Тенденции ИБ в РФ (Минск)
TRANSCRIPT
Основные направления и тенденции развития нормативно-правовой базы Российской Федерации в области информационной безопасности
Андрей Прозоров, CISM Ведущий эксперт по информационной безопасности
Минск 31-‐03-‐2015
Требований становится все больше и больше, документы часто обновляются
3 базовые проблемы
Требований много, сложно найти конкретные рекомендации по их выполнению
Требования ИБ редко учитываются при построении крупных ИС. ИТ-‐шники о них просто не знают…
• Увеличивается количество рабочих групп и совещаний с привлечение экспертов отрасли. Растет количество конференций
• Смотрим в сторону «лучших мировых практик» (27001, NIST), но пока не можем прийти к «процессному подходу» взамен «объектно-‐ориентированного»
• Понемногу начинаем ориентироваться не только на защиту конфиденциальности, но еще доступности и целостности информации
• Курс на совершенствование методологий ФСТЭК России (гос.ИС, ПДн, ключевые системы) и ЦБ РФ (банковская и платежная информация)
• Много ГОСТов (переводных стандартов ISO)
Развитие методологий по ИБ
1. Общие вопросы кибербезопасности 2. Обработка и Защита персональных данных (ПДн) 3. Контроль сети Интернет 4. ГОСТ 15408 (сертификация СЗИ) 5. Импортозамещение
«Теплые» и «горячие» темы
Национальные стратегии кибербезопасности в Мире
hhp://www.enisa.europa.eu/acvvives/Resilience-‐and-‐CIIP/navonal-‐cyber-‐security-‐strategies-‐ncsss/navonal-‐cyber-‐security-‐strategies-‐in-‐the-‐world
• Австрия, 2013 • Бельгия, 2014 • Чешская Республика, 2011 • Эстония, 2014 • Финляндия, 2013 • Франция, 2011 • Италия, 2013 • Германия, 2011 • Венгрия, 2013 • Нидерланды, 2013 • Польша, 2013 • Испания, 2013 • Великобритания, 2011
• Австралия, 2011 • Канада, 2010 • Индия, 2013 • Япония, 2013 • Кения, 2014 • Новая Зеландия, 2011 • Норвегия, 2012 • Южная Корея, 2011 • Швейцария, 2012 • Турция, 2013 • США, 2011 • Россия 2000 (Доктрина ИБ) • …
• Доктрина ИБ – документ хороший, но уже устаревший. Ожидаем пересмотр в 2015 году
• В 2013/2014 году рассматривали проект Концепции Стратегии кибербезопасности. Но «не взлетело»
• Термины «кибербезопасность», «киберугрозы» в законодательных и нормативных актах не используются
• Акцент на защиту критически важных объектов (КВО)
• Есть несколько частных CERT, ожидаем в 2015 году запуск FinCERT (ЦБ РФ) и ГосСОПКА (ФСБ России)
• Появилась база угроз и уязвимостей ФСТЭК России -‐ hhp://bdu.fstec.ru
Кибербезопасность
• Отдельный 152-‐ФЗ «О персональных данных» с 2006 года. Уже 16я редакция закона
• Основные регуляторы: РКН, ФСТЭК России и ФСБ России
• Требования регуляторов по защите ПДн кардинально менялись уже 3 раза. Требований много…
• Рекомендации и шаблоны доступны лишь для ранних версий требований
• Штраф за несоблюдение требований порядка 50-‐200$, штрафов за утечку нет. Уже пару лет хотят поднять до 5 000 – 20 000 $ и расширить состав нарушений
• Новое требование – «запрет хранения ПДн за границей» (по факту, лишь требование по обработке на территории РФ)
Обработка и защита ПДн
Т.к. Вероятность проверок и величина штрафов минимальны, а требования меняются часто, и их выполнять не просто, то многие операторы ПДн или
«выжидают» или занимаются «бумажной безопасностью»
Контроль сети Интернет • Основной закон – 149-‐ФЗ «Об информации,
информационных технологиях и о защите информации». За последние несколько лет вырос в объеме примерно в 2 раза за счет добавления статьей про контроль сети Интернет
• Ведется реестр запрещенных сайтов («Единый реестр доменных имён, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в РФ запрещено»)
• Основания для блокировки: Наркотики, Призывы к суициду, Порно с несовершеннолетними, Фильмы, защищенные исключительными правами, Наличие призывов к массовым беспорядкам, экстремизм, Размещение ложной информации о банках (проект)
• Закон «о блогерах» (+об организаторе распространения информации в сети «Интернет»)
Основной мотив -‐ защита детей от
информации, причиняющей вред их здоровью и развитию
Аналитика Левада-Центр
Сертификация СЗИ по ГОСТ 15408
Ожидаем
• Средства защиты от несанкционированного вывода (ввода) информации (DLP-‐системы)
• Средства контроля и анализа защищенности
• Средства ограничения программной среды
• Средства межсетевого экранирования • Средства управления потоками
информации • Средства идентификации и
аутентификации
• Средства управления доступом • Средства разграничения доступа • Средства контроля целостности • Средства очистки памяти А также требования к: • Средствам защиты среды
виртуализации • Базовым системам ввода-‐вывода • Операционным системам • Система управления азами данных
Основная проблема – ГОСТ 15408 обновился в
2014 году
Уже есть требования к: • Системы обнаружения вторжений • Средства антивирусной защиты • Средства доверенной загрузки • Средства контроля съемных носителей информации
Импортозамещение (не только ИТ)
• Тема не нова. Есть упоминание в Доктрине ИБ (2000) и Стратегии развития ИТ до 2025 года
• Опасаемся риска санкций (сложности с покупкой, обновлением и тех.поддержкой)
• Опасаемся рисков НДВ • Многие СЗИ можно импортозамещать. С АО и основным ПО (ОС) сложнее…
• Все идет к спискам рекомендованного ПО (отраслевые и для гос.оранизаций)
• Государство готово выделять бюджеты на долгосрочные программы
Дзякуй за ўвагу! www.infowatch.ru +7 495 22 900 22
Андрей Прозоров, CISM Моя почта: [email protected]
Мой твиттер: twitter.com/3dwave Мой блог: 80na20.blogspot.com