SlideShare a Scribd company logo

Future security regulations in Russia

Aleksey Lukatskiy
Aleksey Lukatskiy
News & Politics
1 of 65
Download to read offline
Что ждет нас в области регулирования ИБ в ближайшее время? Алексей Лукацкий Бизнес-консультант по безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 1/70
Куда движется российский рынок ИБ? Интеграция в мировое сообщество Сертификация / Образование лицензирование Требования для Изменение роли разных видов Развитие регуляторов тайн Security Training © 2008 Cisco Systems, Inc. All rights reserved. 3/70
Общая тенденция Абсолютная непрогнозируемость изменений на рынке информационной безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 4/70
Новые требования по защите тайн  Персональные данные  Финансовая отрасль PCI DSS СТО БР ИББС-1.0 ФЗ «О национальной платежной системе»  Критически важные объекты  Электронные госуслуги Security Training © 2008 Cisco Systems, Inc. All rights reserved. 5/70
Персональные данные Security Training © 2008 Cisco Systems, Inc. All rights reserved. 6/70
Базовая иерархия НПА по ПДн Конвенции и иные Директивы Европейская Рекомендации международные Евросоюза / Конвенция ОЭСР Европарламента договора ФЗ №152 от 26.07.2006 Законы ФЗ №160 от 19.12.2005 Постановления №781 от №687 от №512 от Правительства 17.11.2007 15.09.2008 6.07.2008 Приказы и «Приказ трех» от 3 открытых документа 2 открытых Документы РКН иные документы 13.02.2008 ФСТЭК документа ФСБ  И еще 3-4 десятка нормативных актов разных уровней Security Training © 2008 Cisco Systems, Inc. All rights reserved. 7/70
Законопроект Резника  Новые условия обработки ПДн без согласия  Определение трансграничной передачи  Конклюдентная и устная формы согласия  Оферта неограниченному кругу лиц  Дифференция требований по ИБ  Устранение избыточных уведомлений субъектов  Оператор vs обработчик  Соглашение между оператором и субъектов ПДн Security Training © 2008 Cisco Systems, Inc. All rights reserved. 8/70
Текущая ситуация с ИБ  Безопасность персданных является обязательным условием обработки ПДн  За безопасность ПДн отвечают ФСТЭК и ФСБ ФСТЭК выпустил приказ №58 ФСБ выпустила 2 методических документа в области криптографии  Подход регуляторов Сертифицированные СЗИ и СКЗИ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 9/70
Варианты создания отраслевых рекомендаций Документы ФСТЭК без изменений, но применительно к Полная переработка в нуждам отрасли соответствие с потребностями отрасли  Рособразование  Финансы  Минсоцздравразвитие  Операторы связи Security Training © 2008 Cisco Systems, Inc. All rights reserved. 10/70
Комплекс стандартов ИБ ЦБ РФ СТО РС Отраслевая Рекомендации Руководство Методика частная Общие по по самооценке Методика Требования Аудит ИБ оценки модель угроз положения документации соответствия оценки рисков по ИБ ПДн 1.1 соответствия безопасности 1.0 в области ИБ ИБ 2.2 2.3 1.2 ПДн 2.0 2.1 2.4  СТО – стандарт организации  РС – рекомендации по стандартизации Security Training © 2008 Cisco Systems, Inc. All rights reserved. 11/70
Регулирование ИБ в финансовой отрасли Термины и Классификатор определения 0.0 0.1 Рекомендации по выполнению законодательных требований при обработке ПДн  В планах (возможно) отдельные стандарты и рекомендации (или добавление в СТО 1.0) по безопасности для участников национальной платежной системы и т.д. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 12/70
НИР Тритон от ИКС  Принципы защиты ПДн оператора связи Экономическая обоснованность рекомендаций (требований) исходя из ущерба субъектам и операторам ПДн Соответствие уровня рекомендаций (требований) по защите ПДн имеющемуся уровню развития информационных технологий с постепенным его повышением по мере готовности операторов ПДн, информационных и защитных технологий, международного и национального законодательства Учет специфики операторов связи Применение одних и тех же систем, средств и методов защиты информации для обеспечения безопасности ПДн, КТ и иной конфиденциальной информации Использование для защиты ПДн систем и средств защиты, которые уже эксплуатируются операторами связи в составе ИСПДн или инфраструктуры безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 13/70
НИР Тритон для операторов связи  Наиболее полный набор документов по защите ПДн 18 иерархически выстроенных документов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 14/70
Новые требования ФСБ  Новый приказ ФСБ по защите персональных данных  Придет на смену двум текущим документам Запланировано подписание Бортниковым Запланирована регистрация в МинЮсте  Систематизация требований  Требования по IDS (?)  Изменение лицензионных требований (?) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 15/70
Изменение 1009-ПП  ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые акты Правительства Российской Федерации» Проекты НПА и нормативных документов ФОИП, которыми регулируются отношения в области организации и осуществления государственного контроля (надзора), в области установления, применения и исполнения обязательных требований к продукции или связанным с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, в области оценки соответствия и в области безопасности процессов производства, подлежат направлению в МЭР РФ на заключение об оценке регулирующего воздействия Security Training © 2008 Cisco Systems, Inc. All rights reserved. 16/70
Изменение 1009-ПП (окончание)  ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые акты Правительства Российской Федерации» В этом заключении дается оценка регулирующего воздействия соответствующих решений с целью выявления положений, вводящих избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствующих их введению, а также положений, способствующих возникновению необоснованных расходов субъектов предпринимательской и иной деятельности и бюджетов всех уровней бюджетной системы Российской Федерации Security Training © 2008 Cisco Systems, Inc. All rights reserved. 17/70
Национальная платежная система Security Training © 2008 Cisco Systems, Inc. All rights reserved. 18/70
ФЗ «О национальной платежной системе»  Цель - регулировать деятельность организаций - операторов по переводу денежных средств, операторов по приему платежей, операторов платежных систем, операторов услуг платежной инфраструктуры и определить требования к функционированию платежной системы К обычным участникам платежной системы относятся операторы по переводу денежных средств и приему платежей, участники рынка ценных бумаг, почта и т.п. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 19/70
ФЗ «О национальной платежной системе»  Все участники НПС обязаны соблюдать требования по защите банковской тайны в соответствие с законом «О банках и банковской деятельности»  Требования по ИБ устанавливает Правительство РФ, а контроль и надзор за выполнением требований осуществляется ФСТЭК и ФСБ Требований Правительства пока нет  Банк России вправе устанавливать требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям Данные требования должны быть согласованы с ФСТЭК и ФСБ Логично предположить, что это будет СТО БР ИББС Security Training © 2008 Cisco Systems, Inc. All rights reserved. 20/70
КСИИ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 21/70
Термины и определения  Ключевая (критически важная) система информационной инфраструктуры – информационно- управляющая или информационно- телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями Security Training © 2008 Cisco Systems, Inc. All rights reserved. 22/70
Номенклатура документов по КСИИ Указы Приказ от 30.03.2002 Указ от 16.08.2004 Указ от 11.08.2003 «Основы» от Президента №Пр-578 №1085 №960 28.09.2006 Иные Проект Секретарь СовБеза РФ документы закона (снят) от 08.11.2005 Распоряжения №411-рс от №1314-р от Правительства 23.03.2006 27.08.2005 Отраслевые 4 «закрытых» документа документы ФСТЭК Security Training © 2008 Cisco Systems, Inc. All rights reserved. 23/70
Нормативные документы ФСТЭК  Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах  Общие требования по обеспечению безопасности информации в ключевых системах информационных инфраструктурах  Базовая модель угроз безопасности информации в ключевых системах информационных инфраструктурах  Рекомендации по обеспечению безопасности информации в ключевых системах информационных инфраструктурах Утверждены 18 мая 2007 года Security Training © 2008 Cisco Systems, Inc. All rights reserved. 24/70
Контроль государственных ресурсов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 29/70
Контроль госорганов  Постановления и законы ПП-424 от 18.05.2009 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям» ФЗ «О государственных информационных ресурсах»  Госорганы обязаны обеспечить защиту информации… от уничтожения, изменения и блокирования доступа к ней постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более 8 часов использование … СЗИ, прошедших оценку соответствия (в том числе в установленных случаях сертификацию)… Security Training © 2008 Cisco Systems, Inc. All rights reserved. 30/70
Контроль госорганов  Федеральной службе безопасности Российской Федерации совместно с Федеральной службой по техническому и экспортному контролю в 3-месячный срок утвердить требования о защите информации, содержащейся в информационных системах общего пользования ПП-424  Где прописаны требования по ИБ Спорный СТР-К от ФСТЭК Приказ Минкомсвязи России от 25.08.2009 г № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования» (зарегистрирован в МинЮсте) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 31/70
Госуслуги  Постановление Правительства РФ от 22 сентября 2009 г. № 754 «Об утверждении Положения о системе межведомственного электронного документооборота» Главный регулятор – Федеральная служба охраны (ФСО) Основной акцент на целостности и конфиденциальности  Законопроект «Об общих принципах организации предоставления государственных (муниципальных) услуг и исполнения государственных (муниципальных) функций» Никто не понимает, что такое госуслуга. Нет объекта защиты, как можно говорить о защите? Безопасность госуслуг – для многих это ЭЦП и УЦ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 32/70
Лицензирование Security Training © 2008 Cisco Systems, Inc. All rights reserved. 33/70
Есть ли у вас лицензия на ТО СКЗИ?  А нужна ли? Представители 8-го Центра ФСБ заявляют о ненужности лицензии для собственных нужд Security Training © 2008 Cisco Systems, Inc. All rights reserved. 34/70
Есть ли у вас лицензия на ТО СКЗИ?  Что такое ТО? К деятельности по техническому обслуживанию шифровальных (криптографических) средств не относится эксплуатация СКЗИ в соответствии с требованиями эксплуатационной и технической документации, входящей в комплект поставки СКЗИ  Не относится к лицензируемой деятельности Передача СКЗИ клиентам и «дочкам» Генерация и передача сгенерированных ключей Security Training © 2008 Cisco Systems, Inc. All rights reserved. 35/70
Риск лицензирования в ФСБ  Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства» В целях обеспечения обороны страны и безопасности государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами Security Training © 2008 Cisco Systems, Inc. All rights reserved. 36/70
Риск лицензирования в ФСБ (окончание)  Хозяйственное общество, имеющее стратегическое значение для обеспечения обороны страны и безопасности государства, - предприятие созданное на территории Российской Федерации и осуществляющее хотя бы один из видов деятельности, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства и указанных в статье 6 настоящего Федерального закона пп.11-14 – 4 вида лицензирования деятельности в области шифрования Наличие всего лишь одного маршрутизатора с IPSec требует от вас лицензии на ТО СКЗИ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 37/70
Одна точка зрения ФСТЭК  Лицензия на ТЗКИ нужна юридическим лицам, осуществляющим предпринимательскую деятельность, связанную с технической защитой конфиденциальной информацией Примечание: в новом законопроекте по 149-ФЗ термин «конфиденциальная информация» меняется на «информации, в отношении которой установлено требование об обеспечении ее Security Training конфиденциальности» © 2008 Cisco Systems, Inc. All rights reserved. 38/70
Другая точка зрения ФСТЭК  Вопрос про лицензию на ТЗКИ для собственных нужд  Согласно ст.49 ГК РФ отдельными видами деятельности можно заниматься только на основании лицензии  В соответствие с ФЗ-128 на ТЗКИ нужна лицензия Security Training © 2008 Cisco Systems, Inc. All rights reserved. 39/70
Нужна ли лицензия ФСТЭК банкам?  В настоящем стандарте требование получения лицензии на деятельность по технической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются Раздел 9.6 СТО БР ИББС-1.0 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 40/70
Что нас ждет?  19 июля в ходе заседания Президиума Правительства Российской Федерации был рассмотрен проект закона о лицензировании, который серьѐзно упрощает процедуру получения лицензий, повышает их прозрачность и существенно снижает число лицензируемых видов деятельности  Тематика связанная с лицензированием деятельности по защите информации и криптографии осталась ;-( Эти виды деятельности были укрупнены в два направления - криптографическая деятельность и защита от несанкционированного доступа к информации Эти виды деятельности должны будут регулироваться отдельными новыми Постановлениями Правительства Security Training © 2008 Cisco Systems, Inc. All rights reserved. 41/70
Сертификация Security Training © 2008 Cisco Systems, Inc. All rights reserved. 42/70
О сертификации средств защиты  Методами и способами защиты информации от несанкционированного доступа являются…использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия Приказ 58 ФСТЭК  Оценка соответствия регулируется ФЗ-184 «О техническом регулировании»  ФСБ требует использования только сертифицированных СКЗИ Если сфера использования не попадает в исключения Security Training © 2008 Cisco Systems, Inc. All rights reserved. 43/70
Оценка соответствия  Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту ст. 2 ФЗ-184 «О техническом регулировании»  Особенности оценки соответствия продукции (работ, услуг) и объектов, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации ст.5 ФЗ-184 «О техническом регулировании» Не ФСТЭК определяет требования, а Правительство Security Training © 2008 Cisco Systems, Inc. All rights reserved. 44/70
Об обязательной сертификации СЗИ  Согласно ПП-608 обязательная сертификация средств защиты предусматривается только для защиты гостайны В остальных случаях сертификация является добровольной  Согласно ПП-1013 средства защиты не входят в перечень товаров, подлежащих обязательной сертификации 1 декабря 2009 было принято новое ПП-982 «Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии» Security Training © 2008 Cisco Systems, Inc. All rights reserved. 45/70
Постановление Правительства №982  С 1-го декабря 2009 года существует единый перечень всех товаров, которые подлежат обязательной сертификации... Исключая продукцию, требования к которой устанавливаются в соответствии со статьей 5 Федерального Закона «О техническом регулировании»  Иными словами обязательная сертификация средств защиты может быть определена отдельными нормативными актами… Особенности технического регулирования в части разработки и установления обязательных требований ... устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями (ФЗ-184 «О техническом регулировании») Security Training © 2008 Cisco Systems, Inc. All rights reserved. 46/70
Гром с ясного неба!!!  ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» ДСП Security Training © 2008 Cisco Systems, Inc. All rights reserved. 47/70
Надо ли выполнять ПП-330?  Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами Ст.4.2 ФЗ-152  Аналогичные требования заложены в ПП-1009 и ФЗ- 294 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 48/70
Интеграция в мировое сообщество Security Training © 2008 Cisco Systems, Inc. All rights reserved. 49/70
Все может поменяться  Изменения в ФЗ-184 «О техническом регулировании» и вступление России в ВТО подстегнули процесс признания международных стандартов и нормативных требований Законопроектом предусматриваются законодательное закрепление возможности признания и заимствования лучших мировых стандартов в целях их применения в Российской Федерации Также предполагается введение двух применяемых по выбору заявителя режимов технического регулирования, один из которых основан на требованиях российских стандартов, другой - на требованиях иностранных технических регламентов (директив) и стандартов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 50/70
Но все может поменяться (продолжение)  ПП-455 от 17.06.2010 внесено изменение в ПП-163 от 24.02.2009 «Об аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по подтверждению соответствия» Наличие официально изданных действующих нормативных правовых актов, документов в области стандартизации, принятых на основе международных норм, устанавливающих требования к объектам подтверждения соответствия Security Training © 2008 Cisco Systems, Inc. All rights reserved. 51/70
Но все может поменяться (окончание)  4 мая Президент направил в ГосДуму законопроект № 368896-5 «О ратификации Соглашения о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия» Стороны взаимно признают аккредитацию органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия, в национальных системах аккредитации государств сторон Сторонами являются страны ЕвразЭС - Россия, Казахстан, Беларусь, Киргизия, Таджикистан, Узбекистан Security Training © 2008 Cisco Systems, Inc. All rights reserved. 52/70
Россия и ВТО: история отношений  В 2007/8-м году Россия отказалась входить в ВТО самостоятельно  Создание Единого таможенного союза (Россия, Казахстан, Белоруссия) и намерение вступать в ВТО в составе союза  Договоренность Медведева и Обамы о вступлении России в ВТО в середине осени И.Айвазовский. Хаос. Сотворение мира Security Training © 2008 Cisco Systems, Inc. All rights reserved. 53/70
С чем согласилась Россия  Отсутствие дискриминации и прозрачность всех процедур, связанных с импортом криптографии  Соблюдение Вассенаарского соглашения То что должно ввозиться свободно по Вассенаару, не должно ограничиваться при импорте в Россию (например, защита интеллектуальной собственности в DVD и т.п., мобильные телефоны и т.д.) Категория 5, часть 2, список товаров двойного применения  Вся импортируемая криптография делится на 2 части Ввозимая по уведомлению Ввозимая после получения лицензии на импорт Security Training © 2008 Cisco Systems, Inc. All rights reserved. 54/70
Изменение роли регуляторов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 55/70
Государственный контроль и надзор  Любая проверка со стороны регулятора должна проводиться в строгом соответствии с ФЗ от 26.12.2008 №294 «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного и муниципального контроля (надзора)» Если другие нормативные акты не сужают область действия надзорного органа  Данный ФЗ – единственный, определяющий полномочия надзорных органов В области ИБ могут быть другие (только уровня ФЗ), но пока их нет  Принятие административных регламентов регуляторов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 56/70
Генпрокуратора – новый регулятор  Генпрокуратура – новый регулятор на рынке безопасности Порядок согласования с органом прокуратуры проведения проверок установлен приказом Генерального прокурора Российской Федерации от 27 марта 2009 г. № 93  Все плановые и внеплановые проверки должны быть согласованы с Генпрокуратурой Плановые – до 31 декабря года, предшествующего Внеплановые – за 3 суток до проверки Прокуратура отклонила 50% всех заявок на проверки  Сегодня в списке проверок есть только Роскомнадзор ФСТЭК и ФСБ не любит упоминаний Генпрокуратуры Потребители не хотят оспаривать незаконные проверки Security Training © 2008 Cisco Systems, Inc. All rights reserved. 57/70
Саморегулируемые организации  Саморегулируемые организации (СРО) – тенденция 2011-го и последующих годов  Позволяет устанавливать собственные правила по добровольной оценке соответствия  Сегодня существуют планы по созданию СРО в различных отраслях Финансы Энергетика Операторы связи Security Training © 2008 Cisco Systems, Inc. All rights reserved. 58/70
Об образовании в области ИБ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 59/70
Деятельность Минкомсвязи  Минкомсвязь заказал АП КИТ профессиональный стандарт по профессии «Специалист по информационной безопасности» Данный профессиональный стандарт будет отражать современные квалификационные требования работодателей и использоваться для целей подготовки рабочих кадров и специалистов, оценки (сертификации), составления должностных инструкций, тарификации и пр.  Стандарт нужен для Оценки квалификации и сертификации сотрудников Формирования госстандартов профессионального образования Управления персоналом Стандартизации и унификации требований к содержанию и качеству профессиональной деятельности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 60/70
Квалификационные уровни  Национальная квалификация описывает 7 уровней В области ИБ квалификация начинается с 3-го уровня Наименование Уровень Краткое описание работ должности 3-й Участие в работах. Проведение Техник по ЗИ проверок. Наладка и регулировка. 4-й Сопровождение. Выполнение Специалист по ЗИ сложных работ. Анализ потребностей 5-й Управление работами по Инженер по ЗИ проектированию и внедрению СЗИ. Подбор литературы 6-й Работа в команде. Разработка Начальник отдела ЗИ оргмер. Руководство. Организация аттестаций, спецпроверок. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 61/70
Квалификационные уровни  Национальная квалификация описывает 7 уровней В области ИБ квалификация начинается с 3-го уровня Наименование Уровень Краткое описание работ должности 7-й Работа в команде. Руководство Главный специалист работами по ЗИ. Создание по ЗИ технологий ИБ. Контроль. Оценка эффективности. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 62/70
Деятельность Минобрнауки  Рособразование со следующей осени внедряет государственные образовательные стандарты третьего поколения Реформа Рособразования мешает процессу  В области ИБ вопросы создания стандартов курирует УМО вузов РФ по образованию в области ИБ (организатор ИКСИ)  Образование по ИБ организуется на трех уровнях Высшее профессиональное образование (ВПО) – университеты и институты Среднее профессиональное образование (СПО) – колледжи и лицеи Начальное профессиональное образование (НПО) – училища и техникумы (только один прецедент в России) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 63/70
Направления образования  2 направления обучения в рамках ВПО Специалист – 5,5 лет Бакалавриат / магистратура – 3 / 5 лет  Программы (стандарты) образования Информационная безопасность телекоммуникационных систем Информационная безопасность автоматизированных систем Организация и технология защиты информации Информационно-аналитические системы безопасности Компьютерная безопасность Криптография Противодействие действиям иностранных технических разведок  В каждой программе существуют свои специализации Grid, АСУ ТП, транспорт, мобильные технологии… Security Training © 2008 Cisco Systems, Inc. All rights reserved. 64/70
Особенности подготовки стандартов  По задумке ФГОС рассчитывается на 10-15 лет  Бизнес практически не участвует в подготовке требований Стандарты формируют ВУЗы В стандарт попало только то, что ВУЗы готовы преподавать сейчас Security Training © 2008 Cisco Systems, Inc. All rights reserved. 65/70
Что еще?.. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 66/70
Что еще?  ПП-266 от 21 апреля 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации … об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации» Основной регулятор – Служба внешней разведки (СВР) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 67/70
Другие изменения  Два законопроекта о регулировании Интернет  Изменение трехглавого ФЗ-149 И еще 41 федеральный закон  Изменение ФЗ-57 (для банков)  Изменение ФЗ-2446-1 «О безопасности»  Новые РД ФСТЭК  Законопроект «Об электронной подписи»  Законопроект «О служебной тайне»  Регулирование систем связи, используемых для нужд обороны и безопасности страны, поддержания правопорядка Security Training © 2008 Cisco Systems, Inc. All rights reserved. 68/70
Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 69/70
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 70/70

Recommended

Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
Cisco Russia
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulations
Aleksey Lukatskiy
 
News in FZ-152
News in FZ-152News in FZ-152
News in FZ-152
Aleksey Lukatskiy
 
Personal data future regulations
Personal data future regulationsPersonal data future regulations
Personal data future regulations
Aleksey Lukatskiy
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
Aleksey Lukatskiy
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
Aleksey Lukatskiy
 
Russian Finance Security Regulations
Russian Finance Security RegulationsRussian Finance Security Regulations
Russian Finance Security Regulations
Aleksey Lukatskiy
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
Aleksey Lukatskiy
 

Recommended

Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
Cisco Russia
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulations
Aleksey Lukatskiy
 
News in FZ-152
News in FZ-152News in FZ-152
News in FZ-152
Aleksey Lukatskiy
 
Personal data future regulations
Personal data future regulationsPersonal data future regulations
Personal data future regulations
Aleksey Lukatskiy
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
Aleksey Lukatskiy
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
Aleksey Lukatskiy
 
Russian Finance Security Regulations
Russian Finance Security RegulationsRussian Finance Security Regulations
Russian Finance Security Regulations
Aleksey Lukatskiy
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
Aleksey Lukatskiy
 
Российская криптография в решениях Cisco
Российская криптография в решениях CiscoРоссийская криптография в решениях Cisco
Российская криптография в решениях Cisco
Cisco Russia
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
Aleksey Lukatskiy
 
Incident management (part 5)
Incident management (part 5)Incident management (part 5)
Incident management (part 5)
Aleksey Lukatskiy
 
Криптография в АСУ ТП: необходимость, дань моде или желание заработать
Криптография в АСУ ТП: необходимость, дань моде или желание заработатьКриптография в АСУ ТП: необходимость, дань моде или желание заработать
Криптография в АСУ ТП: необходимость, дань моде или желание заработать
Cisco Russia
 
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Expolink
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
 
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Cisco Russia
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Aleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
Aleksey Lukatskiy
 
Архитектура Cisco для PCI DSS 2.0
Архитектура Cisco для PCI DSS 2.0Архитектура Cisco для PCI DSS 2.0
Архитектура Cisco для PCI DSS 2.0
Cisco Russia
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Aleksey Lukatskiy
 
Информационная безопасность современного автомобиля
Информационная безопасность современного автомобиляИнформационная безопасность современного автомобиля
Информационная безопасность современного автомобиля
Aleksey Lukatskiy
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
Aleksey Lukatskiy
 
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийМировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решений
Aleksey Lukatskiy
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)
Aleksey Lukatskiy
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасности
Aleksey Lukatskiy
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in Russia
Aleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
Aleksey Lukatskiy
 
What every cio should know about security
What every cio should know about securityWhat every cio should know about security
What every cio should know about security
Aleksey Lukatskiy
 

More Related Content

What's hot

Российская криптография в решениях Cisco
Российская криптография в решениях CiscoРоссийская криптография в решениях Cisco
Российская криптография в решениях Cisco
Cisco Russia
 
Incident management (part 5)
Incident management (part 5)Incident management (part 5)
Incident management (part 5)
Aleksey Lukatskiy
 
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Cisco Russia
 
Архитектура Cisco для PCI DSS 2.0
Архитектура Cisco для PCI DSS 2.0Архитектура Cisco для PCI DSS 2.0
Архитектура Cisco для PCI DSS 2.0
Cisco Russia
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
Aleksey Lukatskiy
 
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийМировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решений
Aleksey Lukatskiy
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)
Aleksey Lukatskiy
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in Russia
Aleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 

What's hot (20)

Российская криптография в решениях Cisco
Российская криптография в решениях CiscoРоссийская криптография в решениях Cisco
Российская криптография в решениях Cisco
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
 
Incident management (part 5)
Incident management (part 5)Incident management (part 5)
Incident management (part 5)
 
Криптография в АСУ ТП: необходимость, дань моде или желание заработать
Криптография в АСУ ТП: необходимость, дань моде или желание заработатьКриптография в АСУ ТП: необходимость, дань моде или желание заработать
Криптография в АСУ ТП: необходимость, дань моде или желание заработать
 
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
 
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
 
Архитектура Cisco для PCI DSS 2.0
Архитектура Cisco для PCI DSS 2.0Архитектура Cisco для PCI DSS 2.0
Архитектура Cisco для PCI DSS 2.0
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
 
Информационная безопасность современного автомобиля
Информационная безопасность современного автомобиляИнформационная безопасность современного автомобиля
Информационная безопасность современного автомобиля
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
 
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийМировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решений
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасности
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in Russia
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
 

Viewers also liked

Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
Aleksey Lukatskiy
 
What every cio should know about security
What every cio should know about securityWhat every cio should know about security
What every cio should know about security
Aleksey Lukatskiy
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Aleksey Lukatskiy
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
Aleksey Lukatskiy
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
Aleksey Lukatskiy
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Aleksey Lukatskiy
 
Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityService
Aleksey Lukatskiy
 
Психология в деятельности CISO
Психология в деятельности CISOПсихология в деятельности CISO
Психология в деятельности CISO
Aleksey Lukatskiy
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISO
Aleksey Lukatskiy
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Aleksey Lukatskiy
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
Aleksey Lukatskiy
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrime
Aleksey Lukatskiy
 

Viewers also liked (20)

Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
 
What every cio should know about security
What every cio should know about securityWhat every cio should know about security
What every cio should know about security
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
 
Mobility and cloud security
Mobility and cloud securityMobility and cloud security
Mobility and cloud security
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
 
Security and Crisis
Security and CrisisSecurity and Crisis
Security and Crisis
 
New security threats
New security threatsNew security threats
New security threats
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
 
Secure Mobile Office
Secure Mobile OfficeSecure Mobile Office
Secure Mobile Office
 
Mobile security office
Mobile security officeMobile security office
Mobile security office
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
 
Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityService
 
DLP for top managers
DLP for top managersDLP for top managers
DLP for top managers
 
Психология в деятельности CISO
Психология в деятельности CISOПсихология в деятельности CISO
Психология в деятельности CISO
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISO
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrime
 

Similar to Future security regulations in Russia

Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
Cisco Russia
 
Регулирование ИБ в России
Регулирование ИБ в РоссииРегулирование ИБ в России
Регулирование ИБ в России
Aleksey Lukatskiy
 
Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...
Positive Hack Days
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Cisco Russia
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
Регулирование криптографии в России
Регулирование криптографии в РоссииРегулирование криптографии в России
Регулирование криптографии в России
Cisco Russia
 
Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"
Aleksey Lukatskiy
 
ГОСТ Р ИСО/МЭК 17799-2005
ГОСТ Р ИСО/МЭК 17799-2005ГОСТ Р ИСО/МЭК 17799-2005
ГОСТ Р ИСО/МЭК 17799-2005
Sergey Erohin
 
Optimal algorithm for personal data operators
Optimal algorithm for personal data operatorsOptimal algorithm for personal data operators
Optimal algorithm for personal data operators
Aleksey Lukatskiy
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
SQALab
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Cisco Russia
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Expolink
 
Positive Hack Days. Лукацкий. Сложности регулирования криптографии в России
Positive Hack Days. Лукацкий. Сложности регулирования криптографии в РоссииPositive Hack Days. Лукацкий. Сложности регулирования криптографии в России
Positive Hack Days. Лукацкий. Сложности регулирования криптографии в России
Positive Hack Days
 

Similar to Future security regulations in Russia (20)

Security apocalypse
Security apocalypseSecurity apocalypse
Security apocalypse
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
 
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБТенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБ
 
Регулирование ИБ в России
Регулирование ИБ в РоссииРегулирование ИБ в России
Регулирование ИБ в России
 
Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
 
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаВнедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практика
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
Регулирование криптографии в России
Регулирование криптографии в РоссииРегулирование криптографии в России
Регулирование криптографии в России
 
Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"
 
ГОСТ Р ИСО/МЭК 17799-2005
ГОСТ Р ИСО/МЭК 17799-2005ГОСТ Р ИСО/МЭК 17799-2005
ГОСТ Р ИСО/МЭК 17799-2005
 
Optimal algorithm for personal data operators
Optimal algorithm for personal data operatorsOptimal algorithm for personal data operators
Optimal algorithm for personal data operators
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
 
Security punishment
Security punishmentSecurity punishment
Security punishment
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
 
Positive Hack Days. Лукацкий. Сложности регулирования криптографии в России
Positive Hack Days. Лукацкий. Сложности регулирования криптографии в РоссииPositive Hack Days. Лукацкий. Сложности регулирования криптографии в России
Positive Hack Days. Лукацкий. Сложности регулирования криптографии в России
 

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Future security regulations in Russia

  • 1. Что ждет нас в области регулирования ИБ в ближайшее время? Алексей Лукацкий Бизнес-консультант по безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 1/70
  • 2. Куда движется российский рынок ИБ? Интеграция в мировое сообщество Сертификация / Образование лицензирование Требования для Изменение роли разных видов Развитие регуляторов тайн Security Training © 2008 Cisco Systems, Inc. All rights reserved. 3/70
  • 3. Общая тенденция Абсолютная непрогнозируемость изменений на рынке информационной безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 4/70
  • 4. Новые требования по защите тайн  Персональные данные  Финансовая отрасль PCI DSS СТО БР ИББС-1.0 ФЗ «О национальной платежной системе»  Критически важные объекты  Электронные госуслуги Security Training © 2008 Cisco Systems, Inc. All rights reserved. 5/70
  • 5. Персональные данные Security Training © 2008 Cisco Systems, Inc. All rights reserved. 6/70
  • 6. Базовая иерархия НПА по ПДн Конвенции и иные Директивы Европейская Рекомендации международные Евросоюза / Конвенция ОЭСР Европарламента договора ФЗ №152 от 26.07.2006 Законы ФЗ №160 от 19.12.2005 Постановления №781 от №687 от №512 от Правительства 17.11.2007 15.09.2008 6.07.2008 Приказы и «Приказ трех» от 3 открытых документа 2 открытых Документы РКН иные документы 13.02.2008 ФСТЭК документа ФСБ  И еще 3-4 десятка нормативных актов разных уровней Security Training © 2008 Cisco Systems, Inc. All rights reserved. 7/70
  • 7. Законопроект Резника  Новые условия обработки ПДн без согласия  Определение трансграничной передачи  Конклюдентная и устная формы согласия  Оферта неограниченному кругу лиц  Дифференция требований по ИБ  Устранение избыточных уведомлений субъектов  Оператор vs обработчик  Соглашение между оператором и субъектов ПДн Security Training © 2008 Cisco Systems, Inc. All rights reserved. 8/70
  • 8. Текущая ситуация с ИБ  Безопасность персданных является обязательным условием обработки ПДн  За безопасность ПДн отвечают ФСТЭК и ФСБ ФСТЭК выпустил приказ №58 ФСБ выпустила 2 методических документа в области криптографии  Подход регуляторов Сертифицированные СЗИ и СКЗИ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 9/70
  • 9. Варианты создания отраслевых рекомендаций Документы ФСТЭК без изменений, но применительно к Полная переработка в нуждам отрасли соответствие с потребностями отрасли  Рособразование  Финансы  Минсоцздравразвитие  Операторы связи Security Training © 2008 Cisco Systems, Inc. All rights reserved. 10/70
  • 10. Комплекс стандартов ИБ ЦБ РФ СТО РС Отраслевая Рекомендации Руководство Методика частная Общие по по самооценке Методика Требования Аудит ИБ оценки модель угроз положения документации соответствия оценки рисков по ИБ ПДн 1.1 соответствия безопасности 1.0 в области ИБ ИБ 2.2 2.3 1.2 ПДн 2.0 2.1 2.4  СТО – стандарт организации  РС – рекомендации по стандартизации Security Training © 2008 Cisco Systems, Inc. All rights reserved. 11/70
  • 11. Регулирование ИБ в финансовой отрасли Термины и Классификатор определения 0.0 0.1 Рекомендации по выполнению законодательных требований при обработке ПДн  В планах (возможно) отдельные стандарты и рекомендации (или добавление в СТО 1.0) по безопасности для участников национальной платежной системы и т.д. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 12/70
  • 12. НИР Тритон от ИКС  Принципы защиты ПДн оператора связи Экономическая обоснованность рекомендаций (требований) исходя из ущерба субъектам и операторам ПДн Соответствие уровня рекомендаций (требований) по защите ПДн имеющемуся уровню развития информационных технологий с постепенным его повышением по мере готовности операторов ПДн, информационных и защитных технологий, международного и национального законодательства Учет специфики операторов связи Применение одних и тех же систем, средств и методов защиты информации для обеспечения безопасности ПДн, КТ и иной конфиденциальной информации Использование для защиты ПДн систем и средств защиты, которые уже эксплуатируются операторами связи в составе ИСПДн или инфраструктуры безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 13/70
  • 13. НИР Тритон для операторов связи  Наиболее полный набор документов по защите ПДн 18 иерархически выстроенных документов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 14/70
  • 14. Новые требования ФСБ  Новый приказ ФСБ по защите персональных данных  Придет на смену двум текущим документам Запланировано подписание Бортниковым Запланирована регистрация в МинЮсте  Систематизация требований  Требования по IDS (?)  Изменение лицензионных требований (?) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 15/70
  • 15. Изменение 1009-ПП  ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые акты Правительства Российской Федерации» Проекты НПА и нормативных документов ФОИП, которыми регулируются отношения в области организации и осуществления государственного контроля (надзора), в области установления, применения и исполнения обязательных требований к продукции или связанным с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, в области оценки соответствия и в области безопасности процессов производства, подлежат направлению в МЭР РФ на заключение об оценке регулирующего воздействия Security Training © 2008 Cisco Systems, Inc. All rights reserved. 16/70
  • 16. Изменение 1009-ПП (окончание)  ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые акты Правительства Российской Федерации» В этом заключении дается оценка регулирующего воздействия соответствующих решений с целью выявления положений, вводящих избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствующих их введению, а также положений, способствующих возникновению необоснованных расходов субъектов предпринимательской и иной деятельности и бюджетов всех уровней бюджетной системы Российской Федерации Security Training © 2008 Cisco Systems, Inc. All rights reserved. 17/70
  • 17. Национальная платежная система Security Training © 2008 Cisco Systems, Inc. All rights reserved. 18/70
  • 18. ФЗ «О национальной платежной системе»  Цель - регулировать деятельность организаций - операторов по переводу денежных средств, операторов по приему платежей, операторов платежных систем, операторов услуг платежной инфраструктуры и определить требования к функционированию платежной системы К обычным участникам платежной системы относятся операторы по переводу денежных средств и приему платежей, участники рынка ценных бумаг, почта и т.п. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 19/70
  • 19. ФЗ «О национальной платежной системе»  Все участники НПС обязаны соблюдать требования по защите банковской тайны в соответствие с законом «О банках и банковской деятельности»  Требования по ИБ устанавливает Правительство РФ, а контроль и надзор за выполнением требований осуществляется ФСТЭК и ФСБ Требований Правительства пока нет  Банк России вправе устанавливать требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям Данные требования должны быть согласованы с ФСТЭК и ФСБ Логично предположить, что это будет СТО БР ИББС Security Training © 2008 Cisco Systems, Inc. All rights reserved. 20/70
  • 20. КСИИ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 21/70
  • 21. Термины и определения  Ключевая (критически важная) система информационной инфраструктуры – информационно- управляющая или информационно- телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями Security Training © 2008 Cisco Systems, Inc. All rights reserved. 22/70
  • 22. Номенклатура документов по КСИИ Указы Приказ от 30.03.2002 Указ от 16.08.2004 Указ от 11.08.2003 «Основы» от Президента №Пр-578 №1085 №960 28.09.2006 Иные Проект Секретарь СовБеза РФ документы закона (снят) от 08.11.2005 Распоряжения №411-рс от №1314-р от Правительства 23.03.2006 27.08.2005 Отраслевые 4 «закрытых» документа документы ФСТЭК Security Training © 2008 Cisco Systems, Inc. All rights reserved. 23/70
  • 23. Нормативные документы ФСТЭК  Методика определения актуальных угроз безопасности информации в ключевых системах информационных инфраструктурах  Общие требования по обеспечению безопасности информации в ключевых системах информационных инфраструктурах  Базовая модель угроз безопасности информации в ключевых системах информационных инфраструктурах  Рекомендации по обеспечению безопасности информации в ключевых системах информационных инфраструктурах Утверждены 18 мая 2007 года Security Training © 2008 Cisco Systems, Inc. All rights reserved. 24/70
  • 24. Контроль государственных ресурсов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 29/70
  • 25. Контроль госорганов  Постановления и законы ПП-424 от 18.05.2009 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям» ФЗ «О государственных информационных ресурсах»  Госорганы обязаны обеспечить защиту информации… от уничтожения, изменения и блокирования доступа к ней постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более 8 часов использование … СЗИ, прошедших оценку соответствия (в том числе в установленных случаях сертификацию)… Security Training © 2008 Cisco Systems, Inc. All rights reserved. 30/70
  • 26. Контроль госорганов  Федеральной службе безопасности Российской Федерации совместно с Федеральной службой по техническому и экспортному контролю в 3-месячный срок утвердить требования о защите информации, содержащейся в информационных системах общего пользования ПП-424  Где прописаны требования по ИБ Спорный СТР-К от ФСТЭК Приказ Минкомсвязи России от 25.08.2009 г № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования» (зарегистрирован в МинЮсте) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 31/70
  • 27. Госуслуги  Постановление Правительства РФ от 22 сентября 2009 г. № 754 «Об утверждении Положения о системе межведомственного электронного документооборота» Главный регулятор – Федеральная служба охраны (ФСО) Основной акцент на целостности и конфиденциальности  Законопроект «Об общих принципах организации предоставления государственных (муниципальных) услуг и исполнения государственных (муниципальных) функций» Никто не понимает, что такое госуслуга. Нет объекта защиты, как можно говорить о защите? Безопасность госуслуг – для многих это ЭЦП и УЦ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 32/70
  • 28. Лицензирование Security Training © 2008 Cisco Systems, Inc. All rights reserved. 33/70
  • 29. Есть ли у вас лицензия на ТО СКЗИ?  А нужна ли? Представители 8-го Центра ФСБ заявляют о ненужности лицензии для собственных нужд Security Training © 2008 Cisco Systems, Inc. All rights reserved. 34/70
  • 30. Есть ли у вас лицензия на ТО СКЗИ?  Что такое ТО? К деятельности по техническому обслуживанию шифровальных (криптографических) средств не относится эксплуатация СКЗИ в соответствии с требованиями эксплуатационной и технической документации, входящей в комплект поставки СКЗИ  Не относится к лицензируемой деятельности Передача СКЗИ клиентам и «дочкам» Генерация и передача сгенерированных ключей Security Training © 2008 Cisco Systems, Inc. All rights reserved. 35/70
  • 31. Риск лицензирования в ФСБ  Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства» В целях обеспечения обороны страны и безопасности государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами Security Training © 2008 Cisco Systems, Inc. All rights reserved. 36/70
  • 32. Риск лицензирования в ФСБ (окончание)  Хозяйственное общество, имеющее стратегическое значение для обеспечения обороны страны и безопасности государства, - предприятие созданное на территории Российской Федерации и осуществляющее хотя бы один из видов деятельности, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства и указанных в статье 6 настоящего Федерального закона пп.11-14 – 4 вида лицензирования деятельности в области шифрования Наличие всего лишь одного маршрутизатора с IPSec требует от вас лицензии на ТО СКЗИ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 37/70
  • 33. Одна точка зрения ФСТЭК  Лицензия на ТЗКИ нужна юридическим лицам, осуществляющим предпринимательскую деятельность, связанную с технической защитой конфиденциальной информацией Примечание: в новом законопроекте по 149-ФЗ термин «конфиденциальная информация» меняется на «информации, в отношении которой установлено требование об обеспечении ее Security Training конфиденциальности» © 2008 Cisco Systems, Inc. All rights reserved. 38/70
  • 34. Другая точка зрения ФСТЭК  Вопрос про лицензию на ТЗКИ для собственных нужд  Согласно ст.49 ГК РФ отдельными видами деятельности можно заниматься только на основании лицензии  В соответствие с ФЗ-128 на ТЗКИ нужна лицензия Security Training © 2008 Cisco Systems, Inc. All rights reserved. 39/70
  • 35. Нужна ли лицензия ФСТЭК банкам?  В настоящем стандарте требование получения лицензии на деятельность по технической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются Раздел 9.6 СТО БР ИББС-1.0 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 40/70
  • 36. Что нас ждет?  19 июля в ходе заседания Президиума Правительства Российской Федерации был рассмотрен проект закона о лицензировании, который серьѐзно упрощает процедуру получения лицензий, повышает их прозрачность и существенно снижает число лицензируемых видов деятельности  Тематика связанная с лицензированием деятельности по защите информации и криптографии осталась ;-( Эти виды деятельности были укрупнены в два направления - криптографическая деятельность и защита от несанкционированного доступа к информации Эти виды деятельности должны будут регулироваться отдельными новыми Постановлениями Правительства Security Training © 2008 Cisco Systems, Inc. All rights reserved. 41/70
  • 37. Сертификация Security Training © 2008 Cisco Systems, Inc. All rights reserved. 42/70
  • 38. О сертификации средств защиты  Методами и способами защиты информации от несанкционированного доступа являются…использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия Приказ 58 ФСТЭК  Оценка соответствия регулируется ФЗ-184 «О техническом регулировании»  ФСБ требует использования только сертифицированных СКЗИ Если сфера использования не попадает в исключения Security Training © 2008 Cisco Systems, Inc. All rights reserved. 43/70
  • 39. Оценка соответствия  Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту ст. 2 ФЗ-184 «О техническом регулировании»  Особенности оценки соответствия продукции (работ, услуг) и объектов, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации ст.5 ФЗ-184 «О техническом регулировании» Не ФСТЭК определяет требования, а Правительство Security Training © 2008 Cisco Systems, Inc. All rights reserved. 44/70
  • 40. Об обязательной сертификации СЗИ  Согласно ПП-608 обязательная сертификация средств защиты предусматривается только для защиты гостайны В остальных случаях сертификация является добровольной  Согласно ПП-1013 средства защиты не входят в перечень товаров, подлежащих обязательной сертификации 1 декабря 2009 было принято новое ПП-982 «Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии» Security Training © 2008 Cisco Systems, Inc. All rights reserved. 45/70
  • 41. Постановление Правительства №982  С 1-го декабря 2009 года существует единый перечень всех товаров, которые подлежат обязательной сертификации... Исключая продукцию, требования к которой устанавливаются в соответствии со статьей 5 Федерального Закона «О техническом регулировании»  Иными словами обязательная сертификация средств защиты может быть определена отдельными нормативными актами… Особенности технического регулирования в части разработки и установления обязательных требований ... устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями (ФЗ-184 «О техническом регулировании») Security Training © 2008 Cisco Systems, Inc. All rights reserved. 46/70
  • 42. Гром с ясного неба!!!  ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» ДСП Security Training © 2008 Cisco Systems, Inc. All rights reserved. 47/70
  • 43. Надо ли выполнять ПП-330?  Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами Ст.4.2 ФЗ-152  Аналогичные требования заложены в ПП-1009 и ФЗ- 294 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 48/70
  • 44. Интеграция в мировое сообщество Security Training © 2008 Cisco Systems, Inc. All rights reserved. 49/70
  • 45. Все может поменяться  Изменения в ФЗ-184 «О техническом регулировании» и вступление России в ВТО подстегнули процесс признания международных стандартов и нормативных требований Законопроектом предусматриваются законодательное закрепление возможности признания и заимствования лучших мировых стандартов в целях их применения в Российской Федерации Также предполагается введение двух применяемых по выбору заявителя режимов технического регулирования, один из которых основан на требованиях российских стандартов, другой - на требованиях иностранных технических регламентов (директив) и стандартов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 50/70
  • 46. Но все может поменяться (продолжение)  ПП-455 от 17.06.2010 внесено изменение в ПП-163 от 24.02.2009 «Об аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по подтверждению соответствия» Наличие официально изданных действующих нормативных правовых актов, документов в области стандартизации, принятых на основе международных норм, устанавливающих требования к объектам подтверждения соответствия Security Training © 2008 Cisco Systems, Inc. All rights reserved. 51/70
  • 47. Но все может поменяться (окончание)  4 мая Президент направил в ГосДуму законопроект № 368896-5 «О ратификации Соглашения о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия» Стороны взаимно признают аккредитацию органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия, в национальных системах аккредитации государств сторон Сторонами являются страны ЕвразЭС - Россия, Казахстан, Беларусь, Киргизия, Таджикистан, Узбекистан Security Training © 2008 Cisco Systems, Inc. All rights reserved. 52/70
  • 48. Россия и ВТО: история отношений  В 2007/8-м году Россия отказалась входить в ВТО самостоятельно  Создание Единого таможенного союза (Россия, Казахстан, Белоруссия) и намерение вступать в ВТО в составе союза  Договоренность Медведева и Обамы о вступлении России в ВТО в середине осени И.Айвазовский. Хаос. Сотворение мира Security Training © 2008 Cisco Systems, Inc. All rights reserved. 53/70
  • 49. С чем согласилась Россия  Отсутствие дискриминации и прозрачность всех процедур, связанных с импортом криптографии  Соблюдение Вассенаарского соглашения То что должно ввозиться свободно по Вассенаару, не должно ограничиваться при импорте в Россию (например, защита интеллектуальной собственности в DVD и т.п., мобильные телефоны и т.д.) Категория 5, часть 2, список товаров двойного применения  Вся импортируемая криптография делится на 2 части Ввозимая по уведомлению Ввозимая после получения лицензии на импорт Security Training © 2008 Cisco Systems, Inc. All rights reserved. 54/70
  • 50. Изменение роли регуляторов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 55/70
  • 51. Государственный контроль и надзор  Любая проверка со стороны регулятора должна проводиться в строгом соответствии с ФЗ от 26.12.2008 №294 «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного и муниципального контроля (надзора)» Если другие нормативные акты не сужают область действия надзорного органа  Данный ФЗ – единственный, определяющий полномочия надзорных органов В области ИБ могут быть другие (только уровня ФЗ), но пока их нет  Принятие административных регламентов регуляторов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 56/70
  • 52. Генпрокуратора – новый регулятор  Генпрокуратура – новый регулятор на рынке безопасности Порядок согласования с органом прокуратуры проведения проверок установлен приказом Генерального прокурора Российской Федерации от 27 марта 2009 г. № 93  Все плановые и внеплановые проверки должны быть согласованы с Генпрокуратурой Плановые – до 31 декабря года, предшествующего Внеплановые – за 3 суток до проверки Прокуратура отклонила 50% всех заявок на проверки  Сегодня в списке проверок есть только Роскомнадзор ФСТЭК и ФСБ не любит упоминаний Генпрокуратуры Потребители не хотят оспаривать незаконные проверки Security Training © 2008 Cisco Systems, Inc. All rights reserved. 57/70
  • 53. Саморегулируемые организации  Саморегулируемые организации (СРО) – тенденция 2011-го и последующих годов  Позволяет устанавливать собственные правила по добровольной оценке соответствия  Сегодня существуют планы по созданию СРО в различных отраслях Финансы Энергетика Операторы связи Security Training © 2008 Cisco Systems, Inc. All rights reserved. 58/70
  • 54. Об образовании в области ИБ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 59/70
  • 55. Деятельность Минкомсвязи  Минкомсвязь заказал АП КИТ профессиональный стандарт по профессии «Специалист по информационной безопасности» Данный профессиональный стандарт будет отражать современные квалификационные требования работодателей и использоваться для целей подготовки рабочих кадров и специалистов, оценки (сертификации), составления должностных инструкций, тарификации и пр.  Стандарт нужен для Оценки квалификации и сертификации сотрудников Формирования госстандартов профессионального образования Управления персоналом Стандартизации и унификации требований к содержанию и качеству профессиональной деятельности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 60/70
  • 56. Квалификационные уровни  Национальная квалификация описывает 7 уровней В области ИБ квалификация начинается с 3-го уровня Наименование Уровень Краткое описание работ должности 3-й Участие в работах. Проведение Техник по ЗИ проверок. Наладка и регулировка. 4-й Сопровождение. Выполнение Специалист по ЗИ сложных работ. Анализ потребностей 5-й Управление работами по Инженер по ЗИ проектированию и внедрению СЗИ. Подбор литературы 6-й Работа в команде. Разработка Начальник отдела ЗИ оргмер. Руководство. Организация аттестаций, спецпроверок. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 61/70
  • 57. Квалификационные уровни  Национальная квалификация описывает 7 уровней В области ИБ квалификация начинается с 3-го уровня Наименование Уровень Краткое описание работ должности 7-й Работа в команде. Руководство Главный специалист работами по ЗИ. Создание по ЗИ технологий ИБ. Контроль. Оценка эффективности. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 62/70
  • 58. Деятельность Минобрнауки  Рособразование со следующей осени внедряет государственные образовательные стандарты третьего поколения Реформа Рособразования мешает процессу  В области ИБ вопросы создания стандартов курирует УМО вузов РФ по образованию в области ИБ (организатор ИКСИ)  Образование по ИБ организуется на трех уровнях Высшее профессиональное образование (ВПО) – университеты и институты Среднее профессиональное образование (СПО) – колледжи и лицеи Начальное профессиональное образование (НПО) – училища и техникумы (только один прецедент в России) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 63/70
  • 59. Направления образования  2 направления обучения в рамках ВПО Специалист – 5,5 лет Бакалавриат / магистратура – 3 / 5 лет  Программы (стандарты) образования Информационная безопасность телекоммуникационных систем Информационная безопасность автоматизированных систем Организация и технология защиты информации Информационно-аналитические системы безопасности Компьютерная безопасность Криптография Противодействие действиям иностранных технических разведок  В каждой программе существуют свои специализации Grid, АСУ ТП, транспорт, мобильные технологии… Security Training © 2008 Cisco Systems, Inc. All rights reserved. 64/70
  • 60. Особенности подготовки стандартов  По задумке ФГОС рассчитывается на 10-15 лет  Бизнес практически не участвует в подготовке требований Стандарты формируют ВУЗы В стандарт попало только то, что ВУЗы готовы преподавать сейчас Security Training © 2008 Cisco Systems, Inc. All rights reserved. 65/70
  • 61. Что еще?.. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 66/70
  • 62. Что еще?  ПП-266 от 21 апреля 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации … об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации» Основной регулятор – Служба внешней разведки (СВР) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 67/70
  • 63. Другие изменения  Два законопроекта о регулировании Интернет  Изменение трехглавого ФЗ-149 И еще 41 федеральный закон  Изменение ФЗ-57 (для банков)  Изменение ФЗ-2446-1 «О безопасности»  Новые РД ФСТЭК  Законопроект «Об электронной подписи»  Законопроект «О служебной тайне»  Регулирование систем связи, используемых для нужд обороны и безопасности страны, поддержания правопорядка Security Training © 2008 Cisco Systems, Inc. All rights reserved. 68/70
  • 64. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 69/70
  • 65. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 70/70