Upload
alexey-lukatsky
View
12.118
Download
6
Embed Size (px)
DESCRIPTION
Citation preview
Чего ждать от регуляторов в
ближайшее время?
Лукацкий Алексей, консультант по безопасности
Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность
ИТ» (ISO SC27 в
России)
«Защита
информации в
кредитных
учреждениях»
«Защита
информации»
при ФСТЭК
Разработка рекомендаций по ПДн,
СТО БР ИББС v4 и 382-П/2831-У
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза
документов Предложения
Экспертиза и
разработка
документов
Экспертиза и
разработка
документов
Консультативный
совет
Динамика принятия нормативных актов
0
1
2
3
4
5
6
7
8
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Базовая иерархия документов по ПДн
Приказы и иные документы
Постановления Правительства
Законы
Конвенции и иные международные договора
Европейская Конвенция
Европейская Конвенция
ФЗ №152 от 26.07.2006
ФЗ №160 от 19.12.2005
ФЗ №152 от 26.07.2006
ФЗ №160 от 19.12.2005
№1119 от 01.11.2012 №1119 от 01.11.2012
Приказ ФСТЭК №21 от
18.02.2013
Приказ ФСТЭК №21 от
18.02.2013
2 методички от ФСБ
2 методички от ФСБ
№687 от 15.09.2008 №687 от
15.09.2008 №512 от 6.07.2008 №512 от 6.07.2008
№221 от 21.03.2012 №221 от
21.03.2012 №940 от
18.09.2012 №940 от
18.09.2012
Директивы Евросоюза /
Европарламента
Рекомендации ОЭСР
Рекомендации АТЭС
Новый приказ ФСТЭК
• №21 от 18.02.2013
• Определяет состав и содержание
организационных и технических
мер
• Применяется для новых
(модернизируемых) ИСПДн
• Меры по защите ПДн в ГИС
принимаются в соответствии с
требованиями о защите
информации, содержащейся в
ГИС («новый СТР-К»)
Планируемые изменения
• Законопроект по внесению изменений в законодательные акты в
связи с принятием ФЗ-160 и ФЗ-152
• Законопроект «О внесении изменений в
статью 857 части второй ГК РФ, статью 26 ФЗ «О банках и
банковской деятельности» и ФЗ «О персональных данных»
• Проект изменений в ФЗ-152
• Законопроект по внесению изменений в КоАП (в части
увеличения штрафов по ст.13.11)
• Проект методических рекомендаций РКН по обезличиванию
• Проект приказа РКН по странам, обеспечивающим адекватную
защиту прав субъектов
• Проект приказа ФСБ по ПДн
• Проект Постановления Правительства по надзору в сфере ПДн
• Указание Банка России с отраслевой моделью угроз
Законопроект по внесению изменений в законодательные
акты в связи с принятием ФЗ-160 и ФЗ-152
• Проект федерального закона «О внесении изменений в
некоторые законодательные акты Российской Федерации в связи
с принятием ФЗ «О ратификации Конвенции Совета Европы о
защите физических лиц при автоматизированной обработке
персональных данных» и ФЗ «О персональных данных» внесён
Правительством Российской Федерации
– Законопроект подготовлен во исполнение Россией обязательства
по статье 4 Конвенции Совета Европы о защите физических лиц
при автоматизированной обработке персональных данных,
предусматривающей принятие каждой стороной необходимых
мер в рамках своего национального законодательства с целью
ввести в действие основополагающие принципы защиты данных
не позднее момента вступления Конвенции в отношении неё в
силу
– Законопроект принят Госдумой в первом чтении 25 ноября 2005
года
Законопроект по внесению изменений в законодательные
акты в связи с принятием ФЗ-160 и ФЗ-152
• Правки вносятся в
– ФЗ «Об образовании»
– ФЗ «О прокуратуре»
– ФЗ «Об оперативно-розыскной деятельности»
– ФЗ «Об актах гражданского состояния»
– ФЗ «О негосударственных пенсионных фондах»
– ФЗ «О государственной дактилоскопической регистрации»
– ФЗ «О государственной социальной помощи»
– ФЗ «О государственном банке данных о детях, оставшихся без
попечения родителей»
– Трудовой Кодекс
– ФЗ «Об обязательном страховании гражданской ответственности
владельцев транспортных средств»
– Гражданский процессуальный кодекс Российской Федерации
Законопроект по внесению изменений в законодательные
акты в связи с принятием ФЗ-160 и ФЗ-152
• Правки вносятся в
– ФЗ «О системе государственной службы»
– ФЗ «О связи»
– ФЗ «О лотереях»
– ФЗ «О государственной гражданской службе»
– ФЗ «О муниципальной службе»
– ФЗ «Об образовании в Российской Федерации»
Законопроект Аксакова
• Законопроектом предлагается внести в пункт 2 статьи 857
Гражданского кодекса Российской Федерации, статью 26
федерального закона «О банках и банковской деятельности» и
статьи 3 и 6 федерального закона «О персональных данных»
изменения, расширяющие круг субъектов, которым могут быть
предоставлены сведения, составляющие банковскую тайну
• В соответствии с законопроектом сведения, составляющие
банковскую тайну, могут предоставляться по поручению клиента
абсолютно всем третьим лицам
• Отзыв Правительства – негативный
• Первое чтение в Госдуме – в ноябре 2013 года
Рост штрафов за невыполнение ФЗ-152
10000 руб.
1000000 руб.
2% от дохода
Выручка за год
700000 руб.
• 4 состава правонарушения
• Увеличение суммы штрафа
• Рост срока давности
• Переход полномочий от прокуратуры к
РКН
Новые составы правонарушений
• Невыполнение оператором обязанностей, предусмотренных
законодательством в области ПДн
– Законодательство – это не только ФЗ-152
– РКН настаивает только на ст.18 и 18.1
– Штраф – до 30 000 рублей
• Обработка ПДн без согласия (ст.13.11.1)
– Просто – до 50 000 рублей
– С доходом – сумма выручки за год, но не менее 500 000 рублей
– С вредом жизни и здоровью – до 600 000 рублей
– Рецидив – до 700 000 рублей
Новые составы правонарушений
• Обработка спецкатегорий ПДн в случаях, не предусмотренных
законом
– Просто – до 500 000 рублей
– С вредом жизни и здоровью – до 700 000 рублей
– Рецидив – до 700 000 рублей
• Несоблюдение условий трансграничной передачи ПДн
– Просто – до 30 000 рублей
– Повлекшее НСД – до 700 000 рублей
– Рецидив – до 700 000 рублей
Что еще внесут в Госдуму
• Срок давности (ст.4.5 КоАП) увеличивается с 3-х месяцев до 1
года
– МВД было против
• Полномочия прокуратуры по возбуждению дела по 13.11 уходят в
РКН
– Прокуратура не против
Проект нового Постановления Правительства о надзоре
• Госконтроль включает в себя
– Мониторинг деятельности, направленный на предупреждение,
выявление и пресечение нарушений
– Действие данного Положения не распространяется на
деятельность по осуществлению контроля и надзора за
выполнением организационных и технических мер по
обеспечению безопасности персональных данных,
установленных в соответствие со статьей 19 Федерального
закона "О персональных данных"
• Проект Постановления Правительства «Об утверждении
Положения о государственном контроле и надзоре за
соответствием обработки персональных данных требованиям
законодательства Российской Федерации в области
персональных данных»
Проект приказа ФСБ
• Настоящий документ устанавливает
состав и содержание необходимых
для выполнения установленных
Правительством Российской
Федерации требований к защите ПДн
для каждого из уровней защищенности
организационных и технических мер
по обеспечению безопасности ПДн
при их обработке в ИСПДн
• Оргмеры похожи на 152-й приказ
ФАПСИ («розовую инструкцию»)
Когда должны применяться СКЗИ
• Криптографическая защита персональных данных
обеспечивается в следующих случаях
– если персональные данные подлежат криптографической защите
в соответствии с федеральными законами и принимаемыми в
соответствии с ними нормативными правовыми актами
– если для информационной системы персональных данных
выявлены угрозы, которые могут быть нейтрализованы только с
помощью СКЗИ
• В остальных случаях решение о необходимости обеспечения
криптографической защиты ПДн может быть принято оператором
на основании технико-экономического сравнения альтернативных
вариантов обеспечения безопасности ПДн
От модели нарушителя к типам угроз и классам СКЗИ
КН1 • Н1-Н3 • Н1-Н3
КН2 • Н4-Н5 • Н4-Н5
КН3 • Н6 • Н6 1 тип
2 тип
3 тип
Категории нарушителей
Типы угроз
Проект методических рекомендаций РКН по
обезличиванию
• Введение идентификаторов
• Изменение состава или
семантики
• Декомпозиция
• Перемешивание
• Криптографическое
преобразование
Что планирует РКН?
• 4 критерия отнесения к «адекватным» странам (помимо
ратификации Конвенции)
– Наличие национального законодательства
– Наличие санкций и средств правовой защиты
– Наличие уполномоченного органа по защите прав субъектов
– Наличие фактов утечек ПДн
– Оказание содействия в пресечении незаконной деятельности
Список адекватных стран
• Австралия
• Аргентина
• Канада
• Марокко
• Малайзия
• Мексика
• Монголия
• Новая Зеландия
• Ангола
• Бенин
• Кабо-Верде
• Корея
• Перу
• Сенегал
• Чили
• Гонконг
• Швейцария
• Ратификаторы Конвенции -
Австрия, Бельгия, Болгария,
Дания, Великобритания,
Венгрия, Германия, Греция,
Ирландия, Испания, Италия,
Латвия, Литва, Люксембург,
Мальта, Нидерланды, Польша,
Португалия, Румыния,
Словакия, Словения,
Финляндия, Франция, Чехия,
Швеция, Эстония
Что планирует Банк России?
• Проект Указания Банка России «Об
определении угроз безопасности
персональных данных, актуальных
при обработке персональных
данных в информационных
системах персональных данных»
НАЦИОНАЛЬНАЯ
ПЛАТЕЖНАЯ СИСТЕМА
Структура основных нормативно-правовых актов по ИБ в
НПС
Рекомендации
АРБ и НПС по
реагированию
на инциденты
Мы только в начале пути регулирования НПС
• Платежные карты
• Мобильные и
мгновенные
платежи
• Системы ДБО
• Банкоматы и ККТ
• Небанковские
организации
• Разработчики
платежных
приложений
Письмо 34-Т от 01.03.2013
• О рекомендациях по повышению
уровня безопасности банкоматов и
платежных терминалов
• Классификация мест установки по
степени риска, в т.ч. и подвергнуться
воздействию вредоносного кода, а
также совершения
несанкционированных операций
• Пересмотр классификации по мере
развития технологий атак
• Оснащение специальным ПО для
выявления и предотвращения атак
• Регулярный контроль действия
обслуживающих организаций
Письмо 34-Т от 01.03.2013 (окончание)
• Использование систем удаленного мониторинга состояния
банкомата или терминала
• 2 видеокамеры и хранение видеозаписей не менее 60 дней
• Обнаружение, фиксация атак и их попыток и информирование о
них заинтересованных участников рынка розничных платежных
услуг и Банка России
• Анализ и выявление уязвимостей после атак или попыток их
совершения
• Совершенствование системы защиты
• Обмен информацией с другими кредитными организациями
• Размещение на устройстве рекомендаций по защите PIN
• + требования по физической безопасности банкоматов и
платежных терминалов
Новая форма отчетности грядет с 1 апреля 2013 года
• Указание 2926-У от 03.12.2013 «О внесении изменений в Указание
Банка России от 12 ноября 2009 года № 2332-У «О перечне,
формах и порядке составления и представления форм отчетности
кредитных организаций в Центральный банк Российской
Федерации» вводит новые формы отчетности
– Форма отчетности 0409258 «Сведения о несанкционированных
операциях, совершенных с использованием платежных карт» и
порядок составления и представления отчетности по форме
0409258
Планы по развитию 382-П
• Доработки 382-П
– Устраняются технические погрешности
– Устанавливаются сроки и требования по хранению информации,
требуемой правоохранительным органам
– Уточняются требования к аудиторам и оценщикам 382-П
• Разработан проект методики для надзора ЦБ по проверке 382-П
• Разработана методика пересчета показателей 382-П к
показателям, используемым в надзорной деятельности Банка
России
Планы по развитию 203-й формы отчетности
• Будет меняться отчетность по инцидентам
– Разделение на инциденты отчетного и предыдущих отчетных
периодов
– Будут запрашиваться инциденты, зарегистрированные ОПДС, его
клиентами и БПА
– Будет детализация классификации инцидентов
– Введение суммы похищенных и намеченных к хищению средств
– Детализация мест совершения инцидента (до 2-х десятков)
– Подробное описание инцидентов (названия ПО, названия СЗИ,
имена операторов связи, названия АБС, названия сетевого
оборудования и т.д.)
– Указание причин возникновения инцидентов
– Уточнение вопросов взаимодействия с правоохранительными
органами
Что думает Банк России о PCI DSS?
• Какова судьба PCI DSS в контексте 382-П и СТО БР ИББС?
– PCI DSS включат в состав СТО БР ИББС?
– На базе PCI DSS будут создавать собственные нормативы?
• Банк России (через НП АБИСС) осуществил перевод 10
документов PCI DSS 2.0 для их анализа в ПК1 ТК122 и их
возможного последующего использования в рамках НПС. Цели:
– аутентичный перевод на русский язык PCI DSS и сопутствующих
документов, официально признаваемый PCI Council
– размещение перевода и поддержка его в актуальном состоянии
при изменений версий стандарта PCI DSS на сайте PCI Council
– использование перевода для более эффективного внедрения
PCI DSS в РФ для участников международных платежных систем
– использование перевода как основы для разработки Банком
России национальных требований и рекомендаций к индустрии
платежных карт
Новые РС в рамках СТО БР ИББС
• Готовится новая РС «Ресурсное обеспечение информационной
безопасности»
– Как объяснить руководству/акционерам, зачем нужна ИБ и
сколько тратить?
• Готовится новая РС «Требования к банковским приложениям и
разработчикам банковских приложений»
– Минимальный набор требований к приложениям
• Готовится новая РС «Управление инцидентами информационной
безопасности»
– Не просто реагирование, а весь жизненный цикл инцидента
– Дополнит методичку АРБ и НПС
• А также документы по защите ДБО, электронных средств платежа
и различных форм денежных переводов
Планы развития СТО в части ПДн
• Разработан проект отраслевой модели актуальных угроз
безопасности персональных данных
– Для этого планируется организовать работу с банковским
экспертным сообществом, провести согласование модели угроз с
ФСТЭК России и ФСБ России и ввести модель в действие
нормативным актом Банка России
• После ввода в действие документов регуляторов в области
обеспечения безопасности персональных данных провести
актуализацию РС 2.3
• Провести работу по переподписанию Письма-обращения в
кредитные организации об использовании организациями
банковской системы Российской Федерации документов
Комплекса для выполнения законодательства в области
персональных данных (переподписание «Письма шестерых»)
34
СТО БР ИББС в дальней перспективе
• Требования по облакам и виртуализации
• Требования по мобильному доступу
• Требования к DLP с банковской спецификой
• Пересмотр методики оценки в СТО БР ИББС
• Кросс-отраслевые стандарты с операторами связи по
формированию «пространства доверия»
35
Единое пространство доверия с операторами связи
• Инфраструктура многих операторов связи используется при
оказании услуг по переводу денежных средств (как минимум,
ДБО)
• Минкомсвязь совместно с Банком России решило вернуться к
теме «Базового уровня информационной безопасности
операторов связи» (он же рекомендации ITU-T X.sbno) и сделать
именно эти требования (с некоторыми доработками) условием
подключения (выбора) банков к инфраструктуре оператора связи
• При этом Банком России будут разработаны рекомендации по
выбору именно тех операторов, которые прошли процедуру
добровольной сертификации на соответствие «базовому уровню»
36
ГОСУДАРСТВЕННЫЕ
ИНФОРМАЦИОННЫЕ
РЕСУРСЫ
«Новый СТР-К»
• Приказ ФСТЭК №17 от 12.02.2013 «Об
утверждении Требований о защите
информации, не составляющей
государственную тайну, содержащейся в
государственных информационных
системах»
• Для защиты информации во вновь
создаваемых или модернизируемых
государственных информационных
системах
– «Старые» автоматизированные
системы будут «жить» по СТР-К
Жизненный цикл защиты государственных
информационных систем
• Организация защиты информации, содержащейся в
информационной системе, включает:
– формирование требований к системе защиты информации
информационной системы
– разработку системы защиты информации информационной
системы
– реализацию системы защиты информации информационной
системы
– аттестацию информационной системы на соответствие
требованиям о защите информации и ввод ее в действие
– эксплуатацию системы защиты информации информационной
системы
– защиту информации при выводе из эксплуатации
информационной системы или после окончания обработки
информации конфиденциального характера
Как определяются требования по защите?
• Требования к системе защиты информации информационной
системы определяются в зависимости от
– класса защищенности информационной системы
– актуальных угроз безопасности информации, установленных в
модели угроз безопасности информации
• Приказ вводит 4 класса защищенности и определяет методику их
выбора
• Модель угроз безопасности информации должна содержать
описание структурно-функциональных характеристик
информационной системы и актуальных угроз безопасности
информации
– Моделирование угроз осуществляется на основе
разрабатываемых методических документах ФСТЭК
– Предполагается, что данная методика будет единой для ПДн и
ГИС
Меры по защите информации
• Идентификация и аутентификация субъектов доступа и объектов
доступа
• Управление доступом субъектов доступа к объектам доступа
• Ограничение программной среды
• Защита машинных носителей информации, на которых хранятся
и (или) обрабатываются персональные данные
• Регистрация событий безопасности
• Антивирусная защита
• Обнаружение (предотвращение) вторжений
• Контроль (анализ) защищенности персональных данных
• Обеспечение целостности информационной системы и
персональных данных
• Обеспечение доступности персональных данных
Меры по защите информации
• Защита среды виртуализации
• Защита технических средств
• Защита информационной системы, ее средств, систем связи и
передачи данных
• Выявление инцидентов (одного события или группы событий),
которые могут привести к сбоям или нарушению
функционирования информационной системы и (или) к
возникновению угроз безопасности персональных данных, и
реагирование на них
• Управление конфигурацией информационной системы и системы
защиты персональных данных
КРИТИЧЕСКИ ВАЖНЫЕ
ОБЪЕКТЫ
Как регулируется ИБ в КВО?
Безопасность ТЭК
• 21 июля 2011 года Президент РФ подписал Федеральный Закон
«О безопасности объектов топливно-энергетического комплекса»,
а также Федеральный закон «О внесении изменений в отдельные
законодательные акты Российской Федерации в части
обеспечения безопасности объектов топливно-энергетического
комплекса»
• Статья 11 «Обеспечение безопасности информационных систем
объектов топливно-энергетического комплекса»
– Требования и состав комплекса защитных мер пока не
определены
• В проекте постановления Правительства Российской Федерации
«Об утверждении требований обеспечения безопасности
объектов топливно-энергетического комплекса и требований
антитеррористической защищенности объектов топливно-
энергетического комплекса» ИБ не прописана, но… см. дальше
Мнение Минэнерго
• Три Постановления Правительства от 5 мая 2012 года
– № 458 «Об утверждении Правил по обеспечению безопасности и
антитеррористической защищенности объектов топливно-
энергетического комплекса»
– № 459 «Об утверждении Положения об исходных данных для
проведения категорирования объекта топливно-энергетического
комплекса, порядке его проведения и критериях
категорирования»
– № 460 «Об утверждении Правил актуализации паспорта
безопасности объекта топливно-энергетического комплекса»
• Позиция Минэнерго - т.к. в ст.11 ФЗ-256 «О безопасности
объектов ТЭК» нет требования разработать Постановление
Правительства, то и требования по защите можно использовать
текущие (от ФСТЭК и ФСБ)
Безопасность критически важных объектов
• Основные направления государственной политики в области
обеспечения безопасности автоматизированных систем
управления производственными и технологическими процессами
критически важных объектов инфраструктуры Российской
Федерации
– 4 июля 2012 года
– Разработаны в целях реализации основных положений
Стратегии национальной безопасности Российской Федерации
до 2020 года
• Включают
– Требования к разработчикам АСУ ТП
– Единая гос.система обнаружения и предотвращения атак
– Промышленная и научно-техническая политика,
фундаментальная и прикладная наука и повышение
квалификации кадров
А что дальше или Указ Президента 31с
• 28.12.2012 – встреча Президента с офицерами, назначенными на
высшие командные должности
– Говорит о защите стратегической инфраструктуры
• 29.12.2012 - Указ Президента №1711 об изменении состава
Межведомственной комиссии Совета Безопасности РФ по
информационной безопасности
– Добавление в комиссию представителей стратегических КВО
• 15.01.2013 - Указ Президента №31с «О создании государственной
системы обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные ресурсы
РФ»
– Создание данной системы, разработка методики обнаружения
атак, обмен информацией между госорганами об инцидентах ИБ,
оценка степени защищенности критической информационной
инфраструктуры
ФСТЭК
Готовятся новые РД ФСТЭК
• Требования к DLP-системам
• Требования к средствам доверенной загрузки
• Требования к средствам двухфакторной аутентификации
• Требования к средствам контроля съемных носителей
информации
• Требования по защите беспроводного и удаленного доступа
• Идет работа с ФСБ и Минкомсвязи по определению границ сетей
организаций и операторов связи с целью разделения
ответственности и формированию единого пространства доверия
• Новое положение о сертификации средств защиты информации
• Рекомендации по обновлению сертифицированных средств
защиты информации
Готовятся новые ГОСТы на 2013-2014 годы
• «Уязвимости информационных систем. Классификация
уязвимостей информационных систем»
• «Уязвимости информационных систем. Правила описания
уязвимостей»
• «Уязвимости информационных систем. Содержание и порядок
выполнения работ по выявлению и оценке уязвимостей
информационных систем»
• «Порядок создания автоматизированных систем в защищенном
исполнении. Общие положения»
– Взамен текущей версии ГОСТ 51583-2000
• «Документация по технической защите информации на объекте
информатизации. Общие положения»
• «Информационные системы и объекты информатизации. Угрозы
безопасности информации. Общие положения»
Готовятся новые ГОСТы на 2013-2014 годы
• «Техника защиты информации. Номенклатура показателей качества»
– Взамен текущего ГОСТ Р 52447-2005
• «Основные термины и определения»
– взамен текущей версии ГОСТ Р 50922-2006
• «Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения»
• «Требования по защите информации, обрабатываемой с использованием технологий «облачных вычислений». Общие положения»
• «Требования по защите информации в информационных системах, построенных с использованием суперкомпьютерных и грид – технологий»
• Ряд стандартов по информационным войнам
ДРУГОЕ
Что осталось за бортом?
• Новая редакций Гражданского Кодекса
(в части режима КТ)
• Универсальная электронная карта
• Принятие стандартов ISO (15408,
27005, 18045) в России
• ГОСТ по моделированию угроз для
операторов связи
• Государственные образовательные
стандарты по ИБ
– А также стандарт АП КИТ по
квалификациями специалистов по ИБ
• Стратегия кибербезопасности РФ
• Основные направления по
формированию культуры ИБ в РФ
54
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 55
Благодарю вас
за внимание