Future security regulations in Russia
-
Upload
alexey-lukatsky -
Category
News & Politics
-
view
3.148 -
download
0
description
Transcript of Future security regulations in Russia
1/70 © 2008 Cisco Systems, Inc. All rights reserved. Security Training
Что ждет нас в области регулирования ИБ в ближайшее время?
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 3/70
Куда движется российский рынок ИБ?
Развитие Требования для
разных видов тайн
Сертификация / лицензирование
Интеграция в мировое
сообщество
Образование
Изменение роли регуляторов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 4/70
Общая тенденция
Абсолютная непрогнозируемость изменений на рынке информационной безопасности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 5/70
Новые требования по защите тайн
Персональные данные
Финансовая отрасль
PCI DSS
СТО БР ИББС-1.0
ФЗ «О национальной платежной системе»
Критически важные объекты
Электронные госуслуги
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 6/70
Персональные данные
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 7/70
Базовая иерархия НПА по ПДн
Приказы и иные документы
Постановления Правительства
Законы
Конвенции и иные международные
договора
Европейская Конвенция
ФЗ №152 от 26.07.2006
ФЗ №160 от 19.12.2005
№781 от 17.11.2007
«Приказ трех» от
13.02.2008
3 открытых документа
ФСТЭК
2 открытых документа ФСБ
№687 от 15.09.2008
№512 от 6.07.2008
Директивы Евросоюза /
Европарламента
Рекомендации ОЭСР
И еще 3-4 десятка нормативных актов разных уровней
Документы РКН
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 8/70
Законопроект Резника
Новые условия обработки ПДн без согласия
Определение трансграничной передачи
Конклюдентная и устная формы согласия
Оферта неограниченному кругу лиц
Дифференция требований по ИБ
Устранение избыточных уведомлений субъектов
Оператор vs обработчик
Соглашение между оператором и субъектов ПДн
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 9/70
Текущая ситуация с ИБ
Безопасность персданных является обязательным условием обработки ПДн
За безопасность ПДн отвечают ФСТЭК и ФСБ
ФСТЭК выпустил приказ №58
ФСБ выпустила 2 методических документа в области криптографии
Подход регуляторов
Сертифицированные СЗИ и СКЗИ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 10/70
Варианты создания отраслевых рекомендаций
Документы ФСТЭК без изменений, но применительно к нуждам отрасли
Полная переработка в соответствие с потребностями
отрасли
Рособразование
Минсоцздравразвитие
Финансы
Операторы связи
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 11/70
Комплекс стандартов ИБ ЦБ РФ
СТО
Общие положения
1.0
Аудит ИБ 1.1
Методика оценки
соответствия 1.2
РС
Рекомендации по
документации в области ИБ
2.0
Руководство по самооценке соответствия
ИБ 2.1
Методика оценки рисков
2.2
Требования по ИБ ПДн
2.3
Отраслевая частная
модель угроз безопасности
ПДн 2.4
СТО – стандарт организации
РС – рекомендации по стандартизации
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 12/70
Регулирование ИБ в финансовой отрасли
В планах (возможно) отдельные стандарты и рекомендации (или добавление в СТО 1.0) по безопасности для участников национальной платежной системы и т.д.
Классификатор 0.0
Термины и определения
0.1
Рекомендации по выполнению законодательных требований при
обработке ПДн
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 13/70
НИР Тритон от ИКС
Принципы защиты ПДн оператора связи
Экономическая обоснованность рекомендаций (требований) исходя из ущерба субъектам и операторам ПДн
Соответствие уровня рекомендаций (требований) по защите ПДн имеющемуся уровню развития информационных технологий с постепенным его повышением по мере готовности операторов ПДн, информационных и защитных технологий, международного и национального законодательства
Учет специфики операторов связи
Применение одних и тех же систем, средств и методов защиты информации для обеспечения безопасности ПДн, КТ и иной конфиденциальной информации
Использование для защиты ПДн систем и средств защиты, которые уже эксплуатируются операторами связи в составе ИСПДн или инфраструктуры безопасности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 14/70
НИР Тритон для операторов связи
Наиболее полный набор документов по защите ПДн
18 иерархически выстроенных документов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 15/70
Новые требования ФСБ
Новый приказ ФСБ по защите персональных данных
Придет на смену двум текущим документам
Запланировано подписание Бортниковым
Запланирована регистрация в МинЮсте
Систематизация требований
Требования по IDS (?)
Изменение лицензионных требований (?)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 16/70
Изменение 1009-ПП
ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые акты Правительства Российской Федерации»
Проекты НПА и нормативных документов ФОИП, которыми регулируются отношения в области организации и осуществления государственного контроля (надзора), в области установления, применения и исполнения обязательных требований к продукции или связанным с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, в области оценки соответствия и в области безопасности процессов производства, подлежат направлению в МЭР РФ на заключение об оценке регулирующего воздействия
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 17/70
Изменение 1009-ПП (окончание)
ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые акты Правительства Российской Федерации»
В этом заключении дается оценка регулирующего воздействия соответствующих решений с целью выявления положений, вводящих избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствующих их введению, а также положений, способствующих возникновению необоснованных расходов субъектов предпринимательской и иной деятельности и бюджетов всех уровней бюджетной системы Российской Федерации
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 18/70
Национальная платежная система
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 19/70
ФЗ «О национальной платежной системе»
Цель - регулировать деятельность организаций - операторов по переводу денежных средств, операторов по приему платежей, операторов платежных систем, операторов услуг платежной инфраструктуры и определить требования к функционированию платежной системы
К обычным участникам платежной системы относятся операторы по переводу денежных средств и приему платежей, участники рынка ценных бумаг, почта и т.п.
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 20/70
ФЗ «О национальной платежной системе»
Все участники НПС обязаны соблюдать требования по защите банковской тайны в соответствие с законом «О банках и банковской деятельности»
Требования по ИБ устанавливает Правительство РФ, а контроль и надзор за выполнением требований осуществляется ФСТЭК и ФСБ
Требований Правительства пока нет
Банк России вправе устанавливать требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям
Данные требования должны быть согласованы с ФСТЭК и ФСБ
Логично предположить, что это будет СТО БР ИББС
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 21/70
КСИИ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 22/70
Термины и определения
Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 23/70
Номенклатура документов по КСИИ
Указ от 16.08.2004
№1085
Указ от 11.08.2003
№960
Приказ от 30.03.2002 №Пр-578
Проект закона (снят)
№411-рс от 23.03.2006
4 «закрытых» документа
ФСТЭК
Указы Президента
Иные документы
Распоряжения Правительства
Отраслевые документы
Секретарь СовБеза РФ от 08.11.2005
«Основы» от 28.09.2006
№1314-р от 27.08.2005
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 24/70
Нормативные документы ФСТЭК
Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах
Общие требования по обеспечению безопасности информации в ключевых системах информационных инфраструктурах
Базовая модель угроз безопасности информации в ключевых системах информационных инфраструктурах
Рекомендации по обеспечению безопасности информации в ключевых системах информационных инфраструктурах
Утверждены 18 мая 2007 года
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 29/70
Контроль государственных ресурсов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 30/70
Контроль госорганов
Постановления и законы
ПП-424 от 18.05.2009 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»
ФЗ «О государственных информационных ресурсах»
Госорганы обязаны обеспечить
защиту информации… от уничтожения, изменения и блокирования доступа к ней
постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования
восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более 8 часов
использование … СЗИ, прошедших оценку соответствия (в том числе в установленных случаях сертификацию)…
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 31/70
Контроль госорганов
Федеральной службе безопасности Российской Федерации совместно с Федеральной службой по техническому и экспортному контролю в 3-месячный срок утвердить требования о защите информации, содержащейся в информационных системах общего пользования
ПП-424
Где прописаны требования по ИБ
Спорный СТР-К от ФСТЭК
Приказ Минкомсвязи России от 25.08.2009 г № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования» (зарегистрирован в МинЮсте)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 32/70
Госуслуги
Постановление Правительства РФ от 22 сентября 2009 г. № 754 «Об утверждении Положения о системе межведомственного электронного документооборота»
Главный регулятор – Федеральная служба охраны (ФСО)
Основной акцент на целостности и конфиденциальности
Законопроект «Об общих принципах организации предоставления государственных (муниципальных) услуг и исполнения государственных (муниципальных) функций»
Никто не понимает, что такое госуслуга. Нет объекта защиты, как можно говорить о защите?
Безопасность госуслуг – для многих это ЭЦП и УЦ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 33/70
Лицензирование
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 34/70
Есть ли у вас лицензия на ТО СКЗИ?
А нужна ли?
Представители 8-го Центра ФСБ заявляют о ненужности лицензии для собственных нужд
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 35/70
Есть ли у вас лицензия на ТО СКЗИ?
Что такое ТО?
К деятельности по техническому обслуживанию шифровальных (криптографических) средств не относится эксплуатация СКЗИ в соответствии с требованиями эксплуатационной и технической документации, входящей в комплект поставки СКЗИ
Не относится к лицензируемой деятельности
Передача СКЗИ клиентам и «дочкам»
Генерация и передача сгенерированных ключей
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 36/70
Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства»
В целях обеспечения обороны страны и безопасности государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами
Риск лицензирования в ФСБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 37/70
Хозяйственное общество, имеющее стратегическое значение для обеспечения обороны страны и безопасности государства, - предприятие созданное на территории Российской Федерации и осуществляющее хотя бы один из видов деятельности, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства и указанных в статье 6 настоящего Федерального закона
пп.11-14 – 4 вида лицензирования деятельности в области шифрования
Наличие всего лишь одного маршрутизатора с IPSec требует от вас лицензии на ТО СКЗИ
Риск лицензирования в ФСБ (окончание)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 38/70
Лицензия на ТЗКИ нужна юридическим лицам, осуществляющим предпринимательскую деятельность, связанную с технической защитой конфиденциальной информацией
Примечание: в новом законопроекте по 149-ФЗ термин «конфиденциальная информация» меняется на «информации, в отношении которой установлено требование об обеспечении ее конфиденциальности»
Одна точка зрения ФСТЭК
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 39/70
Вопрос про лицензию на ТЗКИ для собственных нужд
Согласно ст.49 ГК РФ отдельными видами деятельности можно заниматься только на основании лицензии
В соответствие с ФЗ-128 на ТЗКИ нужна лицензия
Другая точка зрения ФСТЭК
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 40/70
В настоящем стандарте требование получения лицензии на деятельность по технической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются
Раздел 9.6 СТО БР ИББС-1.0
Нужна ли лицензия ФСТЭК банкам?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 41/70
19 июля в ходе заседания Президиума Правительства Российской Федерации был рассмотрен проект закона о лицензировании, который серьѐзно упрощает процедуру получения лицензий, повышает их прозрачность и существенно снижает число лицензируемых видов деятельности
Тематика связанная с лицензированием деятельности по защите информации и криптографии осталась ;-(
Эти виды деятельности были укрупнены в два направления - криптографическая деятельность и защита от несанкционированного доступа к информации
Эти виды деятельности должны будут регулироваться отдельными новыми Постановлениями Правительства
Что нас ждет?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 42/70
Сертификация
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 43/70
О сертификации средств защиты
Методами и способами защиты информации от несанкционированного доступа являются…использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия
Приказ 58 ФСТЭК
Оценка соответствия регулируется ФЗ-184 «О техническом регулировании»
ФСБ требует использования только сертифицированных СКЗИ
Если сфера использования не попадает в исключения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 44/70
Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту
ст. 2 ФЗ-184 «О техническом регулировании»
Особенности оценки соответствия продукции (работ, услуг) и объектов, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации
ст.5 ФЗ-184 «О техническом регулировании»
Не ФСТЭК определяет требования, а Правительство
Оценка соответствия
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 45/70
Согласно ПП-608 обязательная сертификация средств защиты предусматривается только для защиты гостайны
В остальных случаях сертификация является добровольной
Согласно ПП-1013 средства защиты не входят в перечень товаров, подлежащих обязательной сертификации
1 декабря 2009 было принято новое ПП-982 «Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии»
Об обязательной сертификации СЗИ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 46/70
С 1-го декабря 2009 года существует единый перечень всех товаров, которые подлежат обязательной сертификации...
Исключая продукцию, требования к которой устанавливаются в соответствии со статьей 5 Федерального Закона «О техническом регулировании»
Иными словами обязательная сертификация средств защиты может быть определена отдельными нормативными актами…
Особенности технического регулирования в части разработки и установления обязательных требований ... устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями (ФЗ-184 «О техническом регулировании»)
Постановление Правительства №982
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 47/70
Гром с ясного неба!!!
ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)»
ДСП
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 48/70
Надо ли выполнять ПП-330?
Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами
Ст.4.2 ФЗ-152
Аналогичные требования заложены в ПП-1009 и ФЗ-294
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 49/70
Интеграция в мировое сообщество
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 50/70
Все может поменяться
Изменения в ФЗ-184 «О техническом регулировании» и вступление России в ВТО подстегнули процесс признания международных стандартов и нормативных требований
Законопроектом предусматриваются законодательное закрепление возможности признания и заимствования лучших мировых стандартов в целях их применения в Российской Федерации
Также предполагается введение двух применяемых по выбору заявителя режимов технического регулирования, один из которых основан на требованиях российских стандартов, другой - на требованиях иностранных технических регламентов (директив) и стандартов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 51/70
Но все может поменяться (продолжение)
ПП-455 от 17.06.2010 внесено изменение в ПП-163 от 24.02.2009 «Об аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по подтверждению соответствия»
Наличие официально изданных действующих нормативных правовых актов, документов в области стандартизации, принятых на основе международных норм, устанавливающих требования к объектам подтверждения соответствия
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 52/70
Но все может поменяться (окончание)
4 мая Президент направил в ГосДуму законопроект № 368896-5 «О ратификации Соглашения о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия»
Стороны взаимно признают аккредитацию органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия, в национальных системах аккредитации государств сторон
Сторонами являются страны ЕвразЭС - Россия, Казахстан, Беларусь, Киргизия, Таджикистан, Узбекистан
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 53/70
Россия и ВТО: история отношений
В 2007/8-м году Россия отказалась входить в ВТО самостоятельно
Создание Единого таможенного союза (Россия, Казахстан, Белоруссия) и намерение вступать в ВТО в составе союза
Договоренность Медведева и Обамы о вступлении России в ВТО в середине осени
И.Айвазовский. Хаос. Сотворение мира
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 54/70
С чем согласилась Россия
Отсутствие дискриминации и прозрачность всех процедур, связанных с импортом криптографии
Соблюдение Вассенаарского соглашения
То что должно ввозиться свободно по Вассенаару, не должно ограничиваться при импорте в Россию (например, защита интеллектуальной собственности в DVD и т.п., мобильные телефоны и т.д.)
Категория 5, часть 2, список товаров двойного применения
Вся импортируемая криптография делится на 2 части
Ввозимая по уведомлению
Ввозимая после получения лицензии на импорт
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 55/70
Изменение роли регуляторов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 56/70
Государственный контроль и надзор
Любая проверка со стороны регулятора должна проводиться в строгом соответствии с ФЗ от 26.12.2008 №294 «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного и муниципального контроля (надзора)»
Если другие нормативные акты не сужают область действия надзорного органа
Данный ФЗ – единственный, определяющий полномочия надзорных органов
В области ИБ могут быть другие (только уровня ФЗ), но пока их нет
Принятие административных регламентов регуляторов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 57/70
Генпрокуратора – новый регулятор
Генпрокуратура – новый регулятор на рынке безопасности
Порядок согласования с органом прокуратуры проведения проверок установлен приказом Генерального прокурора Российской Федерации от 27 марта 2009 г. № 93
Все плановые и внеплановые проверки должны быть согласованы с Генпрокуратурой
Плановые – до 31 декабря года, предшествующего
Внеплановые – за 3 суток до проверки
Прокуратура отклонила 50% всех заявок на проверки
Сегодня в списке проверок есть только Роскомнадзор
ФСТЭК и ФСБ не любит упоминаний Генпрокуратуры
Потребители не хотят оспаривать незаконные проверки
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 58/70
Саморегулируемые организации
Саморегулируемые организации (СРО) – тенденция 2011-го и последующих годов
Позволяет устанавливать собственные правила по добровольной оценке соответствия
Сегодня существуют планы по созданию СРО в различных отраслях
Финансы
Энергетика
Операторы связи
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 59/70
Об образовании в области ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 60/70
Деятельность Минкомсвязи
Минкомсвязь заказал АП КИТ профессиональный стандарт по профессии «Специалист по информационной безопасности»
Данный профессиональный стандарт будет отражать современные квалификационные требования работодателей и использоваться для целей подготовки рабочих кадров и специалистов, оценки (сертификации), составления должностных инструкций, тарификации и пр.
Стандарт нужен для
Оценки квалификации и сертификации сотрудников
Формирования госстандартов профессионального образования
Управления персоналом
Стандартизации и унификации требований к содержанию и качеству профессиональной деятельности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 61/70
Квалификационные уровни
Национальная квалификация описывает 7 уровней
В области ИБ квалификация начинается с 3-го уровня
Уровень Краткое описание работ Наименование
должности
3-й Участие в работах. Проведение
проверок. Наладка и регулировка.
Техник по ЗИ
4-й Сопровождение. Выполнение
сложных работ. Анализ
потребностей
Специалист по ЗИ
5-й Управление работами по
проектированию и внедрению
СЗИ. Подбор литературы
Инженер по ЗИ
6-й Работа в команде. Разработка
оргмер. Руководство. Организация
аттестаций, спецпроверок.
Начальник отдела ЗИ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 62/70
Квалификационные уровни
Национальная квалификация описывает 7 уровней
В области ИБ квалификация начинается с 3-го уровня
Уровень Краткое описание работ Наименование
должности
7-й Работа в команде. Руководство
работами по ЗИ. Создание
технологий ИБ. Контроль. Оценка
эффективности.
Главный специалист
по ЗИ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 63/70
Деятельность Минобрнауки
Рособразование со следующей осени внедряет государственные образовательные стандарты третьего поколения
Реформа Рособразования мешает процессу
В области ИБ вопросы создания стандартов курирует УМО вузов РФ по образованию в области ИБ (организатор ИКСИ)
Образование по ИБ организуется на трех уровнях
Высшее профессиональное образование (ВПО) – университеты и институты
Среднее профессиональное образование (СПО) – колледжи и лицеи
Начальное профессиональное образование (НПО) – училища и техникумы (только один прецедент в России)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 64/70
Направления образования
2 направления обучения в рамках ВПО
Специалист – 5,5 лет
Бакалавриат / магистратура – 3 / 5 лет
Программы (стандарты) образования
Информационная безопасность телекоммуникационных систем
Информационная безопасность автоматизированных систем
Организация и технология защиты информации
Информационно-аналитические системы безопасности
Компьютерная безопасность
Криптография
Противодействие действиям иностранных технических разведок
В каждой программе существуют свои специализации
Grid, АСУ ТП, транспорт, мобильные технологии…
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 65/70
Особенности подготовки стандартов
По задумке ФГОС рассчитывается на 10-15 лет
Бизнес практически не участвует в подготовке требований
Стандарты формируют ВУЗы
В стандарт попало только то, что ВУЗы готовы преподавать сейчас
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 66/70
Что еще?..
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 67/70
Что еще?
ПП-266 от 21 апреля 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации … об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации»
Основной регулятор – Служба внешней разведки (СВР)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 68/70
Другие изменения
Два законопроекта о регулировании Интернет
Изменение трехглавого ФЗ-149
И еще 41 федеральный закон
Изменение ФЗ-57 (для банков)
Изменение ФЗ-2446-1 «О безопасности»
Новые РД ФСТЭК
Законопроект «Об электронной подписи»
Законопроект «О служебной тайне»
Регулирование систем связи, используемых для нужд обороны и безопасности страны, поддержания правопорядка
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 69/70
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 495 961-1410
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 70/70