Чего ждать от регуляторов в

ближайшее время?

Лукацкий Алексей, консультант по безопасности

Почему Cisco говорит о законодательстве?

ТК22 ТК122 ТК362 РГ ЦБ

«Безопасность

ИТ» (ISO SC27 в

России)

«Защита

информации в

кредитных

учреждениях»

«Защита

информации»

при ФСТЭК

Разработка рекомендаций по ПДн,

СТО БР ИББС v4 и 382-П/2831-У

ФСБ МКС ФСТЭК РАЭК РКН

Экспертиза

документов Предложения

Экспертиза и

разработка

документов

Экспертиза и

разработка

документов

Консультативный

совет

Динамика принятия нормативных актов

0

1

2

3

4

5

6

7

8

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Базовая иерархия документов по ПДн

Приказы и иные документы

Постановления Правительства

Законы

Конвенции и иные международные договора

Европейская Конвенция

Европейская Конвенция

ФЗ №152 от 26.07.2006

ФЗ №160 от 19.12.2005

ФЗ №152 от 26.07.2006

ФЗ №160 от 19.12.2005

№1119 от 01.11.2012 №1119 от 01.11.2012

Приказ ФСТЭК №21 от

18.02.2013

Приказ ФСТЭК №21 от

18.02.2013

2 методички от ФСБ

2 методички от ФСБ

№687 от 15.09.2008 №687 от

15.09.2008 №512 от 6.07.2008 №512 от 6.07.2008

№221 от 21.03.2012 №221 от

21.03.2012 №940 от

18.09.2012 №940 от

18.09.2012

Директивы Евросоюза /

Европарламента

Рекомендации ОЭСР

Рекомендации АТЭС

Новый приказ ФСТЭК

• №21 от 18.02.2013

• Определяет состав и содержание

организационных и технических

мер

• Применяется для новых

(модернизируемых) ИСПДн

• Меры по защите ПДн в ГИС

принимаются в соответствии с

требованиями о защите

информации, содержащейся в

ГИС («новый СТР-К»)

Планируемые изменения

• Законопроект по внесению изменений в законодательные акты в

связи с принятием ФЗ-160 и ФЗ-152

• Законопроект «О внесении изменений в

статью 857 части второй ГК РФ, статью 26 ФЗ «О банках и

банковской деятельности» и ФЗ «О персональных данных»

• Проект изменений в ФЗ-152

• Законопроект по внесению изменений в КоАП (в части

увеличения штрафов по ст.13.11)

• Проект методических рекомендаций РКН по обезличиванию

• Проект приказа РКН по странам, обеспечивающим адекватную

защиту прав субъектов

• Проект приказа ФСБ по ПДн

• Проект Постановления Правительства по надзору в сфере ПДн

• Указание Банка России с отраслевой моделью угроз

Законопроект по внесению изменений в законодательные

акты в связи с принятием ФЗ-160 и ФЗ-152

• Проект федерального закона «О внесении изменений в

некоторые законодательные акты Российской Федерации в связи

с принятием ФЗ «О ратификации Конвенции Совета Европы о

защите физических лиц при автоматизированной обработке

персональных данных» и ФЗ «О персональных данных» внесён

Правительством Российской Федерации

– Законопроект подготовлен во исполнение Россией обязательства

по статье 4 Конвенции Совета Европы о защите физических лиц

при автоматизированной обработке персональных данных,

предусматривающей принятие каждой стороной необходимых

мер в рамках своего национального законодательства с целью

ввести в действие основополагающие принципы защиты данных

не позднее момента вступления Конвенции в отношении неё в

силу

– Законопроект принят Госдумой в первом чтении 25 ноября 2005

года

Законопроект по внесению изменений в законодательные

акты в связи с принятием ФЗ-160 и ФЗ-152

• Правки вносятся в

– ФЗ «Об образовании»

– ФЗ «О прокуратуре»

– ФЗ «Об оперативно-розыскной деятельности»

– ФЗ «Об актах гражданского состояния»

– ФЗ «О негосударственных пенсионных фондах»

– ФЗ «О государственной дактилоскопической регистрации»

– ФЗ «О государственной социальной помощи»

– ФЗ «О государственном банке данных о детях, оставшихся без

попечения родителей»

– Трудовой Кодекс

– ФЗ «Об обязательном страховании гражданской ответственности

владельцев транспортных средств»

– Гражданский процессуальный кодекс Российской Федерации

Законопроект по внесению изменений в законодательные

акты в связи с принятием ФЗ-160 и ФЗ-152

• Правки вносятся в

– ФЗ «О системе государственной службы»

– ФЗ «О связи»

– ФЗ «О лотереях»

– ФЗ «О государственной гражданской службе»

– ФЗ «О муниципальной службе»

– ФЗ «Об образовании в Российской Федерации»

Законопроект Аксакова

• Законопроектом предлагается внести в пункт 2 статьи 857

Гражданского кодекса Российской Федерации, статью 26

федерального закона «О банках и банковской деятельности» и

статьи 3 и 6 федерального закона «О персональных данных»

изменения, расширяющие круг субъектов, которым могут быть

предоставлены сведения, составляющие банковскую тайну

• В соответствии с законопроектом сведения, составляющие

банковскую тайну, могут предоставляться по поручению клиента

абсолютно всем третьим лицам

• Отзыв Правительства – негативный

• Первое чтение в Госдуме – в ноябре 2013 года

Рост штрафов за невыполнение ФЗ-152

10000 руб.

1000000 руб.

2% от дохода

Выручка за год

700000 руб.

• 4 состава правонарушения

• Увеличение суммы штрафа

• Рост срока давности

• Переход полномочий от прокуратуры к

РКН

Новые составы правонарушений

• Невыполнение оператором обязанностей, предусмотренных

законодательством в области ПДн

– Законодательство – это не только ФЗ-152

– РКН настаивает только на ст.18 и 18.1

– Штраф – до 30 000 рублей

• Обработка ПДн без согласия (ст.13.11.1)

– Просто – до 50 000 рублей

– С доходом – сумма выручки за год, но не менее 500 000 рублей

– С вредом жизни и здоровью – до 600 000 рублей

– Рецидив – до 700 000 рублей

Новые составы правонарушений

• Обработка спецкатегорий ПДн в случаях, не предусмотренных

законом

– Просто – до 500 000 рублей

– С вредом жизни и здоровью – до 700 000 рублей

– Рецидив – до 700 000 рублей

• Несоблюдение условий трансграничной передачи ПДн

– Просто – до 30 000 рублей

– Повлекшее НСД – до 700 000 рублей

– Рецидив – до 700 000 рублей

Что еще внесут в Госдуму

• Срок давности (ст.4.5 КоАП) увеличивается с 3-х месяцев до 1

года

– МВД было против

• Полномочия прокуратуры по возбуждению дела по 13.11 уходят в

РКН

– Прокуратура не против

Проект нового Постановления Правительства о надзоре

• Госконтроль включает в себя

– Мониторинг деятельности, направленный на предупреждение,

выявление и пресечение нарушений

– Действие данного Положения не распространяется на

деятельность по осуществлению контроля и надзора за

выполнением организационных и технических мер по

обеспечению безопасности персональных данных,

установленных в соответствие со статьей 19 Федерального

закона "О персональных данных"

• Проект Постановления Правительства «Об утверждении

Положения о государственном контроле и надзоре за

соответствием обработки персональных данных требованиям

законодательства Российской Федерации в области

персональных данных»

Проект приказа ФСБ

• Настоящий документ устанавливает

состав и содержание необходимых

для выполнения установленных

Правительством Российской

Федерации требований к защите ПДн

для каждого из уровней защищенности

организационных и технических мер

по обеспечению безопасности ПДн

при их обработке в ИСПДн

• Оргмеры похожи на 152-й приказ

ФАПСИ («розовую инструкцию»)

Когда должны применяться СКЗИ

• Криптографическая защита персональных данных

обеспечивается в следующих случаях

– если персональные данные подлежат криптографической защите

в соответствии с федеральными законами и принимаемыми в

соответствии с ними нормативными правовыми актами

– если для информационной системы персональных данных

выявлены угрозы, которые могут быть нейтрализованы только с

помощью СКЗИ

• В остальных случаях решение о необходимости обеспечения

криптографической защиты ПДн может быть принято оператором

на основании технико-экономического сравнения альтернативных

вариантов обеспечения безопасности ПДн

От модели нарушителя к типам угроз и классам СКЗИ

КН1 • Н1-Н3 • Н1-Н3

КН2 • Н4-Н5 • Н4-Н5

КН3 • Н6 • Н6 1 тип

2 тип

3 тип

Категории нарушителей

Типы угроз

Проект методических рекомендаций РКН по

обезличиванию

• Введение идентификаторов

• Изменение состава или

семантики

• Декомпозиция

• Перемешивание

• Криптографическое

преобразование

Что планирует РКН?

• 4 критерия отнесения к «адекватным» странам (помимо

ратификации Конвенции)

– Наличие национального законодательства

– Наличие санкций и средств правовой защиты

– Наличие уполномоченного органа по защите прав субъектов

– Наличие фактов утечек ПДн

– Оказание содействия в пресечении незаконной деятельности

Список адекватных стран

• Австралия

• Аргентина

• Канада

• Марокко

• Малайзия

• Мексика

• Монголия

• Новая Зеландия

• Ангола

• Бенин

• Кабо-Верде

• Корея

• Перу

• Сенегал

• Чили

• Гонконг

• Швейцария

• Ратификаторы Конвенции -

Австрия, Бельгия, Болгария,

Дания, Великобритания,

Венгрия, Германия, Греция,

Ирландия, Испания, Италия,

Латвия, Литва, Люксембург,

Мальта, Нидерланды, Польша,

Португалия, Румыния,

Словакия, Словения,

Финляндия, Франция, Чехия,

Швеция, Эстония

Что планирует Банк России?

• Проект Указания Банка России «Об

определении угроз безопасности

персональных данных, актуальных

при обработке персональных

данных в информационных

системах персональных данных»

НАЦИОНАЛЬНАЯ

ПЛАТЕЖНАЯ СИСТЕМА

Структура основных нормативно-правовых актов по ИБ в

НПС

Рекомендации

АРБ и НПС по

реагированию

на инциденты

Мы только в начале пути регулирования НПС

• Платежные карты

• Мобильные и

мгновенные

платежи

• Системы ДБО

• Банкоматы и ККТ

• Небанковские

организации

• Разработчики

платежных

приложений

Письмо 34-Т от 01.03.2013

• О рекомендациях по повышению

уровня безопасности банкоматов и

платежных терминалов

• Классификация мест установки по

степени риска, в т.ч. и подвергнуться

воздействию вредоносного кода, а

также совершения

несанкционированных операций

• Пересмотр классификации по мере

развития технологий атак

• Оснащение специальным ПО для

выявления и предотвращения атак

• Регулярный контроль действия

обслуживающих организаций

Письмо 34-Т от 01.03.2013 (окончание)

• Использование систем удаленного мониторинга состояния

банкомата или терминала

• 2 видеокамеры и хранение видеозаписей не менее 60 дней

• Обнаружение, фиксация атак и их попыток и информирование о

них заинтересованных участников рынка розничных платежных

услуг и Банка России

• Анализ и выявление уязвимостей после атак или попыток их

совершения

• Совершенствование системы защиты

• Обмен информацией с другими кредитными организациями

• Размещение на устройстве рекомендаций по защите PIN

• + требования по физической безопасности банкоматов и

платежных терминалов

Новая форма отчетности грядет с 1 апреля 2013 года

• Указание 2926-У от 03.12.2013 «О внесении изменений в Указание

Банка России от 12 ноября 2009 года № 2332-У «О перечне,

формах и порядке составления и представления форм отчетности

кредитных организаций в Центральный банк Российской

Федерации» вводит новые формы отчетности

– Форма отчетности 0409258 «Сведения о несанкционированных

операциях, совершенных с использованием платежных карт» и

порядок составления и представления отчетности по форме

0409258

Планы по развитию 382-П

• Доработки 382-П

– Устраняются технические погрешности

– Устанавливаются сроки и требования по хранению информации,

требуемой правоохранительным органам

– Уточняются требования к аудиторам и оценщикам 382-П

• Разработан проект методики для надзора ЦБ по проверке 382-П

• Разработана методика пересчета показателей 382-П к

показателям, используемым в надзорной деятельности Банка

России

Планы по развитию 203-й формы отчетности

• Будет меняться отчетность по инцидентам

– Разделение на инциденты отчетного и предыдущих отчетных

периодов

– Будут запрашиваться инциденты, зарегистрированные ОПДС, его

клиентами и БПА

– Будет детализация классификации инцидентов

– Введение суммы похищенных и намеченных к хищению средств

– Детализация мест совершения инцидента (до 2-х десятков)

– Подробное описание инцидентов (названия ПО, названия СЗИ,

имена операторов связи, названия АБС, названия сетевого

оборудования и т.д.)

– Указание причин возникновения инцидентов

– Уточнение вопросов взаимодействия с правоохранительными

органами

Что думает Банк России о PCI DSS?

• Какова судьба PCI DSS в контексте 382-П и СТО БР ИББС?

– PCI DSS включат в состав СТО БР ИББС?

– На базе PCI DSS будут создавать собственные нормативы?

• Банк России (через НП АБИСС) осуществил перевод 10

документов PCI DSS 2.0 для их анализа в ПК1 ТК122 и их

возможного последующего использования в рамках НПС. Цели:

– аутентичный перевод на русский язык PCI DSS и сопутствующих

документов, официально признаваемый PCI Council

– размещение перевода и поддержка его в актуальном состоянии

при изменений версий стандарта PCI DSS на сайте PCI Council

– использование перевода для более эффективного внедрения

PCI DSS в РФ для участников международных платежных систем

– использование перевода как основы для разработки Банком

России национальных требований и рекомендаций к индустрии

платежных карт

Новые РС в рамках СТО БР ИББС

• Готовится новая РС «Ресурсное обеспечение информационной

безопасности»

– Как объяснить руководству/акционерам, зачем нужна ИБ и

сколько тратить?

• Готовится новая РС «Требования к банковским приложениям и

разработчикам банковских приложений»

– Минимальный набор требований к приложениям

• Готовится новая РС «Управление инцидентами информационной

безопасности»

– Не просто реагирование, а весь жизненный цикл инцидента

– Дополнит методичку АРБ и НПС

• А также документы по защите ДБО, электронных средств платежа

и различных форм денежных переводов

Планы развития СТО в части ПДн

• Разработан проект отраслевой модели актуальных угроз

безопасности персональных данных

– Для этого планируется организовать работу с банковским

экспертным сообществом, провести согласование модели угроз с

ФСТЭК России и ФСБ России и ввести модель в действие

нормативным актом Банка России

• После ввода в действие документов регуляторов в области

обеспечения безопасности персональных данных провести

актуализацию РС 2.3

• Провести работу по переподписанию Письма-обращения в

кредитные организации об использовании организациями

банковской системы Российской Федерации документов

Комплекса для выполнения законодательства в области

персональных данных (переподписание «Письма шестерых»)

34

СТО БР ИББС в дальней перспективе

• Требования по облакам и виртуализации

• Требования по мобильному доступу

• Требования к DLP с банковской спецификой

• Пересмотр методики оценки в СТО БР ИББС

• Кросс-отраслевые стандарты с операторами связи по

формированию «пространства доверия»

35

Единое пространство доверия с операторами связи

• Инфраструктура многих операторов связи используется при

оказании услуг по переводу денежных средств (как минимум,

ДБО)

• Минкомсвязь совместно с Банком России решило вернуться к

теме «Базового уровня информационной безопасности

операторов связи» (он же рекомендации ITU-T X.sbno) и сделать

именно эти требования (с некоторыми доработками) условием

подключения (выбора) банков к инфраструктуре оператора связи

• При этом Банком России будут разработаны рекомендации по

выбору именно тех операторов, которые прошли процедуру

добровольной сертификации на соответствие «базовому уровню»

36

ГОСУДАРСТВЕННЫЕ

ИНФОРМАЦИОННЫЕ

РЕСУРСЫ

«Новый СТР-К»

• Приказ ФСТЭК №17 от 12.02.2013 «Об

утверждении Требований о защите

информации, не составляющей

государственную тайну, содержащейся в

государственных информационных

системах»

• Для защиты информации во вновь

создаваемых или модернизируемых

государственных информационных

системах

– «Старые» автоматизированные

системы будут «жить» по СТР-К

Жизненный цикл защиты государственных

информационных систем

• Организация защиты информации, содержащейся в

информационной системе, включает:

– формирование требований к системе защиты информации

информационной системы

– разработку системы защиты информации информационной

системы

– реализацию системы защиты информации информационной

системы

– аттестацию информационной системы на соответствие

требованиям о защите информации и ввод ее в действие

– эксплуатацию системы защиты информации информационной

системы

– защиту информации при выводе из эксплуатации

информационной системы или после окончания обработки

информации конфиденциального характера

Как определяются требования по защите?

• Требования к системе защиты информации информационной

системы определяются в зависимости от

– класса защищенности информационной системы

– актуальных угроз безопасности информации, установленных в

модели угроз безопасности информации

• Приказ вводит 4 класса защищенности и определяет методику их

выбора

• Модель угроз безопасности информации должна содержать

описание структурно-функциональных характеристик

информационной системы и актуальных угроз безопасности

информации

– Моделирование угроз осуществляется на основе

разрабатываемых методических документах ФСТЭК

– Предполагается, что данная методика будет единой для ПДн и

ГИС

Меры по защите информации

• Идентификация и аутентификация субъектов доступа и объектов

доступа

• Управление доступом субъектов доступа к объектам доступа

• Ограничение программной среды

• Защита машинных носителей информации, на которых хранятся

и (или) обрабатываются персональные данные

• Регистрация событий безопасности

• Антивирусная защита

• Обнаружение (предотвращение) вторжений

• Контроль (анализ) защищенности персональных данных

• Обеспечение целостности информационной системы и

персональных данных

• Обеспечение доступности персональных данных

Меры по защите информации

• Защита среды виртуализации

• Защита технических средств

• Защита информационной системы, ее средств, систем связи и

передачи данных

• Выявление инцидентов (одного события или группы событий),

которые могут привести к сбоям или нарушению

функционирования информационной системы и (или) к

возникновению угроз безопасности персональных данных, и

реагирование на них

• Управление конфигурацией информационной системы и системы

защиты персональных данных

КРИТИЧЕСКИ ВАЖНЫЕ

ОБЪЕКТЫ

Как регулируется ИБ в КВО?

Безопасность ТЭК

• 21 июля 2011 года Президент РФ подписал Федеральный Закон

«О безопасности объектов топливно-энергетического комплекса»,

а также Федеральный закон «О внесении изменений в отдельные

законодательные акты Российской Федерации в части

обеспечения безопасности объектов топливно-энергетического

комплекса»

• Статья 11 «Обеспечение безопасности информационных систем

объектов топливно-энергетического комплекса»

– Требования и состав комплекса защитных мер пока не

определены

• В проекте постановления Правительства Российской Федерации

«Об утверждении требований обеспечения безопасности

объектов топливно-энергетического комплекса и требований

антитеррористической защищенности объектов топливно-

энергетического комплекса» ИБ не прописана, но… см. дальше

Мнение Минэнерго

• Три Постановления Правительства от 5 мая 2012 года

– № 458 «Об утверждении Правил по обеспечению безопасности и

антитеррористической защищенности объектов топливно-

энергетического комплекса»

– № 459 «Об утверждении Положения об исходных данных для

проведения категорирования объекта топливно-энергетического

комплекса, порядке его проведения и критериях

категорирования»

– № 460 «Об утверждении Правил актуализации паспорта

безопасности объекта топливно-энергетического комплекса»

• Позиция Минэнерго - т.к. в ст.11 ФЗ-256 «О безопасности

объектов ТЭК» нет требования разработать Постановление

Правительства, то и требования по защите можно использовать

текущие (от ФСТЭК и ФСБ)

Безопасность критически важных объектов

• Основные направления государственной политики в области

обеспечения безопасности автоматизированных систем

управления производственными и технологическими процессами

критически важных объектов инфраструктуры Российской

Федерации

– 4 июля 2012 года

– Разработаны в целях реализации основных положений

Стратегии национальной безопасности Российской Федерации

до 2020 года

• Включают

– Требования к разработчикам АСУ ТП

– Единая гос.система обнаружения и предотвращения атак

– Промышленная и научно-техническая политика,

фундаментальная и прикладная наука и повышение

квалификации кадров

А что дальше или Указ Президента 31с

• 28.12.2012 – встреча Президента с офицерами, назначенными на

высшие командные должности

– Говорит о защите стратегической инфраструктуры

• 29.12.2012 - Указ Президента №1711 об изменении состава

Межведомственной комиссии Совета Безопасности РФ по

информационной безопасности

– Добавление в комиссию представителей стратегических КВО

• 15.01.2013 - Указ Президента №31с «О создании государственной

системы обнаружения, предупреждения и ликвидации

последствий компьютерных атак на информационные ресурсы

РФ»

– Создание данной системы, разработка методики обнаружения

атак, обмен информацией между госорганами об инцидентах ИБ,

оценка степени защищенности критической информационной

инфраструктуры

ФСТЭК

Готовятся новые РД ФСТЭК

• Требования к DLP-системам

• Требования к средствам доверенной загрузки

• Требования к средствам двухфакторной аутентификации

• Требования к средствам контроля съемных носителей

информации

• Требования по защите беспроводного и удаленного доступа

• Идет работа с ФСБ и Минкомсвязи по определению границ сетей

организаций и операторов связи с целью разделения

ответственности и формированию единого пространства доверия

• Новое положение о сертификации средств защиты информации

• Рекомендации по обновлению сертифицированных средств

защиты информации

Готовятся новые ГОСТы на 2013-2014 годы

• «Уязвимости информационных систем. Классификация

уязвимостей информационных систем»

• «Уязвимости информационных систем. Правила описания

уязвимостей»

• «Уязвимости информационных систем. Содержание и порядок

выполнения работ по выявлению и оценке уязвимостей

информационных систем»

• «Порядок создания автоматизированных систем в защищенном

исполнении. Общие положения»

– Взамен текущей версии ГОСТ 51583-2000

• «Документация по технической защите информации на объекте

информатизации. Общие положения»

• «Информационные системы и объекты информатизации. Угрозы

безопасности информации. Общие положения»

Готовятся новые ГОСТы на 2013-2014 годы

• «Техника защиты информации. Номенклатура показателей качества»

– Взамен текущего ГОСТ Р 52447-2005

• «Основные термины и определения»

– взамен текущей версии ГОСТ Р 50922-2006

• «Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения»

• «Требования по защите информации, обрабатываемой с использованием технологий «облачных вычислений». Общие положения»

• «Требования по защите информации в информационных системах, построенных с использованием суперкомпьютерных и грид – технологий»

• Ряд стандартов по информационным войнам

ДРУГОЕ

Что осталось за бортом?

• Новая редакций Гражданского Кодекса

(в части режима КТ)

• Универсальная электронная карта

• Принятие стандартов ISO (15408,

27005, 18045) в России

• ГОСТ по моделированию угроз для

операторов связи

• Государственные образовательные

стандарты по ИБ

– А также стандарт АП КИТ по

квалификациями специалистов по ИБ

• Стратегия кибербезопасности РФ

• Основные направления по

формированию культуры ИБ в РФ

54

© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 55

Благодарю вас

за внимание

security-request@cisco.com