More Related Content
Similar to Future security regulations in Russia (20)
More from Aleksey Lukatskiy (20)
Future security regulations in Russia
- 1. Что ждет нас в
области
регулирования ИБ в
ближайшее время?
Алексей Лукацкий
Бизнес-консультант по безопасности
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 1/70
- 2. Куда движется российский рынок ИБ?
Интеграция в
мировое
сообщество
Сертификация /
Образование
лицензирование
Требования для
Изменение роли
разных видов Развитие регуляторов
тайн
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 3/70
- 3. Общая тенденция
Абсолютная непрогнозируемость изменений на рынке
информационной безопасности
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 4/70
- 4. Новые требования по защите тайн
Персональные данные
Финансовая отрасль
PCI DSS
СТО БР ИББС-1.0
ФЗ «О национальной
платежной системе»
Критически важные
объекты
Электронные госуслуги
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 5/70
- 5. Персональные
данные
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 6/70
- 6. Базовая иерархия НПА по ПДн
Конвенции и иные Директивы Европейская Рекомендации
международные Евросоюза / Конвенция ОЭСР
Европарламента
договора
ФЗ №152 от
26.07.2006
Законы ФЗ №160 от
19.12.2005
Постановления №781 от №687 от №512 от
Правительства 17.11.2007 15.09.2008 6.07.2008
Приказы и «Приказ
трех» от
3 открытых
документа
2 открытых Документы РКН
иные документы 13.02.2008 ФСТЭК
документа ФСБ
И еще 3-4 десятка нормативных актов разных уровней
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 7/70
- 7. Законопроект Резника
Новые условия обработки ПДн без согласия
Определение трансграничной передачи
Конклюдентная и устная формы согласия
Оферта неограниченному кругу лиц
Дифференция требований по ИБ
Устранение избыточных уведомлений субъектов
Оператор vs обработчик
Соглашение между оператором и субъектов ПДн
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 8/70
- 8. Текущая ситуация с ИБ
Безопасность персданных является обязательным
условием обработки ПДн
За безопасность ПДн отвечают ФСТЭК и ФСБ
ФСТЭК выпустил приказ №58
ФСБ выпустила 2 методических документа в области
криптографии
Подход регуляторов
Сертифицированные СЗИ и СКЗИ
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 9/70
- 9. Варианты создания отраслевых
рекомендаций
Документы ФСТЭК
без изменений, но
применительно к Полная переработка в
нуждам отрасли соответствие с
потребностями
отрасли
Рособразование Финансы
Минсоцздравразвитие Операторы связи
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 10/70
- 10. Комплекс стандартов ИБ ЦБ РФ
СТО РС
Отраслевая
Рекомендации Руководство
Методика частная
Общие по по самооценке Методика Требования
Аудит ИБ оценки модель угроз
положения документации соответствия оценки рисков по ИБ ПДн
1.1 соответствия безопасности
1.0 в области ИБ ИБ 2.2 2.3
1.2 ПДн
2.0 2.1
2.4
СТО – стандарт организации
РС – рекомендации по стандартизации
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 11/70
- 11. Регулирование ИБ в финансовой
отрасли
Термины и
Классификатор
определения
0.0
0.1
Рекомендации по выполнению
законодательных требований при
обработке ПДн
В планах (возможно) отдельные стандарты и
рекомендации (или добавление в СТО 1.0) по
безопасности для участников национальной
платежной системы и т.д.
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 12/70
- 12. НИР Тритон от ИКС
Принципы защиты ПДн оператора связи
Экономическая обоснованность рекомендаций (требований)
исходя из ущерба субъектам и операторам ПДн
Соответствие уровня рекомендаций (требований) по защите
ПДн имеющемуся уровню развития информационных
технологий с постепенным его повышением по мере
готовности операторов ПДн, информационных и защитных
технологий, международного и национального
законодательства
Учет специфики операторов связи
Применение одних и тех же систем, средств и методов
защиты информации для обеспечения безопасности ПДн, КТ
и иной конфиденциальной информации
Использование для защиты ПДн систем и средств защиты,
которые уже эксплуатируются операторами связи в составе
ИСПДн или инфраструктуры безопасности
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 13/70
- 13. НИР Тритон для операторов связи
Наиболее полный набор документов по защите ПДн
18 иерархически выстроенных документов
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 14/70
- 14. Новые требования ФСБ
Новый приказ ФСБ по защите
персональных данных
Придет на смену двум текущим
документам
Запланировано подписание
Бортниковым
Запланирована регистрация в МинЮсте
Систематизация требований
Требования по IDS (?)
Изменение лицензионных
требований (?)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 15/70
- 15. Изменение 1009-ПП
ПП-336 от 15 мая 2010 года «О внесении изменений в
некоторые акты Правительства Российской
Федерации»
Проекты НПА и нормативных документов ФОИП, которыми
регулируются отношения в области организации и
осуществления государственного контроля (надзора), в
области установления, применения и исполнения
обязательных требований к продукции или связанным с ними
процессам проектирования (включая изыскания),
производства, строительства, монтажа, наладки,
эксплуатации, хранения, перевозки, реализации и утилизации,
в области оценки соответствия и в области безопасности
процессов производства, подлежат направлению в МЭР РФ на
заключение об оценке регулирующего воздействия
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 16/70
- 16. Изменение 1009-ПП (окончание)
ПП-336 от 15 мая 2010 года «О внесении изменений в
некоторые акты Правительства Российской
Федерации»
В этом заключении дается оценка регулирующего воздействия
соответствующих решений с целью выявления положений,
вводящих избыточные административные и иные ограничения
и обязанности для субъектов предпринимательской и иной
деятельности или способствующих их введению, а также
положений, способствующих возникновению необоснованных
расходов субъектов предпринимательской и иной
деятельности и бюджетов всех уровней бюджетной системы
Российской Федерации
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 17/70
- 17. Национальная
платежная
система
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 18/70
- 18. ФЗ «О национальной платежной
системе»
Цель - регулировать деятельность организаций -
операторов по переводу денежных средств,
операторов по приему платежей, операторов
платежных систем, операторов услуг платежной
инфраструктуры и определить требования к
функционированию платежной системы
К обычным участникам платежной системы относятся
операторы по переводу денежных средств и приему
платежей, участники рынка ценных бумаг, почта и т.п.
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 19/70
- 19. ФЗ «О национальной платежной
системе»
Все участники НПС обязаны соблюдать требования по
защите банковской тайны в соответствие с законом «О
банках и банковской деятельности»
Требования по ИБ устанавливает Правительство РФ, а
контроль и надзор за выполнением требований
осуществляется ФСТЭК и ФСБ
Требований Правительства пока нет
Банк России вправе устанавливать требования к
бесперебойности, информационной безопасности, а
также порядок оценки соответствия операционных
центров значимых платежных систем установленным
требованиям
Данные требования должны быть согласованы с ФСТЭК и ФСБ
Логично предположить, что это будет СТО БР ИББС
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 20/70
- 21. Термины и определения
Ключевая (критически важная) система
информационной инфраструктуры – информационно-
управляющая или информационно-
телекоммуникационная система, которая осуществляет
управление критически важным объектом (процессом),
или информационное обеспечение таким объектом
(процессом), или официальное информирование
граждан и в результате деструктивных действий на
которую может сложиться чрезвычайная ситуация или
будут нарушены выполняемые системой функции
управления со значительными негативными
последствиями
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 22/70
- 22. Номенклатура документов по КСИИ
Указы Приказ от
30.03.2002
Указ от
16.08.2004
Указ от
11.08.2003
«Основы» от
Президента №Пр-578 №1085 №960
28.09.2006
Иные Проект
Секретарь
СовБеза РФ
документы закона (снят)
от 08.11.2005
Распоряжения №411-рс от №1314-р от
Правительства 23.03.2006 27.08.2005
Отраслевые 4 «закрытых»
документа
документы ФСТЭК
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 23/70
- 23. Нормативные документы ФСТЭК
Методика определения актуальных угроз
безопасности информации в ключевых системах
информационных инфраструктурах
Общие требования по обеспечению безопасности
информации в ключевых системах информационных
инфраструктурах
Базовая модель угроз безопасности информации в
ключевых системах информационных
инфраструктурах
Рекомендации по обеспечению безопасности
информации в ключевых системах информационных
инфраструктурах
Утверждены 18 мая 2007 года
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 24/70
- 24. Контроль
государственных
ресурсов
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 29/70
- 25. Контроль госорганов
Постановления и законы
ПП-424 от 18.05.2009 «Об особенностях подключения
федеральных государственных информационных систем к
информационно-телекоммуникационным сетям»
ФЗ «О государственных информационных ресурсах»
Госорганы обязаны обеспечить
защиту информации… от уничтожения, изменения и
блокирования доступа к ней
постоянный контроль возможности доступа неограниченного
круга лиц к информационным системам общего пользования
восстановление информации, измененной или уничтоженной
вследствие несанкционированного доступа к ней, в течение не
более 8 часов
использование … СЗИ, прошедших оценку соответствия (в том
числе в установленных случаях сертификацию)…
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 30/70
- 26. Контроль госорганов
Федеральной службе безопасности Российской
Федерации совместно с Федеральной службой по
техническому и экспортному контролю в 3-месячный
срок утвердить требования о защите информации,
содержащейся в информационных системах общего
пользования
ПП-424
Где прописаны требования по ИБ
Спорный СТР-К от ФСТЭК
Приказ Минкомсвязи России от 25.08.2009 г № 104 «Об
утверждении Требований по обеспечению целостности,
устойчивости функционирования и безопасности
информационных систем общего пользования»
(зарегистрирован в МинЮсте)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 31/70
- 27. Госуслуги
Постановление Правительства РФ от 22 сентября 2009
г. № 754 «Об утверждении Положения о системе
межведомственного электронного документооборота»
Главный регулятор – Федеральная служба охраны (ФСО)
Основной акцент на целостности и конфиденциальности
Законопроект «Об общих принципах организации
предоставления государственных (муниципальных)
услуг и исполнения государственных (муниципальных)
функций»
Никто не понимает, что такое госуслуга. Нет объекта защиты,
как можно говорить о защите?
Безопасность госуслуг – для многих это ЭЦП и УЦ
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 32/70
- 29. Есть ли у вас лицензия на ТО СКЗИ?
А нужна ли?
Представители 8-го Центра ФСБ заявляют о ненужности
лицензии для собственных нужд
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 34/70
- 30. Есть ли у вас лицензия на ТО СКЗИ?
Что такое ТО?
К деятельности по техническому
обслуживанию шифровальных
(криптографических) средств не
относится эксплуатация СКЗИ в
соответствии с требованиями
эксплуатационной и технической
документации, входящей в комплект
поставки СКЗИ
Не относится к лицензируемой
деятельности
Передача СКЗИ клиентам и «дочкам»
Генерация и передача сгенерированных
ключей
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 35/70
- 31. Риск лицензирования в ФСБ
Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г.
Москва «О порядке осуществления иностранных
инвестиций в хозяйственные общества, имеющие
стратегическое значение для обеспечения обороны
страны и безопасности государства»
В целях обеспечения обороны страны и безопасности
государства настоящим Федеральным законом
устанавливаются изъятия ограничительного характера для
иностранных инвесторов и для группы лиц, в которую входит
иностранный инвестор, при их участии в уставных капиталах
хозяйственных обществ, имеющих стратегическое значение
для обеспечения обороны страны и без опасности
государства, и (или) совершении ими сделок, влекущих за
собой установление контроля над указанными
хозяйственными обществами
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 36/70
- 32. Риск лицензирования в ФСБ (окончание)
Хозяйственное общество, имеющее стратегическое
значение для обеспечения обороны страны и
безопасности государства, - предприятие созданное
на территории Российской Федерации и
осуществляющее хотя бы один из видов
деятельности, имеющих стратегическое значение для
обеспечения обороны страны и безопасности
государства и указанных в статье 6 настоящего
Федерального закона
пп.11-14 – 4 вида лицензирования деятельности в области
шифрования
Наличие всего лишь одного маршрутизатора с IPSec требует от
вас лицензии на ТО СКЗИ
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 37/70
- 33. Одна точка зрения ФСТЭК
Лицензия на ТЗКИ нужна
юридическим лицам,
осуществляющим
предпринимательскую
деятельность, связанную с
технической защитой
конфиденциальной
информацией
Примечание: в новом законопроекте
по 149-ФЗ термин
«конфиденциальная информация»
меняется на «информации, в
отношении которой установлено
требование об обеспечении ее
Security Training
конфиденциальности»
© 2008 Cisco Systems, Inc. All rights reserved. 38/70
- 34. Другая точка зрения ФСТЭК
Вопрос про лицензию на
ТЗКИ для собственных
нужд
Согласно ст.49 ГК РФ
отдельными видами
деятельности можно
заниматься только на
основании лицензии
В соответствие с ФЗ-128 на
ТЗКИ нужна лицензия
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 39/70
- 35. Нужна ли лицензия ФСТЭК банкам?
В настоящем стандарте требование получения
лицензии на деятельность по технической защите
конфиденциальной информации (информации
ограниченного доступа) при проведении мероприятий
по обеспечению безопасности в специальных ИСПДн
для собственных нужд организаций БС РФ, а также
требование проведения аттестации специальных
ИСПДн не устанавливаются
Раздел 9.6 СТО БР ИББС-1.0
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 40/70
- 36. Что нас ждет?
19 июля в ходе заседания Президиума Правительства
Российской Федерации был рассмотрен проект закона
о лицензировании, который серьѐзно упрощает
процедуру получения лицензий, повышает их
прозрачность и существенно снижает число
лицензируемых видов деятельности
Тематика связанная с лицензированием деятельности
по защите информации и криптографии осталась ;-(
Эти виды деятельности были укрупнены в два направления -
криптографическая деятельность и защита от
несанкционированного доступа к информации
Эти виды деятельности должны будут регулироваться
отдельными новыми Постановлениями Правительства
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 41/70
- 38. О сертификации средств защиты
Методами и способами защиты информации от
несанкционированного доступа
являются…использование средств защиты
информации, прошедших в установленном порядке
процедуру оценки соответствия
Приказ 58 ФСТЭК
Оценка соответствия регулируется ФЗ-184 «О
техническом регулировании»
ФСБ требует использования только
сертифицированных СКЗИ
Если сфера использования не попадает в исключения
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 43/70
- 39. Оценка соответствия
Оценка соответствия - прямое или косвенное
определение соблюдения требований,
предъявляемых к объекту
ст. 2 ФЗ-184 «О техническом регулировании»
Особенности оценки соответствия продукции (работ,
услуг) и объектов, а также соответственно процессов
их проектирования (включая изыскания),
производства, строительства, монтажа, наладки,
эксплуатации, хранения, перевозки, реализации,
утилизации, захоронения устанавливаются
Правительством Российской Федерации
ст.5 ФЗ-184 «О техническом регулировании»
Не ФСТЭК определяет требования, а Правительство
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 44/70
- 40. Об обязательной сертификации СЗИ
Согласно ПП-608 обязательная сертификация средств
защиты предусматривается только для защиты
гостайны
В остальных случаях сертификация является добровольной
Согласно ПП-1013 средства защиты не входят в
перечень товаров, подлежащих обязательной
сертификации
1 декабря 2009 было принято новое ПП-982 «Об утверждении
единого перечня продукции, подлежащей обязательной
сертификации, и единого перечня продукции, подтверждение
соответствия которой осуществляется в форме принятия
декларации о соответствии»
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 45/70
- 41. Постановление Правительства №982
С 1-го декабря 2009 года существует единый
перечень всех товаров, которые подлежат
обязательной сертификации...
Исключая продукцию, требования к которой устанавливаются в
соответствии со статьей 5 Федерального Закона «О
техническом регулировании»
Иными словами обязательная сертификация средств
защиты может быть определена отдельными
нормативными актами…
Особенности технического регулирования в части разработки и
установления обязательных требований ... устанавливаются
Президентом Российской Федерации, Правительством
Российской Федерации в соответствии с их полномочиями
(ФЗ-184 «О техническом регулировании»)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 46/70
- 42. Гром с ясного неба!!!
ПП-330 от 15 мая 2010 г. «Об особенностях оценки
соответствия продукции (работ, услуг), используемой
в целях защиты сведений, относимых к охраняемой в
соответствии с законодательством РФ информации
ограниченного доступа, не содержащей сведения,
составляющие государственную тайну, а также
процессов ее проектирования (включая изыскании),
производства, строительства, монтажа, наладки,
эксплуатации, хранения, перевозки, реализации,
утилизации и захоронения, об особенностях
аккредитации органов по сертификации и
испытательных лабораторий (центров), выполняющих
работы по подтверждению соответствия указанной
продукции (работ, услуг)»
ДСП
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 47/70
- 43. Надо ли выполнять ПП-330?
Указанные нормативные правовые акты подлежат
официальному опубликованию, за исключением
нормативных правовых актов или отдельных
положений таких нормативных правовых актов,
содержащих сведения, доступ к которым ограничен
федеральными законами
Ст.4.2 ФЗ-152
Аналогичные требования заложены в ПП-1009 и ФЗ-
294
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 48/70
- 44. Интеграция в
мировое
сообщество
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 49/70
- 45. Все может поменяться
Изменения в ФЗ-184 «О техническом регулировании»
и вступление России в ВТО подстегнули процесс
признания международных стандартов и
нормативных требований
Законопроектом предусматриваются законодательное
закрепление возможности признания и заимствования
лучших мировых стандартов в целях их применения в
Российской Федерации
Также предполагается введение двух применяемых по выбору
заявителя режимов технического регулирования, один из
которых основан на требованиях российских стандартов,
другой - на требованиях иностранных технических
регламентов (директив) и стандартов
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 50/70
- 46. Но все может поменяться (продолжение)
ПП-455 от 17.06.2010 внесено изменение в ПП-163 от
24.02.2009 «Об аккредитации органов по
сертификации и испытательных лабораторий,
выполняющих работы по подтверждению
соответствия»
Наличие официально изданных действующих нормативных
правовых актов, документов в области стандартизации,
принятых на основе международных норм, устанавливающих
требования к объектам подтверждения соответствия
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 51/70
- 47. Но все может поменяться (окончание)
4 мая Президент направил в ГосДуму законопроект
№ 368896-5 «О ратификации Соглашения о
взаимном признании аккредитации органов по
сертификации (оценке (подтверждению)
соответствия) и испытательных лабораторий
(центров), выполняющих работы по оценке
(подтверждению) соответствия»
Стороны взаимно признают аккредитацию органов по
сертификации (оценке (подтверждению) соответствия) и
испытательных лабораторий (центров), выполняющих
работы по оценке (подтверждению) соответствия, в
национальных системах аккредитации государств сторон
Сторонами являются страны ЕвразЭС - Россия, Казахстан,
Беларусь, Киргизия, Таджикистан, Узбекистан
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 52/70
- 48. Россия и ВТО: история отношений
В 2007/8-м году Россия
отказалась входить в ВТО
самостоятельно
Создание Единого
таможенного союза (Россия,
Казахстан, Белоруссия) и
намерение вступать в ВТО в
составе союза
Договоренность Медведева
и Обамы о вступлении
России в ВТО в середине
осени И.Айвазовский. Хаос. Сотворение мира
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 53/70
- 49. С чем согласилась Россия
Отсутствие дискриминации и прозрачность всех
процедур, связанных с импортом криптографии
Соблюдение Вассенаарского соглашения
То что должно ввозиться свободно по Вассенаару, не должно
ограничиваться при импорте в Россию (например, защита
интеллектуальной собственности в DVD и т.п., мобильные
телефоны и т.д.)
Категория 5, часть 2, список товаров двойного применения
Вся импортируемая криптография делится на 2 части
Ввозимая по уведомлению
Ввозимая после получения лицензии на импорт
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 54/70
- 50. Изменение роли
регуляторов
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 55/70
- 51. Государственный контроль и надзор
Любая проверка со стороны регулятора должна
проводиться в строгом соответствии с ФЗ от
26.12.2008 №294 «О защите прав юридических лиц и
индивидуальных предпринимателей при проведении
государственного и муниципального контроля
(надзора)»
Если другие нормативные акты не сужают область действия
надзорного органа
Данный ФЗ – единственный, определяющий
полномочия надзорных органов
В области ИБ могут быть другие (только уровня ФЗ), но пока их
нет
Принятие административных регламентов
регуляторов
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 56/70
- 52. Генпрокуратора – новый регулятор
Генпрокуратура – новый регулятор на рынке
безопасности
Порядок согласования с органом прокуратуры проведения
проверок установлен приказом Генерального прокурора
Российской Федерации от 27 марта 2009 г. № 93
Все плановые и внеплановые проверки должны быть
согласованы с Генпрокуратурой
Плановые – до 31 декабря года, предшествующего
Внеплановые – за 3 суток до проверки
Прокуратура отклонила 50% всех заявок на проверки
Сегодня в списке проверок есть только Роскомнадзор
ФСТЭК и ФСБ не любит упоминаний Генпрокуратуры
Потребители не хотят оспаривать незаконные проверки
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 57/70
- 53. Саморегулируемые организации
Саморегулируемые организации (СРО) – тенденция
2011-го и последующих годов
Позволяет устанавливать собственные правила по
добровольной оценке соответствия
Сегодня существуют планы по созданию СРО в
различных отраслях
Финансы
Энергетика
Операторы связи
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 58/70
- 54. Об образовании в
области ИБ
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 59/70
- 55. Деятельность Минкомсвязи
Минкомсвязь заказал АП КИТ профессиональный
стандарт по профессии «Специалист по
информационной безопасности»
Данный профессиональный стандарт будет отражать
современные квалификационные требования работодателей и
использоваться для целей подготовки рабочих кадров и
специалистов, оценки (сертификации), составления
должностных инструкций, тарификации и пр.
Стандарт нужен для
Оценки квалификации и сертификации сотрудников
Формирования госстандартов профессионального образования
Управления персоналом
Стандартизации и унификации требований к содержанию и
качеству профессиональной деятельности
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 60/70
- 56. Квалификационные уровни
Национальная квалификация описывает 7 уровней
В области ИБ квалификация начинается с 3-го уровня
Наименование
Уровень Краткое описание работ
должности
3-й Участие в работах. Проведение Техник по ЗИ
проверок. Наладка и регулировка.
4-й Сопровождение. Выполнение Специалист по ЗИ
сложных работ. Анализ
потребностей
5-й Управление работами по Инженер по ЗИ
проектированию и внедрению
СЗИ. Подбор литературы
6-й Работа в команде. Разработка Начальник отдела ЗИ
оргмер. Руководство. Организация
аттестаций, спецпроверок.
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 61/70
- 57. Квалификационные уровни
Национальная квалификация описывает 7 уровней
В области ИБ квалификация начинается с 3-го уровня
Наименование
Уровень Краткое описание работ
должности
7-й Работа в команде. Руководство Главный специалист
работами по ЗИ. Создание по ЗИ
технологий ИБ. Контроль. Оценка
эффективности.
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 62/70
- 58. Деятельность Минобрнауки
Рособразование со следующей осени внедряет
государственные образовательные стандарты
третьего поколения
Реформа Рособразования мешает процессу
В области ИБ вопросы создания стандартов курирует
УМО вузов РФ по образованию в области ИБ
(организатор ИКСИ)
Образование по ИБ организуется на трех уровнях
Высшее профессиональное образование (ВПО) – университеты
и институты
Среднее профессиональное образование (СПО) – колледжи и
лицеи
Начальное профессиональное образование (НПО) – училища и
техникумы (только один прецедент в России)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 63/70
- 59. Направления образования
2 направления обучения в рамках ВПО
Специалист – 5,5 лет
Бакалавриат / магистратура – 3 / 5 лет
Программы (стандарты) образования
Информационная безопасность телекоммуникационных систем
Информационная безопасность автоматизированных систем
Организация и технология защиты информации
Информационно-аналитические системы безопасности
Компьютерная безопасность
Криптография
Противодействие действиям иностранных технических разведок
В каждой программе существуют свои специализации
Grid, АСУ ТП, транспорт, мобильные технологии…
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 64/70
- 60. Особенности подготовки стандартов
По задумке ФГОС рассчитывается на 10-15 лет
Бизнес практически не участвует в подготовке
требований
Стандарты формируют ВУЗы
В стандарт попало только то, что ВУЗы готовы преподавать
сейчас
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 65/70
- 62. Что еще?
ПП-266 от 21 апреля 2010 г. «Об особенностях
оценки соответствия продукции (работ, услуг),
используемой в целях защиты сведений,
составляющих государственную тайну или относимых
к охраняемой в соответствии с законодательством РФ
иной информации ограниченного доступа, и
продукции (работ, услуг), сведения о которой
составляют государственную тайну, предназначенной
для эксплуатации в загранучреждениях Российской
Федерации … об особенностях аккредитации органов
по сертификации и испытательных лабораторий
(центров), выполняющих работы по подтверждению
соответствия указанной продукции (работ, услуг), и о
внесении изменения в Положение о сертификации
средств защиты информации»
Основной регулятор – Служба внешней разведки (СВР)
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 67/70
- 63. Другие изменения
Два законопроекта о регулировании Интернет
Изменение трехглавого ФЗ-149
И еще 41 федеральный закон
Изменение ФЗ-57 (для банков)
Изменение ФЗ-2446-1 «О безопасности»
Новые РД ФСТЭК
Законопроект «Об электронной подписи»
Законопроект «О служебной тайне»
Регулирование систем связи, используемых для нужд
обороны и безопасности страны, поддержания
правопорядка
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 68/70
- 64. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 69/70