Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи
2. Какие требования по защите
установлены законодательством РФ?
• До 2006-го года требования по защите были
установлены только для гостайны и
конфиденциальной информации в госорганах
• В 2006-м году был принят закон о персональных
данных
• В 2007-м году были утверждены требования по
КСИИ
• В 2008-м году были утверждены требования для
операторов связи
• В 2012-м году были приняты требования по
защите в НПС
• В 2017-м году приняты требования по КИИ
Требования
ПДн
НПС
ГИС/МИС
АСУ ТП / КСИИ
Операторы
связи
ГТ
Иные
7. КИИ vs КИР: это не одно и тоже
• Законопроект
• Будет
распространяться на
операторов связи и
связанных с ним лиц
Критическая
инфраструктура
Рунета
• Закон ФЗ-187, ФЗ-
193, ФЗ-194
• Распространяется на
13 отраслей, включая
и операторов связи
Критическая
информационная
инфраструктура
8. 3 закона по БКИИ
• Закон вступает в
силу
• Разработка
подзаконных актов
должна быть
завершена к 1-му
января 2018-го года
• Выполнение
требований ФСБ
по
реагированию
на инциденты
• Присоедине-
ние к сетям
электросвязи
• Новый
регулятор
• Категорирование
объектов КИИ
1 января 2018
• Присоединение
к ГосСОПКЕ
9. Операторы связи в контексте КИИ
1. Владельцы объекта КИИ
2. Лица или организации,
обеспечивающие взаимодействие
объектов КИИ между собой
3. Лицо, эксплуатирующее объект КИИ
Субъект КИИ
подпадают под регулирование
Министерства связи и массовых
коммуникаций, которое
разработает требования по
защите по согласованию с ФОИВ
по безопасности КИИ (ФСТЭК) и с
ФСБ в части ГосСОПКИ
(могут не иметь объектов КИИ,
но являются субъектами КИИ)
Операторы
связи
1. Информационные системы
2. Информационно-
телекоммуникационные сети
3. Автоматизированные системы
управления субъектов критической
информационной инфраструктуры
Объект КИИ
10. Что надо делать для выполнения закона?
☔
Категорирование
Обеспечение ИБ
Присоединение к ГосСОПКЕ
11. От чего зависит категория объекта КИИ?
• социальной значимости
(включая недоступность
госуслуг)
• политической значимости для
РФ
• экономической значимости
• экологической значимости
• значимости для обеспечения
обороноспособности,
безопасности государства и
правопорядка
Критерии
на основании установленных
критериев и в соответствии с
утвержденными показателями
этих критериев, осуществляют
отнесение принадлежащих им
на праве собственности или
ином законном основании
объектов КИИ к установленным
категориям
Субъекты КИИ
13. Подключение к сети электросвязи
• Только для значимых объектов КИИ
• Для подключения значимых объектов КИИ
используются
Выделенные сети связи
Технологические сети связи
Сети связи специального назначения
• Возможно и через сети связи общего
пользования, но по согласованию с ФСТЭК
14. Подключение к сети электросвязи
• Необходимость присоединения
определяется субъектом КИИ
• При запросе оператору направляется
модель угроз и модель нарушителя для
значимого объекта КИИ
• Если оператор не способен подключить
субъекта с указанными требованиями по
ИБ, то следует мотивированный отказ
• Доведение оператора до нужного уровня
ИБ осуществляется за счет субъекта КИИ
15. 3 закона по БКИИ
ФЗ-193
ФЗ-194
• Исключение из
надзора по ФЗ-
294
• Уголовная
ответственно
сть
• Отнесение к
гостайне
• Выполнение
требований по ИБ
27 июля 2017
• Установка
средств
обнаружения
атак на сетях
операторов
связи
16. Резюме по срокам
• Закон вступает в силу с 1-го января 2018-го
года
• Определение регулятора – ноябрь 2017
• Определение показателей критериев
категорирования – декабрь 2017
• Требования по надзору – первый квартал
2018
• Завершение категорирования – июля 2019
⏰
17. Правонарушение
Нарушаемая статья
законодательства
Наказание для
должностных лиц
Наказание для
юридических лиц
Обработка, непредусмотренная
законодательством
ФЗ-152 5-10 тысяч рублей 30-50 тысяч рублей
Нарушение требований к согласию Ст.9 ФЗ-152 10-20 тысяч рублей 15-75 тысяч рублей
Обработка ПДн без согласия Ст.6 ФЗ-152 10-20 тысяч рублей 15-75 тысяч рублей
Незаконная обработка
спецкатегорий ПДн
Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей
Неопубликование политики в
области ПДн
Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей
Отказ в предоставлении
информации субъекту
Ст.14, ст.20 ФЗ-152 4-10 тысяч рублей 20-40 тысяч рублей
Отказ в уничтожении или
блокировании или уточнении ПДн
Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей
Нарушение правил хранения
материальных носителей ПДн
ПП-687 4-10 тысяч рублей 25-50 тысяч рублей
Нарушение правил обезличивания
(для госов)
ПП-211 и приказ РКН
№996
3-6 тысяч рублей Не предусмотрено
ПДн: закон по штрафам принят
18. Что вам грозит?..
• Статья 13.11 переходит от прокуратуры к «новому» ФОИВ
(возможно, РКН)
• Текущий текст ст.13.11 начинается с «Нарушение установленного
законом порядка сбора, хранения, использования или
распространения информации о гражданах (персональных
данных)…»
• Это означает, что нарушений может быть много, а наказание всего одно
• Новый текст просто перечисляет составы правонарушений, что
означает, что каждое нарушение может быть квалифицировано
отдельно
19. Борьба с неидентифицированными SIM
• ПП-1295 от 25 октября 2017-го года о
порядке подтверждения соответствия
персональных данных абонентов,
заявленных в договорах об оказании услуг
связи, фактическим данным пользователей
услугами связи
• Уже начались массовые отключения
неидентифицированных абонентов –
номера немедленно удаляются из базы
абонентов
20. И еще про SIM-карты
• В случае хищения денежных средств с
банковского счета путем замены СИМ-
карты, ответственность лежит на
операторе связи
• Оператор мобильной связи несет
ответственность за неправомерные
действия по выдаче дубликата сим-
карты с абонентским номером
пользователя другому лицу,
последствием которых является
получение таким лицом доступа к
банковским счетам гражданина,
использующего этот абонентский номер
с подключением к нему услуги
«мобильный банк»
http://www.vsrf.ru/vscourt_detale.php?id=11571#
21. Новая ответственность
• 13.11 КоАП – ПДн (до 500 тысяч ₽)
• 13.6 КоАП – несертифицированные
средства шифрования на сетях связи (до 1
млн.₽) – при наличии 13.12
• 274.1 УК РФ – несоблюдение мер защиты
КИИ
🎓
22. Закон Яровой
• Введение ответственности за использование несертифицированных
средств шифрования (кодирования) на сетях связи в тех случаях, когда
сертификация обязательна
• Ст.13.6 – до 1 миллиона рублей
• Уже существует ст.13.12 с более широким применением, но меньшим штрафом
• Требование передачи информации, требуемой для декодирования
электронных сообщений, для организаторов распространения
информации
• Порядок пока не определен
• Нестыковки с поручением Президента, в котором говорится о передаче ключей
шифрования
• Непонятно, как реализовать технически при сквозном шифровании и сеансовых
ключах
• Telegram – первый прецедент
24. В качестве резюме
• Государство не откажется от регулирования
вопросов обеспечения кибербезопасности
(информационной безопасности)
• Регуляторами ИБ для телекома является не
только Минкомсвязь и Роскомнадзор, но и
ФСТЭК, ФСБ и, в ряде случаев, Банк России
• Геополитическая ситуация и курс на
цифровой суверенитет только усложняют
вопросы соответствия требованиям текущего
и планируемого законодательства по
кибербезопасности