Future security regulations in Russia

1/70 © 2008 Cisco Systems, Inc. All rights reserved. Security Training

Что ждет нас в области регулирования ИБ в ближайшее время?

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved. Security Training 3/70

Куда движется российский рынок ИБ?

Развитие Требования для

разных видов тайн

Сертификация / лицензирование

Интеграция в мировое

сообщество

Образование

Изменение роли регуляторов


Общая тенденция

Абсолютная непрогнозируемость изменений на рынке информационной безопасности


Новые требования по защите тайн

Персональные данные

Финансовая отрасль

PCI DSS

СТО БР ИББС-1.0

ФЗ «О национальной платежной системе»

Критически важные объекты

Электронные госуслуги


Персональные данные


Базовая иерархия НПА по ПДн

Приказы и иные документы

Постановления Правительства

Законы

Конвенции и иные международные

договора

Европейская Конвенция

ФЗ №152 от 26.07.2006

ФЗ №160 от 19.12.2005

№781 от 17.11.2007

«Приказ трех» от

13.02.2008

3 открытых документа

ФСТЭК

2 открытых документа ФСБ

№687 от 15.09.2008

№512 от 6.07.2008

Директивы Евросоюза /

Европарламента

Рекомендации ОЭСР

И еще 3-4 десятка нормативных актов разных уровней

Документы РКН


Законопроект Резника

Новые условия обработки ПДн без согласия

Определение трансграничной передачи

Конклюдентная и устная формы согласия

Оферта неограниченному кругу лиц

Дифференция требований по ИБ

Устранение избыточных уведомлений субъектов

Оператор vs обработчик

Соглашение между оператором и субъектов ПДн


Текущая ситуация с ИБ

Безопасность персданных является обязательным условием обработки ПДн

За безопасность ПДн отвечают ФСТЭК и ФСБ

ФСТЭК выпустил приказ №58

ФСБ выпустила 2 методических документа в области криптографии

Подход регуляторов

Сертифицированные СЗИ и СКЗИ


Варианты создания отраслевых рекомендаций

Документы ФСТЭК без изменений, но применительно к нуждам отрасли

Полная переработка в соответствие с потребностями

отрасли

Рособразование

Минсоцздравразвитие

Финансы

Операторы связи


Комплекс стандартов ИБ ЦБ РФ

СТО

Общие положения

1.0

Аудит ИБ 1.1

Методика оценки

соответствия 1.2

РС

Рекомендации по

документации в области ИБ

2.0

Руководство по самооценке соответствия

ИБ 2.1

Методика оценки рисков

2.2

Требования по ИБ ПДн

2.3

Отраслевая частная

модель угроз безопасности

ПДн 2.4

СТО – стандарт организации

РС – рекомендации по стандартизации


Регулирование ИБ в финансовой отрасли

В планах (возможно) отдельные стандарты и рекомендации (или добавление в СТО 1.0) по безопасности для участников национальной платежной системы и т.д.

Классификатор 0.0

Термины и определения

0.1

Рекомендации по выполнению законодательных требований при

обработке ПДн


НИР Тритон от ИКС

Принципы защиты ПДн оператора связи

Экономическая обоснованность рекомендаций (требований) исходя из ущерба субъектам и операторам ПДн

Соответствие уровня рекомендаций (требований) по защите ПДн имеющемуся уровню развития информационных технологий с постепенным его повышением по мере готовности операторов ПДн, информационных и защитных технологий, международного и национального законодательства

Учет специфики операторов связи

Применение одних и тех же систем, средств и методов защиты информации для обеспечения безопасности ПДн, КТ и иной конфиденциальной информации

Использование для защиты ПДн систем и средств защиты, которые уже эксплуатируются операторами связи в составе ИСПДн или инфраструктуры безопасности


НИР Тритон для операторов связи

Наиболее полный набор документов по защите ПДн

18 иерархически выстроенных документов


Новые требования ФСБ

Новый приказ ФСБ по защите персональных данных

Придет на смену двум текущим документам

Запланировано подписание Бортниковым

Запланирована регистрация в МинЮсте

Систематизация требований

Требования по IDS (?)

Изменение лицензионных требований (?)


Изменение 1009-ПП

ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые акты Правительства Российской Федерации»

Проекты НПА и нормативных документов ФОИП, которыми регулируются отношения в области организации и осуществления государственного контроля (надзора), в области установления, применения и исполнения обязательных требований к продукции или связанным с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, в области оценки соответствия и в области безопасности процессов производства, подлежат направлению в МЭР РФ на заключение об оценке регулирующего воздействия


Изменение 1009-ПП (окончание)

ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые акты Правительства Российской Федерации»

В этом заключении дается оценка регулирующего воздействия соответствующих решений с целью выявления положений, вводящих избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствующих их введению, а также положений, способствующих возникновению необоснованных расходов субъектов предпринимательской и иной деятельности и бюджетов всех уровней бюджетной системы Российской Федерации


Национальная платежная система



Цель - регулировать деятельность организаций - операторов по переводу денежных средств, операторов по приему платежей, операторов платежных систем, операторов услуг платежной инфраструктуры и определить требования к функционированию платежной системы

К обычным участникам платежной системы относятся операторы по переводу денежных средств и приему платежей, участники рынка ценных бумаг, почта и т.п.



Все участники НПС обязаны соблюдать требования по защите банковской тайны в соответствие с законом «О банках и банковской деятельности»

Требования по ИБ устанавливает Правительство РФ, а контроль и надзор за выполнением требований осуществляется ФСТЭК и ФСБ

Требований Правительства пока нет

Банк России вправе устанавливать требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям

Данные требования должны быть согласованы с ФСТЭК и ФСБ

Логично предположить, что это будет СТО БР ИББС


КСИИ


Термины и определения

Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями


Номенклатура документов по КСИИ

Указ от 16.08.2004

№1085

Указ от 11.08.2003

№960

Приказ от 30.03.2002 №Пр-578

Проект закона (снят)

№411-рс от 23.03.2006

4 «закрытых» документа

ФСТЭК

Указы Президента

Иные документы

Распоряжения Правительства

Отраслевые документы

Секретарь СовБеза РФ от 08.11.2005

«Основы» от 28.09.2006

№1314-р от 27.08.2005


Нормативные документы ФСТЭК

Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах

Общие требования по обеспечению безопасности информации в ключевых системах информационных инфраструктурах

Базовая модель угроз безопасности информации в ключевых системах информационных инфраструктурах

Рекомендации по обеспечению безопасности информации в ключевых системах информационных инфраструктурах

Утверждены 18 мая 2007 года


Контроль государственных ресурсов


Контроль госорганов

Постановления и законы

ПП-424 от 18.05.2009 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»

ФЗ «О государственных информационных ресурсах»

Госорганы обязаны обеспечить

защиту информации… от уничтожения, изменения и блокирования доступа к ней

постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования

восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более 8 часов

использование … СЗИ, прошедших оценку соответствия (в том числе в установленных случаях сертификацию)…


Контроль госорганов

Федеральной службе безопасности Российской Федерации совместно с Федеральной службой по техническому и экспортному контролю в 3-месячный срок утвердить требования о защите информации, содержащейся в информационных системах общего пользования

ПП-424

Где прописаны требования по ИБ

Спорный СТР-К от ФСТЭК

Приказ Минкомсвязи России от 25.08.2009 г № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования» (зарегистрирован в МинЮсте)


Госуслуги

Постановление Правительства РФ от 22 сентября 2009 г. № 754 «Об утверждении Положения о системе межведомственного электронного документооборота»

Главный регулятор – Федеральная служба охраны (ФСО)

Основной акцент на целостности и конфиденциальности

Законопроект «Об общих принципах организации предоставления государственных (муниципальных) услуг и исполнения государственных (муниципальных) функций»

Никто не понимает, что такое госуслуга. Нет объекта защиты, как можно говорить о защите?

Безопасность госуслуг – для многих это ЭЦП и УЦ


Лицензирование


Есть ли у вас лицензия на ТО СКЗИ?

А нужна ли?

Представители 8-го Центра ФСБ заявляют о ненужности лицензии для собственных нужд


Есть ли у вас лицензия на ТО СКЗИ?

Что такое ТО?

К деятельности по техническому обслуживанию шифровальных (криптографических) средств не относится эксплуатация СКЗИ в соответствии с требованиями эксплуатационной и технической документации, входящей в комплект поставки СКЗИ

Не относится к лицензируемой деятельности

Передача СКЗИ клиентам и «дочкам»

Генерация и передача сгенерированных ключей


Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства»

В целях обеспечения обороны страны и безопасности государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами

Риск лицензирования в ФСБ


Хозяйственное общество, имеющее стратегическое значение для обеспечения обороны страны и безопасности государства, - предприятие созданное на территории Российской Федерации и осуществляющее хотя бы один из видов деятельности, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства и указанных в статье 6 настоящего Федерального закона

пп.11-14 – 4 вида лицензирования деятельности в области шифрования

Наличие всего лишь одного маршрутизатора с IPSec требует от вас лицензии на ТО СКЗИ

Риск лицензирования в ФСБ (окончание)


Лицензия на ТЗКИ нужна юридическим лицам, осуществляющим предпринимательскую деятельность, связанную с технической защитой конфиденциальной информацией

Примечание: в новом законопроекте по 149-ФЗ термин «конфиденциальная информация» меняется на «информации, в отношении которой установлено требование об обеспечении ее конфиденциальности»

Одна точка зрения ФСТЭК


Вопрос про лицензию на ТЗКИ для собственных нужд

Согласно ст.49 ГК РФ отдельными видами деятельности можно заниматься только на основании лицензии

В соответствие с ФЗ-128 на ТЗКИ нужна лицензия

Другая точка зрения ФСТЭК


В настоящем стандарте требование получения лицензии на деятельность по технической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются

Раздел 9.6 СТО БР ИББС-1.0

Нужна ли лицензия ФСТЭК банкам?


19 июля в ходе заседания Президиума Правительства Российской Федерации был рассмотрен проект закона о лицензировании, который серьѐзно упрощает процедуру получения лицензий, повышает их прозрачность и существенно снижает число лицензируемых видов деятельности

Тематика связанная с лицензированием деятельности по защите информации и криптографии осталась ;-(

Эти виды деятельности были укрупнены в два направления - криптографическая деятельность и защита от несанкционированного доступа к информации

Эти виды деятельности должны будут регулироваться отдельными новыми Постановлениями Правительства

Что нас ждет?

http://government.ru/docs/11399/


Сертификация


О сертификации средств защиты

Методами и способами защиты информации от несанкционированного доступа являются…использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия

Приказ 58 ФСТЭК

Оценка соответствия регулируется ФЗ-184 «О техническом регулировании»

ФСБ требует использования только сертифицированных СКЗИ

Если сфера использования не попадает в исключения


Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту

ст. 2 ФЗ-184 «О техническом регулировании»

Особенности оценки соответствия продукции (работ, услуг) и объектов, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации

ст.5 ФЗ-184 «О техническом регулировании»

Не ФСТЭК определяет требования, а Правительство

Оценка соответствия


Согласно ПП-608 обязательная сертификация средств защиты предусматривается только для защиты гостайны

В остальных случаях сертификация является добровольной

Согласно ПП-1013 средства защиты не входят в перечень товаров, подлежащих обязательной сертификации

1 декабря 2009 было принято новое ПП-982 «Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии»

Об обязательной сертификации СЗИ


С 1-го декабря 2009 года существует единый перечень всех товаров, которые подлежат обязательной сертификации...

Исключая продукцию, требования к которой устанавливаются в соответствии со статьей 5 Федерального Закона «О техническом регулировании»

Иными словами обязательная сертификация средств защиты может быть определена отдельными нормативными актами…

Особенности технического регулирования в части разработки и установления обязательных требований ... устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями (ФЗ-184 «О техническом регулировании»)

Постановление Правительства №982


Гром с ясного неба!!!

ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)»

ДСП


Надо ли выполнять ПП-330?

Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами

Ст.4.2 ФЗ-152

Аналогичные требования заложены в ПП-1009 и ФЗ-294


Интеграция в мировое сообщество


Все может поменяться

Изменения в ФЗ-184 «О техническом регулировании» и вступление России в ВТО подстегнули процесс признания международных стандартов и нормативных требований

Законопроектом предусматриваются законодательное закрепление возможности признания и заимствования лучших мировых стандартов в целях их применения в Российской Федерации

Также предполагается введение двух применяемых по выбору заявителя режимов технического регулирования, один из которых основан на требованиях российских стандартов, другой - на требованиях иностранных технических регламентов (директив) и стандартов


Но все может поменяться (продолжение)

ПП-455 от 17.06.2010 внесено изменение в ПП-163 от 24.02.2009 «Об аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по подтверждению соответствия»

Наличие официально изданных действующих нормативных правовых актов, документов в области стандартизации, принятых на основе международных норм, устанавливающих требования к объектам подтверждения соответствия


Но все может поменяться (окончание)

4 мая Президент направил в ГосДуму законопроект № 368896-5 «О ратификации Соглашения о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия»

Стороны взаимно признают аккредитацию органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия, в национальных системах аккредитации государств сторон

Сторонами являются страны ЕвразЭС - Россия, Казахстан, Беларусь, Киргизия, Таджикистан, Узбекистан


Россия и ВТО: история отношений

В 2007/8-м году Россия отказалась входить в ВТО самостоятельно

Создание Единого таможенного союза (Россия, Казахстан, Белоруссия) и намерение вступать в ВТО в составе союза

Договоренность Медведева и Обамы о вступлении России в ВТО в середине осени

И.Айвазовский. Хаос. Сотворение мира


С чем согласилась Россия

Отсутствие дискриминации и прозрачность всех процедур, связанных с импортом криптографии

Соблюдение Вассенаарского соглашения

То что должно ввозиться свободно по Вассенаару, не должно ограничиваться при импорте в Россию (например, защита интеллектуальной собственности в DVD и т.п., мобильные телефоны и т.д.)

Категория 5, часть 2, список товаров двойного применения

Вся импортируемая криптография делится на 2 части

Ввозимая по уведомлению

Ввозимая после получения лицензии на импорт


Изменение роли регуляторов


Государственный контроль и надзор

Любая проверка со стороны регулятора должна проводиться в строгом соответствии с ФЗ от 26.12.2008 №294 «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного и муниципального контроля (надзора)»

Если другие нормативные акты не сужают область действия надзорного органа

Данный ФЗ – единственный, определяющий полномочия надзорных органов

В области ИБ могут быть другие (только уровня ФЗ), но пока их нет

Принятие административных регламентов регуляторов


Генпрокуратора – новый регулятор

Генпрокуратура – новый регулятор на рынке безопасности

Порядок согласования с органом прокуратуры проведения проверок установлен приказом Генерального прокурора Российской Федерации от 27 марта 2009 г. № 93

Все плановые и внеплановые проверки должны быть согласованы с Генпрокуратурой

Плановые – до 31 декабря года, предшествующего

Внеплановые – за 3 суток до проверки

Прокуратура отклонила 50% всех заявок на проверки

Сегодня в списке проверок есть только Роскомнадзор

ФСТЭК и ФСБ не любит упоминаний Генпрокуратуры

Потребители не хотят оспаривать незаконные проверки

http://79.125.23.79/


Саморегулируемые организации

Саморегулируемые организации (СРО) – тенденция 2011-го и последующих годов

Позволяет устанавливать собственные правила по добровольной оценке соответствия

Сегодня существуют планы по созданию СРО в различных отраслях

Финансы

Энергетика

Операторы связи


Об образовании в области ИБ


Деятельность Минкомсвязи

Минкомсвязь заказал АП КИТ профессиональный стандарт по профессии «Специалист по информационной безопасности»

Данный профессиональный стандарт будет отражать современные квалификационные требования работодателей и использоваться для целей подготовки рабочих кадров и специалистов, оценки (сертификации), составления должностных инструкций, тарификации и пр.

Стандарт нужен для

Оценки квалификации и сертификации сотрудников

Формирования госстандартов профессионального образования

Управления персоналом

Стандартизации и унификации требований к содержанию и качеству профессиональной деятельности


Квалификационные уровни

Национальная квалификация описывает 7 уровней

В области ИБ квалификация начинается с 3-го уровня

Уровень Краткое описание работ Наименование

должности

3-й Участие в работах. Проведение

проверок. Наладка и регулировка.

Техник по ЗИ

4-й Сопровождение. Выполнение

сложных работ. Анализ

потребностей

Специалист по ЗИ

5-й Управление работами по

проектированию и внедрению

СЗИ. Подбор литературы

Инженер по ЗИ

6-й Работа в команде. Разработка

оргмер. Руководство. Организация

аттестаций, спецпроверок.

Начальник отдела ЗИ


Квалификационные уровни

Национальная квалификация описывает 7 уровней

В области ИБ квалификация начинается с 3-го уровня

Уровень Краткое описание работ Наименование

должности

7-й Работа в команде. Руководство

работами по ЗИ. Создание

технологий ИБ. Контроль. Оценка

эффективности.

Главный специалист

по ЗИ


Деятельность Минобрнауки

Рособразование со следующей осени внедряет государственные образовательные стандарты третьего поколения

Реформа Рособразования мешает процессу

В области ИБ вопросы создания стандартов курирует УМО вузов РФ по образованию в области ИБ (организатор ИКСИ)

Образование по ИБ организуется на трех уровнях

Высшее профессиональное образование (ВПО) – университеты и институты

Среднее профессиональное образование (СПО) – колледжи и лицеи

Начальное профессиональное образование (НПО) – училища и техникумы (только один прецедент в России)


Направления образования

2 направления обучения в рамках ВПО

Специалист – 5,5 лет

Бакалавриат / магистратура – 3 / 5 лет

Программы (стандарты) образования

Информационная безопасность телекоммуникационных систем

Информационная безопасность автоматизированных систем

Организация и технология защиты информации

Информационно-аналитические системы безопасности

Компьютерная безопасность

Криптография

Противодействие действиям иностранных технических разведок

В каждой программе существуют свои специализации

Grid, АСУ ТП, транспорт, мобильные технологии…


Особенности подготовки стандартов

По задумке ФГОС рассчитывается на 10-15 лет

Бизнес практически не участвует в подготовке требований

Стандарты формируют ВУЗы

В стандарт попало только то, что ВУЗы готовы преподавать сейчас


Что еще?..


Что еще?

ПП-266 от 21 апреля 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации … об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации»

Основной регулятор – Служба внешней разведки (СВР)


Другие изменения

Два законопроекта о регулировании Интернет

Изменение трехглавого ФЗ-149

И еще 41 федеральный закон

Изменение ФЗ-57 (для банков)

Изменение ФЗ-2446-1 «О безопасности»

Новые РД ФСТЭК

Законопроект «Об электронной подписи»

Законопроект «О служебной тайне»

Регулирование систем связи, используемых для нужд обороны и безопасности страны, поддержания правопорядка


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 495 961-1410

Future security regulations in Russia

News & Politics

Transcript of Future security regulations in Russia