Тенденции развития законодательства по ИБ
-
Upload
cisco-russia -
Category
Technology
-
view
431 -
download
4
Transcript of Тенденции развития законодательства по ИБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Тенденции развития законодательства по ИБ Алексей Лукацкий Бизнес-консультант по безопасности 21 January 2016
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
2008
2010
2012 2013 2014
2015
Journey of building a stronger Security Business
2011
2000-е
Краткий обзор развития законодательства по ИБ
ПДн СТОv4 382-П АСУ ТП
ПДн
БДУ
ГИС
ПДн
ПДн
CERTы
СОПКА
МИБ АСУ ТП
КИИ
ПДн
СТОv5
СТО/РС
СТР-К ПКЗ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
3 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Доктринальные документы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Настало время изменения доктринальных документов
Что было?
• Душанбинская декларация о МИБ от имени ШОС
• Основы госполитики в области МИБ • Двусторонние соглашения по МИБ с Кубой, Беларусью и Бразилией
• CERT для ОДКБ • Сотрудничество по ИБ в рамках СНГ • Соглашение о мерах доверия в киберпространстве с США
• «Пакт о ненападении в киберпространстве» ООН
Что будет?
• Двусторонние соглашения по МИБ с Китаем
• Гармонизация законодательства по ИБ в рамках ОДКБ
• Конвенция по МИБ для стран-участниц БРИКС
• Доктрина ИБ • Основы госполитики в области формирования культуры ИБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Новая Доктрина информационной безопасности
§ Является доктринальным документом, определяющим развитие ИБ в России на долгие годы вперед
§ Принятие запланировано на конец 2015-го года Если не будет замечаний у Президента РФ
§ Реализация начнется в 2016-м году
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
6 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Национальная платежная система и банки
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Изменения по направлению НПС/банковской тайны
Что было?
• 382-П (3361-У) • 42-Т • 49-Т • 242-П (3241-У) • 437-П • СТО БР ИББС 1.0 и 1.2 • Отмена РС 2.3 и 2.4 • Принятие новых РС 2.5, 2.6, 2.7 и 2.8
Что будет?
• Новые РС • Требования для организаций финансового рынка
• FinCERT • Отраслевая модель угроз ПДн • НСПК • Поправки в УК, УПК… • Оценка соответствия приложений
• Смена «владельца» 382-П (?)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Новые РС – 2.7 и 2.8
§ Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологий виртуализации» (РС БР ИББС-2.7-2014)
§ Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.8-2014)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Новости стандартизации
§ ЦБ готовит в 2015-2016 гг. РС по предотвращению утечек, по антифроду, по распределению ролей, по облакам и аутсорсингу, по расследованию инцидентов РС по классификации информации частично вошла в РС по предотвращению утечек
§ ЦБ планирует пересмотреть СТО БР ИББС-1.1, РС БР ИББС-2.0, РС БР ИББС-2.1, РС БР ИББС-2.2
§ ЦБ планирует расширить действие СТО 1.0 и 1.2 на все отрасли, которые попали под ЦБ после слияния с ФСФР
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Что с отраслевой моделью угроз ПДн?
§ Проект Указания Банка России «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных» Полностью переиграли документ в условиях текущей геополитической ситуации Угрозы 1-го и 2-го типа уже не считаются неактуальными изначально – решение отдается на откуп банкам Заново отправлен на согласование в ФСТЭК и ФСБ
§ Переподписание «письма шести» После актуализации СТО БР
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Информационная безопасность НСПК
§ НСПК – часть НПС и подчиняется требованиям 382-П
§ Отдельных документов по безопасности НСПК пока не планируется
1 этап
• Реализация отечественного HSM, повторяющего функционал импортных аналогов с использованием отечественных криптоалгоритмов только в автономных режимах
2 этап
• Реализация в отечественном HSM набора дополнительных команд с использованием отечественных криптоалгоритмов
• Реализация с использованием отечественного HSM трёхуровневой PKI инфраструктуры с использованием импортных и отечественных крипто алгоритмов
• Реализация корневого УЦ НПС (аналога УЦ МПС Visa или MasterCard)
3 этап
• Разработка отечественной чиповой карты
• Разработка спецификаций и приложений с поддержкой отечественных криптоалгоритмов для всех устройств, участвующих в поддержке платежных транзакций.
• Разработка программы подготовки к эмиссии карт НПС и поэтапного перевода всех устройств на работу с двумя криптографическими алгоритмами
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Противодействие преступлениям в финансовой сфере
§ Подготовлены изменения в законодательство направленное на противодействие преступлениям в финансовой сфере с применением современных технологий ФЗ-395-1, ФЗ-86, ФЗ-161 В статьи 159.3 УК РФ, 187 УК РФ, 272 УК РФ, статью 152 УПК РФ, проекты статей 183.1 УК РФ и 183.2 УК РФ Изменения в АПК Подготовлены предложения по проекту ФЗ «О внесении изменений в некоторые законодательные акты РФ (в части противодействия хищению денежных средств)»
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Российский PA DSS? Когда?
§ Вновь поднимается идея об оценке качества ПО АБС и платежных приложений Распоряжение Совета Безопасности Не до конца проработан механизм оценки – через СРО или сертификацию?
§ Кто будет входить в СРО? Разработчики ПО Интеграторы Аудиторы
§ Много открытых вопросов про СРО или оценке соответствия Как минимум, требуется изменение законодательства
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Контроль качества данных и ПО
§ Проект Положения Банка России «О порядке расчёта величины кредитного риска на основе внутренних рейтингов» – первый нормативный документ Банка России, в котором планируется реализовать требования абз. 1 ст. 72.1 Федерального закона РФ от 10.07.2002 №86-ФЗ
§ Банк обеспечивает в течение всего периода функционирования ИС защиту от несанкционированных и нерегламентированных изменений и удалений данных путем принятия мер инф. безопасности (ИБ): мер по обеспечению ИБ на всех стадиях жизненного цикла ИС, мер по управлению доступом к данным и его регистрацией, мер по применению средств защиты от воздей-я вредоносного кода, мер по обеспечению ИБ при использовании сети Интернет, мер по обеспечению ИБ путем экспл-и ср-в крипт. защиты инф-и, мер по обнаружению и реагированию на инциденты ИБ, мер по мониторингу обеспечения ИБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Новости по отчетности
§ Вопрос о слиянии 258-й и 203-й форм так и не решен Т.к. они разработаны для разных целей – развития и надзора в НПС
§ Результаты 202-й и 203-й отчетности должны были быть опубликованы в марте 2015 года Но видимо уже и не будут
§ Передавать (отменять) 203-ю отчетность под FinCERT пока не планируется И цели у 203-й отчетности иные, и FinCERT пока не заработал
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Готовится методика проверки по вопросам безопасности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
FinCERT начал работу с 1-го июля 2015-го года
§ Задержка с созданием FinCERT связана с Крымом и текущей экономической ситуацией
§ Не только НСПК
§ Большое количество вопросов, связанных с функционированием FinCERT, порядок предоставления в него информации, ответственности/обязанности, предоставляемой из FinCERT информации Только техническая информация (черные списки, домены, IP, анализ malware, Threat Intelligence и т.п.) или правила антифрода?
§ Интеграция с ГосСОПКА
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
ФСТЭК и Банк России: схожесть подходов
Банк России
• РС по виртуализации • РС по утечкам • РС по облакам • РС по жизненному циклу • РС по менеджменту инцидентов
• РС по ресурсному обеспечению
ФСТЭК
• ГОСТ по виртуализации • РД по утечкам • ГОСТ по облакам • ГОСТы по SDLC и управлению уязвимостями
• Методичка по управлению инцидентами
• ГОСТ по показателям качества
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
19 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Планы ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
Изменения по направлению ГИС
Что было?
• Приказ ФСТЭК №17 по защите информации в ГИС
• Методический документ по мерам защиты информации в государственных информационных системах
Что будет?
• Порядок моделирования угроз безопасности информации в информационных системах
• Новая редакция приказа №17 и «мер защиты в ГИС»
• Методические и руководящие документы ФСТЭК
• Законопроекты о запрете хостинга ГИС за пределами РФ, о служебной тайне, по импортозамещению…
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Меры по защите информации: общее Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Меры по защите информации: различия Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
• Планы – Унификация перечня защитных мер для всех трех приказов
– Выход на 2-хлетний цикл обновления приказов
§ Завершаются работы по подготовке второй редакции 17-го приказа В первой половине 2016-го года планируется принятие
§ Предполагается унифицировать набор защитных мер во всех 3-х приказах
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
Новые требования к средствам защиты
§ Совершенствование сертификации средств защиты информации Планируется разработка большого количества РД с требованиями к средствам защиты Изменение подходов к сертификации Совершенствование порядка аккредитации органов по сертификации и испытательных лабораторий Совершенствование порядка сертификации Уточнение порядка обновления сертифицированных средств защиты информации
А также • Требования к средствам защиты виртуализации,
BIOS • Требования к средствам защиты информации от утечки по техническим каналам
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
Планируемые методические документы ФСТЭК
§ Порядок аттестации информационных систем
§ Порядок обновления программного обеспечения и информационных систем
§ Порядок выявления и устранения уязвимостей в информационных системах
§ Защита информации в информационной системе при использовании мобильных устройств
§ Порядок реагирования на инциденты, связанных с нарушением функционирования информационной системы
§ Защита информации в информационных системах при применении устройств беспроводного доступа
Разработка запланирована на второй квартал 2015 года
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Усиление внимания к безопасности ПО
§ Новые требования к СрЗИ
§ 3 ГОСТа по уязвимостям
§ Проект ГОСТа по SDLC – планируется принятие в конце года
§ Банк данных уязвимостей и угроз
§ Методика обновления ПО, включая сертифицированное
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Методика моделирования угроз
§ Методика определения угроз безопасности информации в информационных системах
§ Распространяется на ГИС / МИС ИСПДн
§ Не распространяется на угрозы СКЗИ и ПЭМИН
§ Отменяет «методику определения актуальных угроз…» 2008-го года
§ Применяется совместно с банком данных угроз ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Процедура моделирования угроз
§ Определить область применения методики моделирования угроз
§ Идентифицировать источники и угрозы безопасности Определение типа и вида нарушителя Определение возможных способов реализации угроз
§ Оценить возможности реализации и опасности угрозы Определение возможности реализации угроз
Определение уровня защищенности Определение потенциала нарушителя
Определение уровня опасности угрозы
§ Мониторить и переоценивать угрозы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
Приложения к методике моделирования угроз
§ Рекомендации по формированию экспертной группы и по повышению качества экспертной оценки
§ Структура модели угроз
§ Определение потенциала нарушителя
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Новые ГОСТы по защите информации
§ Готовящиеся ГОСТы Безопасность суперкомпьютерных и грид-технологий ИБ виртуализации ИБ «облачных вычислений» Документация по технической защите информации на объекте информатизации Угрозы безопасности информации Номенклатура показателей качества Основные термины и определения Гармонизация 72-х стандартов ISO
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
30 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
АСУ ТП, КСИИ, КИИ и КВО
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31
Изменения по направлению КИИ / КСИИ / КВО / АСУ ТП
Что было?
• Приказ ФСТЭК №31 по защите АСУ ТП
• Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ
Что будет?
• Законопроект по безопасности критических информационных инфраструктур
• Законопроект о внесении изменений в связи с принятием закона о безопасности КИИ
• Подзаконные акты • Приказы и методички ФСБ • Методические документы ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32
А будет ли закон?
§ Неоднократные слухи об отказе от разработки проекта закона «О безопасности критической информационной инфраструктуры» Слишком много непонятных моментов в законопроекте – кто регулятор, кто крайний, как делить ответственность между регуляторами по ИБ и ПБ?
§ Активизация 8-го Центра ФСБ в части разработки требований к ГосСОПКА и обязательному подключению к ней государственных органов и компаний
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33
Поправки в связи с принятием закона о безопасности КИИ
§ Поправки в УК РФ и УПК РФ Внесение изменений в статьи 272, 274, 151 (УПК)
§ Поправки в закон «О государственной тайне» Сведения о степени защищенности и мерах безопасности объектов средней и высокой степени опасности
§ Поправки в 294-ФЗ Выведение из под порядка проведения проверок КИИ
§ Поправки в 184-ФЗ Исключение двойного регулирования
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34
Что еще готовится в связи с законопроектом о безопасности КИИ?
§ Определение ФОИВ, уполномоченного в области безопасности КИИ Через 6 месяцев после принятия закона
§ Постановления Правительства «Об утверждении показателей критериев категорирования элементов критической информационной инфраструктуры» Принятие в течение 6 месяцев после определения ФОИВ, уполномоченного в области безопасности КИИ
§ Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети связи электросвязи для обеспечения функционирования и взаимодействия объектов КИИ»
§ Приказ Минкомсвязи об условиях установки СОВ на сетях электросвязи
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35
Планируемые приказы уполномоченного ФОИВа
§ Приказ уполномоченного ФОИВ об утверждении требований по безопасности КИИ Это не 31-й приказ!!!
§ Приказ уполномоченного ФОИВ об аккредитации организаций, уполномоченных проводить оценку защищенности КИИ
§ Приказ уполномоченного ФОИВ о представлении сведений для категорирования
§ Приказ уполномоченного ФОИВ о контроле/надзоре
§ Приказ уполномоченного ФОИВ о реестре объектов КИИ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36
Планируемые приказы ФСБ (8-й Центр)
§ Приказ ФСБ об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на объектах КИИ
§ Приказ ФСБ о перечне и порядке предоставлений сведений в СОПКА
§ Приказ ФСБ о порядке доступа к информации в СОПКА
§ Приказ ФСБ об утверждении требований к техсредствам СОПКА
§ Приказ ФСБ об установке и эксплуатации техсредств СОПКА
§ Приказ ФСБ о национальном CERT
§ Приказ о порядке и периодичности проведения мероприятий по оценке степени защищенности критической информационной инфраструктуры
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37
Планируемые методические документы ФСБ (8-й Центр)
§ Методика обнаружения компьютерных атак на информационные системы и информационно-телекоммуникационные сети
§ Порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах
§ Порядок обмена информацией между федеральными органами исполнительной власти и уполномоченными органами иностранных государств (международными организациями) о компьютерных инцидентах
§ Методические рекомендации по организации защиты критической информационной инфраструктуры Российской Федерации от компьютерных атак
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38
Планируемые методические документы ФСТЭК
§ Применение «старых» документов ФСТЭК по КСИИ в качестве рекомендательных и методических
«Рекомендации…» и «Методика определения актуальных угроз…»
§ Порядок выявления и устранения уязвимостей в АСУ ТП
§ Методика определения угроз безопасности информации в АСУ ТП
§ Порядок реагирования на инциденты, связанные с нарушением безопасности информации
§ Меры защиты информации в АСУ ТП По аналогии с «Мерами защиты в ГИС»
2016 год
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39
39 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Персональные данные
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40
Изменения по направлению ПДн
Что было?
• Приказ ФСТЭК №21 по защите ПДн в ИСПДн
• Приказ об отмене «приказа трех» по классификации ИСПДн
• Приказ и методичка РКН по обезличиванию
• Закон 242-ФЗ о запрете хранения ПДн россиян за границей
• Письмо Банка России 42-Т • Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн
• ПП-911 по отмене обязательного обезличивания
Что могло быть?
• Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн
• Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181)
• Законопроект по ответственности за неуведомление о утечке ПДн
• Законопроект по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн
• Поправки в ФЗ-242
Что есть и будет?
• Законопроект Совета Федерации по внесению изменений в ФЗ-152
• Законопроект по внесению изменений в КоАП
• Постановление Правительства по надзору в сфере ПДн
• Выход РКН из под действия 294-ФЗ
• Изменения в приказ №21 • Совет Европы примет новый вариант ЕвроКонвенции
• Методичка ФСТЭК по моделированию угроз
• Методичка ФСБ по моделированию угроз
• Методичка РКН о порядке организации и осуществления контроля за обработкой ПДн
• Постатейный комментарий РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41
Правонарушение Нарушаемая статья законодательства
Наказание для должностных лиц
Наказание для юридических лиц
Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей
Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей
Незаконная обработка спецкатегорий ПДн
Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей
Неопубликование политики в области ПДн
Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей
Отказ в предоставлении информации субъекту
Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей
Отказ в уничтожении или блокировании ПДн
Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей
Нарушение правил хранения материальных носителей ПДн
ПП-687 4-10 тысяч рублей 25-50 тысяч рублей
Нарушение правил обезличивания (для госов)
ПП-211 и приказ РКН №996
3-6 тысяч рублей Не предусмотрено
Законопроект по штрафам завис на первом чтении
§ Комитет по конституционному законодательству против (не хочет давать РКН дополнительные полномочия)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42
Меры по защите ПДн: в 2016-м ждем новую редакцию Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +
• Планы – Унификация перечня защитных мер для всех трех приказов
– Выход на 2-хлетний цикл обновления приказов
§ В 2016-м году будет готовиться вторая редакция 21-го приказа ФСТЭК
§ Предполагается унифицировать набор защитных мер во всех 3-х приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43
Проект методики моделирования угроз ФСТЭК
§ Методика определения угроз безопасности информации в информационных системах
§ Распространяется на ГИС / МИС ИСПДн (рекомендательный характер)
§ Не распространяется на угрозы СКЗИ и ПЭМИН
§ Отменяет «методику определения актуальных угроз…» 2008-го года
§ Применяется совместно с банком данных угроз ФСТЭК
§ Будет принята осенью 2015-го года
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44
Методика моделирования угроз ФСБ
§ Методика определения актуальных угроз безопасности ПДн в ИСПДн
§ Предназначена только для органов власти, пишущих отраслевые модели угроз для подведомственных учреждений
§ Ориентирована только на компетенцию ФСБ – СКЗИ
§ СКЗИ обязательны при передаче ПДн по каналам связи
§ Помните, что это всего лишь методические рекомендации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45
Проект модели угроз ПДн Банка России
§ Тип - Указание Банка России Обязательна для всех банков, действующих на территории РФ
§ Согласована с ФСТЭК и ФСБ
§ Вторая редакция Первая – 2013 год Модель угроз ПДн из РС 2.4 отменена в 2014-м году
§ 10 угроз безопасности ПДн 47 (21) - в первой редакции 88 – в РС 2.4 Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором ПДн Угрозы биометрическим и общедоступным ПДн не рассматриваются
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46
Вы не забыли про Конвенцию?
§ Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181)
§ До конца 2015-го года (возможно) будет принята новая редакция Евроконвенции
§ ФЗ-152 придется гармонизировать с Евроконвенцией Очередной виток изменений (серьезных) в законодательстве Если Россия не выйдет из Совета Европа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47
Закон о запрете хранения ПДн россиян за границей
§ Реализация положений ФЗ-242 «о запрете хранения ПДн россиян за границей» Базы ПДн, в которых происходит первичная регистрация и актуализация ПДн россиян, должны находится на территории РФ Хотя слова «только» в законе нет, по сути вводится апрет хранения за пределами РФ Наказание за нарушение Выведение РКН из под действия 294-ФЗ
§ Вступил в силу с 1 сентября 2015 года Слухи о переносе сроков на 1 год не подтвердились
§ Первые нарушители уже заблокированы Реальные нарушители, незаконно распространяющие ПДн с зарубежных сайтов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48
Локализация баз данных – это не российская новация
§ Локализация баз данных – это не российский прецедент Например, Вьетнам и ряд других стран
§ Верховный европейский суд принял решение об отмене договора Совета Европы и США о хранении персональных данных европейских граждан на территории США Нас ждет интересное развитие событий
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49
Локализация баз данных. Обратите внимание!
§ В ФЗ-242 речь идет о первичном сборе, записи, систематизации, накоплении, хранении, уточнении, обновлении, изменении, извлечении ПДн, которые должны производиться на территории России Такие действия с ПДн, как использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение могут производиться где угодно
§ Изменения должны вноситься в БД на территории России
§ База данных и приложение, обращающееся к ней – это разные сущности Приложение может быть где угодно
§ На трансграничную передачу и доступ к ПДн из-за пределов России ограничений нет
§ ПДн могут обрабатываться за пределами РФ, за исключением их сбора Неизменяемое зеркало
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50
Самая простая часть ФЗ-242 уже реализована
§ Роскомнадзор сформировал реестр нарушителей прав субъектов персональных данных
§ В реестр будут вноситься все интернет-ресурсы, обрабатывающие персональные данные с нарушениями законодательства Включение компаний в реестр будет происходить по решению суда по искам, которые могут инициировать как сами субъекты персональных данных, так и Роскомнадзор, зафиксировавший нарушение Реестр заработал с 1 сентября
§ Снимать блокировку будет РКН сам При действующем судебном решении (!)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51
Два приказа РКН в отношении нарушений ФЗ-242/ФЗ-152
§ Приказ РКН №85 от 22.07.2015 «Об утверждении формы заявления субъекта ПДн о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства РФ в области ПДн»
§ Приказ РКН №84 от 22.07.2015 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов ПДн, оператором связи»
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52
Изменение правил надзора
§ Снижение числа проверок в отношении операторов персональных данных
§ Переход на риск-ориентированную модель при проведении надзорных мероприятий После принятия соответствующего законопроекта Поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан, и на основе такой дифференциации планировать и проводить надзорные мероприятия
§ Выход из под действия ФЗ-294
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53
Готовится новое Постановление Правительства
§ Контроль и надзор за соответствием обработки ПДн требованиям законодательства
§ Явно исключается надзор в сфере надзора за выполнением организационных и технических мер защиты информации
§ 3 типа проверок Плановые Внеплановые Мероприятия систематического наблюдения
§ Плановые и внеплановые проверки проводятся в форме документарных и выездных проверок Плановые проверки и мероприятия осуществляются на основе утвержденного плана, размещаемого на сайте РКН
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54
54 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
И в заключение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55
Близится гособлако
§ Распоряжение Правительства РФ от 7 октября 2015 года №1995-р об утверждении Концепции перевода обработки и хранении государственных информационных ресурсов, не содержащих сведения, составляющие государственную тайну, в систему федеральных и региональных центров обработки данных Июнь 2016 – пилот для трех ФОИВов Сентябрь 2016 – разработка правил, критериев и порядка включения ЦОДов Декабрь 2016 – создание системы ЦОДов Январь 2018 – декабрь 2020 – перевод всех госорганов Январь 2019 – декабрь 2021 – перевод всех госкорпораций и компаний с госучастием
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56
Благодарю за внимание