security regulations trends_risspa
DESCRIPTION
TRANSCRIPT
Регулирование ИБ в России: что было и что будет!?
Лукацкий Алексей
Содержание
Содержание
Какова общая тенденция?
Чего боятся отечественные производители средств защиты?
Риски, связанные со все более укрепляющимся положением международных производителей на отечественном рынке программного обеспечения в сфере ИБ, особенно принимая во внимание фактическую либерализацию импорта СКЗИ
Рост роли международных стандартов на национальном рынке информационной безопасности, перекос регулирования «экспорт/импорт» может привести к падению спроса на продукцию отечественных производителей программного обеспечения
Чего боятся в ФСБ/Совете Безопасности?
В российских информационно-коммуникационных технологиях используется до 98% зарубежных разработок и оборудования
Данные ФСБ для Совбеза РФ
ФСБ не раз заявляла о том, что для борьбы с этой угрозой национальной безопасности будут использованы два основных механизмы
Недопущение на российский рынок западных продуктов
Сертификация средств защиты информации
В качестве угрозы рассматривается использование несертифицированных отечественных и зарубежных ИТ, средств защиты информации, средств информатизации, телекоомуникации и связи при создании и развитии российской информационной инфраструктуры
Доктрина информационной безопасности РФ
О чем говорят властные структуры?
Россия зависима от западных технологий
Их разработчики находятся под колпаком у западных спецслужб
Невозможность бороться с киберпреступлениями
Г-н Путин сначала подписал Будапештскую конвенцию ЕС «О борьбе с киберпреступностью», а потом отозвал свою подпись
Готовятся кибервойны
США внесло в ООН предложение отвечать военными ударами на кибератаки
Законодательство других стран дает право спецслужбам контролировать весь Интернет-трафик, проходящий через эти страны
В России такое же законодательство
Западные страны пытаются вмешиваться в суверенитет России в Интернет-пространстве
Как поступают в других странах?
Развивают свое, постепенно вытесняя все зарубежное и недоверенное
Пример: Китай
Дают возможность применять для гражданского применения все, что угодно, контролируя наиболее критичные сферы (гостайна, КВО, оборонка), пытаясь внедрить в них собственные наработки
Что предлагают отечественные регуляторы?
Выработка мер по минимизации непосредственного участия иностранных компаний в информатизации процессов государственного управления
Содействие развитию отечественного производства средств связи и телекоммуникаций, ПО, микроэлектронной базы и т.д.
И еще 5 предложений
По поводу СПО
ФСБ не раз заявляла, что уровень затрат на анализ СПО и проприетарного ПО в контексте ИБ одинаков
Основным поставщиком ПО для Сочи-2014 выбрана компания Microsoft – уже после принятия курса на СПО
Что происходит на самом деле в России?
Большое количество регуляторов
Легитимный ввоз криптографии в соответствие
с правилами Таможенного союза («ВТО»)
Использование легитимной криптографии
Требования сертификации
Локальные и закрытые нормативные акты
Отсутствие учета рыночных потребностей
Исторический бэкграунд
Большое количество регуляторов
Легитимный ввоз криптографии в соответствие
с правилами Таможенного союза («ВТО»)
Использование легитимной криптографии
Требования сертификации
Локальные и закрытые нормативные акты
Отсутствие учета рыночных потребностей
Исторический бэкграунд
Регуляторы в области ИБ
ИБ
ФСТЭК
ФСБ
Минком-связь
МО
СВР
ФСО
ЦБ
ЦБ
PCI
Council
Газпром-
серт
Росатом
РЖД
Рос-
стандарт
Что было?
Что происходило совсем недавно Новый ФЗ «О персональных
данных»
Финансовая отрасль
PCI DSS 2.0
СТО БР ИББС-1.0 v4
Письма КЦ АРБ
ФЗ «О национальной платежной системе»
ФЗ «Об электронной подписи»
ФЗ «О госуслугах» и СМЭВ
ФЗ по безопасности ТЭК
НПА по УЭК
Новый ФЗ о лицензировании
Защита детей от информации
Что произошло с ФЗ о ПДн
Приказы и иные документы
Постановления Правительства
Законы
Конвенции и иные международные
договора
Европейская Конвенция
ФЗ №152 от 26.07.2006
ФЗ №160 от 19.12.2005
№781 от 17.11.2007
«Приказ трех» от
13.02.2008
2 открытых документа и 1 полуДСП от
ФСТЭК
2 открытых документа ФСБ
Регламенты осуществления
контроля и надзорар
№687 от 15.09.2008
№512 от 6.07.2008
Директивы Евросоюза /
Европарламента
Рекомендации ОЭСР
• «Старые» Постановления пока действуют
• 2 новых отраслевых стандарта – НАУФОР и НАПФ
Что поменялось в ФЗ-152?
Терминология
ПДн, биометрические ПДн, обезличивание, обработка, автоматизированная обработка, трансграничная передача
Условия обработки ПДн без согласия
Появление «обработчика» ПДн (ЛОПДПО)
Условия обработки специальных категорий ПДн
Условия трансграничной передачи ПДн
Условия ограничения доступа субъекта к его ПДн
Условия непредоставления субъекту сведений
Контроль и надзор со стороны ФСТЭК и ФСБ
Содержание уведомления в РКН
Возмещение морального вреда
Что под вопросом после принятия нового ФЗ-152?
Классификация ИСПДн – ее больше нет
Разные управления РКН считают по разному
Моделирование угроз – его больше нельзя делать самостоятельно
Но ФСТЭК считает иначе
Требования по защите ПДн – стало жестче
Или точнее могут стать
Сертификация средств защиты – на уровне закона
Сертификация и оценка соответствия это не одно и тоже
Нечеткость терминологии и жесткость позиции регулятора
Аттестация объектов информатизации – на уровне закона
Лицензирование деятельности по защите информации
Об этом постоянно говорят регуляторы в лице ФСТЭК и ФСБ
Новые руководства для PCI DSS
Новые указания по использованию виртуализации в рамках проектов по PCI DSS
Включая все технологии виртуализации, а не только для серверов
Включает раздел по облачным вычислениям
Новые указания по использование телефонных технологий в рамках PCI
Включая центры обработки вызовов
Электронный документооборот госорганов
Приказ Минкомсвязи РФ от 02.09.2011 № 221 «Об утверждении Требований к информационным системам электронного документооборота ФОИВ, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения»
Зарегистрировано в Минюсте
РФ 15.11.2011 N 22304
Приказ Минкомсвязи РФ от 27.12.2010 № 190 «Об утверждении технических требований к взаимодействию систем в единой системе межведомственного электронного взаимодействия»
Внутренний ЭД Межведомственный
ЭД
Межведомственный электронный документооборот
Подсистема информационной безопасности каждой информационной системы, подключаемой к системе взаимодействия, должна обеспечивать установленные законодательством Российской Федерации уровни защищенности информации, обрабатываемой в этой системе
Пока не утверждены
Каналы защищаются VPN-решениями класса не ниже КС3
Учитывайте, что речь идет о межведомственном, а не внутреннем электронном документообороте
Внутренний электронный документооборот
Защищенность от несанкционированного доступа в случаях, когда в СЭД предусмотрена обработка служебной информации ограниченного распространения - не ниже класса 1Г
Для защиты служебной информации ограниченного распространения должны использоваться сертифицированные в соответствии с требованиями безопасности информации технические и (или) программные средства защиты информации
Требования по защите информации и мероприятия по их выполнению, а также конкретные программно-технические средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности
Пока не установлены
СЭД не должна иметь прямого (незащищенного) подключения к Интернет в соответствии с Указом Президента №351
Необходимо применение сертифицированных межсетевых экранов и VPN-решений (любого класса)
Электронная подпись и банки В соответствии с Указанием Банка России от 16 января 2004 года
№ 1375-У «О правилах составления и представления отчетности кредитными организациями в Центральный банк Российской» (далее - Указание № 1375-У) при составлении и представлении отчетности кредитных организаций в Банк России в электронном виде для подтверждения подлинности и контроля целостности электронного сообщения используется код аутентификации
Код аутентификации является аналогом электронной подписи, отвечающим требованиям, предусмотренным пунктами 2 и 3 статьи 5 Федерального закона от 06.04.2011 года 63-Ф3 «Об электронной подписи»
Учитывая изложенное, кредитным организациям при составлении и представлении отчетности в Банк России в электронном виде следует руководствоваться порядком, установленным Указанием Банка России от 24 января 2005 года № 1546-У «О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации»
Безопасность ТЭК
21 июля 2011 года Президент РФ подписал Федеральный Закон «О безопасности объектов топливно-энергетического комплекса», а также Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса»
Статья 11 «Обеспечение безопасности информационных систем объектов топливно-энергетического комплекса»
Требования и состав комплекса защитных мер пока не определены
О лицензировании
4 мая (с дополнения от 11 июля) была подписана новая редакция закона о лицензировании, который серьёзно упрощает процедуру получения лицензий, повышает их прозрачность и существенно снижает число лицензируемых видов деятельности
Тематика связанная с лицензированием деятельности по защите информации и криптографии осталась ;-(
Эти виды деятельности были укрупнены в два направления - криптографическая деятельность и защита от несанкционированного доступа к информации
Эти виды деятельности будут регулироваться отдельными новыми Постановлениями Правительства (проекты уже есть)
Лицензии бессрочные
О лицензировании криптографии
Разработка, производство, распространение шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств
За исключением случая, если техническое обслуживание шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств, осуществляется для обеспечения собственных нужд юридического лица
«Финальное» мнение ФСТЭК о лицензировании
Деятельность по ТЗКИ для собственных нужд организации является лицензируемой деятельностью, поскольку п.5 ч.1 ст.12 ФЗ «О лицензировании…» для лицензирования деятельности по ТЗКИ исключения «для обеспечения собственных нужд» не предусмотрено
О продукции отечественного производства
Приказ Минэкономразвития и Минпромторга, определяющий, что считать ИТ-продукцией отечественного производства
Параметр Кимп (стоимость импортного сырья, материалов, комплектующих, имеющих отечественные аналоги) в формуле расчета либо не вычислим либо будет всегда очень большим (итог – низкий уровень локализации)
Не установлен орган сличения материалов и комплектующих иностранного и отечественного производства
Не определены каталога, считающиеся официальными
Не определены процедуры и орган, утверждающие о наличии отечественных аналогов
В России нет продукции отечественного производства
Иностранные вендоры в России – резиденты со 100%-м участием иностранных компаний
Приказ обязывает создавать СП с госорганами, муниципалами или Ростехнологиями
СП должны быть переданы права на документацию и ПО – передача интеллектуальных прав западной компании (особенно из США) практически невозможна
Заявитель должен осуществлять полный цикл сборки печатных плат в России
В России таких предприятий (даже оборонных) практически нет
При наличии таких предприятий проще обратиться на Тайвань или в Китай – себестоимость ниже
Кстати, сборка печатных плат – экологически вредное производство
О встраивании криптоядра в VPN-продукты
Можно ли использовать сертифицированное ФСБ криптоядро в составе VPN-решений (иностранного или отечественного производства)?
Можно
Будет ли такое использование легитимным?
Нет!!!
Что будет?
Что будет происходить совсем скоро Персональные данные
Административные регламенты ФСБ и РКН
Финансовая отрасль
СТО БР ИББС-1.0 v5
Требования по ИБ для национальной платежной системы
Требования по УЦ и ЭП
Новые постановления о лицензировании
Социальные сети и контроль Интернет
Защита детей от информации
Облачные технологии
Текущая и будущая ситуация с ИБ ПДн
9 новых Постановлений Правительства
Два в части установления уровней защищенности и требования по ИБ
За безопасность ПДн отвечают ФСТЭК и ФСБ
ФСТЭК выпустил приказ №58 – в 2012 г. планируется изменение
ФСБ выпустила 2 методических документа в области криптографии – в 2012 г. планируется изменение
Подход регуляторов
Сертифицированные СЗИ и СКЗИ – подход не меняется, планируется законодательное ухудшение
Вновь появляется аттестация
Отраслевые стандарты – тренд с неочевидной судьбой
СТО БР ИББС, НАУФОР, НАПФ, Тритон, Минздравсоцразвития…
ФСТЭК и ФСБ по-прежнему поддерживают отраслевые стандарты
Проект нового приказа ФСБ Что такое ТО?
К деятельности по техническому обслуживанию шифровальных (криптографических) средств не относится эксплуатация СКЗИ в соответствии с требованиями эксплуатационной и технической документации, входящей в комплект поставки СКЗИ
Не относится к лицензируемой деятельности
Передача СКЗИ клиентам и «дочкам»
Генерация и передача сгенерированных ключей
Аттестация для конфиденциалки
В четверокнижии ФСТЭК аттестация была обязательной для ИСПДн К1, К2 и распределенной К3
В приказе № 58 требования аттестации нет!
Что такое «оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных»?
Ст.19 нового старого ФЗ-152
Во ФСТЭК готовятся документы по аттестации объектов информатизации, обрабатывающих конфиденциальную информацию
Развитие Комплекса стандартов Банка России
РС «Методика назначения и описания ролей» (принята)
РС «Методика классификация активов» (под вопросом)
РС «Требования по обеспечению безопасности СКЗИ» (план)
Классификатор 0.0
Термины и определения
0.1
Рекомендации по выполнению законодательных требований при
обработке ПДн
Перемены в вопросе стандартизации ИБ банков
В декабре 2010 года в России при Росстандарте создан новый технический комитет - ТК 122 «Стандартизация в области финансовых услуг»
ТК 122 соответствует ISO TC 68 “Financial Services»
Базовая организация – Центральный банк
Работы по стандартизации в области информационной безопасности в кредитно-финансовой сфере будут перенесены из ТК 362 и продолжены в рамках ПК1
Развитие регулирования ИБ банков Упор на отраслевые стандарты
Разработанные в рамках ТК 122 и рабочих групп ЦБ
В середине ноября в ЦБ создана рабочая группа по разработке требования по защите участников Национальной платежной системы
Процессинг
ДБО
Платежные системы
Электронные и мгновенные платежи (включая мобильных операторов)
Карточный бизнес
Банк России стал официальным регулятором
Требования СТО станут обязательными к применению
Саморегуляция также возможна
Требования к УЦ и ЭП
Проект приказа ФСБ «Об утверждении Требований к средствам электронной подписи»
Проект приказа ФСБ «Об утверждении Требований к средствам удостоверяющего центра»
Проект приказа ФСБ «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи»
Защита детей от Интернет
ФЗ «О защите детей от негативной информации»
Вступление в силу с осени 2012 года
Изменения в КоАП в части ответственности за невыполнение требований закона
Новый регулятор – Роскомнадзор
Bдет оформление полномочий
Будет устанавливать требования к средствам фильтрации
Требования к пунктам коллективного доступа использования средств фильтрации контента
Непонятно, что такое пункт коллективного доступа (по мнению Минкомсвязи – это только Почта России)
Мы могли принять «Общие критерии»…
Изменения 2010-го года в техническое регулирование разрешали оценку соответствия по западным требованиям
24 января 2011 Президент подписал новый Указ о создании единого органа по сертификации…
исключая оценку соответствия средств защиты информации и иной продукции, перечисленной в ст.5 ФЗ «О техническом регулировании»
0
5
10
15
1995
1996
1997
1998
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011*
Число нормативных актов, связанных с сертификацией средств защиты
Мифическое Постановление Правительства №330
ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)»
Постановление имеет гриф «Для служебного пользования»
Мнение Минкомсвязи по облакам
«Помимо этого сервер, предоставляющий услугу облачных вычислений, должен находиться в России. В какой-то степени такие условия осложняют жизнь хостерам, потому что придется взаимодействовать с такими службами, как ФТЭК и ФСБ, но надо с чего-то начинать. Это необходимо сделать, чтобы облачные платформы в будущем имели возможность нормальной работы не только с госорганами, но и с другими структурами»
Илья Массух, советник министра связи и массовых коммуникаций на конференции «Защита персональных данных», 27 октября 2011 года
Облака заказали?
Заказ Минкомсвязи №0173100007511000043
Разработка предложений по созданию системы персональной идентификации граждан в целях безопасного доступа к государственным и муниципальным сервисам в электронном виде
Разработка системы правил обеспечения защиты прав субъектов персональных данных при использовании облачных вычислений, в том числе, трансграничных
Исследование вопроса построения облачных трансграничных систем хранения данных для предоставления услуг хостинга интернет-сайтов и их влияния на национальную безопасность страны
Максимальный срок выполнения работ – 5 дней
Требования к участника – лицензии ФСБ и ФСТЭК
Контроль социальных сетей и Интернет
Кодекс (Конвенция) поведения ООН в области ИБ
Инициирован Россией, Китаем, Узбекистаном и Таджикистаном
Запрет на вмешательство в национальное Интернет-пространство
Запрет на использования Интернет и социальных сетей для свержения правительств
Социальные сети и Интернет надо контролировать
Юрий Чайка, Генеральная прокуратура
Интернет не приемлет анонимности – надо контролировать
Патриарх Кирилл, Русская Православная Церковь
Интернет не приемлет анонимности – надо контролировать
Рашид Нургалиев и Алексей Мошков, МВД
Пользователи должны иметь Интернет-паспорта
Евгений Касперский
Россия заблокировала Конвенцию ОБСЕ по «правам человека» в Интернет
Выводы
Что осталось за бортом? Универсальная электронная карта
Возможно уйдет под требования НПС
Проект приказа Минкомсвязи «Об утверждении Требований к управлению сетями электросвязи»
Системы управления сетями связи должны быть сертифицированными
Изменения 28 главы Уголовного Кодекса
Принятие стандартов ISO (15408, 27005, 18045) в России
В рамках ТК362 Ростехрегулирования
ГОСТ по моделированию угроз для операторов связи
ФСБ фактически запретила принятие этого стандарта
Государственный образовательный стандарт по ИБ
А также стандарт АП КИТ по квалификациями специалистов по ИБ
Инициатива АП КИТ в части ИБ облачных вычислений
45
Тенденции ИБ… два месяца назад
Абсолютная непрогнозируемость изменений на рынке информационной безопасности
Текущие тенденции
Либерализация
• Вероятность - 20% (на данный момент)
• Вероятность через 2 года - 25% и 10% (в зависимости от победителя президентских выборов)
Закручивание гаек
• Вероятность - 45% (на данный момент)
• Вероятность через 2 года - 20% и 65% (в зависимости от победителя президентских выборов)
Останется все, как есть
• Вероятность - 30% (на данный момент)
Экспертная оценка специалистов Cisco
Что все это значит для вас?!
Регуляторы не откажутся от регулирования отрасли ИБ и только усилят свое влияние
Потребители вынуждены будут увеличивать бюджеты на ИБ или будут более активно принимать риски несоблюдения законодательства
Безопасность все больше будет становиться бумажной, а не реальной
Небольшие западные игроки рынка ИБ вероятно не выживут в условиях изменившихся правил игры
Или будут нарушать законодательство
Крупные западные игроки рынка ИБ, которые не учли специфику регулирования вопросов ИБ в России столкнутся с серьезными трудностями по продвижению своих решений
Спасибо!!!