные возможности в системном ПО
Соответствие уровней защищенности классам СКЗИ
Уровень защищенности
3-й тип угроз 2-й тип угроз 1-й тип угроз
4 КС1+ КС1+ КС1+
3 КС1+ КВ2+ -
2 КС1+ КВ2+
1 - КВ2+ КА1
• В зависимости от совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак СКЗИ подразделяются на классы
Проект приказа ФСБ
• Все помещения, в которых ведется обработка ПДн, должны по окончании рабочего дня не просто закрываться, а опечатываться (!) – Это минимум требований для 4-го уровня защищенности
• На 1-м уровне от вас потребуют на первых и последних этажах зданий установки решеток или ставень (!)
• Все носители персональных данных должна учитываться поэкземплярно
Что еще планируется
• Изменения в ФЗ «О лицензировании отдельных видов деятельности» (рабочая группа экспертного совета Минкомсвязи) – В части определения лицензий на ТЗКИ и шифрования – Введение термина «собственные нужды» – Замена термина «конфиденциальная информация»
• Уведомление оператором ПДн субъекта о несанкционированном доступе третьих лиц к ПДн субъекта – Поправки в ФЗ-152 и, возможно, КоАП
• Отраслевые модели угроз ПДн – Банка России (уже год ждет согласования с ФСБ) – для банков – Минкомсвязи – для операторов связи
Банковская модель угроз
• Проект Указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных»
• Согласована с ФСТЭК • Практически согласована с ФСБ
Закон о запрете хранения ПДн россиян за границей
• Реализация положения ФЗ-242 «о запрете хранения ПДн россиян за границей» – Запрет хранения – Наказание за нарушение – Выведение РКН из под действия
294-ФЗ • Вступает в силу с 1 сентября 2016 года
• Будут вноситься изменения – По части «независимого органа» – По части контроля/надзора – По части хранения за пределами РФ
Вы не забыли про Конвенцию?
• Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181)
• В 2015-м (возможно) будет принята новая редакция Евроконвенции – со всеми вытекающими
КРИТИЧЕСКИ ВАЖНЫЕ ОБЪЕКТЫ
Недавние и планируемые изменения по направлению КИИ/КСИИ/КВО/АСУ ТП
Что было
• Постановление Правительства №861 от 02.10.2013
• Приказ ФСТЭК №31 по защите АСУ ТП
Что будет
• Законопроект по безопасности критических информационных инфраструктур
• Законопроект о внесении изменений в связи с принятием закона о безопасности КИИ
• Подзаконные акты • Методические документы ФСТЭК
Новый приказ ФСТЭК №31
• «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» – Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений
Ключевые отличия требований по ИБ КСИИ и АСУ ТП
• Объект защиты • Классификация АСУ ТП / КСИИ • Уровень открытости циркулируемой в АСУ ТП / КСИИ информации
• Парадигма • Требования по защите • Требования по оценке соответствия • Участники процесса защиты информации
Меры по защите информации
• Организационные и технические меры защиты информации, реализуемые в АСУ ТП – идентификация и аутентификация субъектов доступа и объектов доступа
– управление доступом субъектов доступа к объектам доступа
– ограничение программной среды
– защита машинных носителей информации
– регистрация событий безопасности
– антивирусная защита
– обнаружение (предотвращение) вторжений
– контроль (анализ) защищенности – целостность АСУ ТП – доступность технических средств и информации – защита среды виртуализации
Меры по защите информации
• продолжение: – защита технических средств и оборудования – защита АСУ ТП и ее компонентов – безопасная разработка прикладного и специального программного обеспечения разработчиком
– управление обновлениями программного обеспечения – планирование мероприятий по обеспечению защиты информации – обеспечение действий в нештатных (непредвиденных) ситуациях – информирование и обучение пользователей – анализ угроз безопасности информации и рисков от их реализации
– выявление инцидентов и реагирование на них – управление конфигурацией информационной системы и ее системы защиты
Меры по защите информации: общее
Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
Меры по защите информации: различия
Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
ФСТЭК унифицирует требования по защите информации
Особенность Приказ по защите ПДн
Приказ по защите ГИС/МИС
Проект приказа по АСУ ТП
Требования по защите привязаны к
4 уровням защищенности ПДн
4 классам защищенности ГИС/МИС
3 классам защищенности АСУ ТП
Порядок в триаде КЦД КЦД ДЦК Возможность гибкого выбора защитных мер
Да Да Да
Проверка на отсутствие «закладок»
Требуется для угроз 1-2 типа (актуальность определяется заказчиком)
Требуется для 1-2 класса защищенности ГИС/МИС
Требуется только при выборе сертифицированных средств защиты
Но разница между требованиями ФСТЭК все-таки есть
Особенность Приказ по защите ПДн
Приказ по защите ГИС/МИС
Проект приказа по АСУ ТП
Оценка соответствия
В любой форме (нечеткость формулировки и непонятное ПП-330)
Только сертификация
В любой форме (в соответствии с ФЗ-184)
Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация
Обязательна Возможна, но не обязательна
Контроль и надзор
Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн)
ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)
Поправки в связи с принятием закона о безопасности КИИ
• Поправки в УК РФ и УПК РФ – Внесение изменений в статьи 272, 274, 151 (УПК)
• Поправки в закон «О государственной тайне» – Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени опасности
• Поправки в 294-ФЗ – Выведение из под порядка проведения проверок КИИ
• Поправки в 184-ФЗ – Исключение двойного регулирования
Что еще готовится в связи с законопроектом о безопасности КИИ?
• Определение ФОИВ, уполномоченного в области безопасности КИИ – Через 6 месяцев после принятия закона
• Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры» – Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ
• Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования и взаимодействия объектов КИИ»
• Приказ уполномоченного ФОИВ об утверждении требований по безопасности КИИ – Это не 31-й приказ!!!
Что еще готовится в связи с законопроектом о безопасности КИИ?
• Приказы уполномоченного ФОИВ об аккредитации, о представлении сведений для категорирования, о контроле/надзоре, о реестре объектов КИИ
• Приказ ФСБ об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на объектах КИИ
• Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА
• Приказ ФСБ о порядке доступа к информации в СОПКА • Приказ ФСБ об утверждении требований к техсредствам СОПКА • Приказ ФСБ об установке и эксплуатации техсредств СОПКА Приказ ФСБ о национальном CERT
• Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи
Планируемые методические документы ФСТЭК
• Применение «старых» документов ФСТЭК по КСИИ в качестве рекомендательных и методических – «Рекомендации…» и «Методика определения актуальных угроз…»
• Методичка по реагированию на инциденты (в разработке) • Методичка по анализу уязвимостей (в разработке) • Методичка по управлению конфигурацией (в разработке) • Методичка по аттестации (в разработке) • Методичка по мерам защиты в АСУ ТП (в разработке)
– По аналогии с «Мерами защиты в ГИС»
ГОСУДАРСТВЕННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ
Недавние и планируемые изменения по направлению ГИС
Что было
• Приказ ФСТЭК №17 по защите информации в ГИС
• Методический документ по мерам защиты информации в государственных информационных системах
Что будет
• Порядок моделирования угроз безопасности информации в информационных системах
• Новая редакция приказа №17 и «мер защиты в ГИС»
• Методические и руководящие документы ФСТЭК
• Законопроекты о запрете хостинга ГИС за пределами РФ, о служебной тайне, по импортозамещению…
Что еще планируется?
• Законопроект о запрете использования чиновниками и госслужащими несертифицированных мобильных устройств – Фактически эти нормы уже установлены действующими НПА
• Законопроект о запрете размещения сайтов государственных органов за пределами Российской Федерации – Фактически эти нормы уже установлены действующими НПА
• Законопроект о регулировании облачных вычислений – Установление особых требований по ИБ к облакам для госорганов
• Новая статья в КоАП за препятствование доступу к сайтам в Интернет (уже принято) – Из антитеррористического пакета законов
ФСТЭК планирует установить новые требования к средствам защиты
• ФСТЭК (2013-2015) – Требования к средствам доверенной загрузки – Требования к средствам контроля съемных носителей – Требования к средствам контроля утечек информации (DLP) – Требования к средствам аутентификации – Требования к средствам разграничения доступа – Требования к средствам контроля целостности – Требования к средствам очистки памяти – Требования к средствам ограничения программной среды – Требования к средствам управления потоками информации
(МСЭ, однонаправленные МСЭ, коммутаторы…) – Требования к средствам защиты виртуализации – ГОСТы по защите виртуализации и облачных вычислений
У ФСТЭК большие планы по регулированию госорганов и муниципалов
Планируемые методические документы ФСТЭК
• Порядок аттестации распределенных информационных систем • Порядок обновления программного обеспечения в аттестованных информационных системах
• Порядок выявления и устранения уязвимостей в информационных системах
• Порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации
• …
НАЦИОНАЛЬНАЯ ПЛАТЕЖНАЯ СИСТЕМА
Недавние и планируемые изменения по направлению НПС/банковской тайны
Что было
• 382-П (3007-У) • 2831-У (3024-У) • 55-Т • 42-Т • 49-Т • 242-П • СТО БР ИББС 1.0 и 1.2 • Отмена РС 2.3 и 2.4 • Принятие новых РС 2.5 и 2.6
Что будет
• Новая редакция 382-П • Новые РС • Требования для организаций финансового рынка (ФСФР)
• Банковский CERT • Отраслевая модель угроз ПДн
Планируемые изменения по направлению СТО БР ИББС
• Проекты новых РС – Проект РС по ресурсному обеспечению информационной безопасности
– Проект РС по виртуализации – Проект РС по предотвращению утечек информации
• Пересмотр «старых» документов СТО (возможно) – СТО 1.1, РС 2.0, 2.1 и 2.2
• Разработка новых РС (возможно) – Противодействие мошенничеству – Облачные технологии и аутсорсинг – Распределение ролей
41
ОПЕРАТОРЫ СВЯЗИ
Недавние и планируемые изменения по направлению ССОП
• Закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам регулирования отношений при использовании информационно-телекоммуникационной сети Интернет» и ФЗ-139 «О защите детей от негативной информации»
• Постановление Правительства №611 от 15.04.2013 «Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи РФ»
• Иных требований по информационной безопасности на операторов связи пока не планируется
• Все изменения касаются контроля Интернет – Антипиратский закон, контроль социальных сетей, Единая система аутентификации (ЕСИА), запрет анонимайзеров, регулирование Интернет-компаний как организаторов распространения информации, регулирование облачных вычислений и т.п.
В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ
Бешеный принтер
Что может повлиять на законодательное регулирование в худшую сторону?
Нас ждут непростой конец года и начало следующего!
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 48
Благодарю вас за внимание
