Алексей Лукацкий (cisco) - Тенденции законодательства по...
TRANSCRIPT
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Тенденции законодательства по ИБ для финансовой отрасли
Алексей Лукацкий
Бизнес-консультант по безопасности
30/04/15
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Активность законодателей только возрастает
В среднем 4 нормативных акта (проекта) в месяц
2012 – 5, 2013 – 4, 2014 – 6
Активность будет только возрастать
В октябре почему-то всегда минимальная активность
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Приоритеты давно определены
Национальная платежная система
Банки
Госорганы
КВО и ТЭК
Операторы связи
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
ИБ в финансовых организациях – это не только НПС
ФОНПС
БТ
ПДн
ФСТЭК
ФСБ
PCI DSS
КИИ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
5© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Национальная платежная система и банки
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Изменения по направлению НПС/банковской тайны
Что было?
• 382-П (3361-У)
• 42-Т
• 49-Т
• 242-П (3241-У)
• 437-П
• СТО БР ИББС 1.0 и 1.2
• Отмена РС 2.3 и 2.4
• Принятие новых РС 2.5, 2.6, 2.7 и 2.8
Что будет?
• Новые РС
• Требования для организаций финансового рынка
• FinCERT
• Отраслевая модель угроз ПДн
• НСПК
• Поправки в УК, УПК…
• Оценка соответствия приложений
• Смена «владельца» 382-П (?)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Новые РС – 2.7 и 2.8
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологий виртуализации» (РС БР ИББС-2.7-2014)
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.8-2014)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Новости стандартизации
ЦБ готовит в 2015-2016 гг. РС по предотвращению утечек, по антифроду, по распределению ролей, по облакам и аутсорсингу, по расследованию инцидентов
РС по классификации информации частично вошла в РС по предотвращению утечек
ЦБ планирует пересмотреть СТО БР ИББС-1.1, РС БР ИББС-2.0, РС БР ИББС-2.1, РС БР ИББС-2.2
ЦБ планирует расширить действие СТО 1.0 и 1.2 на все отрасли, которые попали под ЦБ после слияния с ФСФР
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Что с отраслевой моделью угроз ПДн?
Проект Указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных»
Полностью переиграли документ в условиях текущей геополитической ситуации
Угрозы 1-го и 2-го типа уже не считаются неактуальными изначально – решение отдается на откуп банкам
Заново отправлен на согласование в ФСТЭК и ФСБ
Переподписание «письма шести»
После актуализации СТО БР
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Информационная безопасность НСПК
НСПК – часть НПС и подчиняется требованиям 382-П
Отдельных документов по безопасности НСПК пока не планируется
1 этап
• Реализация отечественного HSM, повторяющего функционал импортных аналогов с использованием отечественных криптоалгоритмов только в автономных режимах
2 этап
• Реализация в отечественном HSM набора дополнительных команд с использованием отечественных криптоалгоритмов
• Реализация с использованием отечественного HSM трёхуровневой PKI инфраструктуры с использованием импортных и отечественных крипто алгоритмов
• Реализация корневого УЦ НПС (аналога УЦ МПС Visa или MasterCard)
3 этап
• Разработка отечественной чиповой карты
• Разработка спецификаций и приложений с поддержкой отечественных криптоалгоритмовдля всех устройств, участвующих в поддержке платежных транзакций.
• Разработка программы подготовки к эмиссии карт НПС и поэтапного перевода всех устройств на работу с двумя криптографическими алгоритмами
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Противодействие преступлениям в финансовой сфере
Подготовлены изменения в законодательство направленное на противодействие преступлениям в финансовой сфере с применением современных технологий
ФЗ-395-1, ФЗ-86, ФЗ-161
В статьи 159.3 УК РФ, 187 УК РФ, 272 УК РФ, статью 152 УПК РФ, проекты статей 183.1 УК РФ и 183.2 УК РФ
Изменения в АПК
Подготовлены предложения по проекту ФЗ «О внесении изменений в некоторые законодательные акты РФ (в части противодействия хищению денежных средств)»
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Российский PA DSS? Когда?
Вновь поднимается идея об оценке качества ПО АБС и платежных приложений
Распоряжение Совета Безопасности
Не до конца проработан механизм оценки – через СРО или сертификацию?
Кто будет входить в СРО?
Разработчики ПО
Интеграторы
Аудиторы
Много открытых вопросов про СРО или оценке соответствия
Как минимум, требуется изменение законодательства
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Контроль качества данных и ПО
Проект Положения Банка России «О порядке расчёта величины кредитного риска на основе внутренних рейтингов» – первый нормативный документ Банка России, в котором планируется реализовать требования абз. 1 ст. 72.1 Федерального закона РФ от 10.07.2002 №86-ФЗ
Банк обеспечивает в течение всего периода функционирования ИС защиту от несанкционированных и нерегламентированных изменений и удалений данных путем принятия мер инф. безопасности (ИБ):
мер по обеспечению ИБ на всех стадиях жизненного цикла ИС,
мер по управлению доступом к данным и его регистрацией,
мер по применению средств защиты от воздей-я вредоносного кода,
мер по обеспечению ИБ при использовании сети Интернет,
мер по обеспечению ИБ путем экспл-и ср-в крипт. защиты инф-и,
мер по обнаружению и реагированию на инциденты ИБ,
мер по мониторингу обеспечения ИБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Новости по отчетности
Вопрос о слиянии 258-й и 203-й форм так и не решен
Т.к. они разработаны для разных целей – развития и надзора в НПС
Результаты 202-й и 203-й отчетности должны были быть опубликованы в марте 2015 года
Но видимо уже и не будут
Передавать (отменять) 203-ю отчетность под FinCERT пока не планируется
И цели у 203-й отчетности иные, и FinCERT пока не заработал
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Готовится методика проверки по вопросам безопасности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
FinCERT должен быть запущен 1-го мая 2015-го года
Задержка с созданием FinCERT связана с Крымом и текущей экономической ситуацией
Не только НСПК
Большое количество вопросов, связанных с функционированием FinCERT, порядок предоставления в него информации, ответственности/обязанности, предоставляемой из FinCERT информации
Только техническая информация (черные списки, домены, IP, анализ malware, Threat Intelligence и т.п.) или правила антифрода?
Интеграция с ГосСОПКА
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
ФСТЭК и Банк России: схожесть подходов
Банк России
• РС по виртуализации
• РС по утечкам
• РС по облакам
• РС по жизненному циклу
• РС по менеджменту инцидентов
• РС по ресурсному обеспечению
ФСТЭК
• ГОСТ по виртуализации
• РД по утечкам
• ГОСТ по облакам
• ГОСТы по SDLC и управлению уязвимостями
• Методичка по управлению инцидентами
• ГОСТ по показателям качества
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
18© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Планы ФСТЭКВ контексте финансовой отрасли
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Новые требования к средствам защиты
Совершенствование сертификации средств защиты информации
Планируется разработка большого количества РД с требованиями к средствам защиты
Изменение подходов к сертификации
Совершенствование порядка аккредитации органов по сертификации и испытательных лабораторий
Совершенствование порядка сертификации
Уточнение порядка обновления сертифицированных средств защиты информации
А также
• Требования к средствам защиты виртуализации,
BIOS, ОС и СУБД
• Требования к средствам защиты информации от
утечки по техническим каналам
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
Планируемые методические документы ФСТЭК
Порядок аттестации информационных систем
Порядок обновления программного обеспечения и информационных систем
Порядок выявления и устранения уязвимостей в информационных системах
Защита информации в информационной системе при использовании мобильных устройств
Порядок реагирования на инциденты, связанных с нарушением функционирования информационной системы
Защита информации в информационных системах при применении устройств беспроводного доступа
Разработка
запланирована
на второй квартал
этого года
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Усиление внимания к безопасности ПО
Новые требования к СрЗИ
3 ГОСТа по уязвимостям
Проект ГОСТа по SDLC – планируется принятие в конце года
Банк данных уязвимостей и угроз
Методика обновления ПО, включая сертифицированное
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Методика моделирования угроз
Методика определения угроз безопасности информации в информационных системах
Распространяется на
ГИС / МИС
ИСПДн
Не распространяется на угрозы СКЗИ и ПЭМИН
Отменяет «методику определения актуальных угроз…» 2008-го года
Применяется совместно с банком данных угроз ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
Новые ГОСТы по защите информации
Готовящиеся ГОСТы
Безопасность суперкомпьютерных и грид-технологий
ИБ виртуализации
ИБ «облачных вычислений»
Документация по технической защите информации на объекте информатизации
Угрозы безопасности информации
Номенклатура показателей качества
Основные термины и определения
Гармонизация 72-х стандартов ISO
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
24© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Критические инфраструктуры
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Изменения по направлению КИИ / КСИИ / КВО / АСУ ТП
Что было?
• Приказ ФСТЭК №31 по защите АСУ ТП
• Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ
Что будет?
• Законопроект по безопасности критических информационных инфраструктур
• Законопроект о внесении изменений в связи с принятием закона о безопасности КИИ
• Подзаконные акты
• Приказы и методички ФСБ
• Методические документы ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Поправки в связи с принятием закона о безопасности КИИ
Поправки в УК РФ и УПК РФ
Внесение изменений в статьи 272, 274, 151 (УПК)
Поправки в закон «О государственной тайне»
Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени опасности
Поправки в 294-ФЗ
Выведение из под порядка проведения проверок КИИ
Поправки в 184-ФЗ
Исключение двойного регулирования
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Что еще готовится в связи с законопроектом о безопасности КИИ?
Определение ФОИВ, уполномоченного в области безопасности КИИ
Через 6 месяцев после принятия закона
Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры»
Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ
Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования и взаимодействия объектов КИИ»
Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
Планируемые приказы уполномоченного ФОИВа
Приказ уполномоченного ФОИВ об утверждении требований по безопасности КИИ
Это не 31-й приказ!!!
Приказ уполномоченного ФОИВ об аккредитации организаций, уполномоченных проводить оценку защищенности КИИ
Приказ уполномоченного ФОИВ о представлении сведений для категорирования
Приказ уполномоченного ФОИВ о контроле/надзоре
Приказ уполномоченного ФОИВ о реестре объектов КИИ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Планируемые приказы ФСБ (8-й Центр)
Приказ ФСБ об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на объектах КИИ
Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА
Приказ ФСБ о порядке доступа к информации в СОПКА
Приказ ФСБ об утверждении требований к техсредствам СОПКА
Приказ ФСБ об установке и эксплуатации техсредств СОПКА
Приказ ФСБ о национальном CERT
Приказ о порядке и периодичности проведения мероприятий по оценке степени защищенности критической информационной инфраструктуры
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
Планируемые методические документы ФСБ (8-й Центр)
Методика обнаружения компьютерных атак на информационные системы и информационно-телекоммуникационные сети
Порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах
Порядок обмена информацией между федеральными органами исполнительной власти и уполномоченными органами иностранных государств (международными организациями) о компьютерных инцидентах
Методические рекомендации по организации защиты критической информационной инфраструктуры Российской Федерации от компьютерных атак
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31
Планируемые методические документы ФСТЭК
Применение «старых» документов ФСТЭК по КСИИ в качестве рекомендательных и методических
«Рекомендации…» и «Методика определения актуальных угроз…»
Порядок выявления и устранения уязвимостей в АСУ ТП
Методика определения угроз безопасности информации в АСУ ТП
Порядок реагирования на инциденты, связанные с нарушением безопасности информации
Меры защиты информации в АСУ ТП
По аналогии с «Мерами защиты в ГИС»
2016 год
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32
32© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Персональные данные
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33
Изменения по направлению ПДн
Что было?
• Приказ ФСТЭК №21 по защите ПДн в ИСПДн
• Приказ об отмене «приказа трех» по классификации ИСПДн
• Приказ и методичка РКН по обезличиванию
• Закон 242-ФЗ о запрете хранения ПДн россиян за границей
• Письмо Банка России 42-Т
• Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн
• ПП-911 по отмене обязательного обезличивания
Что могло быть?
• Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн
• Отраслевые модели угроз
• Ратификация дополнительного протокола Евроконвенции (181)
• Законопроект по ответственности за неуведомление о утечке ПДн
• Законопроект по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн
Что будет?
• Законопроект Совета Федерации по внесению изменений в ФЗ-152
• Законопроект по внесению изменений в КоАП
• Поправки в ФЗ-242 (?)
• Новые обязанности РКН
• Выход РКН из под действия 294-ФЗ
• Изменения в приказ №21
• Совет Европы примет новый вариант ЕвроКонвенции
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34
ПравонарушениеНарушаемая статья
законодательства
Наказание для
должностных лиц
Наказание для
юридических лиц
Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей
Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей
Незаконная обработка
спецкатегорий ПДн
Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей
Неопубликование политики в
области ПДн
Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей
Отказ в предоставлении
информации субъекту
Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей
Отказ в уничтожении или
блокировании ПДн
Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей
Нарушение правил хранения
материальных носителей ПДн
ПП-687 4-10 тысяч рублей 25-50 тысяч рублей
Нарушение правил обезличивания
(для госов)
ПП-211 и приказ РКН
№996
3-6 тысяч рублей Не предусмотрено
Законопроект по штрафам прошел первое чтение