russia security regulations update
DESCRIPTION
TRANSCRIPT
Регулирование рынка ИБ в
России и роль Cisco в этом
процессе
Лукацкий Алексей, менеджер по развитию бизнеса
Содержание
• ФЗ-152 и защита персональных данных
• СТО Банка России
• Безопасность национальной платежной системы
• PCI DSS
• Ключевые системы информационной инфраструктуры
• Электронный документооборот
• Социальные сети и контроль Интернет
• Защита детей от негативной информации
• Облачные технологии – отдельный поток 23-го ноября
• Вступление в ВТО и импорт шифровальных средств
• Изменения законодательства о лицензировании
Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 КЦ
АРБ
РГ
ЦБ
«Безопасность
ИТ» (ISO SC27 в
России)
«Защита
информации в
кредитных
учреждениях»
«Защита
информации»
при ФСТЭК
Консультации
банков по
вопросам ПДн
Разработка
рекомендаций по
ПДн и СТО БР
ИББС v4
ФСБ МКС НАУФОР Дума Слушания
Экспертиза
документов Предложения Отраслевой
стандарт
Экспертиза
документов
Оргкомитет
Слушаний
ОБЩИЕ ЗАМЕЧАНИЯ
Чего боятся отечественные производители средств
защиты?
• Риски, связанные со все более укрепляющимся положением
международных производителей на отечественном рынке
программного обеспечения в сфере ИБ, особенно принимая во
внимание фактическую либерализацию импорта СКЗИ
• Рост роли международных стандартов на национальном рынке
информационной безопасности, перекос регулирования
«экспорт/импорт» может привести к падению спроса на
продукцию отечественных производителей программного
обеспечения
Чего боятся в ФСБ/Совете Безопасности?
• В российских информационно-коммуникационных технологиях
используется до 98% зарубежных разработок и оборудования
– Данные ФСБ для Совбеза РФ
• ФСБ не раз заявляла о том, что для борьбы с этой угрозой
национальной безопасности будут использованы два основных
механизмы
– Недопущение на российский рынок западных продуктов
– Сертификация средств защиты информации
• В качестве угрозы рассматривается использование
несертифицированных отечественных и зарубежных ИТ, средств
защиты информации, средств информатизации,
телекоомуникации и связи при создании и развитии российской
информационной инфраструктуры
– Доктрина информационной безопасности РФ
О чем говорят в Госдуме?
• Россия зависима от западных технологий
– Их разработчики находятся под колпаком у западных спецслужб
• Невозможность бороться с киберпреступлениями
– Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О
борьбе с киберпреступностью», а потом отозвал свою подпись
• Готовятся кибервойны
– США внесло в ООН предложение отвечать военными ударами на
кибератаки
• Законодательство других стран дает право спецслужбам
контролировать весь Интернет-трафик, проходящий через эти
страны
– В России такое же законодательство
Как поступают в других странах?
• Развивать свое, постепенно вытесняя все зарубежное
недоверенное
– Пример: Китай
• Дать возможность применять для гражданского применения все,
что угодно, контролируя наиболее критичные сферы (гостайна,
КВО, оборонка), пытаясь внедрить в них собственные наработки
ИТ ИБ
Бизнес
ИБ ИТ
Россия Запад
Что предлагают регуляторы?
• Выработка мер по минимизации непосредственного участия
иностранных компаний в информатизации процессов
государственного управления
• Содействие развитию отечественного производства средств
связи и телекоммуникаций, ПО, микроэлектронной базы и т.д.
• И еще 5 предложений
• По поводу СПО
– ФСБ не раз заявляла, что уровень затрат на анализ СПО и
проприетарного ПО в контексте ИБ одинаков
– Основным поставщиком ПО для Сочи-2014 выбрана компания
Microsoft – уже после принятия курса на СПО
Что происходит в России?
Большое количество регуляторов
Легитимный ввоз криптографии в соответствие
с правилами Таможенного союза
Использование легитимной криптографии
Требования сертификации
Локальные и закрытые нормативные акты
Отсутствие учета рыночных потребностей
Исторический бэкграунд
ЗАКОНОДАТЕЛЬСТВО И
РЕГУЛЯТОРЫ
Регуляторы в области ИБ
ИБ
ФСТЭК
ФСБ
Минком-связь
МО
СВР
ФСО
ЦБ
PCI
Council
Газпром-
серт
Росатом
РЖД
Рос-
стандарт
Новые нормативные требования
• Персональные данные
• Финансовая отрасль
– PCI DSS
– СТО БР ИББС-1.0
– ФЗ «О национальной платежной системе»
• Электронная подпись
• Критически важные объекты
• Госуслуги и УЭК
• Новый ФЗ о лицензировании
• Социальные сети и контроль Интернет
• Защита детей от информации
• Облачные технологии
• И др.
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Базовая иерархия документов по ПДн
Приказы и иные документы
Постановления Правительства
Законы
Конвенции и иные международные договора
Европейская Конвенция
ФЗ №152 от 26.07.2006
ФЗ №160 от 19.12.2005
№781 от 17.11.2007
«Приказ трех» от
13.02.2008
2 открытых документа и 1 полуДСП от
ФСТЭК
2 открытых документа ФСБ
Регламенты осуществления
контроля и надзорар
№687 от 15.09.2008
№512 от 6.07.2008
Директивы Евросоюза /
Европарламента
Рекомендации ОЭСР
• Готовится 9 новых Постановлений Правительства
• «Старые» Постановления пока действуют
Что поменялось?
• Терминология
– ПДн, биометрические ПДн, обезличивание, обработка,
автоматизированная обработка, трансграничная передача
• Условия обработки ПДн без согласия
• Появление «обработчика» ПДн (ЛОПДПО)
• Условия обработки специальных категорий ПДн
• Условия трансграничной передачи ПДн
• Условия ограничения доступа субъекта к его ПДн
• Условия непредоставления субъекту сведений
• Контроль и надзор со стороны ФСТЭК и ФСБ
• Содержание уведомления в РКН
• Возмещение морального вреда
Что под вопросом?
• Классификация ИСПДн – ее больше нет
– Разные управления РКН считают по разному
• Моделирование угроз – его больше нельзя делать
самостоятельно
– Но ФСТЭК считает иначе
• Требования по защите ПДн – стало жестче
– Или точнее могут стать
• Сертификация средств защиты – на уровне закона
– Сертификация и оценка соответствия это не одно и тоже
– Нечеткость терминологии и жесткость позиции регулятора
• Аттестация объектов информатизации – на уровне закона
• Лицензирование деятельности по защите информации
– Об этом постоянно говорят регуляторы в лице ФСТЭК и ФСБ
Аттестация и новый ФЗ-152
• В четверокнижии ФСТЭК аттестация была обязательной для
ИСПДн К1, К2 и распределенной К3
• В приказе № 58 требования аттестации нет!
• Что такое «оценка эффективности принимаемых мер по
обеспечению безопасности персональных данных до ввода в
эксплуатацию информационной системы персональных данных»?
– Ст.19 нового старого ФЗ-152
• Во ФСТЭК готовятся документы по аттестации объектов
информатизации, обрабатывающих конфиденциальную
информцию
За госорганы все решит Правительство
• Правительство Российской Федерации устанавливает перечень
мер, направленных на обеспечение выполнения обязанностей,
предусмотренных настоящим Федеральным законом и
принятыми в соответствии с ним нормативными правыми актами
операторами, являющимися государственными и
муниципальными органами
• За всех остальных перечень мер определяется ФСТЭК и ФСБ
– На основании и во исполнение федеральных законов
государственные органы, Банк России, органы местного
самоуправления в пределах своих полномочий могут принимать
нормативные правовые акты по отдельным вопросам,
касающимся обработки ПДн
– Пока ФСТЭК и ФСБ не имеют полномочий самостоятельно
проводить проверки операторов персданных
– РКН приглашает ФСТЭК, ФСБ и УСТМ в качестве экспертов
Текущая и будущая ситуация с ЗИ ПДн
• Безопасность персданных является обязательным условием
обработки ПДн
• За безопасность ПДн отвечают ФСТЭК и ФСБ
– ФСТЭК выпустил приказ №58 – в 2012 г. планируется изменение
– ФСБ выпустила 2 методических документа в области
криптографии – в 2012 г. планируется изменение
• Подход регуляторов
– Сертифицированные СЗИ и СКЗИ – подход не меняется,
планируется законодательное ухудшение
– Вновь появляется аттестация
• Отраслевые стандарты – тренд с неочевидной судьбой
– СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития…
– ФСТЭК и ФСБ по-прежнему поддерживают отраслевые
стандарты
Стандарт НАУФОР
• Применяется для всех участников
фондового рынка
• Согласован с ФСТЭК и ФСБ
• Отправлен на согласование в
ФСФР
• Традиционный подход к защите
– Cisco ASA, ISR, IPS, RVPN, CSM
и т.д.
• Официальное мнение
разработчиков стандарта –
решения Cisco полностью
соответствуют требованиям
стандарта НАУФОР
Мероприятия по защите
• Определение угроз безопасности ПДн при их обработке в ИСПДн
– Перед моделирование угроз необходимо определить ИСПДн
• Применение организационных и технических мер по обеспечению
безопасности ПДн при их обработке в ИСПДн, необходимых для
выполнения требований к защите ПДн, исполнение которых
обеспечивает установленные Правительством РФ уровни
защищенности ПДн
• Применение прошедших в установленном порядке процедуру
оценки соответствия средств защиты информации
– Регуляторы считают, что это сертификация
– Существует Постановление Правительства
• Оценка эффективности принимаемых мер по обеспечению
безопасности ПДн до ввода в эксплуатацию ИСПДн
– Регуляторы считают, что это аттестация и готовят нормативку
Мероприятия по защите
• Учет машинных носителей ПДн
• Обнаружение фактов несанкционированного доступа к ПДн и
принятием мер
• Восстановление ПДн, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним
• Установление правил доступа к ПДн, обрабатываемым в ИСПДн,
а также обеспечением регистрации и учета всех действий,
совершаемых с ПДн в ИСПДн
• Контроль за принимаемыми мерами по обеспечению
безопасности ПДн и уровня защищенности ИСПДн
Класс ИСПДн или уровень защищенности?
Старый ФЗ
• Класс ИСПДн определяется в зависимости от объема и типа ПДн
• Класс и модель угроз определяют защитные меры
• Класс определяется оператором
Новый ФЗ
• Понятие «классификации» отсутствует
• Вводится понятие «уровень защищенности»
• Зависит от угроз
• Определяются Правительством РФ
Как Cisco SAFE поможет в классификации ИСПДн?
Загрузить брошюру «Cisco SAFE» можно на сайте www.slideshare.com/CiscoRu
Принципы построения защищенных сетей Cisco SAFE
Принципы ИТ
• Модульность / поэтапность
• Снижение TCO
• Стандартизация / унификация
• Гибкость
• Надежность
• Поддержка новых проектов
• Адаптивность / автоматизация
• Масштабируемость
Принципы ИБ
• Безопасность как свойство, а не опция
• Цель – любое устройство, сегмент, приложение
• Эшелонированная оборона
• Независимость модулей
• Двойной контроль
• Интеграция в инфраструктуру
• Соответствие требованиям
Модульность SAFE = классификация ИСПДн
Data
Center Campus
WAN
Edge Branch
Internet
Edge
E-comm-
erce
Cisco
Teleworker
Virtual
User
Partner
Sites
Сервисы
Policy and
Device
Management
Решения по ИБ PCI
DLP
Threat Control
Сетевые устройства Routers
Servers
Switches
Identify
Monitor
Correlate
Harden
Isolate
Enforce
Видимость Контроль
Secured Mobility, Unified Communications, Network Virtualization
Network Foundation Protection
Устройства ИБ VPNs
Monitoring
Admission Control
Intrusion Prevention
Firewall
Email Filtering
ИСПДн для PCI DSS
Примечание! Отображена реализация не всех требований
Credit Card
Storage
(PCI 1,3,5,6,7)
Удаленная площадка Периметр Интернет
ISR (PCI 4)
Catalyst
ASA (PCI 1,4)
6500 FWSM
CS-MARS (PCI 10)
NAC
Главный офис
6500 Switch
WAP
E-commerce (PCI 1,3,5,6,7)
ASA (PCI 1,4)
7200
CSA MC (PCI 10,12)
WAP
POS Cash Register
(PCI 1,3,5,6,7)
Мобильный
POS POS сервер
(PCI 1,3,5,6,7)
ПК
магазинного
работника
(PCI 1,3,5,6,7)
Блок управления
ЦОД
ACS (PCI 2, 10,12)
WAP
Internet
Беспроводное устройство
CSM (PCI 10,12)
ASA
ИСПДн по СТО БР ИББС-1.0
Примечание! Отображена реализация не всех элементов
Сервер
процессинга
Допофис / отделение Периметр Интернет
ISR Catalyst
ASA
6500 FWSM
CS-MARS
NAC
Главный офис
6500 Switch
WAP
Интернет- банк
ASA
7200
NCM
WAP
POS-терминал Мобильный
POS
Киоск
ПК
банковского
работника
Блок управления
ЦОД
ACS
WAP
Internet
Беспроводное устройство
CSM
ASA
Процессинг
Платежный сегмент ATM
Сегментация Определение
Scope
Может быть scope уменьшен
за счет сегментации?
Вся сеть в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
Сегментация Определение
Scope
Может быть
scope уменьшен
за счет сегментации?
НЕТ
Вся сеть в защищается
Вся сеть в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
Сегментация Определение
Scope
Может быть
scope уменьшен
за счет сегментации?
Консультант может провести сегментацию?
ДА НЕТ
Нет
Вся сеть защищается
Да
Документирование сегментации
Scope уменьшен
Только устройства, обрабатывающие ПДн, в
Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
Вся сеть в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
Сегментация Определение
Scope
Может быть
scope уменьшен
за счет сегментации?
Консультант может провести сегментацию?
ДА НЕТ
Нет
Вся сеть защищается
Да
Документирование сегментации
Scope уменьшен
Только устройства, обрабатывающие ПДн, в
Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
Вся сеть в Scope
POS Servers
Branch
Server Access
Storage
Data Center
inventory Servers
Server Access
WAN Access
CORE
Headquarters
Warehouse
Wide Area Accelerated
Network
Что предлагает Cisco для сегментации?
• Различные технологии
– ACL, VLAN, hard/soft zoning, VSAN,
LUN masking
• Различное оборудование
– Маршрутизаторы Cisco ISR G1 / G2,
Cisco ASR
– Коммутаторы Cisco Catalyst
– Коммутаторы Cisco Nexus и Cisco MDS
– Межсетевые экраны Cisco ASA
• Большинство устройств
сертифицировано в ФСТЭК
– Именно для
разделения/разграничения
/сегментации сетей
Функции защиты ПДн в контексте Cisco
Функция защиты Решение Cisco
Антивирус • Cisco Ironport E-mail Security Appliance /
Web Security Appliance
• Kaspersky Antivirus for Cisco AXP
Управление доступом • Cisco Secure ACS
• Cisco NAC
• Cisco ISE
Регистрация и учет • Cisco Secure ACS
• Cisco ISE
• Cisco Security Manager
Обеспечение целостности Не обеспечивается
Анализ защищенности Cisco Network Compliance Manager
Обеспечение безопасного межсетевого
взаимодействия
• Cisco ASA / Cisco ASA SM
• Cisco IOS Firewall
Обнаружение вторжений • Cisco IPS
• Cisco IOS IPS
Защита при передаче по каналам связи • NME-RVPN
СТО БАНКА РОССИИ
Комплекс стандартов ИБ
СТО
Общие положения
1.0-2010
v4
Аудит ИБ 1.1-2007
v1
Методика оценки
соответствия 1.2-2010
v3
РС
Рекомендации по
документации в области ИБ
2.0-2007 v1
Руководство по самооценке соответствия
ИБ 2.1-2007
v1
Методика оценки рисков
2.2-2009 v1
Требования по ИБ ПДн 2.3-2010
v1
Отраслевая частная
модель угроз безопасности
ПДн 2.4-2010
v1
• СТО – стандарт организации
• РС – рекомендации по стандартизации
Требования к обеспечению ИБ (СИБ) и управлению ИБ
(СМИБ)
• ISO определяет меры по
защите исходя из оценки
рисков
• Набор защитных мер в
СТО обязателен к
применению
– Оценка рисков позволяет
добавить защитные
мероприятия, но не
уменьшить их перечень
• Требования СТО
адаптированы к банкам
– Преимущественно
крупным
ISO
27000
27001
27002
27003
27014
СТО 1.0
Глава 3. Термины
Глава 8. Система менеджмента ИБ
Глава 7. Система ИБ
Глава 8 в части осознания
Требования к организации аудита ИБ
• СТО позволяет
формировать
численные оценки
• СТО вводит единые
критерии оценки по
частным показателям
• СТО позволяет
сравнивать различные
банки
• СТО вводит новое
руководство по
самооценке
ISO
27002
27004
27006
27008
СТО
СТО 1.0. Глава 9. Проверка
СТО 1.2. Оценка соответствия
СТО 1.1. Аудит ИБ
РС 2.1 Самооценка
Требования к оценке рисков нарушения ИБ
• Банк России уже
провел первичную
оценку рисков и
разработал набор
защитных мер в СТО
1.0
• Под специфику
конкретного банка
можно провести свою
оценку рисков и
разработать свои
защитные меры
ISO
27001
27005
СТО
СТО 1.0. Глава 8. СМИБ
РС 2.2. Оценка рисков
РС 2.4. Модель угроз ПДн
Требования к защите ПДн
• СТО формирует единый
набор требований для
защиты КТ, БТ и ПДн
• Процесс оценки
соответствия также
унифицирован для всех
видов защищаемой
информации
• СТО уже вводит
требования по защите
ПДн (ISO 2910x – пока
проект)
ISO
27002
29100
29101
СТО
РС 2.3. Защита ИСПДн
СТО 1.0. Раздел 7.10
О технических требованиях СТО в контексте Cisco
Функция защиты Решение Cisco
Распределение ролей • Cisco Secure ACS
• Cisco ISE
• Cisco NAC
Управление доступом и регистрация • Cisco ISE
• Cisco Security Manager
• Cisco Secure ACS
• Любое сетевое оборудование
Cisco
Антивирус • Cisco IronPort E-mail Security
Appliance
• Kaspersky Antivirus for Cisco AXP
• Cisco NAC / Cisco ISE
Доступ к ресурсам Интернет • Cisco ASA / ASA SM
• Cisco IOS Firewall
• Cisco AnyConnect Secure Mobile
Client
• Cisco IPS / Cisco IOS IPS
О технических требованиях СТО в контексте Cisco
Функция защиты Решение Cisco
Криптографическая защита • NME-RVPN (КС2)
Защита персональных данных • В соответствие с предыдущим
разделом по защите персданных
Защита банковских платежных
процессов
• Cisco NAC / Cisco ISE
• Cisco IronPort E-mail Security
Appliance
Мониторинг и контроль защитных мер
• Cisco Network Compliance Manager
Рекомендательность стандарта ;-(
Чьи требования выполнять для защиты ПДн?
СТО
ФСТЭК
ФСБ
«Письмо шести» согласовано с
тремя регуляторами в области ПДн
Таблица соответствия требований
Динамика присоединения
20
25
30
35
40
45
50
2007 2010
Приняли
Планируют
Развитие Комплекса стандартов
• РС «Методика назначения и описания ролей» (принята)
• РС «Методика классификация активов» (под вопросом)
• РС «Требования по обеспечению безопасности СКЗИ» (план)
Классификатор 0.0
Термины и определения
0.1
Рекомендации по выполнению законодательных требований при
обработке ПДн
Перемены в вопросе стандартизации ИБ банков
• В декабре 2010 года в России при Росстандарте создан новый
технический комитет - ТК 122 «Стандартизация в области
финансовых услуг»
– ТК 122 соответствует ISO TC 68 “Financial Services»
• Базовая организация – Центральный банк
• В связи с определенными разногласиями работы по
стандартизации в области информационной безопасности в
кредитно-финансовой сфере будут перенесены из ТК 362 и
продолжены в рамках ПК1
Развитие регулирования ИБ банков
• Упор на отраслевые стандарты
– Разработанные в рамках ТК 122 и рабочих групп ЦБ
• В середине ноября в ЦБ создана рабочая группа по разработке
требования по защите участников Национальной платежной
системы
– Процессинг
– ДБО
– Платежные системы
– Электронные и мгновенные платежи (включая мобильных
операторов)
– Карточный бизнес
• Банк России стал официальным регулятором
– СТО станет обязательным к применению
• Саморегуляция также возможна
PCI DSS
PCI Data Security Standard
• Первая версия опубликована в
январе 2005; текущая версия - 2.0
• PCI DSS 2.0 станет обязательным с
1-го января 2012
• Влияет на ВСЕХ кто
– Обрабатывает
– Передает
– Хранит: данные владельцев карт
• PCI – это не государственный
стандарт
– Это соглашение между платежной
системой и ее участниками
Payment Card Industry
Data Security Standard
12 требований PCI DSS
Требования PCI Data Security Standard
Построить и поддерживать
сеть в защищенном
состоянии
1. Внедрение и поддержка конфигурации МСЭ
2. Не использовать пароли и настройки по умолчанию
Защитить данные
владельцев карт
3. Защита хранимых данных
4. Шифрование данных платежных карт и иной
информации при передаче по открытым сетям
Поддержка программы
управления уязвимостями
5. Использование и обновление антивирусов
6. Разработка и поддержка систем в защищенном
состоянии
Внедрение мер строгого
контроля доступа
7. Ограничение доступа к данным
8. Привязка уникального ID каждому пользователю
9. Ограничение физического доступа
Регулярный мониторинг и
тестирование сетей
10.Контроль и мониторинг доступа к сетевым ресурсам и
данным платежных карт
11. Регулярное тестирование систем и процессов ИБ
Поддержка политики ИБ 12. Поддержка политики информационной безопасности
Изменения PCI 2.0
• 119 изменений в виде разъяснений
• 15 изменений в виде дополнительных
указаний
• 2 изменения в виде новых требований
Ключевые изменения PCI DSS 2.0
• Виртуализация
• Обнаружение чужих Wi-Fi устройств
Новые сроки соответствия
• PCI DSS 2.0 начинает трехлетний жизненный цикл на разработку
и внедрение новых версий стандартов
• Новый стандарт действует с 1-го января 2011, но проверка на
соответствие предыдущей версии стандарта (1.2.1) будет
разрешена до 31 декабря 2011
• С 1-го января 2012 вся оценка соответствия проводится только
на PCI DSS 2.0
Virtualization Guidelines
• Новые указания по использованию
виртуализации в рамках проектов по
PCI DSS
– Включая все технологии
виртуализации, а не только для
серверов
• Включает раздел по облачным
вычислениям
Cisco UCS
CUPC MS Office Video
Desktop Virtualization Software
Виртуальный ЦОД
WAAS
ISR
VSG
Nexus
Филиал ЦОД
Cisco
WAN
Microsoft OS
Сеть с поддержкой технологий
виртуализации
ASA
Broker
Единый подход к вопросам безопасности, управления и автоматизации
Виртуализация в контексте Cisco
Экосистема тонких
клиентов
Рабочие
Устройства Клиент
Cisco VXI
Бизнес-планшеты
Виртуальное рабочее
пространство
Hypervisor FC
Virtual CUCM
Virtual QUAD
vWAAS
ACE
Тонкие клиенты
Cius
Виртуализация: точка присутствия
• Виртуальные LAN
– Wired: Cisco Catalyst
2960/3560/3750 series
Switches
– Wireless: Cisco Aironet 1040,
1200, 3500 Series Access
Points
• Виртуальные Firewall/IPS
– Cisco Integrated Service
Routers (ISR) Generation 2:
800, 1900, 2900, 3900 Series
• Виртуальные сервера
– Cisco Service Ready Engine
with Unified Computing
System (UCS) Express image
Access Point
Integrated Firewall/IPS
Switch
POS Server Router
WAN, Data Center, and Centralized Management Wireless IPS
Out of Scope
VLANs
UCS Express
Print Server
UCS Express
VLANs
Sensitive Scope
Виртуализация: ЦОД
• Виртуальные LANs
– Nexus 1000v virtual Switch
– Nexus 5000 & 7000 Switches
– MDS 9000 Storage Switch
• Виртуальный МСЭ
– Virtual Secure Gateway
(VSG)
– ASA 5585 Firewall
• Виртуальные сервера
– Unified Compute Systems
– VCE VBLOCK-1 Architecture
Nexus Switches
Access Layer
Data Center, Aggregation Layer
Adaptive Security
Appliance
Segmentation
VLAN Routing
VDC2
VDC1
WAN and CORE
Детальные руководства
Обнаружение чужих Wi-Fi устройств
• 11.1: Обнаружение беспроводных точек доступа обновлено за
счет новых методов:
– Сканирование беспроводных сетей
– Физическая/логическая инспекция
– NAC
– Wireless IDS и IPS
• 11.1b: Проверка методов
тестирования для аккуратного
обнаружения:
– WLAN cards
– Portable wireless devices (USB, etc.)
– Attached wireless devices and
access points
Защита телефонии в PCI
• Новые указания по использование
телефонных технологий в рамках PCI
• Cisco IP Phones с внутренним
коммутатором, подключенные к
терминалам (Point of Service
Terminals)
• Центры обработки вызовов
Управление
• Сеть: Routers, Switches и Wireless
• ИБ: Firewalls и Intrusion Detection
• Точки продаж: сервера и приложения
• Голос: Телефоны и ЦОВ
• Email: Data Loss Prevention
• Physical: Surveillance и Badge Access
• Аутентификация
• Управление
Internet Edge Data Center Contact Center
Store
Целостное решение
Конечные
устройства
Инфраструктура
PCI DSS 2.0 Solution Framework
• Шифрование
• Мониторинг
• Assess
• Design
• Implement
• Audit
Сервисы
Продуктовые линейки Cisco
Routing Cisco Integrated Services Routers (ISR, ISR G2), Cisco Aggregation Services Routers (ASR)
Switching Cisco Catalyst Compact, Access and Data Center Switches, Cisco Nexus 1000 Virtual, 5000 and 7000
Switches, Cisco Application Control Engine (ACE), Cisco Multilayer Director Switch (MDS) with Storage
Media Encryption Module
Network Security Cisco Adaptive Security Appliance (ASA), Cisco IronPort Email Security Appliance, Cisco Network
Admission Control Appliance (NAC), Cisco AnyConnect VPN, Cisco Firewall Services Modules (FWSM),
Cisco Intrusion Detection System Services Modules (IDSM), Cisco Intrusion Prevention System
Appliances (IPS), Cisco Nexus Virtual Security Gateway (VSG), Cisco IOS Firewall, Cisco IOS IPS,
Cisco Secure Access Control Server (ACS)
Wireless Cisco Aironet Access Points, Cisco Wireless LAN Controllers, Cisco Mobility Services Engine with
enhanced local mode (ELM), Cisco Adaptive Wireless IPS
Physical Security Cisco Video Surveillance Operations Manager (VSOM), Cisco Video Surveillance IP Cameras, Cisco
Physical Security Multiservices Platform (MSP), Cisco Physical Access Manager (CPAM), Cisco Physical
Access Gateways
Compute Systems and
Storage
Cisco Unified Computing System (UCS) Blade and Rack-Mount Servers, Cisco UCS Express
Management Cisco Security Manager (CSM), Cisco Wireless Control System (WCS), CiscoWorks LAN Management
Solution (LMS)
Voice Cisco Unified Communications Manager (CUCM), Cisco Unified IP Phones
WAN Optimization Cisco Wide Area Application Engine (WAE), Cisco Wide Area Application Services (WAAS)
Remote Workers Partners
VPN
Core
Service Aggregation
Monitoring
Security Management
Authentication POS Servers
DMZ
Web App FW
Web Servers
MDS 9000 SAN Switches
Store
INTERNET EDGE
STORAGE
Data Center
External Locations
Adaptive Security Appliance
Integrated Services Router
LWAPP
Campus or HQ
POS Servers
POS Register
PC Mobile POS
Business Servers
Network Services
Network Management
Database
SERVER ACCESS
WAN Aggregation
Не продуктом единым
POS Servers
POS Register
PC Mobile POS and Inventory
Disk Arrays
Tape Storage
AGGREGATION
Access
Catalyst Switch
INTERNET
Service Provider
Remote Workers Partners
VPN
Core
Service Aggregation
POS Servers
DMZ
Web App FW
Web Servers
MDS 9000 SAN Switches
Store
INTERNET EDGE
STORAGE
Data Center
External Locations
Adaptive Security Appliance
Integrated Services Router
LWAPP
Campus or HQ
POS Servers
POS Register
Business Servers
Network Services
Database
SERVER ACCESS
WAN Aggregation
Конкретные рекомендации: Требование 1
POS Register
Mobile POS and Inventory
Disk Arrays
Tape Storage
AGGREGATION
Access
INTERNET
Service Provider
Monitoring: SIEM
Security Management:
Cisco Security Manager
Network Management:
CiscoWorks LMS
File Security Adapter +
Payment Devices
Security Management: Key Manager Client
Security Management: Key Manager Client
Payment Devices
Mobile POS/ Inventory
Authentication
Cisco PCI Solution for Retail 2.0
• Позволяет выполнять указания
PCI DSS 2.0 в специфичных
технологических областях
• Обеспечивает руководство для
выполнения требований PCI и
защиты данных платежных карт
Детальные руководство Cisco PCI Solution for Retail 2.0
• Рекомендованные архитектуры для сетей,
хранящих, обрабатывающих и
передающих данные платежных карт
• Протестированы в реальном окружении с
POS, серверами приложений,
беспроводными устройствами,
соединением с Интернет, ЦОВ и
системами безопасности
• Руководства оценены PCI QSA (Verizon)
• Включают расширенные рекомендации по
реализации требований PCI в
виртуализированном и 3G окружении
Validated Design
Small Retail Store
Специальные SKU для маршрутизаторов Cisco ISR 800
• Стандарт PCI DSS не разрешает
использовать «слабую» криптографию для
защиты данных платежных карт
– Для Cisco это означает, что необходимо
использовать только оборудование -K9
– Это сопряжено с рядом сложностей при
ввозе этой продукции в Россию –
требуется разрешение ФСБ
• Для облегчения выполнения требований
PCI DSS компания Cisco создала
специальные SKU с кодом –PCI
– Для ISR 861, 881 и 891
– Имеет код K9, но ввозится по нотификации
– Не отличается от продукта без кода -PCI
Дополнительная информация
• Презентация (на русском языке) о стандарте PCI DSS 2.0
• Ролик на YouTube (с русскими субтитрами) о стандарте PCI DSS
• Презентация (на русском языке) о том, как Cisco ISR помогает выполнять требования PCI DSS
• Онлайн-помощник (на английском языке) по изучению стандарта PCI DSS
• Раздел на сайте Cisco (на английском языке), посвященный стандарту PCI DSS
• Картины художников, посвященные стандарту PCI DSS
• Руководство по дизайну и внедрению PCI DSS 2.0 на базе решений Cisco
• Чеклист по настройкам беспроводных решений Cisco для выполнения требований PCI DSS
• И многое другое
ЭЛЕКТРОННЫЙ
ДОКУМЕНТООБОРОТ
Две стороны одной медали
• Приказ Минкомсвязи РФ от 02.09.2011
№ 221 «Об утверждении Требований к
информационным системам
электронного документооборота
ФОИВ, учитывающих в том числе
необходимость обработки посредством
данных систем служебной
информации ограниченного
распространения»
– Зарегистрировано в Минюсте РФ
15.11.2011 N 22304
• Приказ Минкомсвязи РФ от 27.12.2010
№ 190 «Об утверждении технических
требований к взаимодействию систем
в единой системе межведомственного
электронного взаимодействия»
Внутренний ЭД Межведомственный
ЭД
Межведомственный электронный документооборот
• Подсистема информационной безопасности каждой
информационной системы, подключаемой к системе
взаимодействия, должна обеспечивать установленные
законодательством Российской Федерации уровни защищенности
информации, обрабатываемой в этой системе
– Пока не утверждены
• Каналы защищаются VPN-решениями класса не ниже КС3
– Учитывайте, что речь идет о межведомственном, а не
внутреннем электронном документообороте
• Сертифицированные межсетевые экраны
– Cisco ASA, Cisco ASA SM, Cisco IOS Firewall
Внутренний электронный документооборот
• Защищенность от несанкционированного доступа в случаях, когда в СЭД предусмотрена обработка служебной информации ограниченного распространения - не ниже класса 1Г
• Для защиты служебной информации ограниченного распространения должны использоваться сертифицированные в соответствии с требованиями безопасности информации технические и (или) программные средства защиты информации
• Требования по защите информации и мероприятия по их выполнению, а также конкретные программно-технические средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности
– Пока не установлены
• СЭД не должна иметь прямого (незащищенного) подключения к Интернет в соответствии с Указом Президента №351
– Необходимо применение сертифицированных межсетевых экранов и VPN-решений (любого класса)
Требования к УЦ и ЭП
• Проект приказа ФСБ «Об утверждении Требований к средствам
электронной подписи»
• Проект приказа ФСБ «Об утверждении Требований к средствам
удостоверяющего центра»
• Проект приказа ФСБ «Об утверждении Требований к форме
квалифицированного сертификата ключа проверки электронной
подписи»
Электронная подпись и банки
• В соответствии с Указанием Банка России от 16 января 2004 года № 1375-У «О правилах составления и представления отчетности кредитными организациями в Центральный банк Российской» (далее - Указание № 1375-У) при составлении и представлении отчетности кредитных организаций в Банк России в электронном виде для подтверждения подлинности и контроля целостности электронного сообщения используется код аутентификации
• Код аутентификации является аналогом электронной подписи, отвечающим требованиям, предусмотренным пунктами 2 и 3 статьи 5 Федерального закона от 06.04.2011 года 63-Ф3 «Об электронной подписи»
• Учитывая изложенное, кредитным организациям при составлении и представлении отчетности в Банк России в электронном виде следует руководствоваться порядком, установленным Указанием Банка России от 24 января 2005 года № 1546-У «О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации»
КРИТИЧЕСКИ ВАЖНЫЕ
ОБЪЕКТЫ
Последние изменения
• 21 июля 2011 года Президент РФ подписал Федеральный Закон
«О безопасности объектов топливно-энергетического комплекса»,
а также Федеральный закон «О внесении изменений в отдельные
законодательные акты Российской Федерации в части
обеспечения безопасности объектов топливно-энергетического
комплекса»
• Статья 11 «Обеспечение безопасности информационных систем
объектов топливно-энергетического комплекса»
– Требования и состав комплекса защитных мер пока не
определены
Термины и определения
• Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями
• Критически важный объект – объект, оказывающий существенное влияние на национальную безопасность РФ, прекращение или нарушения деятельности которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени
Ключевые системы образуются
• Государственной автоматизированной системой «Выборы»
• Системами органов государственной власти
• Автоматизированными системами управления войсками и оружием
• Спутниковыми системами, используемыми для обеспечения органов управления и в специальных целях
• Системами органов управления правоохранительных структур
• Средствами и системами телерадиовещания и другими системами информирования населения
• Общегосударственными кадастрами и базами данных справочной информации
• Магистральными сетями связи общего пользования и сетями связи общего пользования на участках, не
имеющих резервных или альтернативных видов связи
• Программно-техническими комплексами центров управления сетей связи
• Системами финансово-кредитной и банковской деятельности - расчетно-кассовые системы, системы
электронных платежей, информационные системы сбора обязательных платежей в бюджет,
информационные системы учета и распределения бюджетных поступлений и расходов
• Системами управления добычей и транспортировкой нефти, нефтепродуктов и газа
• Системами управления водоснабжением, водонапорным и гидротехническим оборудованием
• Системами управления энергоснабжением
• Системами управления транспортом
• Системами управления потенциально опасными объектами
• Системами предупреждения и ликвидации чрезвычайных ситуаций
• Географическими и навигационными системами
• И другими системами, влияющими на национальную безопасность страны
Номенклатура документов по КСИИ
Указ от 16.08.2004
№1085
Указ от 11.08.2003
№960
Приказ от
30.03.2002
№Пр-578
Проект
закона (снят)
№411-рс от
23.03.2006
4 «закрытых»
документа
ФСТЭК
Указы
Президента
Иные
документы
Распоряжения
Правительства
Отраслевые
документы
Секретарь
СовБеза РФ
от 08.11.2005
«Основы» от 28.09.2006
№1314-р от
27.08.2005
Требования по безопасности
• Требования по обеспечению безопасности информации в КСИИ
отличаются в зависимости от их типа и между собой не
пересекаются (!!!)
– 1-й тип – системы сбора и хранения открытой информации, а
также системы управления СМИ
– 2-й тип – системы управления критически важными объектами
• Требования по обеспечению безопасности информации в КСИИ
различных уровней важности соответствуют требованиям для
различных классов защищенности АС и МСЭ или уровней
контроля отсутствия НДВ
– Исключение составляют требования, для которых у ФСТЭК
отсутствуют руководящие документы – антивирусная защита,
анализ защищенности, обнаружение вторжений и требования
доверия к безопасности
Требования по защите КСИИ 1-го типа
Группы требований Уровень важности КСИИ
3 2 1
Управление доступом 1Г 1В 1Б
Регистрация и учет 1Г 1В 1Б
Обеспечение целостности 1Г 1В 1Б
Обеспечение безопасного межсетевого
взаимодействия в КСИИ 4 3 2
Уровень контроля отсутствия НДВ 4 3 2
Антивирусная защита + + +
Анализ защищенности + + +
Обнаружение вторжений + + +
Требования доверия к безопасности + + +
Требования по защите КСИИ 2-го типа
Группы требований Уровень важности КСИИ
3 2 1
Планирование обеспечения безопасности + + +
Действия в непредвиденных ситуациях + + +
Реагирование на инциденты + + +
Оценка рисков + + +
Защита носителей информации + + +
Обеспечение целостности + + +
Физическая защита и защиты среды + + +
Безопасность и персонал + + +
Информирование и обучение по вопросам ИБ + + +
Защита коммуникаций + + +
Аудит безопасности + + +
КОНТРОЛЬ СОЦИАЛЬНЫХ
СЕТЕЙ И ИНТЕРНЕТ
Контроль социальных сетей и Интернет
• Кодекс (Конвенция) поведения ООН в области ИБ
– Инициирован Россией, Китаем, Узбекистаном и Таджикистаном
– Запрет на вмешательство в национальное Интернет-пространство
– Запрет на использования Интернет и социальных сетей для свержения правительств
• Социальные сети и Интернет надо контролировать
– Юрий Чайка, Генеральная прокуратура
• Интернет не приемлет анонимности – надо контролировать
– Кирилл, Русская Православная Церковь
• Интернет не приемлет анонимности – надо контролировать
– Рашид Нургалиев, МВД
• Пользователи должны иметь Интернет-паспорта
– Евгений Касперский
Социальные сети несут другие угрозы с точки зрения
Cisco
21% 64% 47% 20% 55%
Людей
принимают
«приглашения
дружбы» от
людей, которых
они не знают
Людей не думая
кликают по
ссылкам,
присылаемым
«друзьями»
Пользователей
Интернет уже
становились
жертвами
заражений
вредоносными
программами
Людей уже
сталкивалось с
кражей
идентификаци
онных данных
Людей были
подменены с
целью получения
персональных
данных
Контроль социальных сетей с помощью Cisco Ironport
Web Security Appliance
Application Visibility and Control
Глубокий контроль приложений -- IM, Facebook, WebEx
Управление полосой для потокового видео
Рейтинг узлов
URL фильтры URL база данных с широким
покрытием (>50M узлов)
Динамическая категоризация неизвестных URL
Обновления БД с пятиминутным интервалом
ЗАЩИТА ДЕТЕЙ ОТ
ИНТЕРНЕТ
Защита детей от Интернет
• ФЗ «О защите детей от негативной информации»
– Вступление в силу с осени 2012 года
• Изменения в КоАП в части ответственности за невыполнение
требований закона
• Новый регулятор – Роскомнадзор
– Bдет оформление полномочий
– Будет устанавливать требования к средствам фильтрации
• Требования к пунктам коллективного доступа использования
средств фильтрации контента
– Непонятно, что такое пункт коллективного доступа (по мнению
Минкомсвязи – это только Почта России)
ОБ ОЦЕНКЕ СООТВЕТСТВИЯ
Оценка соответствия ≠ сертификация
• Старые НПА «говорят»
преимущественно о сертификации, а
новые – об оценке соответствия
• Оценка соответствия ≠
сертификация
• Оценка соответствия - прямое или
косвенное определение соблюдения
требований, предъявляемых к
объекту
• Оценка соответствия регулируется
ФЗ-184 «О техническом
регулировании»
Оценка соответствия
Оценка соответствия
Госконтроль и надзор
Аккредитация
Испытания
Регистрация
Подтверждение соответствия
Добровольная сертификация
Обязательная сертификация
Декларирование соответствия
Приемка и ввод в эксплуатацию
В иной форме
Системы сертификации
ФСТЭК ФСБ МО СВР
Все, кроме
криптографии
СКЗИ
МСЭ
Антивирусы
IDS
BIOS
Сетевое
оборудование
Все для нужд
оборонного ведомства
Тайна, покрытая
мраком
Требования
открыты Требования закрыты (часто секретны). Даже лицензиаты
зачастую не имеют их, оперируя выписками из выписок
А еще есть 4 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,
«АйТиСертифика» (ЕВРААС), Ecomex и «Каскад»
Есть ли разница?
Единичный экземпляр
Партия Серия
Дата выпуска: 12 декабря 2010 года
CRC: E6D3A4B567
Место производства: Ирландия,
Дублин
Смена: 12
Версия ОС: 8.2
Производительность: 40 Гбит/сек
Дата выпуска: 12 декабря 2010 года
CRC: E6D3A4B567
Место производства: Ирландия,
Дублин
Смена: 12
Версия ОС: 8.2
Производительность: 40 Гбит/сек
Cisco ASA 5585-X Cisco ASA 5585-X
В чем проблема?
Единичный экземпляр
Партия Серия
Основная схема для
западных вендоров
Оценивается конкретный
экземпляр (образец)
Число экземпляров – 1-2
Основная схема для
западных вендоров
Оценивается
репрезентативная выборка
образцов
Число экземпляров – 50-
200
Основная схема для
российских вендоров
Оценивается образец +
инспекционный контроль за
стабильностью характеристик
сертифицированной
продукции
Число экземпляров -
неограничено
И что? Пусть вендор и сертифицирует!
Дорого Необязательно Невозможно Отвечает
потребитель
От нескольких
сотен долларов
(при сертификации
серии) до
несколько
десятков тысяч
долларов
Исключая гостайну и
СКЗИ разработка и
продажа средств
защиты возможна и без
сертификата
А западные вендоры и
так сертифицированы
во всем мире
Западные
производители не
ведут в России
коммерческой
деятельности и не
могут быть
заявителями
По КоАП
ответственность
лежит на
потребителе
98
0
1
2
3
4
5
6
7
8
9
10
Преимущественно для госорганов
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)
Рост числа нормативных актов с требованиями
сертификации СЗИ
Гром с ясного неба!!!
• ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия
продукции (работ, услуг), используемой в целях защиты
сведений, относимых к охраняемой в соответствии с
законодательством РФ информации ограниченного доступа, не
содержащей сведения, составляющие государственную тайну, а
также процессов ее проектирования (включая изыскании),
производства, строительства, монтажа, наладки, эксплуатации,
хранения, перевозки, реализации, утилизации и захоронения,
об особенностях аккредитации органов по сертификации и
испытательных лабораторий (центров), выполняющих работы по
подтверждению соответствия указанной продукции (работ,
услуг)»
– Постановление имеет гриф «Для служебного пользования»
Сертификация решений Cisco по требованиям ИБ в
России
500+ ФСБ НДВ 28 96
Сертификатов
ФСТЭК на
продукцию Cisco
Сертифицировала
решения Cisco
(совместно с С-
Терра СиЭсПи)
Отсутствуют в
ряде
продуктовых
линеек Cisco
Линеек
продукции
Cisco прошли
сертификацию
по схеме
«серийное
производство»
Продуктовых
линеек Cisco
сертифицированы
во ФСТЭК
Цепочка поставки сертифицированного оборудования
Cisco в России
Партнер #1
ПАРТНЕРЫ
СISCO
Партнер #2
Партнер #3
Kraftway Corporation PLC &
AMT
ФСТЭК
Оборудование с
сертификатами
ФСТЭК
Оборудование без
сертификации по
требованиям
ФСТЭК Дистрибуторы
Cisco Systems, Inc
Партнер #N
производство по
требованиям ФСТЭК
сертификационный
пакет ФСТЭК
Производство за
пределами России
Где узнать больше?
• FAQ по
сертифицированном
у производству
• Регулярно
обновляемый список
сертификатов
• И др.
О ЛИЦЕНЗИРОВАНИИ
Одна точка зрения ФСТЭК
• Лицензия на ТЗКИ нужна
юридическим лицам,
осуществляющим
предпринимательскую
деятельность, связанную с
технической защитой
конфиденциальной информацией
– Примечание: в новом
законопроекте по 149-ФЗ термин
«конфиденциальная
информация» меняется на
«информации, в отношении
которой установлено требование
об обеспечении ее
конфиденциальности»
Другая точка зрения ФСТЭК
• Вопрос про лицензию на ТЗКИ для
собственных нужд
• Согласно ст.49 ГК РФ отдельными
видами деятельности можно
заниматься только на основании
лицензии
• В соответствие с ФЗ-128 на ТЗКИ
нужна лицензия
Финальное мнение ФСТЭК
• Деятельность по ТЗКИ для
собственных нужд организации
является лицензируемой
деятельностью, поскольку п.5 ч.1
ст.12 ФЗ «О лицензировании…»
для лицензирования деятельности
по ТЗКИ исключения «для
обеспечения собственных нужд»
не предусмотрено
Есть ли у вас лицензия на ТО СКЗИ?
• А нужна ли?
– Представите
ли 8-го
Центра ФСБ
заявляют о
ненужности
лицензии
для
собственных
нужд
Проект нового приказа ФСБ
• Что такое ТО?
– К деятельности по техническому
обслуживанию шифровальных
(криптографических) средств не
относится эксплуатация СКЗИ в
соответствии с требованиями
эксплуатационной и технической
документации, входящей в комплект
поставки СКЗИ
• Не относится к лицензируемой
деятельности
– Передача СКЗИ клиентам и «дочкам»
– Генерация и передача
сгенерированных ключей
Что изменилось недавно?
• 4 мая (с дополнения от 11 июля) была подписана новая редакция
закона о лицензировании, который серьёзно упрощает процедуру
получения лицензий, повышает их прозрачность и существенно
снижает число лицензируемых видов деятельности
• Тематика связанная с лицензированием деятельности по защите
информации и криптографии осталась ;-(
– Эти виды деятельности были укрупнены в два направления -
криптографическая деятельность и защита от
несанкционированного доступа к информации
– Эти виды деятельности должны будут регулироваться
отдельными новыми Постановлениями Правительства
Что изменилось недавно?
• Есть 11 видов организаций (среди них банки и т.д.), на которые
закон не распространяется
– Но только потому, что на них распространяются отдельные
законы по лицензированию основного вида деятельности
• К лицензионным требованиям не могут быть отнесены
требования о соблюдении требований законодательства,
соблюдение которых является обязанностью любого
хозяйствующего субъекта
• Лицензии бессрочные
• Проверка лицензиатов может быть только в соответствие с ФЗ-
294
Что изменилось недавно?
• Разработка, производство, распространение шифровальных
средств, информационных систем и телекоммуникационных
систем, защищенных с использованием шифровальных средств,
выполнение работ, оказание услуг в области шифрования
информации, техническое обслуживание шифровальных средств,
информационных систем и телекоммуникационных систем,
защищенных с использованием шифровальных средств
– За исключением случая, если техническое обслуживание
шифровальных средств, информационных систем и
телекоммуникационных систем, защищенных с использованием
шифровальных средств, осуществляется для обеспечения
собственных нужд юридического лица
Что думают суды?
• Первая точка зрения заключается в том, что получение лицензии
на деятельность, подлежащую лицензированию, обязательно для
тех лиц, для которых эта деятельность является основной
– В случае если деятельность рассматривается как элемент
основной производственной деятельности, получение лицензии
на нее не требуется
– Эта позиция содержится в постановлениях ФАС ВВО от
06.05.2005 № А34-30702/ 2004-26-1135, апелляционной
инстанции Арбитражного суда Свердловской области от
02.02.2005 № а60-39874-С4, ФАС СЗО от 09.11.2007 № А05-
5724/2007, ФАС ВВО от 18.06.2008 №А31-6296/ 2007-13,
решении Арбитражного суда Свердловской области от
26.05.2008 №А60-5642/2008-С9
Что думают суды?
• Другие суды, напротив, признают требования административных
органов о необходимости лицензирования такой дополнительной
деятельности обоснованными, ссылаясь на то, что получение
прибыли не является квалифицирующим признаком ч. 2 ст. 14.1
КоАП РФ
– Они подчеркивают, что Закон №128-ФЗ не указывает на
необходимость получения лицензии только субъектами,
осуществляющими указанный вид деятельности в качестве
самостоятельной, не связанной с иными производственными
процессами
Что думают суды?
• Также подчеркивается факт связанности данной дополнительной
деятельности, подлежащей лицензированию, с осуществлением
основного вида деятельности
– В этом случае суды признают дополнительную деятельность
предпринимательской, поскольку относят доходы, полученные от
основной деятельности в будущем периоде, к доходам,
полученным в том числе в результате осуществления
дополнительной деятельности
– Постановления ФАС УО от 06.01.2004 №Ф09-2532/03-АК, ФАС
СЗО от 20.05.2004 №А26-1050/ 04-22, Восемнадцатого
арбитражного апелляционного суда от 20.08.2008 №18АП-
4422/2008
ВСТУПЛЕНИЕ В ВТО И
ИМПОРТ ШИФРСРЕДСТВ
Ввоз шифровальных средств
Ввоз и использование шифровальных
средств – это два разных
законодательства
Разделение ввозимой
криптографии по длинам ключей и
сферам применения (с 01.01.2010)
Нотификации vs. ввоза по лицензии
Минпромторга (после получения разрешения ФСБ)
Cisco не только ввозит свое оборудование легально, но и
запустила производство оборудования в России
О ввозе шифровальных средств в Россию
• Запись онлайн-семинара
– https://new-webex.webex.com/new-
webex/lsr.php?AT=pb&SP=EC&rID=
55749762&rKey=f08a589f599999fa
• Презентация с онлайн-семинара
– http://www.slideshare.net/CiscoRu/s
s-9899879
• Новая версия FAQа по импорту
шифровальных средств
– http://www.slideshare.net/CiscoRu/s
s-8834191
• Презентация по регулированию
шифрования в России
– http://www.slideshare.net/CiscoRu/s
s-8386638
ЧТО ЕЩЕ?!
Что осталось за бортом?
• Продукция отечественного производства
• Государственные услуги
– ИБ в госуслугах пока воспринимается только с точки зрения
электронного документооборота
• Универсальная электронная карта
– Возможно уйдет под требования НПС
• Проект приказа Минкомсвязи «Об утверждении Требований к
управлению сетями электросвязи»
119
ВЫВОДЫ
Тенденции ИБ… два месяца назад
• Абсолютная непрогнозируемость изменений на рынке
информационной безопасности
Должно смениться не менее одного-двух поколений
Либерализация
• Вероятность - 20% (на данный момент)
• Вероятность через 2 года - 25% и 10% (в зависимости от победителя президентских выборов)
Закручивание гаек
• Вероятность - 45% (на данный момент)
• Вероятность через 2 года - 20% и 65% (в зависимости от победителя президентских выборов)
Останется все, как есть
• Вероятность - 30% (на данный момент)
Экспертная оценка специалистов Cisco
Что все это значит для вас?!
• Небольшие западные игроки рынка ИБ не выживут в условиях
изменившихся правил игры
• Крупные западные игроки рынка ИБ, которые не учли специфику
регулирования вопросов ИБ в России столкнутся с серьезными
трудностями
• Cisco прилагает все необходимые усилия, чтобы наши заказчики
смогли использовать самые современные технологии,
соответствующие требованиям российских регуляторов
• Для этого Cisco
– Участвует в разработке и экспертизе нормативных актов
– Сертифицирует свою продукцию по требованиям безопасности
– Сертифицировала совместное VPN-решение
– Открыла производство в России
– Получила лицензию ФСБ на деятельность в области шифрования
Спасибо! Просим Вас заполнить анкеты. Ваше мнение очень важно для нас.