Embed Size (px)
Citation preview
Что нас ждет в отечественном законодательстве по ИБ?
Лукацкий Алексей, консультант по безопасности
Активность законодателей только возрастает
• В среднем 4 нормативных акта (проекта) в месяц – 2012 – 5, 2013 – 4, 2014 – 6 – Активность будет только возрастать – В октябре почему-то всегда минимальная активность J
Это только начало
• Около 50 нормативных актов уже запланировано к разработке на ближайшее время – Они не включены в диаграмму
Приоритеты давно определены
• Национальная платежная система и банки • Госорганы • КВО и ТЭК • Операторы связи
Куда движется законодательство?
ИБ Персональные данные
Критические инфраструктуры
Национальная платежная система
Государственные ИС
Субъекты Интернет-отношений
Облачные технологии
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Недавние и планируемые изменения по направлению ПДн
Что было
• Приказ ФСТЭК №21 по защите ПДн в ИСПДн
• Приказ об отмене «приказа трех» по классификации ИСПДн
• Приказ и методичка РКН по обезличиванию
• Новая версия стандарта Банка России (СТО БР ИББС)
• Закон 242-ФЗ о запрете хранения ПДн россиян за границей
• Письмо Банка России 42-Т • Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн
• ПП-911 по отмене обязательного обезличивания
Что будет
• Законопроект Совета Федерации по внесению изменений в ФЗ-152
• Законопроект по внесению изменений в КоАП
• Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн
• Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181)
На что стоит обратить внимания из недавнего
• ПП-911 от 06.09.2014 об отмене обязательного обезличивания ПДн в государственных и муниципальных органах, установленное ПП-211 – Теперь решение об обезличивании отдается на откуп самого оператору ПДн
• Приказ ФСТЭК/ФСБ/Минкомсвязи №151/786/461 от 31.12.2013 отменяет приказ по классификации ИСПДн – Теперь только уровни защищенности
• Приказ РКН от 05.09.2013 №996 описывает различные варианты обезличивания ПДн
На что стоит обратить внимания из недавнего
Закон о запрете хранения ПДн россиян за границей
• Реализация положения ФЗ-242 «о запрете хранения ПДн россиян за границей» – Запрет хранения – Наказание за нарушение – Выведение РКН из под действия
294-ФЗ • Вступает в силу с 1 сентября 2016 года
• Возможно будут вноситься изменения – По части «независимого органа» – По части контроля/надзора – По части хранения за пределами РФ
Обеспечение конфиденциальности или шифрование?
• Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 • Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: – Не раскрывать ПДн третьим лицам – Не распространять ПДн без согласия субъекта персональных данных
– Если иное не предусмотрено федеральным законом • Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… – Ст.19
Как обеспечить конфиденциальность ПДн?
• Получить согласие субъекта на передачу ПДн в открытом виде • Сделать ПДн общедоступными • Обеспечить контролируемую зону • Использовать оптические каналы связи при правильной модели угроз
• Использовать соответствующие механизмы защиты от НСД, исключая шифрование, например, MPLS или архивирование
• Переложить задачу обеспечения конфиденциальности на оператора связи
• Передавать в канал связи обезличенные данные • Использовать СКЗИ для защиты ПДн
Только 8-10% операторов использует СКЗИ
Как поступает сама ФСБ и РКН?
Как поступают в Правительстве, МКС, ФСТЭК, у Президента и в ФНС?
• РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциальности
• У вас есть выбор – или соглашаться, или нет
Ответ Роскомнадзора
Вы можете принудить субъекта отказаться от конфиденциальности его ПДн
А если сделать их общедоступными?
• РЖД делает регистрационные данные пользователей своего сайта общедоступными
• РКН не против • Шифрование в таком случае не нужно
А где у вас проходит граница ИСПДн?
Еще четыре сценария
• Обезличивание из персональных данных делает неперсональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность
Обезличивание
• Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн
Оператор связи
• Снять информацию с оптического канала связи возможно, но непросто и недешево
• Почему бы не зафиксировать в модели угроз соответствующую мысль Оптика
• Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование
• Например, MPLS, обеспечивающая разграничение доступа
Виртуальные сети
Приказ ФСБ №378
• Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн
• Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года
Приказ ФСБ
• Даны разъяснения (имеющие характер обязательных) положений ПП-1119 – Например, что такое «организация режима обеспечения безопасности помещений», «сохранность персональных данных», «электронный журнал сообщений» и т.п.
• Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными
• 8-й Центр сознательно или несознательно, но ограничил применение для защиты ПДн СКЗИ классом КС3 (!) и выше – Если вы считаете, что потенциальный нарушитель может получить доступ к средствам вычислительной техники, на которых установлены СКЗИ, то необходимо применять СКЗИ не ниже КС3
Приказ ФСБ
• Если вдуматься чуть глубже, то вы обязаны будете применять СКЗИ класса КВ, если вы опасаетесь, что нарушитель может привлечь специалистов, имеющих опыт разработки и анализа СКЗИ – А сейчас нет ограничений на таких специалистов - криптографию преподают в 100 с лишним ВУЗах России
• СКЗИ КВ применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО – Прощай open source
• СКЗИ КА применяются, когда могут быть использованы недекларированные возможности в системном ПО
Соответствие уровней защищенности классам СКЗИ
Уровень защищенности
3-й тип угроз 2-й тип угроз 1-й тип угроз
4 КС1+ КС1+ КС1+
3 КС1+ КВ -
2 КС1+ КВ
1 - КВ КА
• В зависимости от совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак СКЗИ подразделяются на классы
Приказа ФСБ
• Все помещения, в которых ведется обработка ПДн, должны по окончании рабочего дня не просто закрываться, а опечатываться (!) – Это минимум требований для 4-го уровня защищенности
• На 1-м уровне от вас потребуют на первых и последних этажах зданий установки решеток или ставень (!)
• Все машинные носители персональных данных должна учитываться поэкземплярно
О встраивании криптоядра в VPN
• Можно ли использовать сертифицированное криптоядро в составе VPN-решений? – Можно
• Будет ли такое использование легитимным? – Нет!!!
Законопроект по штрафам
• В новом законопроекте меняется текст статьи 13.11, которая устанавливает два состава правонарушений – Нарушение требований к письменному согласию субъекта
(<=50K) – Обработка ПДн без согласия или иных законных оснований
(<=50K) • Также вводится еще 3 новых статьи:
– 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K) – 13.11.2 - непредоставление оператором информации и (или) доступа к сведениям, предусмотренным законодательством о ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в отношении обработки ПДн (<=45K)
– 13.11.3 – нарушение правил неавтоматизированной обработки и обезличивания (<=50K)
Вы не забыли про Конвенцию?
• Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181)
• В 2015-м (возможно) будет принята новая редакция Евроконвенции – со всеми вытекающими
КРИТИЧЕСКИ ВАЖНЫЕ ОБЪЕКТЫ
Недавние и планируемые изменения по направлению КИИ / КСИИ / КВО / АСУ ТП
Что было
• Постановление Правительства №861 от 02.10.2013
• Приказ ФСТЭК №31 по защите АСУ ТП
Что будет
• Законопроект по безопасности критических информационных инфраструктур
• Законопроект о внесении изменений в связи с принятием закона о безопасности КИИ
• Подзаконные акты • Методические документы ФСТЭК
Новый приказ ФСТЭК №31
• «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» – Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений
Ключевые отличия требований по ИБ КСИИ и АСУ ТП
• Объект защиты • Классификация АСУ ТП / КСИИ • Уровень открытости циркулируемой в АСУ ТП / КСИИ информации
• Парадигма (КЦД vs ДЦК) • Требования по защите • Требования по оценке соответствия • Участники процесса защиты информации
Поправки в связи с принятием закона о безопасности КИИ
• Поправки в УК РФ и УПК РФ – Внесение изменений в статьи 272, 274, 151 (УПК)
• Поправки в закон «О государственной тайне» – Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени опасности
• Поправки в 294-ФЗ – Выведение из под порядка проведения проверок КИИ
• Поправки в 184-ФЗ – Исключение двойного регулирования
Что еще готовится в связи с законопроектом о безопасности КИИ?
• Определение ФОИВ, уполномоченного в области безопасности КИИ – Через 6 месяцев после принятия закона
• Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры» – Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ
• Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования и взаимодействия объектов КИИ»
• Приказ уполномоченного ФОИВ об утверждении требований по безопасности КИИ – Это не 31-й приказ!!!
Что еще готовится в связи с законопроектом о безопасности КИИ?
• Приказы уполномоченного ФОИВ об аккредитации, о представлении сведений для категорирования, о контроле/надзоре, о реестре объектов КИИ
• Приказ ФСБ об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на объектах КИИ
• Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА
• Приказ ФСБ о порядке доступа к информации в СОПКА • Приказ ФСБ об утверждении требований к техсредствам СОПКА • Приказ ФСБ об установке и эксплуатации техсредств СОПКА Приказ ФСБ о национальном CERT
• Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи
Планируемые методические документы ФСТЭК
• Применение «старых» документов ФСТЭК по КСИИ в качестве рекомендательных и методических – «Рекомендации…» и «Методика определения актуальных угроз…»
• Методичка по реагированию на инциденты (в разработке) • Методичка по анализу уязвимостей (в разработке) • Методичка по управлению конфигурацией (в разработке) • Методичка по аттестации (в разработке) • Методичка по мерам защиты в АСУ ТП (в разработке)
– По аналогии с «Мерами защиты в ГИС»
ГОСУДАРСТВЕННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ
Недавние и планируемые изменения по направлению ГИС
Что было
• Приказ ФСТЭК №17 по защите информации в ГИС
• Методический документ по мерам защиты информации в государственных информационных системах
Что будет
• Порядок моделирования угроз безопасности информации в информационных системах
• Новая редакция приказа №17 и «мер защиты в ГИС»
• Методические и руководящие документы ФСТЭК
• Законопроекты о запрете хостинга ГИС за пределами РФ, о служебной тайне, по импортозамещению…
Что еще планируется?
• Законопроект о запрете использования чиновниками и госслужащими несертифицированных мобильных устройств – Фактически эти нормы уже установлены действующими НПА
• Законопроект о запрете размещения сайтов государственных органов за пределами Российской Федерации – Фактически эти нормы уже установлены действующими НПА
• Законопроект о регулировании облачных вычислений – Установление особых требований по ИБ к облакам для госорганов
• Новая статья в КоАП за препятствование доступу к сайтам в Интернет (уже принято) – Из антитеррористического пакета законов
ФСТЭК планирует установить новые требования к средствам защиты
• ФСТЭК (2013-2015) – Требования к средствам доверенной загрузки (принят) – Требования к средствам контроля съемных носителей – Требования к средствам контроля утечек информации (DLP) – Требования к средствам аутентификации – Требования к средствам разграничения доступа – Требования к средствам контроля целостности – Требования к средствам очистки памяти – Требования к средствам ограничения программной среды – Требования к средствам управления потоками информации – Требования к МСЭ – Требования к средствам защиты виртуализации – ГОСТы по защите виртуализации и облачных вычислений – ГОСТ по защищенному программированию (SDLC)
У ФСТЭК большие планы по регулированию госорганов и муниципалов
Планируемые методические документы ФСТЭК
• Порядок аттестации распределенных информационных систем • Порядок обновления программного обеспечения в аттестованных информационных системах
• Порядок обновления сертифицированных средств защиты информации
• Порядок выявления и устранения уязвимостей в информационных системах
• Порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации
• …
Существуют и еще некоторые требования
• ИС организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления государственных и муниципальных услуг в электронной форме – Приказ Минкомсвязи от 9 декабря 2013 г. №390
• ИС общего пользования – ПП-424 + Приказ Минкомсвязи от 25 августа 2009 года №104 + Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489
• ИС открытых данных – Приказ Минкомсвязи России от 27.06.2013 №149
• Сайты ФОИВ – Приказ Минэкономразвития России от 16.11.2009 №470
• ИС, предназначенные для информирования общественности о деятельности ФОГВ и ОГВ субъектов РФ (ИСИОД)
УНИФИКАЦИЯ ЗАЩИТНЫХ МЕР ФСТЭК
Меры по защите информации
• Организационные и технические меры защиты информации, реализуемые в АСУ ТП – идентификация и аутентификация субъектов доступа и объектов доступа
– управление доступом субъектов доступа к объектам доступа
– ограничение программной среды
– защита машинных носителей информации
– регистрация событий безопасности
– антивирусная защита
– обнаружение (предотвращение) вторжений
– контроль (анализ) защищенности – целостность АСУ ТП – доступность технических средств и информации – защита среды виртуализации
Меры по защите информации
• продолжение: – защита технических средств и оборудования – защита АСУ ТП и ее компонентов – безопасная разработка прикладного и специального программного обеспечения разработчиком
– управление обновлениями программного обеспечения – планирование мероприятий по обеспечению защиты информации – обеспечение действий в нештатных (непредвиденных) ситуациях – информирование и обучение пользователей – анализ угроз безопасности информации и рисков от их реализации
– выявление инцидентов и реагирование на них – управление конфигурацией информационной системы и ее системы защиты
Меры по защите информации: общее
Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
Меры по защите информации: различия
Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
• Планы – Унификация перечня защитных мер для всех трех приказов
– Выход на 2-хлетний цикл обновления приказов
Методические рекомендации ФСТЭК
• 11 февраля 2014 утвержден методический документ «Меры защиты информации в государственных системах»
• Методический документ детализирует организационные и технические меры защиты информации, а также определяет содержание мер защиты информации и правила их реализации
• По решению оператора ПДн настоящий методический документ применяется для обеспечения безопасности ПДн
ФСТЭК унифицирует требования по защите информации
Особенность Приказ по защите ПДн
Приказ по защите ГИС/МИС
Проект приказа по АСУ ТП
Требования по защите привязаны к
4 уровням защищенности ПДн
4 классам защищенности ГИС/МИС
3 классам защищенности АСУ ТП
Порядок в триаде КЦД КЦД ДЦК Возможность гибкого выбора защитных мер
Да Да Да
Проверка на отсутствие «закладок»
Требуется для угроз 1-2 типа (актуальность определяется заказчиком)
Требуется для 1-2 класса защищенности ГИС/МИС
Требуется только при выборе сертифицированных средств защиты
Но разница между требованиями ФСТЭК все-таки есть
Особенность Приказ по защите ПДн
Приказ по защите ГИС/МИС
Проект приказа по АСУ ТП
Оценка соответствия
В любой форме (нечеткость формулировки и непонятное ПП-330)
Только сертификация
В любой форме (в соответствии с ФЗ-184)
Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация
Обязательна Возможна, но не обязательна
Контроль и надзор
Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн)
ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)
Единая методика моделирования угроз
• Методика определения угроз безопасности информации в информационных системах
• Распространяется на – ГИС / МИС – ИСПДн – КСИИ – АСУ ТП – Иные ИС и АС, в которых в соответствии с законодательством РФ и (или) требованиями заказчика должна быть обеспечена конфиденциальность, целостность и (или) доступность информации
• Исключает угрозы СКЗИ и ПЭМИН
НАЦИОНАЛЬНАЯ ПЛАТЕЖНАЯ СИСТЕМА
Недавние и планируемые изменения по направлению НПС/банковской тайны
Что было
• 382-П (3007-У) • 2831-У (3024-У) • 55-Т • 42-Т • 49-Т • 242-П • СТО БР ИББС 1.0 и 1.2 • Отмена РС 2.3 и 2.4 • Принятие новых РС 2.5 и 2.6
Что будет
• Новая редакция 382-П (3361-У)
• Новые РС • Требования для организаций финансового рынка (ФСФР)
• Банковский CERT • Отраслевая модель угроз ПДн
Указание 3361-У
• Утверждено 14 августа 2014 • Опубликовано в «Вестнике Банка России» №83 17 сентября
• Вступает в силу с 16 марта 2015 года
Изменения в 382-П
• Основные изменения – требования к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов, с использованием систем Интернет-банкинга, мобильного банкинга
– требования к использованию платежных карт, оснащенных микропроцессором
– факторы, которые должны учитываться при реализации требований 382-П (29 новых показателей оценки)
Что планирует Банк России в новой версии СТО?
• СТО БР ИББС 1.0 (5-я версия) уже принят в ТК122 – Принятие Банком России произошло путем подписания распоряжения Банка России от 17 мая 2014 года № Р-399 и № Р-400
– Вступил в силу с 01.06.2014 • С 1-го июня отменены предыдущие версии СТО 1.0 и 1.2, а также РС 2.3 (защита ПДн) и 2.4 (отраслевая модель угроз)
Также Банк России принял с 01.06.2014
• Четвертую редакцию стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» (регистрационный номер СТО БР ИББС-1.2-2014)
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (регистрационный номер РС БР ИББС-2.5-2014)
Также Банк России принял с 01.09.2014
• Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (регистрационный номер РС БР ИББС-2.6-2014)
Планируемые изменения по направлению СТО БР ИББС
• Проекты новых РС – Проект РС по ресурсному обеспечению информационной безопасности
– Проект РС по виртуализации – Проект РС по предотвращению утечек информации
• Пересмотр «старых» документов СТО • СТО 1.1, РС 2.0, 2.1 и 2.2 • Разработка новых РС
– Противодействие мошенничеству – Облачные технологии и аутсорсинг – Распределение ролей
59
Письмо 49-Т от 24.03.2014
• Об этом документе ходили достаточно давно – Чуть ли не с конца 2012-го года
• Документ очень подробный – Расписывает не только технические, но и организационные вопросы по защите от вредоносного кода
• Детализирует требования 382-П (или СТО БР ИББС) – Есть и нестыковки – Переложение 15 разделов 382-П на борьбу с вредоносным кодом
• Требует участия органа управления кредитной организации
ОПЕРАТОРЫ СВЯЗИ
Недавние и планируемые изменения по направлению ССОП
• Закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам регулирования отношений при использовании информационно-телекоммуникационной сети Интернет» и ФЗ-139 «О защите детей от негативной информации»
• Постановление Правительства №611 от 15.04.2013 «Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи РФ»
• Иных требований по информационной безопасности на операторов связи пока не планируется
• Все изменения касаются контроля Интернет – Антипиратский закон, контроль социальных сетей, Единая система аутентификации (ЕСИА), запрет анонимайзеров, регулирование Интернет-компаний как организаторов распространения информации, регулирование облачных вычислений и т.п.
В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ
Активность будет только нарастать
Нас ждут непростой 2015-й год!
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 66
Благодарю вас за внимание
