Планируемые изменения законодательства по ИБ в России
1. Персональные данные
2. Критические информационные инфраструктуры
3. Национальная платежная система и банковская тайна
4. Операторы связи
5. Государственные и муниципальные учреждения
4. Недавние и планируемые изменения по направлению ПДн
Что было
• Приказ ФСТЭК №21 по защите ПДн в
ИСПДн
• Приказ об отмене «приказа трех» по
классификации ИСПДн
• Приказ и методичка РКН по
обезличиванию
• Новая версия стандарта Банка
России (СТО БР ИББС)
• Закон 242-ФЗ о запрете хранения
ПДн россиян за границей
• Письмо Банка России 42-Т
Что будет
• Проект приказа ФСБ по
использованию СКЗИ для защиты
ПДн
• Законопроект Совета Федерации по
внесению изменений в ФЗ-152
• Законопроект по внесению
изменений в КоАП
• Работа Межведомственного
экспертного совета при Минкомсвязи
по совершенствованию
законодательства в области
регулирования отношений,
связанных с обработкой ПДн
• Отраслевые модели угроз
• Ратификация дополнительного
протокола Евроконвенции (181)
5. Что рекомендует письмо 42-Т
• В целях снижения операционного, правового и репутационного
рисков кредитным организациям целесообразно
актуализировать внутренние документы, определяющие:
– Порядок хранения и уничтожения документов, в том числе на
бумажных носителях, содержащих персональные данные
клиентов
– Персональную ответственность работников кредитных
организаций, осуществляющих непосредственную обработку
персональных данных, за сохранение и обеспечение
конфиденциальности информации, образующейся в процессе
обслуживания клиентов
– Условия, обеспечивающие конфиденциальность и сохранность
материальных носителей персональных данных, исключающие
несанкционированный доступ к ним с момента создания данных
документов до истечения сроков их хранения и уничтожения
6. На что намекает письмо 42-Т
• Недостатки в деятельности, связанные с исполнением норм
ФЗ-152 должны рассматриваться как негативный фактор при
оценке качества управления кредитной организацией, в том
числе при оценке организации системы внутреннего контроля в
соответствии с положением 242-П
• Согласно ст.48 177-ФЗ от 23.12.2003 «О страховании вкладов
физических лиц в банках Российской Федерации» такой
недостаток может послужить причиной прекращения права банка
на привлечение во вклады денежных средств физлиц и на
открытие и ведение банковских счетов физлиц
– По сути плохая обработка персональных данных может стать
причиной невозможности заниматься основной деятельностью
кредитной организации
7. Законопроект по штрафам
• В новом законопроекте меняется текст статьи 13.11, которая
устанавливает два состава правонарушений
– Нарушение требований к письменному согласию субъекта
– Обработка ПДн без согласия или иных законных оснований
• Также вводится еще 3 новых статьи:
– 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K)
– 13.11.2 - непредоставление оператором информации и (или)
доступа к сведениям, предусмотренным законодательством о
ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в
отношении обработки ПДн (<=40K)
– 13.11.3 - несоблюдение требований по обеспечению
безопасности ПДн (<=200K)
8. Законопроект РГ Совета Федерации
• Вводится понятия «обработчика»
• Защита ПДн в составе профессиональной тайны
– В соответствие с требованиями по защите тайны
• Условия обработки ПДн обработчиком
– Наличие договора = согласие
• Новые условия необеспечения конфиденциальности ПДн
• Электронная, в т.ч. дистанционная форма согласия на обработку
ПДн
• Биометрические ПДн
– Только при автоматической идентификации субъекта
• Трансграничная обработка ПДн
– Также при наличии договора
– Не распространять требование за пределами РФ
9. Законопроект РГ Совета Федерации
• Государственные и муниципальные организации заменяются на
организации, обрабатывающие ПДн в целях оказания
государственных и муниципальных услуг
• Защита ПДн
– Гармонизация формулировок
• Уведомление РКН
– Гармонизация формулировок
• Возможность самостоятельной разработки модели угроз
– До принятия соответствующих актов ФОИВами
10. Проект приказа ФСБ
• Настоящий документ устанавливает
состав и содержание необходимых
для выполнения установленных
Правительством Российской
Федерации требований к защите ПДн
для каждого из уровней защищенности
организационных и технических мер
по обеспечению безопасности ПДн
при их обработке в ИСПДн
11. Проект приказа ФСБ
• Даны разъяснения (имеющие характер обязательных) положений
ПП-1119
– Например, что такое «организация режима обеспечения
безопасности помещений», «сохранность персональных данных»,
«электронный журнал сообщений» и т.п.
• Средства криптографической защиты персональных данных
могут быть ТОЛЬКО сертифицированными
• 8-й Центр сознательно или несознательно, но ограничил
применение для защиты ПДн СКЗИ классом КС3 (!) и выше
– Если вы считаете, что потенциальный нарушитель может
получить доступ к средствам вычислительной техники, на
которых установлены СКЗИ, то необходимо применять СКЗИ не
ниже КС3
12. Проект приказа ФСБ
• Если вдуматься чуть глубже, то вы обязаны будете применять
СКЗИ класса КВ1, если вы опасаетесь, что нарушитель может
привлечь специалистов, имеющих опыт разработки и анализа
СКЗИ
– А сейчас нет ограничений на таких специалистов - криптографию
преподают в 100 с лишним ВУЗах России
• СКЗИ КВ2 применяются, когда могут быть использованы
недекларированные возможности в прикладном ПО или у
нарушителя есть исходные коды прикладного ПО
– Прощай open source
• СКЗИ КА1 применяются, когда могут быть использованы
недекларированные возможности в системном ПО
13. Соответствие уровней защищенности классам СКЗИ
Уровень
защищенности
3-й тип угроз 2-й тип угроз 1-й тип угроз
4 КС1+ КС1+ КС1+
3 КС1+ КВ2+ -
2 КС1+ КВ2+
1 - КВ2+ КА1
• В зависимости от совокупности предположений о возможностях,
которые могут использоваться при создании способов, подготовке
и проведении атак СКЗИ подразделяются на классы
14. Проект приказа ФСБ
• Все помещения, в
которых ведется
обработка ПДн, должны
по окончании рабочего
дня не просто закрываться, а
опечатываться (!)
– Это минимум требований
для 4-го уровня
защищенности
• На 1-м уровне от вас
потребуют на первых и последних этажах зданий установки
решеток или ставень (!)
• Все носители персональных данных должна учитываться
поэкземплярно
15. Что еще планируется
• Изменения в ФЗ «О лицензировании отдельных видов
деятельности» (рабочая группа экспертного совета Минкомсвязи)
– В части определения лицензий на ТЗКИ и шифрования
– Введение термина «собственные нужды»
– Замена термина «конфиденциальная информация»
• Уведомление оператором ПДн субъекта о несанкционированном
доступе третьих лиц к ПДн субъекта
– Поправки в ФЗ-152 и, возможно, КоАП
• Отраслевые модели угроз ПДн
– Банка России (уже год ждет согласования с ФСБ) – для банков
– Минкомсвязи – для операторов связи
16. Банковская модель угроз
• Проект Указания Банка России «Об
определении угроз безопасности
персональных данных, актуальных
при обработке персональных
данных в информационных
системах персональных данных»
• Согласована с ФСТЭК
• Практически согласована с ФСБ
17. Закон о запрете хранения ПДн россиян за границей
• Реализация положения ФЗ-242 «о
запрете хранения ПДн россиян за
границей»
– Запрет хранения
– Наказание за нарушение
– Выведение РКН из под действия
294-ФЗ
• Вступает в силу с 1 сентября 2016
года
• Будут вноситься изменения
– По части «независимого органа»
– По части контроля/надзора
– По части хранения за пределами
РФ
18. Вы не забыли про Конвенцию?
• Ратификация дополнительного протокола к конвенции о защите
частных лиц в отношении автоматизированной обработки данных
личного характера, о наблюдательных органах и трансграничной
передаче информации (ETS N 181)
• В 2015-м (возможно) будет принята новая редакция
Евроконвенции
– со всеми вытекающими
20. Недавние и планируемые изменения по направлению
КИИ/КСИИ/КВО/АСУ ТП
Что было
• Постановление
Правительства №861 от
02.10.2013
• Приказ ФСТЭК №31 по
защите АСУ ТП
Что будет
• Законопроект по
безопасности критических
информационных
инфраструктур
• Законопроект о внесении
изменений в связи с
принятием закона о
безопасности КИИ
• Подзаконные акты
• Методические документы
ФСТЭК
21. Новый приказ ФСТЭК №31
• «Об утверждении Требований к
обеспечению защиты информации в
автоматизированных системах
управления производственными и
технологическими процессами на
критически важных объектах,
потенциально опасных объектах, а
также объектах, представляющих
повышенную опасность для жизни и
здоровья людей и для окружающей
природной среды»
– Ориентация на объекты ТЭК,
транспортной безопасности,
использования атомной энергии,
опасных производственных объектов,
гидротехнических сооружений
22. Ключевые отличия требований по ИБ КСИИ и АСУ ТП
• Объект защиты
• Классификация АСУ ТП / КСИИ
• Уровень открытости циркулируемой в АСУ ТП / КСИИ
информации
• Парадигма
• Требования по защите
• Требования по оценке соответствия
• Участники процесса защиты информации
23. Меры по защите информации
• Организационные и технические меры защиты информации,
реализуемые в АСУ ТП
– идентификация и аутентификация субъектов доступа и объектов
доступа
– управление доступом субъектов доступа к объектам доступа
– ограничение программной среды
– защита машинных носителей информации
– регистрация событий безопасности
– антивирусная защита
– обнаружение (предотвращение) вторжений
– контроль (анализ) защищенности
– целостность АСУ ТП
– доступность технических средств и информации
– защита среды виртуализации
24. Меры по защите информации
• продолжение:
– защита технических средств и оборудования
– защита АСУ ТП и ее компонентов
– безопасная разработка прикладного и специального
программного обеспечения разработчиком
– управление обновлениями программного обеспечения
– планирование мероприятий по обеспечению защиты информации
– обеспечение действий в нештатных (непредвиденных) ситуациях
– информирование и обучение пользователей
– анализ угроз безопасности информации и рисков от их
реализации
– выявление инцидентов и реагирование на них
– управление конфигурацией информационной системы и ее
системы защиты
25. Меры по защите информации: общее
Защитная мера ПДн ГИС АСУ ТП
Идентификация и аутентификация субъектов доступа и объектов доступа
+ + +
Управление доступом субъектов доступа к объектам доступа
+ + +
Ограничение программной среды
+ + +
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ
+ + +
Регистрация событий безопасности
+ + +
Антивирусная защита
+ + +
Обнаружение (предотвращение) вторжений
+ + +
Контроль (анализ) защищенности персональных данных
+ + +
Обеспечение целостности информационной системы и КИ
+ + +
Обеспечение доступности персональных данных
+ + +
Защита среды виртуализации
+ + +
Защита технических средств
+ + +
Защита информационной системы, ее средств, систем связи и передачи данных
+ + +
26. Меры по защите информации: различия
Защитная мера ПДн ГИС АСУ ТП
Управление инцидентами
+ +
Управление конфигурацией информационной системы и системы защиты КИ
+ +
Безопасная разработка прикладного и специального программного обеспечения
разработчиком +
Управление обновлениями программного обеспечения
+
Планирование мероприятий по обеспечению защиты информации
+
Обеспечение действий в нештатных (непредвиденных) ситуациях
+
Информирование и обучение пользователей
+
Анализ угроз безопасности информации и рисков от их реализации
+
27. ФСТЭК унифицирует требования по защите информации
Особенность Приказ по
защите ПДн
Приказ по
защите ГИС/МИС
Проект приказа по
АСУ ТП
Требования по
защите
привязаны к
4 уровням
защищенности
ПДн
4 классам
защищенности
ГИС/МИС
3 классам
защищенности АСУ
ТП
Порядок в
триаде КЦД КЦД ДЦК
Возможность
гибкого выбора
защитных мер
Да Да Да
Проверка на
отсутствие
«закладок»
Требуется для
угроз 1-2 типа
(актуальность
определяется
заказчиком)
Требуется для 1-2
класса
защищенности
ГИС/МИС
Требуется только
при выборе
сертифицированных
средств защиты
28. Но разница между требованиями ФСТЭК все-таки есть
Особенность Приказ по защите
ПДн
Приказ по
защите ГИС/
МИС
Проект приказа по
АСУ ТП
Оценка
соответствия
В любой форме
(нечеткость
формулировки и
непонятное ПП-330)
Только
сертификация
В любой форме (в
соответствии с ФЗ-184)
Аттестация Коммерческий
оператор - на выбор
оператора
Госоператор -
аттестация
Обязательна Возможна, но не
обязательна
Контроль и
надзор
Прокуратура – все
ФСТЭК/ФСБ –
только
госоператоры (РКН не
имеет полномочий
проверять коммерческих
операторов ПДн)
ФСТЭК ФСБ и ФОИВ,
ответственный за
безопасность КИИ
(определяется в
настоящий момент)
29. Поправки в связи с принятием закона о безопасности КИИ
• Поправки в УК РФ и УПК РФ
– Внесение изменений в статьи 272, 274, 151 (УПК)
• Поправки в закон «О государственной тайне»
– Сведения о степени защищенности и мерах безопасности
объектов средней и высокой степени опасности
• Поправки в 294-ФЗ
– Выведение из под порядка проведения проверок КИИ
• Поправки в 184-ФЗ
– Исключение двойного регулирования
30. Что еще готовится в связи с законопроектом о
безопасности КИИ?
• Определение ФОИВ, уполномоченного в области безопасности
КИИ
– Через 6 месяцев после принятия закона
• Постановления Правительства «Об утверждении показателей
критериев категорирования элементов критической
информационной инфраструктуры»
– Принятие в течение 6 месяцев после определения ФОИВ,
уполномоченного в области безопасности КИИ
• Постановление Правительства «Об утверждении порядка
подготовки и использования ресурсов единой сети связи
электросвязи для обеспечения функционирования и
взаимодействия объектов КИИ»
• Приказ уполномоченного ФОИВ об утверждении требований по
безопасности КИИ
– Это не 31-й приказ!!!
31. Что еще готовится в связи с законопроектом о
безопасности КИИ?
• Приказы уполномоченного ФОИВ об аккредитации, о
представлении сведений для категорирования, о контроле/
надзоре, о реестре объектов КИИ
• Приказ ФСБ об утверждении порядка реагирования на
компьютерные инциденты и ликвидации последствий
компьютерных атак на объектах КИИ
• Приказ ФСБ о перечне и порядке предоставлений сведений в
СОПКА
• Приказ ФСБ о порядке доступа к информации в СОПКА
• Приказ ФСБ об утверждении требований к техсредствам СОПКА
• Приказ ФСБ об установке и эксплуатации техсредств СОПКА
Приказ ФСБ о национальном CERT
• Приказ Минкомсвязи об условиях установки СОВ на сетях
электросвязи
32. Планируемые методические документы ФСТЭК
• Применение «старых» документов ФСТЭК по КСИИ в качестве
рекомендательных и методических
– «Рекомендации…» и «Методика определения актуальных угроз…»
• Методичка по реагированию на инциденты (в разработке)
• Методичка по анализу уязвимостей (в разработке)
• Методичка по управлению конфигурацией (в разработке)
• Методичка по аттестации (в разработке)
• Методичка по мерам защиты в АСУ ТП (в разработке)
– По аналогии с «Мерами защиты в ГИС»
34. Недавние и планируемые изменения по направлению ГИС
Что было
• Приказ ФСТЭК №17 по
защите информации в ГИС
• Методический документ по
мерам защиты информации
в государственных
информационных системах
Что будет
• Порядок моделирования
угроз безопасности
информации в
информационных системах
• Новая редакция приказа
№17 и «мер защиты в ГИС»
• Методические и
руководящие документы
ФСТЭК
• Законопроекты о запрете
хостинга ГИС за пределами
РФ, о служебной тайне, по
импортозамещению…
35. Что еще планируется?
• Законопроект о запрете использования чиновниками и
госслужащими несертифицированных мобильных устройств
– Фактически эти нормы уже установлены действующими НПА
• Законопроект о запрете размещения сайтов государственных
органов за пределами Российской Федерации
– Фактически эти нормы уже установлены действующими НПА
• Законопроект о регулировании облачных вычислений
– Установление особых требований по ИБ к облакам для госорганов
• Новая статья в КоАП за препятствование доступу к сайтам в
Интернет (уже принято)
– Из антитеррористического пакета законов
36. ФСТЭК планирует установить новые требования к
средствам защиты
• ФСТЭК (2013-2015)
– Требования к средствам доверенной загрузки
– Требования к средствам контроля съемных носителей
– Требования к средствам контроля утечек информации (DLP)
– Требования к средствам аутентификации
– Требования к средствам разграничения доступа
– Требования к средствам контроля целостности
– Требования к средствам очистки памяти
– Требования к средствам ограничения программной среды
– Требования к средствам управления потоками информации
(МСЭ, однонаправленные МСЭ, коммутаторы…)
– Требования к средствам защиты виртуализации
– ГОСТы по защите виртуализации и облачных вычислений
37. У ФСТЭК большие планы по регулированию госорганов и
муниципалов
38. Планируемые методические документы ФСТЭК
• Порядок аттестации распределенных информационных систем
• Порядок обновления программного обеспечения в аттестованных
информационных системах
• Порядок выявления и устранения уязвимостей в
информационных системах
• Порядок реагирования на инциденты, которые могут привести к
сбоям или нарушению функционирования информационной
системы и (или) к возникновению угроз безопасности
информации
• …
40. Недавние и планируемые изменения по направлению
НПС/банковской тайны
Что было
• 382-П (3007-У)
• 2831-У (3024-У)
• 55-Т
• 42-Т
• 49-Т
• 242-П
• СТО БР ИББС 1.0 и 1.2
• Отмена РС 2.3 и 2.4
• Принятие новых РС 2.5
и 2.6
Что будет
• Новая редакция 382-П
• Новые РС
• Требования для
организаций
финансового рынка
(ФСФР)
• Банковский CERT
• Отраслевая модель
угроз ПДн
41. Планируемые изменения по направлению СТО БР ИББС
• Проекты новых РС
– Проект РС по ресурсному обеспечению информационной
безопасности
– Проект РС по виртуализации
– Проект РС по предотвращению утечек информации
• Пересмотр «старых» документов СТО (возможно)
– СТО 1.1, РС 2.0, 2.1 и 2.2
• Разработка новых РС (возможно)
– Противодействие мошенничеству
– Облачные технологии и аутсорсинг
– Распределение ролей
41
43. Недавние и планируемые изменения по направлению
ССОП
• Закон «О внесении изменений в отдельные законодательные акты
Российской Федерации по вопросам регулирования отношений при
использовании информационно-телекоммуникационной сети
Интернет» и ФЗ-139 «О защите детей от негативной информации»
• Постановление Правительства №611 от 15.04.2013 «Об
утверждении перечня нарушений целостности, устойчивости
функционирования и безопасности единой сети электросвязи РФ»
• Иных требований по информационной безопасности на
операторов связи пока не планируется
• Все изменения касаются контроля Интернет
– Антипиратский закон, контроль социальных сетей, Единая система
аутентификации (ЕСИА), запрет анонимайзеров, регулирование
Интернет-компаний как организаторов распространения
информации, регулирование облачных вычислений и т.п.