Регулирование рынка ИБ в

России и роль Cisco в этом

процессе

Лукацкий Алексей, менеджер по развитию бизнеса

security-request@cisco.com

Содержание

• ФЗ-152 и защита персональных данных

• СТО Банка России

• Безопасность национальной платежной системы

• PCI DSS

• Ключевые системы информационной инфраструктуры

• Электронный документооборот

• Социальные сети и контроль Интернет

• Защита детей от негативной информации

• Облачные технологии – отдельный поток 23-го ноября

• Вступление в ВТО и импорт шифровальных средств

• Изменения законодательства о лицензировании

Почему Cisco говорит о законодательстве?

ТК22 ТК122 ТК362 КЦ

АРБ

РГ

ЦБ

«Безопасность

ИТ» (ISO SC27 в

России)

«Защита

информации в

кредитных

учреждениях»

«Защита

информации»

при ФСТЭК

Консультации

банков по

вопросам ПДн

Разработка

рекомендаций по

ПДн и СТО БР

ИББС v4

ФСБ МКС НАУФОР Дума Слушания

Экспертиза

документов Предложения Отраслевой

стандарт

Экспертиза

документов

Оргкомитет

Слушаний

ОБЩИЕ ЗАМЕЧАНИЯ

Чего боятся отечественные производители средств

защиты?

• Риски, связанные со все более укрепляющимся положением

международных производителей на отечественном рынке

программного обеспечения в сфере ИБ, особенно принимая во

внимание фактическую либерализацию импорта СКЗИ

• Рост роли международных стандартов на национальном рынке

информационной безопасности, перекос регулирования

«экспорт/импорт» может привести к падению спроса на

продукцию отечественных производителей программного

обеспечения

Чего боятся в ФСБ/Совете Безопасности?

• В российских информационно-коммуникационных технологиях

используется до 98% зарубежных разработок и оборудования

– Данные ФСБ для Совбеза РФ

• ФСБ не раз заявляла о том, что для борьбы с этой угрозой

национальной безопасности будут использованы два основных

механизмы

– Недопущение на российский рынок западных продуктов

– Сертификация средств защиты информации

• В качестве угрозы рассматривается использование

несертифицированных отечественных и зарубежных ИТ, средств

защиты информации, средств информатизации,

телекоомуникации и связи при создании и развитии российской

информационной инфраструктуры

– Доктрина информационной безопасности РФ

О чем говорят в Госдуме?

• Россия зависима от западных технологий

– Их разработчики находятся под колпаком у западных спецслужб

• Невозможность бороться с киберпреступлениями

– Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О

борьбе с киберпреступностью», а потом отозвал свою подпись

• Готовятся кибервойны

– США внесло в ООН предложение отвечать военными ударами на

кибератаки

• Законодательство других стран дает право спецслужбам

контролировать весь Интернет-трафик, проходящий через эти

страны

– В России такое же законодательство

Как поступают в других странах?

• Развивать свое, постепенно вытесняя все зарубежное

недоверенное

– Пример: Китай

• Дать возможность применять для гражданского применения все,

что угодно, контролируя наиболее критичные сферы (гостайна,

КВО, оборонка), пытаясь внедрить в них собственные наработки

ИТ ИБ

Бизнес

ИБ ИТ

Россия Запад

Что предлагают регуляторы?

• Выработка мер по минимизации непосредственного участия

иностранных компаний в информатизации процессов

государственного управления

• Содействие развитию отечественного производства средств

связи и телекоммуникаций, ПО, микроэлектронной базы и т.д.

• И еще 5 предложений

• По поводу СПО

– ФСБ не раз заявляла, что уровень затрат на анализ СПО и

проприетарного ПО в контексте ИБ одинаков

– Основным поставщиком ПО для Сочи-2014 выбрана компания

Microsoft – уже после принятия курса на СПО

Что происходит в России?

Большое количество регуляторов

Легитимный ввоз криптографии в соответствие

с правилами Таможенного союза

Использование легитимной криптографии

Требования сертификации

Локальные и закрытые нормативные акты

Отсутствие учета рыночных потребностей

Исторический бэкграунд

ЗАКОНОДАТЕЛЬСТВО И

РЕГУЛЯТОРЫ

Регуляторы в области ИБ

ИБ

ФСТЭК

ФСБ

Минком-связь

МО

СВР

ФСО

ЦБ

PCI

Council

Газпром-

серт

Росатом

РЖД

Рос-

стандарт

Новые нормативные требования

• Персональные данные

• Финансовая отрасль

– PCI DSS

– СТО БР ИББС-1.0

– ФЗ «О национальной платежной системе»

• Электронная подпись

• Критически важные объекты

• Госуслуги и УЭК

• Новый ФЗ о лицензировании

• Социальные сети и контроль Интернет

• Защита детей от информации

• Облачные технологии

• И др.

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Базовая иерархия документов по ПДн

Приказы и иные документы

Постановления Правительства

Законы

Конвенции и иные международные договора

Европейская Конвенция

ФЗ №152 от 26.07.2006

ФЗ №160 от 19.12.2005

№781 от 17.11.2007

«Приказ трех» от

13.02.2008

2 открытых документа и 1 полуДСП от

ФСТЭК

2 открытых документа ФСБ

Регламенты осуществления

контроля и надзорар

№687 от 15.09.2008

№512 от 6.07.2008

Директивы Евросоюза /

Европарламента

Рекомендации ОЭСР

• Готовится 9 новых Постановлений Правительства

• «Старые» Постановления пока действуют

Что поменялось?

• Терминология

– ПДн, биометрические ПДн, обезличивание, обработка,

автоматизированная обработка, трансграничная передача

• Условия обработки ПДн без согласия

• Появление «обработчика» ПДн (ЛОПДПО)

• Условия обработки специальных категорий ПДн

• Условия трансграничной передачи ПДн

• Условия ограничения доступа субъекта к его ПДн

• Условия непредоставления субъекту сведений

• Контроль и надзор со стороны ФСТЭК и ФСБ

• Содержание уведомления в РКН

• Возмещение морального вреда

Что под вопросом?

• Классификация ИСПДн – ее больше нет

– Разные управления РКН считают по разному

• Моделирование угроз – его больше нельзя делать

самостоятельно

– Но ФСТЭК считает иначе

• Требования по защите ПДн – стало жестче

– Или точнее могут стать

• Сертификация средств защиты – на уровне закона

– Сертификация и оценка соответствия это не одно и тоже

– Нечеткость терминологии и жесткость позиции регулятора

• Аттестация объектов информатизации – на уровне закона

• Лицензирование деятельности по защите информации

– Об этом постоянно говорят регуляторы в лице ФСТЭК и ФСБ

Аттестация и новый ФЗ-152

• В четверокнижии ФСТЭК аттестация была обязательной для

ИСПДн К1, К2 и распределенной К3

• В приказе № 58 требования аттестации нет!

• Что такое «оценка эффективности принимаемых мер по

обеспечению безопасности персональных данных до ввода в

эксплуатацию информационной системы персональных данных»?

– Ст.19 нового старого ФЗ-152

• Во ФСТЭК готовятся документы по аттестации объектов

информатизации, обрабатывающих конфиденциальную

информцию

За госорганы все решит Правительство

• Правительство Российской Федерации устанавливает перечень

мер, направленных на обеспечение выполнения обязанностей,

предусмотренных настоящим Федеральным законом и

принятыми в соответствии с ним нормативными правыми актами

операторами, являющимися государственными и

муниципальными органами

• За всех остальных перечень мер определяется ФСТЭК и ФСБ

– На основании и во исполнение федеральных законов

государственные органы, Банк России, органы местного

самоуправления в пределах своих полномочий могут принимать

нормативные правовые акты по отдельным вопросам,

касающимся обработки ПДн

– Пока ФСТЭК и ФСБ не имеют полномочий самостоятельно

проводить проверки операторов персданных

– РКН приглашает ФСТЭК, ФСБ и УСТМ в качестве экспертов

Текущая и будущая ситуация с ЗИ ПДн

• Безопасность персданных является обязательным условием

обработки ПДн

• За безопасность ПДн отвечают ФСТЭК и ФСБ

– ФСТЭК выпустил приказ №58 – в 2012 г. планируется изменение

– ФСБ выпустила 2 методических документа в области

криптографии – в 2012 г. планируется изменение

• Подход регуляторов

– Сертифицированные СЗИ и СКЗИ – подход не меняется,

планируется законодательное ухудшение

– Вновь появляется аттестация

• Отраслевые стандарты – тренд с неочевидной судьбой

– СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития…

– ФСТЭК и ФСБ по-прежнему поддерживают отраслевые

стандарты

Стандарт НАУФОР

• Применяется для всех участников

фондового рынка

• Согласован с ФСТЭК и ФСБ

• Отправлен на согласование в

ФСФР

• Традиционный подход к защите

– Cisco ASA, ISR, IPS, RVPN, CSM

и т.д.

• Официальное мнение

разработчиков стандарта –

решения Cisco полностью

соответствуют требованиям

стандарта НАУФОР

Мероприятия по защите

• Определение угроз безопасности ПДн при их обработке в ИСПДн

– Перед моделирование угроз необходимо определить ИСПДн

• Применение организационных и технических мер по обеспечению

безопасности ПДн при их обработке в ИСПДн, необходимых для

выполнения требований к защите ПДн, исполнение которых

обеспечивает установленные Правительством РФ уровни

защищенности ПДн

• Применение прошедших в установленном порядке процедуру

оценки соответствия средств защиты информации

– Регуляторы считают, что это сертификация

– Существует Постановление Правительства

• Оценка эффективности принимаемых мер по обеспечению

безопасности ПДн до ввода в эксплуатацию ИСПДн

– Регуляторы считают, что это аттестация и готовят нормативку

Мероприятия по защите

• Учет машинных носителей ПДн

• Обнаружение фактов несанкционированного доступа к ПДн и

принятием мер

• Восстановление ПДн, модифицированных или уничтоженных

вследствие несанкционированного доступа к ним

• Установление правил доступа к ПДн, обрабатываемым в ИСПДн,

а также обеспечением регистрации и учета всех действий,

совершаемых с ПДн в ИСПДн

• Контроль за принимаемыми мерами по обеспечению

безопасности ПДн и уровня защищенности ИСПДн

Класс ИСПДн или уровень защищенности?

Старый ФЗ

• Класс ИСПДн определяется в зависимости от объема и типа ПДн

• Класс и модель угроз определяют защитные меры

• Класс определяется оператором

Новый ФЗ

• Понятие «классификации» отсутствует

• Вводится понятие «уровень защищенности»

• Зависит от угроз

• Определяются Правительством РФ

Как Cisco SAFE поможет в классификации ИСПДн?

Загрузить брошюру «Cisco SAFE» можно на сайте www.slideshare.com/CiscoRu

Принципы построения защищенных сетей Cisco SAFE

Принципы ИТ

• Модульность / поэтапность

• Снижение TCO

• Стандартизация / унификация

• Гибкость

• Надежность

• Поддержка новых проектов

• Адаптивность / автоматизация

• Масштабируемость

Принципы ИБ

• Безопасность как свойство, а не опция

• Цель – любое устройство, сегмент, приложение

• Эшелонированная оборона

• Независимость модулей

• Двойной контроль

• Интеграция в инфраструктуру

• Соответствие требованиям

Модульность SAFE = классификация ИСПДн

Data

Center Campus

WAN

Edge Branch

Internet

Edge

E-comm-

erce

Cisco

Teleworker

Virtual

User

Partner

Sites

Сервисы

Policy and

Device

Management

Решения по ИБ PCI

DLP

Threat Control

Сетевые устройства Routers

Servers

Switches

Identify

Monitor

Correlate

Harden

Isolate

Enforce

Видимость Контроль

Secured Mobility, Unified Communications, Network Virtualization

Network Foundation Protection

Устройства ИБ VPNs

Monitoring

Admission Control

Intrusion Prevention

Firewall

Email Filtering

ИСПДн для PCI DSS

Примечание! Отображена реализация не всех требований

Credit Card

Storage

(PCI 1,3,5,6,7)

Удаленная площадка Периметр Интернет

ISR (PCI 4)

Catalyst

ASA (PCI 1,4)

6500 FWSM

CS-MARS (PCI 10)

NAC

Главный офис

6500 Switch

WAP

E-commerce (PCI 1,3,5,6,7)

ASA (PCI 1,4)

7200

CSA MC (PCI 10,12)

WAP

POS Cash Register

(PCI 1,3,5,6,7)

Мобильный

POS POS сервер

(PCI 1,3,5,6,7)

ПК

магазинного

работника

(PCI 1,3,5,6,7)

Блок управления

ЦОД

ACS (PCI 2, 10,12)

WAP

Internet

Беспроводное устройство

CSM (PCI 10,12)

ASA

ИСПДн по СТО БР ИББС-1.0

Примечание! Отображена реализация не всех элементов

Сервер

процессинга

Допофис / отделение Периметр Интернет

ISR Catalyst

ASA

6500 FWSM

CS-MARS

NAC

Главный офис

6500 Switch

WAP

Интернет- банк

ASA

7200

NCM

WAP

POS-терминал Мобильный

POS

Киоск

ПК

банковского

работника

Блок управления

ЦОД

ACS

WAP

Internet

Беспроводное устройство

CSM

ASA

Процессинг

Платежный сегмент ATM

Сегментация Определение

Scope

Может быть scope уменьшен

за счет сегментации?

Вся сеть в Scope

POS Servers

Branch

Server Access

Storage

Data Center

inventory Servers

Server Access

WAN Access

CORE

Headquarters

Warehouse

Wide Area Accelerated

Network

Сегментация Определение

Scope

Может быть

scope уменьшен

за счет сегментации?

НЕТ

Вся сеть в защищается

Вся сеть в Scope

POS Servers

Branch

Server Access

Storage

Data Center

inventory Servers

Server Access

WAN Access

CORE

Headquarters

Warehouse

Wide Area Accelerated

Network

Сегментация Определение

Scope

Может быть

scope уменьшен

за счет сегментации?

Консультант может провести сегментацию?

ДА НЕТ

Нет

Вся сеть защищается

Да

Документирование сегментации

Scope уменьшен

Только устройства, обрабатывающие ПДн, в

Scope

POS Servers

Branch

Server Access

Storage

Data Center

inventory Servers

Server Access

WAN Access

CORE

Headquarters

Warehouse

Wide Area Accelerated

Network

Вся сеть в Scope

POS Servers

Branch

Server Access

Storage

Data Center

inventory Servers

Server Access

WAN Access

CORE

Headquarters

Warehouse

Wide Area Accelerated

Network

Сегментация Определение

Scope

Может быть

scope уменьшен

за счет сегментации?

Консультант может провести сегментацию?

ДА НЕТ

Нет

Вся сеть защищается

Да

Документирование сегментации

Scope уменьшен

Только устройства, обрабатывающие ПДн, в

Scope

POS Servers

Branch

Server Access

Storage

Data Center

inventory Servers

Server Access

WAN Access

CORE

Headquarters

Warehouse

Wide Area Accelerated

Network

Вся сеть в Scope

POS Servers

Branch

Server Access

Storage

Data Center

inventory Servers

Server Access

WAN Access

CORE

Headquarters

Warehouse

Wide Area Accelerated

Network

Что предлагает Cisco для сегментации?

• Различные технологии

– ACL, VLAN, hard/soft zoning, VSAN,

LUN masking

• Различное оборудование

– Маршрутизаторы Cisco ISR G1 / G2,

Cisco ASR

– Коммутаторы Cisco Catalyst

– Коммутаторы Cisco Nexus и Cisco MDS

– Межсетевые экраны Cisco ASA

• Большинство устройств

сертифицировано в ФСТЭК

– Именно для

разделения/разграничения

/сегментации сетей

Функции защиты ПДн в контексте Cisco

Функция защиты Решение Cisco

Антивирус • Cisco Ironport E-mail Security Appliance /

Web Security Appliance

• Kaspersky Antivirus for Cisco AXP

Управление доступом • Cisco Secure ACS

• Cisco NAC

• Cisco ISE

Регистрация и учет • Cisco Secure ACS

• Cisco ISE

• Cisco Security Manager

Обеспечение целостности Не обеспечивается

Анализ защищенности Cisco Network Compliance Manager

Обеспечение безопасного межсетевого

взаимодействия

• Cisco ASA / Cisco ASA SM

• Cisco IOS Firewall

Обнаружение вторжений • Cisco IPS

• Cisco IOS IPS

Защита при передаче по каналам связи • NME-RVPN

СТО БАНКА РОССИИ

Комплекс стандартов ИБ

СТО

Общие положения

1.0-2010

v4

Аудит ИБ 1.1-2007

v1

Методика оценки

соответствия 1.2-2010

v3

РС

Рекомендации по

документации в области ИБ

2.0-2007 v1

Руководство по самооценке соответствия

ИБ 2.1-2007

v1

Методика оценки рисков

2.2-2009 v1

Требования по ИБ ПДн 2.3-2010

v1

Отраслевая частная

модель угроз безопасности

ПДн 2.4-2010

v1

• СТО – стандарт организации

• РС – рекомендации по стандартизации

Требования к обеспечению ИБ (СИБ) и управлению ИБ

(СМИБ)

• ISO определяет меры по

защите исходя из оценки

рисков

• Набор защитных мер в

СТО обязателен к

применению

– Оценка рисков позволяет

добавить защитные

мероприятия, но не

уменьшить их перечень

• Требования СТО

адаптированы к банкам

– Преимущественно

крупным

ISO

27000

27001

27002

27003

27014

СТО 1.0

Глава 3. Термины

Глава 8. Система менеджмента ИБ

Глава 7. Система ИБ

Глава 8 в части осознания

Требования к организации аудита ИБ

• СТО позволяет

формировать

численные оценки

• СТО вводит единые

критерии оценки по

частным показателям

• СТО позволяет

сравнивать различные

банки

• СТО вводит новое

руководство по

самооценке

ISO

27002

27004

27006

27008

СТО

СТО 1.0. Глава 9. Проверка

СТО 1.2. Оценка соответствия

СТО 1.1. Аудит ИБ

РС 2.1 Самооценка

Требования к оценке рисков нарушения ИБ

• Банк России уже

провел первичную

оценку рисков и

разработал набор

защитных мер в СТО

1.0

• Под специфику

конкретного банка

можно провести свою

оценку рисков и

разработать свои

защитные меры

ISO

27001

27005

СТО

СТО 1.0. Глава 8. СМИБ

РС 2.2. Оценка рисков

РС 2.4. Модель угроз ПДн

Требования к защите ПДн

• СТО формирует единый

набор требований для

защиты КТ, БТ и ПДн

• Процесс оценки

соответствия также

унифицирован для всех

видов защищаемой

информации

• СТО уже вводит

требования по защите

ПДн (ISO 2910x – пока

проект)

ISO

27002

29100

29101

СТО

РС 2.3. Защита ИСПДн

СТО 1.0. Раздел 7.10

О технических требованиях СТО в контексте Cisco

Функция защиты Решение Cisco

Распределение ролей • Cisco Secure ACS

• Cisco ISE

• Cisco NAC

Управление доступом и регистрация • Cisco ISE

• Cisco Security Manager

• Cisco Secure ACS

• Любое сетевое оборудование

Cisco

Антивирус • Cisco IronPort E-mail Security

Appliance

• Kaspersky Antivirus for Cisco AXP

• Cisco NAC / Cisco ISE

Доступ к ресурсам Интернет • Cisco ASA / ASA SM

• Cisco IOS Firewall

• Cisco AnyConnect Secure Mobile

Client

• Cisco IPS / Cisco IOS IPS

О технических требованиях СТО в контексте Cisco

Функция защиты Решение Cisco

Криптографическая защита • NME-RVPN (КС2)

Защита персональных данных • В соответствие с предыдущим

разделом по защите персданных

Защита банковских платежных

процессов

• Cisco NAC / Cisco ISE

• Cisco IronPort E-mail Security

Appliance

Мониторинг и контроль защитных мер

• Cisco Network Compliance Manager

Рекомендательность стандарта ;-(

Чьи требования выполнять для защиты ПДн?

СТО

ФСТЭК

ФСБ

«Письмо шести» согласовано с

тремя регуляторами в области ПДн

Таблица соответствия требований

Динамика присоединения

20

25

30

35

40

45

50

2007 2010

Приняли

Планируют

Развитие Комплекса стандартов

• РС «Методика назначения и описания ролей» (принята)

• РС «Методика классификация активов» (под вопросом)

• РС «Требования по обеспечению безопасности СКЗИ» (план)

Классификатор 0.0

Термины и определения

0.1

Рекомендации по выполнению законодательных требований при

обработке ПДн

Перемены в вопросе стандартизации ИБ банков

• В декабре 2010 года в России при Росстандарте создан новый

технический комитет - ТК 122 «Стандартизация в области

финансовых услуг»

– ТК 122 соответствует ISO TC 68 “Financial Services»

• Базовая организация – Центральный банк

• В связи с определенными разногласиями работы по

стандартизации в области информационной безопасности в

кредитно-финансовой сфере будут перенесены из ТК 362 и

продолжены в рамках ПК1

Развитие регулирования ИБ банков

• Упор на отраслевые стандарты

– Разработанные в рамках ТК 122 и рабочих групп ЦБ

• В середине ноября в ЦБ создана рабочая группа по разработке

требования по защите участников Национальной платежной

системы

– Процессинг

– ДБО

– Платежные системы

– Электронные и мгновенные платежи (включая мобильных

операторов)

– Карточный бизнес

• Банк России стал официальным регулятором

– СТО станет обязательным к применению

• Саморегуляция также возможна

PCI DSS

PCI Data Security Standard

• Первая версия опубликована в

январе 2005; текущая версия - 2.0

• PCI DSS 2.0 станет обязательным с

1-го января 2012

• Влияет на ВСЕХ кто

– Обрабатывает

– Передает

– Хранит: данные владельцев карт

• PCI – это не государственный

стандарт

– Это соглашение между платежной

системой и ее участниками

Payment Card Industry

Data Security Standard

12 требований PCI DSS

Требования PCI Data Security Standard

Построить и поддерживать

сеть в защищенном

состоянии

1. Внедрение и поддержка конфигурации МСЭ

2. Не использовать пароли и настройки по умолчанию

Защитить данные

владельцев карт

3. Защита хранимых данных

4. Шифрование данных платежных карт и иной

информации при передаче по открытым сетям

Поддержка программы

управления уязвимостями

5. Использование и обновление антивирусов

6. Разработка и поддержка систем в защищенном

состоянии

Внедрение мер строгого

контроля доступа

7. Ограничение доступа к данным

8. Привязка уникального ID каждому пользователю

9. Ограничение физического доступа

Регулярный мониторинг и

тестирование сетей

10.Контроль и мониторинг доступа к сетевым ресурсам и

данным платежных карт

11. Регулярное тестирование систем и процессов ИБ

Поддержка политики ИБ 12. Поддержка политики информационной безопасности

Изменения PCI 2.0

• 119 изменений в виде разъяснений

• 15 изменений в виде дополнительных

указаний

• 2 изменения в виде новых требований

Ключевые изменения PCI DSS 2.0

• Виртуализация

• Обнаружение чужих Wi-Fi устройств

Новые сроки соответствия

• PCI DSS 2.0 начинает трехлетний жизненный цикл на разработку

и внедрение новых версий стандартов

• Новый стандарт действует с 1-го января 2011, но проверка на

соответствие предыдущей версии стандарта (1.2.1) будет

разрешена до 31 декабря 2011

• С 1-го января 2012 вся оценка соответствия проводится только

на PCI DSS 2.0

Virtualization Guidelines

• Новые указания по использованию

виртуализации в рамках проектов по

PCI DSS

– Включая все технологии

виртуализации, а не только для

серверов

• Включает раздел по облачным

вычислениям

Cisco UCS

CUPC MS Office Video

Desktop Virtualization Software

Виртуальный ЦОД

WAAS

ISR

VSG

Nexus

Филиал ЦОД

Cisco

WAN

Microsoft OS

Сеть с поддержкой технологий

виртуализации

ASA

Broker

Единый подход к вопросам безопасности, управления и автоматизации

Виртуализация в контексте Cisco

Экосистема тонких

клиентов

Рабочие

Устройства Клиент

Cisco VXI

Бизнес-планшеты

Виртуальное рабочее

пространство

Hypervisor FC

Virtual CUCM

Virtual QUAD

vWAAS

ACE

Тонкие клиенты

Cius

Виртуализация: точка присутствия

• Виртуальные LAN

– Wired: Cisco Catalyst

2960/3560/3750 series

Switches

– Wireless: Cisco Aironet 1040,

1200, 3500 Series Access

Points

• Виртуальные Firewall/IPS

– Cisco Integrated Service

Routers (ISR) Generation 2:

800, 1900, 2900, 3900 Series

• Виртуальные сервера

– Cisco Service Ready Engine

with Unified Computing

System (UCS) Express image

Access Point

Integrated Firewall/IPS

Switch

POS Server Router

WAN, Data Center, and Centralized Management Wireless IPS

Out of Scope

VLANs

UCS Express

Print Server

UCS Express

VLANs

Sensitive Scope

Виртуализация: ЦОД

• Виртуальные LANs

– Nexus 1000v virtual Switch

– Nexus 5000 & 7000 Switches

– MDS 9000 Storage Switch

• Виртуальный МСЭ

– Virtual Secure Gateway

(VSG)

– ASA 5585 Firewall

• Виртуальные сервера

– Unified Compute Systems

– VCE VBLOCK-1 Architecture

Nexus Switches

Access Layer

Data Center, Aggregation Layer

Adaptive Security

Appliance

Segmentation

VLAN Routing

VDC2

VDC1

WAN and CORE

Детальные руководства

Обнаружение чужих Wi-Fi устройств

• 11.1: Обнаружение беспроводных точек доступа обновлено за

счет новых методов:

– Сканирование беспроводных сетей

– Физическая/логическая инспекция

– NAC

– Wireless IDS и IPS

• 11.1b: Проверка методов

тестирования для аккуратного

обнаружения:

– WLAN cards

– Portable wireless devices (USB, etc.)

– Attached wireless devices and

access points

Защита телефонии в PCI

• Новые указания по использование

телефонных технологий в рамках PCI

• Cisco IP Phones с внутренним

коммутатором, подключенные к

терминалам (Point of Service

Terminals)

• Центры обработки вызовов

Управление

• Сеть: Routers, Switches и Wireless

• ИБ: Firewalls и Intrusion Detection

• Точки продаж: сервера и приложения

• Голос: Телефоны и ЦОВ

• Email: Data Loss Prevention

• Physical: Surveillance и Badge Access

• Аутентификация

• Управление

Internet Edge Data Center Contact Center

Store

Целостное решение

Конечные

устройства

Инфраструктура

PCI DSS 2.0 Solution Framework

• Шифрование

• Мониторинг

• Assess

• Design

• Implement

• Audit

Сервисы

Продуктовые линейки Cisco

Routing Cisco Integrated Services Routers (ISR, ISR G2), Cisco Aggregation Services Routers (ASR)

Switching Cisco Catalyst Compact, Access and Data Center Switches, Cisco Nexus 1000 Virtual, 5000 and 7000

Switches, Cisco Application Control Engine (ACE), Cisco Multilayer Director Switch (MDS) with Storage

Media Encryption Module

Network Security Cisco Adaptive Security Appliance (ASA), Cisco IronPort Email Security Appliance, Cisco Network

Admission Control Appliance (NAC), Cisco AnyConnect VPN, Cisco Firewall Services Modules (FWSM),

Cisco Intrusion Detection System Services Modules (IDSM), Cisco Intrusion Prevention System

Appliances (IPS), Cisco Nexus Virtual Security Gateway (VSG), Cisco IOS Firewall, Cisco IOS IPS,

Cisco Secure Access Control Server (ACS)

Wireless Cisco Aironet Access Points, Cisco Wireless LAN Controllers, Cisco Mobility Services Engine with

enhanced local mode (ELM), Cisco Adaptive Wireless IPS

Physical Security Cisco Video Surveillance Operations Manager (VSOM), Cisco Video Surveillance IP Cameras, Cisco

Physical Security Multiservices Platform (MSP), Cisco Physical Access Manager (CPAM), Cisco Physical

Access Gateways

Compute Systems and

Storage

Cisco Unified Computing System (UCS) Blade and Rack-Mount Servers, Cisco UCS Express

Management Cisco Security Manager (CSM), Cisco Wireless Control System (WCS), CiscoWorks LAN Management

Solution (LMS)

Voice Cisco Unified Communications Manager (CUCM), Cisco Unified IP Phones

WAN Optimization Cisco Wide Area Application Engine (WAE), Cisco Wide Area Application Services (WAAS)

Remote Workers Partners

VPN

Core

Service Aggregation

Monitoring

Security Management

Authentication POS Servers

DMZ

Web App FW

Web Servers

MDS 9000 SAN Switches

Store

INTERNET EDGE

STORAGE

Data Center

External Locations

Adaptive Security Appliance

Integrated Services Router

LWAPP

Campus or HQ

POS Servers

POS Register

PC Mobile POS

Business Servers

Network Services

Network Management

Database

SERVER ACCESS

WAN Aggregation

Не продуктом единым

POS Servers

POS Register

PC Mobile POS and Inventory

Disk Arrays

Tape Storage

AGGREGATION

Access

Catalyst Switch

INTERNET

Service Provider

Remote Workers Partners

VPN

Core

Service Aggregation

POS Servers

DMZ

Web App FW

Web Servers

MDS 9000 SAN Switches

Store

INTERNET EDGE

STORAGE

Data Center

External Locations

Adaptive Security Appliance

Integrated Services Router

LWAPP

Campus or HQ

POS Servers

POS Register

Business Servers

Network Services

Database

SERVER ACCESS

WAN Aggregation

Конкретные рекомендации: Требование 1

POS Register

Mobile POS and Inventory

Disk Arrays

Tape Storage

AGGREGATION

Access

INTERNET

Service Provider

Monitoring: SIEM

Security Management:

Cisco Security Manager

Network Management:

CiscoWorks LMS

File Security Adapter +

Payment Devices

Security Management: Key Manager Client

Security Management: Key Manager Client

Payment Devices

Mobile POS/ Inventory

Authentication

Cisco PCI Solution for Retail 2.0

• Позволяет выполнять указания

PCI DSS 2.0 в специфичных

технологических областях

• Обеспечивает руководство для

выполнения требований PCI и

защиты данных платежных карт

Детальные руководство Cisco PCI Solution for Retail 2.0

• Рекомендованные архитектуры для сетей,

хранящих, обрабатывающих и

передающих данные платежных карт

• Протестированы в реальном окружении с

POS, серверами приложений,

беспроводными устройствами,

соединением с Интернет, ЦОВ и

системами безопасности

• Руководства оценены PCI QSA (Verizon)

• Включают расширенные рекомендации по

реализации требований PCI в

виртуализированном и 3G окружении

Validated Design

Small Retail Store

Специальные SKU для маршрутизаторов Cisco ISR 800

• Стандарт PCI DSS не разрешает

использовать «слабую» криптографию для

защиты данных платежных карт

– Для Cisco это означает, что необходимо

использовать только оборудование -K9

– Это сопряжено с рядом сложностей при

ввозе этой продукции в Россию –

требуется разрешение ФСБ

• Для облегчения выполнения требований

PCI DSS компания Cisco создала

специальные SKU с кодом –PCI

– Для ISR 861, 881 и 891

– Имеет код K9, но ввозится по нотификации

– Не отличается от продукта без кода -PCI

Дополнительная информация

• Презентация (на русском языке) о стандарте PCI DSS 2.0

• Ролик на YouTube (с русскими субтитрами) о стандарте PCI DSS

• Презентация (на русском языке) о том, как Cisco ISR помогает выполнять требования PCI DSS

• Онлайн-помощник (на английском языке) по изучению стандарта PCI DSS

• Раздел на сайте Cisco (на английском языке), посвященный стандарту PCI DSS

• Картины художников, посвященные стандарту PCI DSS

• Руководство по дизайну и внедрению PCI DSS 2.0 на базе решений Cisco

• Чеклист по настройкам беспроводных решений Cisco для выполнения требований PCI DSS

• И многое другое

ЭЛЕКТРОННЫЙ

ДОКУМЕНТООБОРОТ

Две стороны одной медали

• Приказ Минкомсвязи РФ от 02.09.2011

№ 221 «Об утверждении Требований к

информационным системам

электронного документооборота

ФОИВ, учитывающих в том числе

необходимость обработки посредством

данных систем служебной

информации ограниченного

распространения»

– Зарегистрировано в Минюсте РФ

15.11.2011 N 22304

• Приказ Минкомсвязи РФ от 27.12.2010

№ 190 «Об утверждении технических

требований к взаимодействию систем

в единой системе межведомственного

электронного взаимодействия»

Внутренний ЭД Межведомственный

ЭД

Межведомственный электронный документооборот

• Подсистема информационной безопасности каждой

информационной системы, подключаемой к системе

взаимодействия, должна обеспечивать установленные

законодательством Российской Федерации уровни защищенности

информации, обрабатываемой в этой системе

– Пока не утверждены

• Каналы защищаются VPN-решениями класса не ниже КС3

– Учитывайте, что речь идет о межведомственном, а не

внутреннем электронном документообороте

• Сертифицированные межсетевые экраны

– Cisco ASA, Cisco ASA SM, Cisco IOS Firewall

Внутренний электронный документооборот

• Защищенность от несанкционированного доступа в случаях, когда в СЭД предусмотрена обработка служебной информации ограниченного распространения - не ниже класса 1Г

• Для защиты служебной информации ограниченного распространения должны использоваться сертифицированные в соответствии с требованиями безопасности информации технические и (или) программные средства защиты информации

• Требования по защите информации и мероприятия по их выполнению, а также конкретные программно-технические средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности

– Пока не установлены

• СЭД не должна иметь прямого (незащищенного) подключения к Интернет в соответствии с Указом Президента №351

– Необходимо применение сертифицированных межсетевых экранов и VPN-решений (любого класса)

Требования к УЦ и ЭП

• Проект приказа ФСБ «Об утверждении Требований к средствам

электронной подписи»

• Проект приказа ФСБ «Об утверждении Требований к средствам

удостоверяющего центра»

• Проект приказа ФСБ «Об утверждении Требований к форме

квалифицированного сертификата ключа проверки электронной

подписи»

Электронная подпись и банки

• В соответствии с Указанием Банка России от 16 января 2004 года № 1375-У «О правилах составления и представления отчетности кредитными организациями в Центральный банк Российской» (далее - Указание № 1375-У) при составлении и представлении отчетности кредитных организаций в Банк России в электронном виде для подтверждения подлинности и контроля целостности электронного сообщения используется код аутентификации

• Код аутентификации является аналогом электронной подписи, отвечающим требованиям, предусмотренным пунктами 2 и 3 статьи 5 Федерального закона от 06.04.2011 года 63-Ф3 «Об электронной подписи»

• Учитывая изложенное, кредитным организациям при составлении и представлении отчетности в Банк России в электронном виде следует руководствоваться порядком, установленным Указанием Банка России от 24 января 2005 года № 1546-У «О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации»

КРИТИЧЕСКИ ВАЖНЫЕ

ОБЪЕКТЫ

Последние изменения

• 21 июля 2011 года Президент РФ подписал Федеральный Закон

«О безопасности объектов топливно-энергетического комплекса»,

а также Федеральный закон «О внесении изменений в отдельные

законодательные акты Российской Федерации в части

обеспечения безопасности объектов топливно-энергетического

комплекса»

• Статья 11 «Обеспечение безопасности информационных систем

объектов топливно-энергетического комплекса»

– Требования и состав комплекса защитных мер пока не

определены

Термины и определения

• Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями

• Критически важный объект – объект, оказывающий существенное влияние на национальную безопасность РФ, прекращение или нарушения деятельности которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени

Ключевые системы образуются

• Государственной автоматизированной системой «Выборы»

• Системами органов государственной власти

• Автоматизированными системами управления войсками и оружием

• Спутниковыми системами, используемыми для обеспечения органов управления и в специальных целях

• Системами органов управления правоохранительных структур

• Средствами и системами телерадиовещания и другими системами информирования населения

• Общегосударственными кадастрами и базами данных справочной информации

• Магистральными сетями связи общего пользования и сетями связи общего пользования на участках, не

имеющих резервных или альтернативных видов связи

• Программно-техническими комплексами центров управления сетей связи

• Системами финансово-кредитной и банковской деятельности - расчетно-кассовые системы, системы

электронных платежей, информационные системы сбора обязательных платежей в бюджет,

информационные системы учета и распределения бюджетных поступлений и расходов

• Системами управления добычей и транспортировкой нефти, нефтепродуктов и газа

• Системами управления водоснабжением, водонапорным и гидротехническим оборудованием

• Системами управления энергоснабжением

• Системами управления транспортом

• Системами управления потенциально опасными объектами

• Системами предупреждения и ликвидации чрезвычайных ситуаций

• Географическими и навигационными системами

• И другими системами, влияющими на национальную безопасность страны

Номенклатура документов по КСИИ

Указ от 16.08.2004

№1085

Указ от 11.08.2003

№960

Приказ от

30.03.2002

№Пр-578

Проект

закона (снят)

№411-рс от

23.03.2006

4 «закрытых»

документа

ФСТЭК

Указы

Президента

Иные

документы

Распоряжения

Правительства

Отраслевые

документы

Секретарь

СовБеза РФ

от 08.11.2005

«Основы» от 28.09.2006

№1314-р от

27.08.2005

Требования по безопасности

• Требования по обеспечению безопасности информации в КСИИ

отличаются в зависимости от их типа и между собой не

пересекаются (!!!)

– 1-й тип – системы сбора и хранения открытой информации, а

также системы управления СМИ

– 2-й тип – системы управления критически важными объектами

• Требования по обеспечению безопасности информации в КСИИ

различных уровней важности соответствуют требованиям для

различных классов защищенности АС и МСЭ или уровней

контроля отсутствия НДВ

– Исключение составляют требования, для которых у ФСТЭК

отсутствуют руководящие документы – антивирусная защита,

анализ защищенности, обнаружение вторжений и требования

доверия к безопасности

Требования по защите КСИИ 1-го типа

Группы требований Уровень важности КСИИ

3 2 1

Управление доступом 1Г 1В 1Б

Регистрация и учет 1Г 1В 1Б

Обеспечение целостности 1Г 1В 1Б

Обеспечение безопасного межсетевого

взаимодействия в КСИИ 4 3 2

Уровень контроля отсутствия НДВ 4 3 2

Антивирусная защита + + +

Анализ защищенности + + +

Обнаружение вторжений + + +

Требования доверия к безопасности + + +

Требования по защите КСИИ 2-го типа

Группы требований Уровень важности КСИИ

3 2 1

Планирование обеспечения безопасности + + +

Действия в непредвиденных ситуациях + + +

Реагирование на инциденты + + +

Оценка рисков + + +

Защита носителей информации + + +

Обеспечение целостности + + +

Физическая защита и защиты среды + + +

Безопасность и персонал + + +

Информирование и обучение по вопросам ИБ + + +

Защита коммуникаций + + +

Аудит безопасности + + +

КОНТРОЛЬ СОЦИАЛЬНЫХ

СЕТЕЙ И ИНТЕРНЕТ

Контроль социальных сетей и Интернет

• Кодекс (Конвенция) поведения ООН в области ИБ

– Инициирован Россией, Китаем, Узбекистаном и Таджикистаном

– Запрет на вмешательство в национальное Интернет-пространство

– Запрет на использования Интернет и социальных сетей для свержения правительств

• Социальные сети и Интернет надо контролировать

– Юрий Чайка, Генеральная прокуратура

• Интернет не приемлет анонимности – надо контролировать

– Кирилл, Русская Православная Церковь

• Интернет не приемлет анонимности – надо контролировать

– Рашид Нургалиев, МВД

• Пользователи должны иметь Интернет-паспорта

– Евгений Касперский

Социальные сети несут другие угрозы с точки зрения

Cisco

21% 64% 47% 20% 55%

Людей

принимают

«приглашения

дружбы» от

людей, которых

они не знают

Людей не думая

кликают по

ссылкам,

присылаемым

«друзьями»

Пользователей

Интернет уже

становились

жертвами

заражений

вредоносными

программами

Людей уже

сталкивалось с

кражей

идентификаци

онных данных

Людей были

подменены с

целью получения

персональных

данных

Контроль социальных сетей с помощью Cisco Ironport

Web Security Appliance

Application Visibility and Control

Глубокий контроль приложений -- IM, Facebook, WebEx

Управление полосой для потокового видео

Рейтинг узлов

URL фильтры URL база данных с широким

покрытием (>50M узлов)

Динамическая категоризация неизвестных URL

Обновления БД с пятиминутным интервалом

ЗАЩИТА ДЕТЕЙ ОТ

ИНТЕРНЕТ

Защита детей от Интернет

• ФЗ «О защите детей от негативной информации»

– Вступление в силу с осени 2012 года

• Изменения в КоАП в части ответственности за невыполнение

требований закона

• Новый регулятор – Роскомнадзор

– Bдет оформление полномочий

– Будет устанавливать требования к средствам фильтрации

• Требования к пунктам коллективного доступа использования

средств фильтрации контента

– Непонятно, что такое пункт коллективного доступа (по мнению

Минкомсвязи – это только Почта России)

ОБ ОЦЕНКЕ СООТВЕТСТВИЯ

Оценка соответствия ≠ сертификация

• Старые НПА «говорят»

преимущественно о сертификации, а

новые – об оценке соответствия

• Оценка соответствия ≠

сертификация

• Оценка соответствия - прямое или

косвенное определение соблюдения

требований, предъявляемых к

объекту

• Оценка соответствия регулируется

ФЗ-184 «О техническом

регулировании»

Оценка соответствия

Оценка соответствия

Госконтроль и надзор

Аккредитация

Испытания

Регистрация

Подтверждение соответствия

Добровольная сертификация

Обязательная сертификация

Декларирование соответствия

Приемка и ввод в эксплуатацию

В иной форме

Системы сертификации

ФСТЭК ФСБ МО СВР

Все, кроме

криптографии

СКЗИ

МСЭ

Антивирусы

IDS

BIOS

Сетевое

оборудование

Все для нужд

оборонного ведомства

Тайна, покрытая

мраком

Требования

открыты Требования закрыты (часто секретны). Даже лицензиаты

зачастую не имеют их, оперируя выписками из выписок

А еще есть 4 негосударственных системы сертификации СЗИ – ГАЗПРОМСЕРТ,

«АйТиСертифика» (ЕВРААС), Ecomex и «Каскад»

Есть ли разница?

Единичный экземпляр

Партия Серия

Дата выпуска: 12 декабря 2010 года

CRC: E6D3A4B567

Место производства: Ирландия,

Дублин

Смена: 12

Версия ОС: 8.2

Производительность: 40 Гбит/сек

Дата выпуска: 12 декабря 2010 года

CRC: E6D3A4B567

Место производства: Ирландия,

Дублин

Смена: 12

Версия ОС: 8.2

Производительность: 40 Гбит/сек

Cisco ASA 5585-X Cisco ASA 5585-X

В чем проблема?

Единичный экземпляр

Партия Серия

Основная схема для

западных вендоров

Оценивается конкретный

экземпляр (образец)

Число экземпляров – 1-2

Основная схема для

западных вендоров

Оценивается

репрезентативная выборка

образцов

Число экземпляров – 50-

200

Основная схема для

российских вендоров

Оценивается образец +

инспекционный контроль за

стабильностью характеристик

сертифицированной

продукции

Число экземпляров -

неограничено

И что? Пусть вендор и сертифицирует!

Дорого Необязательно Невозможно Отвечает

потребитель

От нескольких

сотен долларов

(при сертификации

серии) до

несколько

десятков тысяч

долларов

Исключая гостайну и

СКЗИ разработка и

продажа средств

защиты возможна и без

сертификата

А западные вендоры и

так сертифицированы

во всем мире

Западные

производители не

ведут в России

коммерческой

деятельности и не

могут быть

заявителями

По КоАП

ответственность

лежит на

потребителе

98

0

1

2

3

4

5

6

7

8

9

10

Преимущественно для госорганов

* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной

платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)

Рост числа нормативных актов с требованиями

сертификации СЗИ

Гром с ясного неба!!!

• ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия

продукции (работ, услуг), используемой в целях защиты

сведений, относимых к охраняемой в соответствии с

законодательством РФ информации ограниченного доступа, не

содержащей сведения, составляющие государственную тайну, а

также процессов ее проектирования (включая изыскании),

производства, строительства, монтажа, наладки, эксплуатации,

хранения, перевозки, реализации, утилизации и захоронения,

об особенностях аккредитации органов по сертификации и

испытательных лабораторий (центров), выполняющих работы по

подтверждению соответствия указанной продукции (работ,

услуг)»

– Постановление имеет гриф «Для служебного пользования»

Сертификация решений Cisco по требованиям ИБ в

России

500+ ФСБ НДВ 28 96

Сертификатов

ФСТЭК на

продукцию Cisco

Сертифицировала

решения Cisco

(совместно с С-

Терра СиЭсПи)

Отсутствуют в

ряде

продуктовых

линеек Cisco

Линеек

продукции

Cisco прошли

сертификацию

по схеме

«серийное

производство»

Продуктовых

линеек Cisco

сертифицированы

во ФСТЭК

Цепочка поставки сертифицированного оборудования

Cisco в России

Партнер #1

ПАРТНЕРЫ

СISCO

Партнер #2

Партнер #3

Kraftway Corporation PLC &

AMT

ФСТЭК

Оборудование с

сертификатами

ФСТЭК

Оборудование без

сертификации по

требованиям

ФСТЭК Дистрибуторы

Cisco Systems, Inc

Партнер #N

производство по

требованиям ФСТЭК

сертификационный

пакет ФСТЭК

Производство за

пределами России

Где узнать больше?

• FAQ по

сертифицированном

у производству

• Регулярно

обновляемый список

сертификатов

• И др.

О ЛИЦЕНЗИРОВАНИИ

Одна точка зрения ФСТЭК

• Лицензия на ТЗКИ нужна

юридическим лицам,

осуществляющим

предпринимательскую

деятельность, связанную с

технической защитой

конфиденциальной информацией

– Примечание: в новом

законопроекте по 149-ФЗ термин

«конфиденциальная

информация» меняется на

«информации, в отношении

которой установлено требование

об обеспечении ее

конфиденциальности»

Другая точка зрения ФСТЭК

• Вопрос про лицензию на ТЗКИ для

собственных нужд

• Согласно ст.49 ГК РФ отдельными

видами деятельности можно

заниматься только на основании

лицензии

• В соответствие с ФЗ-128 на ТЗКИ

нужна лицензия

Финальное мнение ФСТЭК

• Деятельность по ТЗКИ для

собственных нужд организации

является лицензируемой

деятельностью, поскольку п.5 ч.1

ст.12 ФЗ «О лицензировании…»

для лицензирования деятельности

по ТЗКИ исключения «для

обеспечения собственных нужд»

не предусмотрено

Есть ли у вас лицензия на ТО СКЗИ?

• А нужна ли?

– Представите

ли 8-го

Центра ФСБ

заявляют о

ненужности

лицензии

для

собственных

нужд

Проект нового приказа ФСБ

• Что такое ТО?

– К деятельности по техническому

обслуживанию шифровальных

(криптографических) средств не

относится эксплуатация СКЗИ в

соответствии с требованиями

эксплуатационной и технической

документации, входящей в комплект

поставки СКЗИ

• Не относится к лицензируемой

деятельности

– Передача СКЗИ клиентам и «дочкам»

– Генерация и передача

сгенерированных ключей

Что изменилось недавно?

• 4 мая (с дополнения от 11 июля) была подписана новая редакция

закона о лицензировании, который серьёзно упрощает процедуру

получения лицензий, повышает их прозрачность и существенно

снижает число лицензируемых видов деятельности

• Тематика связанная с лицензированием деятельности по защите

информации и криптографии осталась ;-(

– Эти виды деятельности были укрупнены в два направления -

криптографическая деятельность и защита от

несанкционированного доступа к информации

– Эти виды деятельности должны будут регулироваться

отдельными новыми Постановлениями Правительства

Что изменилось недавно?

• Есть 11 видов организаций (среди них банки и т.д.), на которые

закон не распространяется

– Но только потому, что на них распространяются отдельные

законы по лицензированию основного вида деятельности

• К лицензионным требованиям не могут быть отнесены

требования о соблюдении требований законодательства,

соблюдение которых является обязанностью любого

хозяйствующего субъекта

• Лицензии бессрочные

• Проверка лицензиатов может быть только в соответствие с ФЗ-

294

Что изменилось недавно?

• Разработка, производство, распространение шифровальных

средств, информационных систем и телекоммуникационных

систем, защищенных с использованием шифровальных средств,

выполнение работ, оказание услуг в области шифрования

информации, техническое обслуживание шифровальных средств,

информационных систем и телекоммуникационных систем,

защищенных с использованием шифровальных средств

– За исключением случая, если техническое обслуживание

шифровальных средств, информационных систем и

телекоммуникационных систем, защищенных с использованием

шифровальных средств, осуществляется для обеспечения

собственных нужд юридического лица

Что думают суды?

• Первая точка зрения заключается в том, что получение лицензии

на деятельность, подлежащую лицензированию, обязательно для

тех лиц, для которых эта деятельность является основной

– В случае если деятельность рассматривается как элемент

основной производственной деятельности, получение лицензии

на нее не требуется

– Эта позиция содержится в постановлениях ФАС ВВО от

06.05.2005 № А34-30702/ 2004-26-1135, апелляционной

инстанции Арбитражного суда Свердловской области от

02.02.2005 № а60-39874-С4, ФАС СЗО от 09.11.2007 № А05-

5724/2007, ФАС ВВО от 18.06.2008 №А31-6296/ 2007-13,

решении Арбитражного суда Свердловской области от

26.05.2008 №А60-5642/2008-С9

Что думают суды?

• Другие суды, напротив, признают требования административных

органов о необходимости лицензирования такой дополнительной

деятельности обоснованными, ссылаясь на то, что получение

прибыли не является квалифицирующим признаком ч. 2 ст. 14.1

КоАП РФ

– Они подчеркивают, что Закон №128-ФЗ не указывает на

необходимость получения лицензии только субъектами,

осуществляющими указанный вид деятельности в качестве

самостоятельной, не связанной с иными производственными

процессами

Что думают суды?

• Также подчеркивается факт связанности данной дополнительной

деятельности, подлежащей лицензированию, с осуществлением

основного вида деятельности

– В этом случае суды признают дополнительную деятельность

предпринимательской, поскольку относят доходы, полученные от

основной деятельности в будущем периоде, к доходам,

полученным в том числе в результате осуществления

дополнительной деятельности

– Постановления ФАС УО от 06.01.2004 №Ф09-2532/03-АК, ФАС

СЗО от 20.05.2004 №А26-1050/ 04-22, Восемнадцатого

арбитражного апелляционного суда от 20.08.2008 №18АП-

4422/2008

ВСТУПЛЕНИЕ В ВТО И

ИМПОРТ ШИФРСРЕДСТВ

Ввоз шифровальных средств

Ввоз и использование шифровальных

средств – это два разных

законодательства

Разделение ввозимой

криптографии по длинам ключей и

сферам применения (с 01.01.2010)

Нотификации vs. ввоза по лицензии

Минпромторга (после получения разрешения ФСБ)

Cisco не только ввозит свое оборудование легально, но и

запустила производство оборудования в России

О ввозе шифровальных средств в Россию

• Запись онлайн-семинара

– https://new-webex.webex.com/new-

webex/lsr.php?AT=pb&SP=EC&rID=

55749762&rKey=f08a589f599999fa

• Презентация с онлайн-семинара

– http://www.slideshare.net/CiscoRu/s

s-9899879

• Новая версия FAQа по импорту

шифровальных средств

– http://www.slideshare.net/CiscoRu/s

s-8834191

• Презентация по регулированию

шифрования в России

– http://www.slideshare.net/CiscoRu/s

s-8386638

ЧТО ЕЩЕ?!

Что осталось за бортом?

• Продукция отечественного производства

• Государственные услуги

– ИБ в госуслугах пока воспринимается только с точки зрения

электронного документооборота

• Универсальная электронная карта

– Возможно уйдет под требования НПС

• Проект приказа Минкомсвязи «Об утверждении Требований к

управлению сетями электросвязи»

119

ВЫВОДЫ

Тенденции ИБ… два месяца назад

• Абсолютная непрогнозируемость изменений на рынке

информационной безопасности

Должно смениться не менее одного-двух поколений

Либерализация

• Вероятность - 20% (на данный момент)

• Вероятность через 2 года - 25% и 10% (в зависимости от победителя президентских выборов)

Закручивание гаек

• Вероятность - 45% (на данный момент)

• Вероятность через 2 года - 20% и 65% (в зависимости от победителя президентских выборов)

Останется все, как есть

• Вероятность - 30% (на данный момент)

Экспертная оценка специалистов Cisco

Что все это значит для вас?!

• Небольшие западные игроки рынка ИБ не выживут в условиях

изменившихся правил игры

• Крупные западные игроки рынка ИБ, которые не учли специфику

регулирования вопросов ИБ в России столкнутся с серьезными

трудностями

• Cisco прилагает все необходимые усилия, чтобы наши заказчики

смогли использовать самые современные технологии,

соответствующие требованиям российских регуляторов

• Для этого Cisco

– Участвует в разработке и экспертизе нормативных актов

– Сертифицирует свою продукцию по требованиям безопасности

– Сертифицировала совместное VPN-решение

– Открыла производство в России

– Получила лицензию ФСБ на деятельность в области шифрования

Спасибо! Просим Вас заполнить анкеты. Ваше мнение очень важно для нас.