O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Планируемые изменения законодательства по ИБ в России

4.788 visualizações

Publicada em

Планируемые изменения законодательства по ИБ в России
1. Персональные данные
2. Критические информационные инфраструктуры
3. Национальная платежная система и банковская тайна
4. Операторы связи
5. Государственные и муниципальные учреждения

Publicada em: Direito
  • Dating direct: ♥♥♥ http://bit.ly/2Q98JRS ♥♥♥
       Responder 
    Tem certeza que deseja  Sim  Não
    Insira sua mensagem aqui
  • Dating for everyone is here: ♥♥♥ http://bit.ly/2Q98JRS ♥♥♥
       Responder 
    Tem certeza que deseja  Sim  Não
    Insira sua mensagem aqui
  • Профессиональная тайна... до БОЛИ знакомый термин!
       Responder 
    Tem certeza que deseja  Sim  Não
    Insira sua mensagem aqui

Планируемые изменения законодательства по ИБ в России

  1. 1. Что нас ждет в отечественном законодательстве по ИБ? Лукацкий Алексей, консультант по безопасности
  2. 2. Куда движется законодательство? ИБПерсональные данные Критические инфраструктуры Национальная платежная система Государственные ИС Субъекты Интернет- отношений Облачные технологии
  3. 3. ПЕРСОНАЛЬНЫЕ ДАННЫЕ
  4. 4. Недавние и планируемые изменения по направлению ПДн Что было •  Приказ ФСТЭК №21 по защите ПДн в ИСПДн •  Приказ об отмене «приказа трех» по классификации ИСПДн •  Приказ и методичка РКН по обезличиванию •  Новая версия стандарта Банка России (СТО БР ИББС) •  Закон 242-ФЗ о запрете хранения ПДн россиян за границей •  Письмо Банка России 42-Т Что будет •  Проект приказа ФСБ по использованию СКЗИ для защиты ПДн •  Законопроект Совета Федерации по внесению изменений в ФЗ-152 •  Законопроект по внесению изменений в КоАП •  Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн •  Отраслевые модели угроз •  Ратификация дополнительного протокола Евроконвенции (181)
  5. 5. Что рекомендует письмо 42-Т •  В целях снижения операционного, правового и репутационного рисков кредитным организациям целесообразно актуализировать внутренние документы, определяющие: –  Порядок хранения и уничтожения документов, в том числе на бумажных носителях, содержащих персональные данные клиентов –  Персональную ответственность работников кредитных организаций, осуществляющих непосредственную обработку персональных данных, за сохранение и обеспечение конфиденциальности информации, образующейся в процессе обслуживания клиентов –  Условия, обеспечивающие конфиденциальность и сохранность материальных носителей персональных данных, исключающие несанкционированный доступ к ним с момента создания данных документов до истечения сроков их хранения и уничтожения
  6. 6. На что намекает письмо 42-Т •  Недостатки в деятельности, связанные с исполнением норм ФЗ-152 должны рассматриваться как негативный фактор при оценке качества управления кредитной организацией, в том числе при оценке организации системы внутреннего контроля в соответствии с положением 242-П •  Согласно ст.48 177-ФЗ от 23.12.2003 «О страховании вкладов физических лиц в банках Российской Федерации» такой недостаток может послужить причиной прекращения права банка на привлечение во вклады денежных средств физлиц и на открытие и ведение банковских счетов физлиц –  По сути плохая обработка персональных данных может стать причиной невозможности заниматься основной деятельностью кредитной организации
  7. 7. Законопроект по штрафам •  В новом законопроекте меняется текст статьи 13.11, которая устанавливает два состава правонарушений –  Нарушение требований к письменному согласию субъекта –  Обработка ПДн без согласия или иных законных оснований •  Также вводится еще 3 новых статьи: –  13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K) –  13.11.2 - непредоставление оператором информации и (или) доступа к сведениям, предусмотренным законодательством о ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в отношении обработки ПДн (<=40K) –  13.11.3 - несоблюдение требований по обеспечению безопасности ПДн (<=200K)
  8. 8. Законопроект РГ Совета Федерации •  Вводится понятия «обработчика» •  Защита ПДн в составе профессиональной тайны –  В соответствие с требованиями по защите тайны •  Условия обработки ПДн обработчиком –  Наличие договора = согласие •  Новые условия необеспечения конфиденциальности ПДн •  Электронная, в т.ч. дистанционная форма согласия на обработку ПДн •  Биометрические ПДн –  Только при автоматической идентификации субъекта •  Трансграничная обработка ПДн –  Также при наличии договора –  Не распространять требование за пределами РФ
  9. 9. Законопроект РГ Совета Федерации •  Государственные и муниципальные организации заменяются на организации, обрабатывающие ПДн в целях оказания государственных и муниципальных услуг •  Защита ПДн –  Гармонизация формулировок •  Уведомление РКН –  Гармонизация формулировок •  Возможность самостоятельной разработки модели угроз –  До принятия соответствующих актов ФОИВами
  10. 10. Проект приказа ФСБ •  Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн
  11. 11. Проект приказа ФСБ •  Даны разъяснения (имеющие характер обязательных) положений ПП-1119 –  Например, что такое «организация режима обеспечения безопасности помещений», «сохранность персональных данных», «электронный журнал сообщений» и т.п. •  Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными •  8-й Центр сознательно или несознательно, но ограничил применение для защиты ПДн СКЗИ классом КС3 (!) и выше –  Если вы считаете, что потенциальный нарушитель может получить доступ к средствам вычислительной техники, на которых установлены СКЗИ, то необходимо применять СКЗИ не ниже КС3
  12. 12. Проект приказа ФСБ •  Если вдуматься чуть глубже, то вы обязаны будете применять СКЗИ класса КВ1, если вы опасаетесь, что нарушитель может привлечь специалистов, имеющих опыт разработки и анализа СКЗИ –  А сейчас нет ограничений на таких специалистов - криптографию преподают в 100 с лишним ВУЗах России •  СКЗИ КВ2 применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО –  Прощай open source •  СКЗИ КА1 применяются, когда могут быть использованы недекларированные возможности в системном ПО
  13. 13. Соответствие уровней защищенности классам СКЗИ Уровень защищенности 3-й тип угроз 2-й тип угроз 1-й тип угроз 4 КС1+ КС1+ КС1+ 3 КС1+ КВ2+ - 2 КС1+ КВ2+ 1 - КВ2+ КА1 •  В зависимости от совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак СКЗИ подразделяются на классы
  14. 14. Проект приказа ФСБ •  Все помещения, в которых ведется обработка ПДн, должны по окончании рабочего дня не просто закрываться, а опечатываться (!) –  Это минимум требований для 4-го уровня защищенности •  На 1-м уровне от вас потребуют на первых и последних этажах зданий установки решеток или ставень (!) •  Все носители персональных данных должна учитываться поэкземплярно
  15. 15. Что еще планируется •  Изменения в ФЗ «О лицензировании отдельных видов деятельности» (рабочая группа экспертного совета Минкомсвязи) –  В части определения лицензий на ТЗКИ и шифрования –  Введение термина «собственные нужды» –  Замена термина «конфиденциальная информация» •  Уведомление оператором ПДн субъекта о несанкционированном доступе третьих лиц к ПДн субъекта –  Поправки в ФЗ-152 и, возможно, КоАП •  Отраслевые модели угроз ПДн –  Банка России (уже год ждет согласования с ФСБ) – для банков –  Минкомсвязи – для операторов связи
  16. 16. Банковская модель угроз •  Проект Указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных» •  Согласована с ФСТЭК •  Практически согласована с ФСБ
  17. 17. Закон о запрете хранения ПДн россиян за границей •  Реализация положения ФЗ-242 «о запрете хранения ПДн россиян за границей» –  Запрет хранения –  Наказание за нарушение –  Выведение РКН из под действия 294-ФЗ •  Вступает в силу с 1 сентября 2016 года •  Будут вноситься изменения –  По части «независимого органа» –  По части контроля/надзора –  По части хранения за пределами РФ
  18. 18. Вы не забыли про Конвенцию? •  Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181) •  В 2015-м (возможно) будет принята новая редакция Евроконвенции –  со всеми вытекающими
  19. 19. КРИТИЧЕСКИ ВАЖНЫЕ ОБЪЕКТЫ
  20. 20. Недавние и планируемые изменения по направлению КИИ/КСИИ/КВО/АСУ ТП Что было •  Постановление Правительства №861 от 02.10.2013 •  Приказ ФСТЭК №31 по защите АСУ ТП Что будет •  Законопроект по безопасности критических информационных инфраструктур •  Законопроект о внесении изменений в связи с принятием закона о безопасности КИИ •  Подзаконные акты •  Методические документы ФСТЭК
  21. 21. Новый приказ ФСТЭК №31 •  «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» –  Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений
  22. 22. Ключевые отличия требований по ИБ КСИИ и АСУ ТП •  Объект защиты •  Классификация АСУ ТП / КСИИ •  Уровень открытости циркулируемой в АСУ ТП / КСИИ информации •  Парадигма •  Требования по защите •  Требования по оценке соответствия •  Участники процесса защиты информации
  23. 23. Меры по защите информации •  Организационные и технические меры защиты информации, реализуемые в АСУ ТП –  идентификация и аутентификация субъектов доступа и объектов доступа –  управление доступом субъектов доступа к объектам доступа –  ограничение программной среды –  защита машинных носителей информации –  регистрация событий безопасности –  антивирусная защита –  обнаружение (предотвращение) вторжений –  контроль (анализ) защищенности –  целостность АСУ ТП –  доступность технических средств и информации –  защита среды виртуализации
  24. 24. Меры по защите информации •  продолжение: –  защита технических средств и оборудования –  защита АСУ ТП и ее компонентов –  безопасная разработка прикладного и специального программного обеспечения разработчиком –  управление обновлениями программного обеспечения –  планирование мероприятий по обеспечению защиты информации –  обеспечение действий в нештатных (непредвиденных) ситуациях –  информирование и обучение пользователей –  анализ угроз безопасности информации и рисков от их реализации –  выявление инцидентов и реагирование на них –  управление конфигурацией информационной системы и ее системы защиты
  25. 25. Меры по защите информации: общее Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
  26. 26. Меры по защите информации: различия Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
  27. 27. ФСТЭК унифицирует требования по защите информации Особенность Приказ по защите ПДн Приказ по защите ГИС/МИС Проект приказа по АСУ ТП Требования по защите привязаны к 4 уровням защищенности ПДн 4 классам защищенности ГИС/МИС 3 классам защищенности АСУ ТП Порядок в триаде КЦД КЦД ДЦК Возможность гибкого выбора защитных мер Да Да Да Проверка на отсутствие «закладок» Требуется для угроз 1-2 типа (актуальность определяется заказчиком) Требуется для 1-2 класса защищенности ГИС/МИС Требуется только при выборе сертифицированных средств защиты
  28. 28. Но разница между требованиями ФСТЭК все-таки есть Особенность Приказ по защите ПДн Приказ по защите ГИС/ МИС Проект приказа по АСУ ТП Оценка соответствия В любой форме (нечеткость формулировки и непонятное ПП-330) Только сертификация В любой форме (в соответствии с ФЗ-184) Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация Обязательна Возможна, но не обязательна Контроль и надзор Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн) ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)
  29. 29. Поправки в связи с принятием закона о безопасности КИИ •  Поправки в УК РФ и УПК РФ –  Внесение изменений в статьи 272, 274, 151 (УПК) •  Поправки в закон «О государственной тайне» –  Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени опасности •  Поправки в 294-ФЗ –  Выведение из под порядка проведения проверок КИИ •  Поправки в 184-ФЗ –  Исключение двойного регулирования
  30. 30. Что еще готовится в связи с законопроектом о безопасности КИИ? •  Определение ФОИВ, уполномоченного в области безопасности КИИ –  Через 6 месяцев после принятия закона •  Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры» –  Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ •  Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования и взаимодействия объектов КИИ» •  Приказ уполномоченного ФОИВ об утверждении требований по безопасности КИИ –  Это не 31-й приказ!!!
  31. 31. Что еще готовится в связи с законопроектом о безопасности КИИ? •  Приказы уполномоченного ФОИВ об аккредитации, о представлении сведений для категорирования, о контроле/ надзоре, о реестре объектов КИИ •  Приказ ФСБ об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на объектах КИИ •  Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА •  Приказ ФСБ о порядке доступа к информации в СОПКА •  Приказ ФСБ об утверждении требований к техсредствам СОПКА •  Приказ ФСБ об установке и эксплуатации техсредств СОПКА Приказ ФСБ о национальном CERT •  Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи
  32. 32. Планируемые методические документы ФСТЭК •  Применение «старых» документов ФСТЭК по КСИИ в качестве рекомендательных и методических –  «Рекомендации…» и «Методика определения актуальных угроз…» •  Методичка по реагированию на инциденты (в разработке) •  Методичка по анализу уязвимостей (в разработке) •  Методичка по управлению конфигурацией (в разработке) •  Методичка по аттестации (в разработке) •  Методичка по мерам защиты в АСУ ТП (в разработке) –  По аналогии с «Мерами защиты в ГИС»
  33. 33. ГОСУДАРСТВЕННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ
  34. 34. Недавние и планируемые изменения по направлению ГИС Что было •  Приказ ФСТЭК №17 по защите информации в ГИС •  Методический документ по мерам защиты информации в государственных информационных системах Что будет •  Порядок моделирования угроз безопасности информации в информационных системах •  Новая редакция приказа №17 и «мер защиты в ГИС» •  Методические и руководящие документы ФСТЭК •  Законопроекты о запрете хостинга ГИС за пределами РФ, о служебной тайне, по импортозамещению…
  35. 35. Что еще планируется? •  Законопроект о запрете использования чиновниками и госслужащими несертифицированных мобильных устройств –  Фактически эти нормы уже установлены действующими НПА •  Законопроект о запрете размещения сайтов государственных органов за пределами Российской Федерации –  Фактически эти нормы уже установлены действующими НПА •  Законопроект о регулировании облачных вычислений –  Установление особых требований по ИБ к облакам для госорганов •  Новая статья в КоАП за препятствование доступу к сайтам в Интернет (уже принято) –  Из антитеррористического пакета законов
  36. 36. ФСТЭК планирует установить новые требования к средствам защиты •  ФСТЭК (2013-2015) –  Требования к средствам доверенной загрузки –  Требования к средствам контроля съемных носителей –  Требования к средствам контроля утечек информации (DLP) –  Требования к средствам аутентификации –  Требования к средствам разграничения доступа –  Требования к средствам контроля целостности –  Требования к средствам очистки памяти –  Требования к средствам ограничения программной среды –  Требования к средствам управления потоками информации (МСЭ, однонаправленные МСЭ, коммутаторы…) –  Требования к средствам защиты виртуализации –  ГОСТы по защите виртуализации и облачных вычислений
  37. 37. У ФСТЭК большие планы по регулированию госорганов и муниципалов
  38. 38. Планируемые методические документы ФСТЭК •  Порядок аттестации распределенных информационных систем •  Порядок обновления программного обеспечения в аттестованных информационных системах •  Порядок выявления и устранения уязвимостей в информационных системах •  Порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации •  …
  39. 39. НАЦИОНАЛЬНАЯ ПЛАТЕЖНАЯ СИСТЕМА
  40. 40. Недавние и планируемые изменения по направлению НПС/банковской тайны Что было •  382-П (3007-У) •  2831-У (3024-У) •  55-Т •  42-Т •  49-Т •  242-П •  СТО БР ИББС 1.0 и 1.2 •  Отмена РС 2.3 и 2.4 •  Принятие новых РС 2.5 и 2.6 Что будет •  Новая редакция 382-П •  Новые РС •  Требования для организаций финансового рынка (ФСФР) •  Банковский CERT •  Отраслевая модель угроз ПДн
  41. 41. Планируемые изменения по направлению СТО БР ИББС •  Проекты новых РС –  Проект РС по ресурсному обеспечению информационной безопасности –  Проект РС по виртуализации –  Проект РС по предотвращению утечек информации •  Пересмотр «старых» документов СТО (возможно) –  СТО 1.1, РС 2.0, 2.1 и 2.2 •  Разработка новых РС (возможно) –  Противодействие мошенничеству –  Облачные технологии и аутсорсинг –  Распределение ролей 41
  42. 42. ОПЕРАТОРЫ СВЯЗИ
  43. 43. Недавние и планируемые изменения по направлению ССОП •  Закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам регулирования отношений при использовании информационно-телекоммуникационной сети Интернет» и ФЗ-139 «О защите детей от негативной информации» •  Постановление Правительства №611 от 15.04.2013 «Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи РФ» •  Иных требований по информационной безопасности на операторов связи пока не планируется •  Все изменения касаются контроля Интернет –  Антипиратский закон, контроль социальных сетей, Единая система аутентификации (ЕСИА), запрет анонимайзеров, регулирование Интернет-компаний как организаторов распространения информации, регулирование облачных вычислений и т.п.
  44. 44. В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ
  45. 45. Бешеный принтер
  46. 46. Что может повлиять на законодательное регулирование в худшую сторону?
  47. 47. Нас ждут непростой конец года и начало следующего!
  48. 48. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 48 Благодарю вас за внимание security-request@cisco.com

×