Обзор последних законодательных инициатив в области информационной безопасности Лукацкий Алексей, консультант по безопасности
Обзор последних законодательных инициатив в области
информационной безопасности
Лукацкий Алексей, консультант по безопасности
Куда движется законодательство?
ИБ Персональные данные
Критические инфраструктуры
Национальная платежная система
Государственные ИС
Субъекты Интернет-отношений
Облачные технологии
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Недавние и планируемые изменения по направлению ПДн
• Приказ ФСТЭК №21 по защите ПДн и ИСПДн • Приказ об отмене «приказа трех» по классификации ИСПДн • Приказ и методичка РКН по обезличиванию • Проект приказа ФСБ по использованию СКЗИ для защиты ПДн • Законопроект Совета Федерации по внесению изменений в ФЗ-152
• Законопроект по внесению изменений в КоАП • Законопроекты РКН по внесению изменений в КоАП, ФЗ-152 и ФЗ-294
• Новая версия стандарта Банка России (СТО БР ИББС) • Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн
• Изменение списка «адекватных» стран
Законопроект по штрафам
• В новом законопроекте меняется текст статьи 13.11, которая устанавливает два состава правонарушений – Нарушение требований к письменному согласию субъекта – Обработка ПДн без согласия или иных законных оснований
• Также вводится еще 3 новых статьи: – 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K) – 13.11.2 - непредоставление оператором информации и (или) доступа к сведениям, предусмотренным законодательством о ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в отношении обработки ПДн (<=40K)
– 13.11.3 - несоблюдение требований по обеспечению безопасности ПДн (<=200K)
Законопроект РГ Совета Федерации
• Вводится понятия «обработчика» • Защита ПДн в составе профессиональной тайны
– В соответствие с требованиями по защите тайны • Условия обработки ПДн обработчиком
– Наличие договора = согласие • Новые условия необеспечения конфиденциальности ПДн • Электронная, в т.ч. дистанционная форма согласия на обработку ПДн
• Биометрические ПДн – Только при автоматической идентификации субъекта
• Трансграничная обработка ПДн – Также при наличии договора – Не распространять требование за пределами РФ
Законопроект РГ Совета Федерации
• Государственные и муниципальные организации заменяются на организации, обрабатывающие ПДн в целях оказания государственных и муниципальных услуг
• Защита ПДн – Гармонизация формулировок
• Уведомление РКН – Гармонизация формулировок
• Возможность самостоятельной разработки модели угроз – До принятия соответствующих актов ФОИВами
Законопроект о внеплановых проверках
• Законопроект «О внесении изменения в статью 10 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
• Поступление в органы государственного контроля (надзора) обращений и заявлений граждан, в том числе индивидуальных предпринимателей, юридических лиц, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах: – г) нарушение прав субъектов персональных данных (в случае обращения граждан, права которых нарушены)
Законопроект о новых нарушениях
• Новая статья КоАП 14.8.1 «Отказ продавца (исполнителя) в предоставлении товара (работы, услуги) при отсутствии согласия субъекта персональных данных на обработку персональных данных» – До 10 тысяч рублей
• Новый пункт в статье 19.7 «Непредставление или несвоевременное представление в уполномоченный государственный орган сведений (информации) о допущенном незаконном распространении сведений о частной и личной жизни (персональные данные) лица (неопределенного круга лиц), а равно представление в уполномоченный государственный орган таких сведений (информации) в неполном объеме или в искаженном виде» – До 50 тысяч рублей
Законопроект об отдельном регулировании надзора за ПДн
• Особенности организации и проведения проверок в части, касающейся вида, предмета, оснований проведения проверок, сроков и периодичности их проведения, уведомлений о проведении внеплановых выездных проверок и согласования проведения внеплановых выездных проверок с органами прокуратуры, могут устанавливаться другими федеральными законами при осуществлении следующих видов государственного контроля (надзора): – государственный контроль (надзор) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных
Законопроект с новыми определениями в ФЗ-152
• Согласие субъекта персональных данных – волеизъявление субъекта персональных данных, оформленное в письменной форме или подписанное электронной цифровой подписью, а равно действия субъекта персональных данных, выражающие волю и согласие на обработку его персональных данных
• Минимальный перечень персональных данных – допустимая совокупность персональных данных, обрабатываемая оператором в соответствии с целями деятельности – Минимальный перечень персональных данных включает в себя: фамилию, имя, отчество, год, месяц и дату рождения, адрес места жительства (регистрации) или места пребывания, реквизиты документа, удостоверяющего личность субъекта персональных данных, идентификационный номер налогоплательщика (ИНН), страховой номер индивидуального лицевого счёта (СНИЛС) субъекта персональных данных
Законопроект с новыми определениями в ФЗ-152
• В случае отказа субъекта персональных данных в предоставлении согласия на обработку персональных данных, когда данное согласие не предусмотрено федеральными законами для получения соответствующего товара (работы, услуги), оператор не вправе отказать субъекту персональных данных в предоставлении товара (работы, услуги), а равно не должен препятствовать доступу субъекта персональных данных к месту (местам) продажи товара (выполнения работы, оказания услуги)
Проект приказа ФСБ – «ацкий ад»
• Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн
• Существенно осложняет жизнь операторам ПДн
• Требует повсеместного использования только сертифицированной криптографии
Что еще планируется
• Письмо 42-Т Банка России по усилению контроля за деятельностью кредитных организаций в части обработки ПДн
• Изменения в ФЗ «О лицензировании отдельных видов деятельности» (рабочая группа экспертного совета Минкомсвязи) – В части определения лицензий на ТЗКИ и шифрования – Введение термина «собственные нужды» – Замена термина «конфиденциальная информация»
• Отраслевые модели угроз ПДн – Банка России (уже год ждет согласования с ФСБ) – для банков – Минкомсвязи – для операторов связи
КРИТИЧЕСКИ ВАЖНЫЕ ОБЪЕКТЫ
Недавние и планируемые изменения по направлению критически важных объектов
• Реализация Основных направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации
• Указ Президента №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ»
• Законопроект по безопасности критических информационных инфраструктур – Будет вноситься в ГД в апреле 2014
• Постановление Правительства №861 от 02.10.2013 • Приказ ФСТЭК по защите АСУ ТП
Данная тема будет одной из основных в 2014-м
ГОСУДАРСТВЕННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ
Недавние и планируемые изменения по направлению ГИС
• Приказ ФСТЭК по защите информации в ГИС • Методический документ по мерам защиты информации в государственных информационных системах
• Порядок моделирования угроз безопасности информации в информационных системах
• Методические документы, регламентирующие – Порядок аттестации распределенных информационных систем – Порядок обновления программного обеспечения в аттестованных информационных системах
– Порядок выявления и устранения уязвимостей в информационных системах
– Порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации
У ФСТЭК большие планы по регулированию госорганов
ФСТЭК унифицирует требования по защите информации
Особенность Приказ по защите ПДн
Приказ по защите ГИС/МИС
Проект приказа по АСУ ТП
Требования по защите привязаны к
4 уровням защищенности ПДн
4 классам защищенности ГИС/МИС
3 классам защищенности АСУ ТП
Порядок в триаде КЦД КЦД ДЦК Возможность гибкого выбора защитных мер
Да Да Да
Проверка на отсутствие «закладок»
Требуется для угроз 1-2 типа (актуальность определяется заказчиком)
Требуется для 1-2 класса защищенности ГИС/МИС
Требуется только при выборе сертифицированных средств защиты
Но разница между требованиями ФСТЭК все-таки есть
Особенность Приказ по защите ПДн
Приказ по защите ГИС/МИС
Проект приказа по АСУ ТП
Оценка соответствия
В любой форме (нечеткость формулировки и непонятное ПП-330)
Только сертификация
В любой форме (в соответствии с ФЗ-184)
Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация
Обязательна Возможна, но не обязательна
Контроль и надзор
Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов)
ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)
ФСТЭК планирует установить новые требования к средствам защиты
• ФСТЭК (2013-2015) – Требования к средствам доверенной загрузки – Требования к средствам контроля съемных носителей – Требования к средствам контроля утечек информации (DLP) – Требования к средствам аутентификации – Требования к средствам разграничения доступа – Требования к средствам контроля целостности – Требования к средствам очистки памяти – Требования к средствам ограничения программной среды – Требования к средствам управления потоками информации
(МСЭ, однонаправленные МСЭ, коммутаторы…) – Требования к средствам защиты виртуализации – ГОСТы по защите виртуализации и облачных вычислений
НАЦИОНАЛЬНАЯ ПЛАТЕЖНАЯ СИСТЕМА
Планы Банка России
• Развитие ИБ в финансовой отрасли Банк России видит за счет тематик ПДн и банковской тайны, банковского CERT, ИБ виртуализации и облаков
• ЦБ планирует расширить действие СТО на все отрасли, которые попали под ЦБ после слияния с ФСФР
• Постепенном идет сдвиг в сторону реального управления рисками – Обязательные требования по ИБ могут исчезнуть (исключая базовый минимум) и банки будут сами выбирать меры защиты (как в 379-П и т.п.)
• Новая версия СТО 1.0 гармонизирована с 382-П, ПП-1119, ФЗ-261 и 21-м приказом ФСТЭК
• Предположительно с 01.05.14 новые версии СТО и РС будут введены в действие
Недавние и планируемые изменения по направлению НПС
• Изменения в 382-П (3007-У) – Новые требования по защите банкоматов/платежных терминалов, платежных карт, Интернет и мобильного банкинга
• Отчетность по инцидентам (3024-У) • Защита банкоматов и платежных терминалов (34-Т и др.) • Рекомендации по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети «Интернет» (146-Т)
• Требования по борьбе с вредоносным кодом (49-Т) • Изменение ст.9 ФЗ-161 • Обязательные нормативы управления операционными рисками • Национальная система фрод-мониторинга • Официальный перевод и признание PCI DSS и PA DSS 2.0 и 3.0
Планируемые изменения по направлению банковской тайны
• Новая редакция СТО БР ИББС 1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»
• Новая редакция СТО БР ИББС 1.2 «Методика оценки соответствия СТО БР ИББС 1.0»
• РС «Ресурсное обеспечение информационной безопасности» • РС «Требования по к обеспечению информационной безопасности на стадиях жизненного цикла банковских приложений»
• РС «Менеджмент инцидентов информационной безопасности» • РС по виртуализации • РС по системам контроля утечек информации и мониторинга социальных сетей
26
ОПЕРАТОРЫ СВЯЗИ
Недавние и планируемые изменения по направлению ССОП
• Закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам регулирования отношений при использовании информационно-телекоммуникационной сети Интернет» и ФЗ-139 «О защите детей от негативной информации»
• Постановление Правительства №611 от 15.04.2013 «Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи РФ»
• Иных требований по информационной безопасности на операторов связи пока не планируется
• Все изменения касаются контроля Интернет – Антипиратский закон, контроль социальных сетей, Единая система аутентификации (ЕСИА), запрет анонимайзеров, регулирование Интернет-компаний как организаторов распространения информации, регулирование облачных вычислений и т.п.
ЧТО ЕЩЕ
Что еще планируется?
• Законопроект о запрете использования чиновниками и госслужащими несертифицированных мобильных устройств – Фактически эти нормы уже установлены действующими НПА
• Законопроект о запрете размещения сайтов государственных органов за пределами Российской Федерации – Фактически эти нормы уже установлены действующими НПА
• Стратегия кибербезопасности РФ – Статус подвис в воздухе
• Новая статья в КоАП за препятствование доступу к сайтам в Интернет – Из антитеррористического законопроекта
• Законопроект по борьбе с SMS-спамом
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 31
Благодарю вас за внимание