SlideShare uma empresa Scribd logo

Обзор тенденций ИБ-регулирования для телекома

Aleksey Lukatskiy
Aleksey Lukatskiy

Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи

Direito
1 de 25
Baixar para ler offline
5 декабря 2017 Бизнес-консультант по безопасности Ключевые тенденции развития законодательства по ИБ для телекома Алексей Лукацкий
Какие требования по защите установлены законодательством РФ? • До 2006-го года требования по защите были установлены только для гостайны и конфиденциальной информации в госорганах • В 2006-м году был принят закон о персональных данных • В 2007-м году были утверждены требования по КСИИ • В 2008-м году были утверждены требования для операторов связи • В 2012-м году были приняты требования по защите в НПС • В 2017-м году приняты требования по КИИ Требования ПДн НПС ГИС/МИС АСУ ТП / КСИИ Операторы связи ГТ Иные
Что сейчас регулирует вопросы ИБ в телекоме? + закон «О связи»
Что могло появиться? • Минкомсвязи не раз пыталось включиться в регулирование вопросов защиты информации на сетях электросвязи
Сдвиг в сторону регулирования Интернет
2008 2010 2012 2013 2014 2015 2011 2000-е Краткий обзор развития НПА по ИБ (без ГТ) ПДн СТОv4 382-П АСУ ТП ПДн БДУ ГИС ПДн ПДн CERTы СОПКА МИБАСУ ТП КИИ ПДн СТОv5 СТО/РС СТР-К ПКЗ 2016: • СТР • СТО/РС • РД МСЭ 2017: • ФЗ-149/ГИС • ГОСТы ЦБ • СОПКА • КИИ • ПДн
КИИ vs КИР: это не одно и тоже • Законопроект • Будет распространяться на операторов связи и связанных с ним лиц Критическая инфраструктура Рунета • Закон ФЗ-187, ФЗ- 193, ФЗ-194 • Распространяется на 13 отраслей, включая и операторов связи Критическая информационная инфраструктура
3 закона по БКИИ • Закон вступает в силу • Разработка подзаконных актов должна быть завершена к 1-му января 2018-го года • Выполнение требований ФСБ по реагированию на инциденты • Присоедине- ние к сетям электросвязи • Новый регулятор • Категорирование объектов КИИ 1 января 2018 • Присоединение к ГосСОПКЕ
Операторы связи в контексте КИИ 1. Владельцы объекта КИИ 2. Лица или организации, обеспечивающие взаимодействие объектов КИИ между собой 3. Лицо, эксплуатирующее объект КИИ Субъект КИИ подпадают под регулирование Министерства связи и массовых коммуникаций, которое разработает требования по защите по согласованию с ФОИВ по безопасности КИИ (ФСТЭК) и с ФСБ в части ГосСОПКИ (могут не иметь объектов КИИ, но являются субъектами КИИ) Операторы связи 1. Информационные системы 2. Информационно- телекоммуникационные сети 3. Автоматизированные системы управления субъектов критической информационной инфраструктуры Объект КИИ
Что надо делать для выполнения закона? ☔ Категорирование Обеспечение ИБ Присоединение к ГосСОПКЕ
От чего зависит категория объекта КИИ? • социальной значимости (включая недоступность госуслуг) • политической значимости для РФ • экономической значимости • экологической значимости • значимости для обеспечения обороноспособности, безопасности государства и правопорядка Критерии на основании установленных критериев и в соответствии с утвержденными показателями этих критериев, осуществляют отнесение принадлежащих им на праве собственности или ином законном основании объектов КИИ к установленным категориям Субъекты КИИ
Критерий социальной значимости
Подключение к сети электросвязи • Только для значимых объектов КИИ • Для подключения значимых объектов КИИ используются Выделенные сети связи Технологические сети связи Сети связи специального назначения • Возможно и через сети связи общего пользования, но по согласованию с ФСТЭК
Подключение к сети электросвязи • Необходимость присоединения определяется субъектом КИИ • При запросе оператору направляется модель угроз и модель нарушителя для значимого объекта КИИ • Если оператор не способен подключить субъекта с указанными требованиями по ИБ, то следует мотивированный отказ • Доведение оператора до нужного уровня ИБ осуществляется за счет субъекта КИИ
3 закона по БКИИ ФЗ-193 ФЗ-194 • Исключение из надзора по ФЗ- 294 • Уголовная ответственно сть • Отнесение к гостайне • Выполнение требований по ИБ 27 июля 2017 • Установка средств обнаружения атак на сетях операторов связи
Резюме по срокам • Закон вступает в силу с 1-го января 2018-го года • Определение регулятора – ноябрь 2017 • Определение показателей критериев категорирования – декабрь 2017 • Требования по надзору – первый квартал 2018 • Завершение категорирования – июля 2019 ⏰
Правонарушение Нарушаемая статья законодательства Наказание для должностных лиц Наказание для юридических лиц Обработка, непредусмотренная законодательством ФЗ-152 5-10 тысяч рублей 30-50 тысяч рублей Нарушение требований к согласию Ст.9 ФЗ-152 10-20 тысяч рублей 15-75 тысяч рублей Обработка ПДн без согласия Ст.6 ФЗ-152 10-20 тысяч рублей 15-75 тысяч рублей Незаконная обработка спецкатегорий ПДн Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей Неопубликование политики в области ПДн Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей Отказ в предоставлении информации субъекту Ст.14, ст.20 ФЗ-152 4-10 тысяч рублей 20-40 тысяч рублей Отказ в уничтожении или блокировании или уточнении ПДн Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей Нарушение правил хранения материальных носителей ПДн ПП-687 4-10 тысяч рублей 25-50 тысяч рублей Нарушение правил обезличивания (для госов) ПП-211 и приказ РКН №996 3-6 тысяч рублей Не предусмотрено ПДн: закон по штрафам принят
Что вам грозит?.. • Статья 13.11 переходит от прокуратуры к «новому» ФОИВ (возможно, РКН) • Текущий текст ст.13.11 начинается с «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)…» • Это означает, что нарушений может быть много, а наказание всего одно • Новый текст просто перечисляет составы правонарушений, что означает, что каждое нарушение может быть квалифицировано отдельно
Борьба с неидентифицированными SIM • ПП-1295 от 25 октября 2017-го года о порядке подтверждения соответствия персональных данных абонентов, заявленных в договорах об оказании услуг связи, фактическим данным пользователей услугами связи • Уже начались массовые отключения неидентифицированных абонентов – номера немедленно удаляются из базы абонентов
И еще про SIM-карты • В случае хищения денежных средств с банковского счета путем замены СИМ- карты, ответственность лежит на операторе связи • Оператор мобильной связи несет ответственность за неправомерные действия по выдаче дубликата сим- карты с абонентским номером пользователя другому лицу, последствием которых является получение таким лицом доступа к банковским счетам гражданина, использующего этот абонентский номер с подключением к нему услуги «мобильный банк» http://www.vsrf.ru/vscourt_detale.php?id=11571#
Новая ответственность • 13.11 КоАП – ПДн (до 500 тысяч ₽) • 13.6 КоАП – несертифицированные средства шифрования на сетях связи (до 1 млн.₽) – при наличии 13.12 • 274.1 УК РФ – несоблюдение мер защиты КИИ 🎓
Закон Яровой • Введение ответственности за использование несертифицированных средств шифрования (кодирования) на сетях связи в тех случаях, когда сертификация обязательна • Ст.13.6 – до 1 миллиона рублей • Уже существует ст.13.12 с более широким применением, но меньшим штрафом • Требование передачи информации, требуемой для декодирования электронных сообщений, для организаторов распространения информации • Порядок пока не определен • Нестыковки с поручением Президента, в котором говорится о передаче ключей шифрования • Непонятно, как реализовать технически при сквозном шифровании и сеансовых ключах • Telegram – первый прецедент
Приказ №1 тоже ждет изменение
В качестве резюме • Государство не откажется от регулирования вопросов обеспечения кибербезопасности (информационной безопасности) • Регуляторами ИБ для телекома является не только Минкомсвязь и Роскомнадзор, но и ФСТЭК, ФСБ и, в ряде случаев, Банк России • Геополитическая ситуация и курс на цифровой суверенитет только усложняют вопросы соответствия требованиям текущего и планируемого законодательства по кибербезопасности
Спасибо! alukatsk@cisco.com

Recomendados

Текущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыТекущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктуры
Aleksey Lukatskiy
 
Категорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираКатегорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мира
Aleksey Lukatskiy
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Aleksey Lukatskiy
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Aleksey Lukatskiy
 
Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБ
Aleksey Lukatskiy
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
RISClubSPb
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
Aleksey Lukatskiy
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденции
Aleksey Lukatskiy
 

Recomendados

Текущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыТекущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктуры
Aleksey Lukatskiy
 
Категорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираКатегорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мира
Aleksey Lukatskiy
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Aleksey Lukatskiy
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Aleksey Lukatskiy
 
Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБ
Aleksey Lukatskiy
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
RISClubSPb
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
Aleksey Lukatskiy
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденции
Aleksey Lukatskiy
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
Softline
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
Aleksey Lukatskiy
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
Aleksey Lukatskiy
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
Cisco Russia
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
Cisco Russia
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Aleksey Lukatskiy
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Expolink
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данных
Aleksey Lukatskiy
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?
Aleksey Lukatskiy
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
Cisco Russia
 
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Expolink
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Ontico
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
SelectedPresentations
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Demian Ramenskiy
 
Security apocalypse
Security apocalypseSecurity apocalypse
Security apocalypse
Aleksey Lukatskiy
 
GDPR intro
GDPR intro GDPR intro
GDPR intro
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...
Positive Hack Days
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
Aleksey Lukatskiy
 
Security regulations public
Security regulations publicSecurity regulations public
Security regulations public
Expolink
 
пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Mais conteúdo relacionado

Mais procurados

Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
Softline
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
Aleksey Lukatskiy
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
Cisco Russia
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Aleksey Lukatskiy
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Expolink
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данных
Aleksey Lukatskiy
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?
Aleksey Lukatskiy
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Ontico
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Demian Ramenskiy
 
Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...
Positive Hack Days
 

Mais procurados (19)

Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данных
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
 
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
 
Security apocalypse
Security apocalypseSecurity apocalypse
Security apocalypse
 
GDPR intro
GDPR intro GDPR intro
GDPR intro
 
Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...
 

Semelhante a Обзор тенденций ИБ-регулирования для телекома

Security regulations public
Security regulations publicSecurity regulations public
Security regulations public
Expolink
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика применения
Надт Ассоциация
 
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
DialogueScience
 
ульяна зинина
ульяна зининаульяна зинина
ульяна зинина
guest449eb498
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Expolink
 

Semelhante a Обзор тенденций ИБ-регулирования для телекома (20)

Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
 
Security regulations public
Security regulations publicSecurity regulations public
Security regulations public
 
пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2
 
яценко 20 21 сентября
яценко 20 21 сентябряяценко 20 21 сентября
яценко 20 21 сентября
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика применения
 
Vbяценко 20 21 сентября
Vbяценко 20 21 сентябряVbяценко 20 21 сентября
Vbяценко 20 21 сентября
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
 
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...
 
КИИ 187-ФЗ: 
Итоги 2019 года и Вызовы 2020 года
КИИ 187-ФЗ: 
Итоги 2019 года и Вызовы 2020 годаКИИ 187-ФЗ: 
Итоги 2019 года и Вызовы 2020 года
КИИ 187-ФЗ: 
Итоги 2019 года и Вызовы 2020 года
 
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
 
ульяна зинина
ульяна зининаульяна зинина
ульяна зинина
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
 
Особенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомОсобенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежом
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLP
 
Что нам ждать от законодательства по безопасности критической инфраструктуры
Что нам ждать от законодательства по безопасности критической инфраструктурыЧто нам ждать от законодательства по безопасности критической инфраструктуры
Что нам ждать от законодательства по безопасности критической инфраструктуры
 
Перенос персональных данных в РФ. Вопросы и ответы
Перенос персональных данных в РФ. Вопросы и ответыПеренос персональных данных в РФ. Вопросы и ответы
Перенос персональных данных в РФ. Вопросы и ответы
 

Mais de Aleksey Lukatskiy

Mais de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Обзор тенденций ИБ-регулирования для телекома

  • 1. 5 декабря 2017 Бизнес-консультант по безопасности Ключевые тенденции развития законодательства по ИБ для телекома Алексей Лукацкий
  • 2. Какие требования по защите установлены законодательством РФ? • До 2006-го года требования по защите были установлены только для гостайны и конфиденциальной информации в госорганах • В 2006-м году был принят закон о персональных данных • В 2007-м году были утверждены требования по КСИИ • В 2008-м году были утверждены требования для операторов связи • В 2012-м году были приняты требования по защите в НПС • В 2017-м году приняты требования по КИИ Требования ПДн НПС ГИС/МИС АСУ ТП / КСИИ Операторы связи ГТ Иные
  • 3. Что сейчас регулирует вопросы ИБ в телекоме? + закон «О связи»
  • 4. Что могло появиться? • Минкомсвязи не раз пыталось включиться в регулирование вопросов защиты информации на сетях электросвязи
  • 5. Сдвиг в сторону регулирования Интернет
  • 6. 2008 2010 2012 2013 2014 2015 2011 2000-е Краткий обзор развития НПА по ИБ (без ГТ) ПДн СТОv4 382-П АСУ ТП ПДн БДУ ГИС ПДн ПДн CERTы СОПКА МИБАСУ ТП КИИ ПДн СТОv5 СТО/РС СТР-К ПКЗ 2016: • СТР • СТО/РС • РД МСЭ 2017: • ФЗ-149/ГИС • ГОСТы ЦБ • СОПКА • КИИ • ПДн
  • 7. КИИ vs КИР: это не одно и тоже • Законопроект • Будет распространяться на операторов связи и связанных с ним лиц Критическая инфраструктура Рунета • Закон ФЗ-187, ФЗ- 193, ФЗ-194 • Распространяется на 13 отраслей, включая и операторов связи Критическая информационная инфраструктура
  • 8. 3 закона по БКИИ • Закон вступает в силу • Разработка подзаконных актов должна быть завершена к 1-му января 2018-го года • Выполнение требований ФСБ по реагированию на инциденты • Присоедине- ние к сетям электросвязи • Новый регулятор • Категорирование объектов КИИ 1 января 2018 • Присоединение к ГосСОПКЕ
  • 9. Операторы связи в контексте КИИ 1. Владельцы объекта КИИ 2. Лица или организации, обеспечивающие взаимодействие объектов КИИ между собой 3. Лицо, эксплуатирующее объект КИИ Субъект КИИ подпадают под регулирование Министерства связи и массовых коммуникаций, которое разработает требования по защите по согласованию с ФОИВ по безопасности КИИ (ФСТЭК) и с ФСБ в части ГосСОПКИ (могут не иметь объектов КИИ, но являются субъектами КИИ) Операторы связи 1. Информационные системы 2. Информационно- телекоммуникационные сети 3. Автоматизированные системы управления субъектов критической информационной инфраструктуры Объект КИИ
  • 10. Что надо делать для выполнения закона? ☔ Категорирование Обеспечение ИБ Присоединение к ГосСОПКЕ
  • 11. От чего зависит категория объекта КИИ? • социальной значимости (включая недоступность госуслуг) • политической значимости для РФ • экономической значимости • экологической значимости • значимости для обеспечения обороноспособности, безопасности государства и правопорядка Критерии на основании установленных критериев и в соответствии с утвержденными показателями этих критериев, осуществляют отнесение принадлежащих им на праве собственности или ином законном основании объектов КИИ к установленным категориям Субъекты КИИ
  • 13. Подключение к сети электросвязи • Только для значимых объектов КИИ • Для подключения значимых объектов КИИ используются Выделенные сети связи Технологические сети связи Сети связи специального назначения • Возможно и через сети связи общего пользования, но по согласованию с ФСТЭК
  • 14. Подключение к сети электросвязи • Необходимость присоединения определяется субъектом КИИ • При запросе оператору направляется модель угроз и модель нарушителя для значимого объекта КИИ • Если оператор не способен подключить субъекта с указанными требованиями по ИБ, то следует мотивированный отказ • Доведение оператора до нужного уровня ИБ осуществляется за счет субъекта КИИ
  • 15. 3 закона по БКИИ ФЗ-193 ФЗ-194 • Исключение из надзора по ФЗ- 294 • Уголовная ответственно сть • Отнесение к гостайне • Выполнение требований по ИБ 27 июля 2017 • Установка средств обнаружения атак на сетях операторов связи
  • 16. Резюме по срокам • Закон вступает в силу с 1-го января 2018-го года • Определение регулятора – ноябрь 2017 • Определение показателей критериев категорирования – декабрь 2017 • Требования по надзору – первый квартал 2018 • Завершение категорирования – июля 2019 ⏰
  • 17. Правонарушение Нарушаемая статья законодательства Наказание для должностных лиц Наказание для юридических лиц Обработка, непредусмотренная законодательством ФЗ-152 5-10 тысяч рублей 30-50 тысяч рублей Нарушение требований к согласию Ст.9 ФЗ-152 10-20 тысяч рублей 15-75 тысяч рублей Обработка ПДн без согласия Ст.6 ФЗ-152 10-20 тысяч рублей 15-75 тысяч рублей Незаконная обработка спецкатегорий ПДн Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей Неопубликование политики в области ПДн Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей Отказ в предоставлении информации субъекту Ст.14, ст.20 ФЗ-152 4-10 тысяч рублей 20-40 тысяч рублей Отказ в уничтожении или блокировании или уточнении ПДн Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей Нарушение правил хранения материальных носителей ПДн ПП-687 4-10 тысяч рублей 25-50 тысяч рублей Нарушение правил обезличивания (для госов) ПП-211 и приказ РКН №996 3-6 тысяч рублей Не предусмотрено ПДн: закон по штрафам принят
  • 18. Что вам грозит?.. • Статья 13.11 переходит от прокуратуры к «новому» ФОИВ (возможно, РКН) • Текущий текст ст.13.11 начинается с «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)…» • Это означает, что нарушений может быть много, а наказание всего одно • Новый текст просто перечисляет составы правонарушений, что означает, что каждое нарушение может быть квалифицировано отдельно
  • 19. Борьба с неидентифицированными SIM • ПП-1295 от 25 октября 2017-го года о порядке подтверждения соответствия персональных данных абонентов, заявленных в договорах об оказании услуг связи, фактическим данным пользователей услугами связи • Уже начались массовые отключения неидентифицированных абонентов – номера немедленно удаляются из базы абонентов
  • 20. И еще про SIM-карты • В случае хищения денежных средств с банковского счета путем замены СИМ- карты, ответственность лежит на операторе связи • Оператор мобильной связи несет ответственность за неправомерные действия по выдаче дубликата сим- карты с абонентским номером пользователя другому лицу, последствием которых является получение таким лицом доступа к банковским счетам гражданина, использующего этот абонентский номер с подключением к нему услуги «мобильный банк» http://www.vsrf.ru/vscourt_detale.php?id=11571#
  • 21. Новая ответственность • 13.11 КоАП – ПДн (до 500 тысяч ₽) • 13.6 КоАП – несертифицированные средства шифрования на сетях связи (до 1 млн.₽) – при наличии 13.12 • 274.1 УК РФ – несоблюдение мер защиты КИИ 🎓
  • 22. Закон Яровой • Введение ответственности за использование несертифицированных средств шифрования (кодирования) на сетях связи в тех случаях, когда сертификация обязательна • Ст.13.6 – до 1 миллиона рублей • Уже существует ст.13.12 с более широким применением, но меньшим штрафом • Требование передачи информации, требуемой для декодирования электронных сообщений, для организаторов распространения информации • Порядок пока не определен • Нестыковки с поручением Президента, в котором говорится о передаче ключей шифрования • Непонятно, как реализовать технически при сквозном шифровании и сеансовых ключах • Telegram – первый прецедент
  • 23. Приказ №1 тоже ждет изменение
  • 24. В качестве резюме • Государство не откажется от регулирования вопросов обеспечения кибербезопасности (информационной безопасности) • Регуляторами ИБ для телекома является не только Минкомсвязь и Роскомнадзор, но и ФСТЭК, ФСБ и, в ряде случаев, Банк России • Геополитическая ситуация и курс на цифровой суверенитет только усложняют вопросы соответствия требованиям текущего и планируемого законодательства по кибербезопасности