Duration 31:41
16+
Play
Video

Почему ФСТЭК в 2020 снова становится ключевым законодателем нормативной моды в области ИБ

Duration 31:41
16+
Play
Video

Почему ФСТЭК в 2020 снова становится ключевым законодателем нормативной моды в области ИБ

Роман Жуков
Директор центра компетенций at Гарда Технологии
  • Video
  • Audio
  • Table of contents
  • Video
  • Audio
Код ИБ Онлайн 2020
January 29, 2020, Екатеринбург, Россия
Код ИБ Онлайн 2020
Video
Почему ФСТЭК в 2020 снова становится ключевым законодателем нормативной моды в области ИБ
Available
In cart
Free
Free
Free
Free
Free
Free
Add to favorites
14
I like 1
I dislike 0
Available
In cart
Free
Free
Free
Free
Free
Free
  • Description
  • Transcript
  • Discussion

мы сегодня поговорим о такой провокационный теме Я умышленно такое заголовок писал Почему в стык в двадцатом году снова становится законодателем моды в области информационной безопасности Почему так ну потому что смотрите Казалось бы стык Ну так не очень корректно говорить но я попробую чтобы коллеги меня правильно поняли Казалось бы что утратил былую Славу Дополните было гром обещаний с трибун различных мероприятий в том числе тобой форум 2019 об огромных планах СТК панорама творчеству по выпуску

ментов Однако на мой субъективный взгляд в 2019 мягко скажем удалось всё что задумывалось коллегами к выпуску Даже некоторые блогеры в шутку пишут что может быть вообще закрыто Да ну я так не считаю и попробую сегодня аргументировать почему Давайте небольшой экскурс что же происходило в 2019 Давайте с простого начнем возьмём тему критической информационной инфраструктуры я на дискотеке вы со мной Согласитесь что прошлый год в этом направлении больше правил ФСБ они так

Почему Потому что вышли долгожданные приказы по ФГОС до это 196 281 282 плюс коллеги из различных отраслей скажу так промышленности до которой являются субъектами политического информационной инфраструктурой делится своим опытом о том что началась установка средств в высотке на отдельных предприятий страны ФСБ общем вот такие наверное основные ключевые ключевой тонн в плане задавал всё-таки ФСБ в очередной раз напоминала всем что в общем-то до сих пор расшифровывается вопросы составления

перечня объектов процедура категорирования и так далее То есть такие скучные между тем вопросом реальной защиты многие организации так и не поступили греха таить и категорично то до сих пор на выполнение далеко не все есть такая интересная статистика качества озвучивал количество объектов кии больше 45000 которое очень синих карандашей которые занесены так или иначе подали сведения из них из текста уже категорированный порядка 70% значимых объектов на самом деле такой существенный показатель но он конечно будет ниже когда все соберутся может быть будет

там соотношение в районе 50 но тем не менее сейчас это так перед веках энергетика здравоохранения остальные Toyota Хуже всех это банке это банки Да так энергетика в Авангарде Давайте дальше что ещё было интересно в 2019 году и почему я считаю что в стык был меньше на повестке меньше снимался в фильме хорошо выступал темы по линия роскомнадзора частично Максим уже рассказал Да тут все Мы помним громкие громкие вещи которых вещей такого освещались но по типу того

что вздумал приняла законопроект об увеличении штрафа за отказ сохранение персональных сериал на с вами на серверах на территории РФ Да там в итоге штрафов это 80 млн 80 млн руб законов был опубликован проект постановления правительства согласно которому Телеком провайдер должны блокировать доступ к сайтам на которых персональных данных обрабатывать с нарушением закона незамедлительно да то есть это действительно такие глобальные новости pravo.ru уже упоминалось не буду повторяться Ну ещё одна тема по линии

роскомнадзора которая ну не сходила с передовица СМИ темы конечно суверенного интернета да И здесь тоже как-то фстэк оказался Не у дел потому что тему суверенного рунета полностью Отдали на утку даже больше под эгидой роскомнадзора создан так называемый Центр мониторинга и управления сетями связи которые кстати возглавил Бывший сотрудник ФСО да Что интересного я отметил вообще в теме суверенного рунета здесь Конечно можно целый день и даже больше но из-за такого самого

интересного что действительно скажется на бизнесе что скажется на гражданах на первых в целом законодательстве в части установления правил Обама учениях достаточно жестко вводят регулирование и интересный факт что такое может быть Мы первые на один из первых случаев когда тебе поручения обязуют проводить коммерческие компании которым относятся заметь цветок операторы связи такси формально собственники технологические сети связи. обмена трафика организатор распространения информации ори так называемая также иные компании имеющие так называемый

уникальный идентификатор совокупности средств связи но или проще говоря автономной сети такой достаточно серьёзный достаточно знаковые события когда действительно не только государства но только государственная структура и коммерческие структуры интересах там национальной безопасности обязуются проводить Кибер учение всячески в этом направлении работает совместно с роскомнадзором опять же из интересного что проходила по СМИ Да это первое учение по судебному интернету прошли в конце девятнадцатого года там по разным слухам были выявлены излишки

сотовых сетей через сигнальные протоколы сны диаметр количество так было успешно да то есть такая тоже хайповая тема про суверенный рунет которая но явно прошла СПК Хотя как когда это всё тело вращения когда-то система затевалось Я тоже состоял в различных рабочих группах там была история с привлечением регулятор снова в общем решили что что нет решили что нет что будет Роскомнадзор полностью всецело рулит этим а также определять угроза современному уже нету

грозят конечно же по согласованию с силовыми ведомствами ночи Не удается полностью на следующие темы следующее ты скидывал тему 19 году который тоже в общем-то затмили деятельности СТК это истории по линии Центрального банка Давай пройдемся понять что интересного мы видели с ним активно разрабатывалась практика по новой норматив Key Data вспомните в прошлом году вышли изменения по 382-п вышли положение 683 684 В общем вся эта нормативка в совокупности обязуется банки и для других финансовых организаций

применять ГОСТ 57580 580 и соответственно проходить по нему за оценку соответствия на самом деле это тема всё тоже очень активно обсуждался В том числе в рамках технического комитета по стандартизации по безопасности финансовых операций при Центробанке в которой тоже выхожу. 122 там в общем-то всегда высказывает весьма жесткую позицию по поводу обязанности банков и других финансовых организаций следовать нормативы которые вышли я говорил и позиции бы Она довольно жесткая Но даже возьмем пример у субъектом критической информационной инфраструктуры в прямом? должны

ломбарды проще мелкие финансовые организации формально включаться госсопка должны как мы с вами помним в общем-то стек интересует в основном значимые объекты критической информационной инфраструктуры А вот должны подключаться все такие вне зависимости от того присвоенной категории значимости или нет дальше Идём по тема Зима биометрической системой Она вроде как-то концу года под утихла но в начале 2019 Я прекрасно помню хоть широко опять Всё освещалась даже

была такая история может быть помнишь как Валентинка так называемая это 14 февраля вышла указания по инвентаризации Гросс электрической системе очень такая дата появления было? Как называлась валентинкой Кроме того поднимется б ещё одна хайповая тема девятнадцатом году было по обязательности проверки средств банка потом используется для перевода денежных средств обязанности проверки по 4 здесь хочется бы принёс формальный срок на 1 июля в романе дедлайнов которому он сейчас проверять свою школу за детьми в переводе денежных средств

на 1 июля 20 года но тем не менее то есть отсрочка на есть но это тоже такая в общем-то интересная тема на достаточно дискуссионная И здесь тоже в стык В общем участвовал практически не участвовал да Потому что когда в прямом спрашивают его же Центрального банка на того, что вот как нам проводить оценку на 4 или на сертификация или очень такие методики это фстэк ограничивался всегда общими какими-то цветами что приходите в испытательной лаборатории него подскажут как и как тоже вот эту тему потому

что сфера мотивируя тем что сфера регулирования банковской отрасли это Вотчина Центрального банка они его не СТК Ну и напоследок тему Центрального банка профиль защиты новая ДО который сейчас выпустил Центральный банк которые обязывает разрабатывать поддерживать эксплуатировать в формальной системы г б о собственной тоже в соответствии с недоверия ud4 а также предлагает безопасная разработка вообще весь цикл поддержки безопасного софта очень дисперсионный профиль защиты только официально очно поликлиника волна смотрелся два раза и

столько ещё купи было заочно сломан поэтому мне всё-таки он был принят опять же не очевидными снять вроде бы как не обязательно делать эту самооценку по профилю Защита системы ДБО в форме обязательная сертификация но процедура свободной проверки это безопасной разработки но на мой вкус она не сильно проще чем сертификация да то есть примерно как-то так здесь опять же ты каких-то у кого-то помощи финансовым организациям пока по крайней мере не случилось то есть слова стык или там так мы приходим второй части То есть

я рассказал о том что было в 19 году и почему я считаю что так не было сильно активный в инфополе году и как же на мой взгляд Так это с лихвой может нарастать 2020 Ну давайте опять по тему пройдёмся по конкретному Ну конечно же начнём с критической информационной инфраструктуры в начале года Да там буквально чуть меньше месяца назад встать на делал такого шума как бы отвечай на шутку заметку лукацкого возможности её закрытия словами не даже вот я конечно сейчас об изменениях в 239 приказ которые были опубликованы на

regulation.gov.ru которые предполагали очень полный отказ от использования иностранных технических средств на объектах критической информационной инфраструктуры подчеркивай речь обо всех средствах и по и независимо от того средства защиты это или нет В общем то опять же это такая хайповая тема что по всем центральным каналам показали уже эту тему убрали на на regulation.gov.ru интересно прямо сейчас новый доработанная по итогам общественное обсуждение проект изменения в приказ

239 можно открыть посмотреть там основные тезисы следующие про иностранцев вообще убрали всё да то есть помните Там кроме запрета на использование технических средств ещё был прямой запрет на удаленный доступ со стороны работников которые не сотрудники субъекты критической информационной инфраструктуры эти все темы убрали и писали следующее что в случае технически невозможно исключение удалённого доступа к такое вполне даже может быть до в реальной практике так вот случай

Если всё равно удаленный доступ нужен разработчикам например или каким-то другим подрядчиком то значимом объекте должны приниматься организационные и технические меры по обеспечению безопасности такого доступа то есть возможность удаленно подключаться её вернули вот ну это правильно это позитивная иначе можно некоторые производственников бизнес-процесса надо могли просто встать в следующий интересная штука которая в новом проекте приказа новом проекте изменений в приказ 1039 следующие средства защиты информации оценка которых нужно проводить в форме

испытаний или приемки должны соответствовать требованиям к функциям безопасности почему это важно Почему обращай внимания Ну как мы знаем 239 приказе предполагается проводить оценку соответствия в двух форматах либо это сертификат либо испытание и приемка так вот вот этой вот фразы и отсылкой к тому как должны проводиться испытания оформить съемки так усложнили на мой взгляд что в общем-то зачастую его будет дешевле и быстрее обратиться к соответствующим организациям кто

проводит сертификацию даче самому изобретать емкую испытания чтобы они ещё соответствует всем функциям безопасности это тяжело это на мой взгляд Следующая история это связано с безопасная разработка счастье большое внимание уделяет вопросам безопасной разработки на YouTube интересный момент 239 приказе Да вот сейчас в новой редакции есть требования к опасности прикладного программного обеспечения то есть не средства защиты просто софт который используется для функционирования объектов кии так вот к ним являются конкретные Требования по безопасности которые

включают достаточно широкий набор того что нужно сделать с этим с софтом и эти требования они точно не слабее чем требуется защита Вот в общем-то это конечно же усложнить применение иностранного софта в целом на объектах кии Ну и вообще ты меня не состав потому что всё она должна проходить оценку соответствия Это не просто это долго и дорого Подводя итог под темы Киев вот этим этими изменениями 239 приказ и планируемые изменения в другие приказы так или иначе относящихся

Какие конечно же так абсолютно я уверен что передаёт скажем так пальму климат в двадцатом году на себя да то здесь изменяются некоторой степени правила игры и это повлечет за собой новые споры новые ну новые проблемы для объектов критической информационной инфраструктуры следующая тема которая способна и уже скажу так возводят хайпа в 2020 году это планируемые изменения в КоАП Такие как вы знаете Коллегия изменения в КоАП не прошли по крайней мере на данном этапе получили отрицательный отзыв

минэко напомнил об этих изменениях в кратце на самом деле там два значимых пункта стоит предлагала внести в статью нарушение требований к созданию систем безопасности бла-бла-бла если такие действия не содержат уголовно наказуемого деяния предлагала наказывать за такое сумму до 100000руб самом деле общая формулировка она схожа Ростов армировкой который там общая было для персональных расход Когда ещё не разделили на разные составы административных правонарушений и

фактически русским означают следующие если у вас нет ваших действиях или действиях признаков уголовного деяния тогда мы вас Наказываем административно за что нужно всё вот ну и второе изменение которые не хотели внести в копыта добавить участок в собственности вести дела значит этим новым положением вклад которые не хотели внести Ну и Минэкономразвития собственно дал отрицательный отзыв на проект я тут выделил три ключевых вещи которые в нём в этом отделе

были Ну во-первых первое это Я уже сказал что нет никакого разделения в самой сути ответственности за то есть она как бы одинаковое по большому счёту для уголовной или административной непонятно зачем в административке Водитель тоже самое до во-вторых по бюджету, говорил что не потребует каких-то бюджетных вливаний Да если изменения в Кабуле одобрена но по факту минэк объективного спросил что прошло мало Времени ещё не Все успели выполнить требования Такие как ты вообще наказывать где напомнить что субъекты какие-то в том числе государственная организация

которая ещё не успели Китая себе выбить получить или освоить Вот и тем не менее нужны эти что это поэтому писать что такое наказание А как так вклад увеличивается с собой что-то печатная тетрадка но по меньшей мере не очень корректно Ну вот примерно так дальше буквально быстренько чтобы Вас долго не утомляясь есть Еще 5 минут Я пробегусь по остальным вещам который стоит планирует делать но в плане сертификации Да вообще тент на закручивание гаек отношение разработчиков и как разработчики софта это чувство на собственной шкуре очень сильно

стали спрашивать за процессы в том числе безопасной разработки проводить проверки и так далее это Я же так не молчу я дополнительным грузом на разработчиков и и усложнить процесс сертификации буду очевидно отзыва сертификатов и дальше Напомните СТК хайпанул тоже начале этого года с отзывом безапелляционно отзывам сертификатов на действующих сертификатов на Windows Server 2008 как бы закрываю глаза на то что ребята у Microsoft ещё год назад говорила о том что поддержка операционных систем заканчивается

в начале нового 20 года идут в стойку без предупреждения без каких-то информационных писем взяла и аннулировала найти операционки в общем-то такое себе поэтому Ну как бы мы живём здесь на минном поле и стык будет править балом И вот так конечно безусловно поднимут уровень уровень разговоров про то что стало главным скачать мод на максимум плюс мы встречаем Как вывести двойного трактовку со стороны ВТК своих действий тогда там записывайтесь сертификат на средство вроде как уже не поддерживается ли поддержка которых скоро

закончится Ну в общем такие вещи Мы тоже встречаем и поэтому риски для заказчика до для вас коллеги они тоже есть когда там неожиданно будут проблемы с сертификатами даже если производителя всё делают правильно вот такие диски реально сейчас есть что как бы ещё по сертификации планируется Так ну во-первых он разработки безопасного программного обеспечения планируется A6 гостов выпусти очень многое вообще за тему безопасное разработки в стек взялся прям очень

серьёзно Пару слов про модель угроз анонсировал действительно очищается модель угроз всё обещают обещают собственно говоря что нам говорить сегодня о первых вам говорит что мы в 2017 года посмотрели порядка порядка полутора тысяч модели угроз которые пришли так или согласование от разных органов мы набрались опыта увидели например что модель угроз подавляющему Что делается Для галочки Но это собственно новость собственно когда трава была зеленее чем сегодня Виталий Сергеевич лютиков ещё не была зам директора стек

Я на очередном форуме это было 5 лет назад или даже больше поднимал этот вопрос по поводу отвязки модель угроз от реальности от практики на что в общем-то получил ответ что такое может быть Вот сейчас признаёт это также признается модель угроз сделать без учёта действий нарушителей Хотя здесь бы я поспорил моя практика личное говорит у нас есть модель нарушителя ФСБ и коллеги очень часто применяют её когда там делают модели угроз нет связи мир который указана 17-21 31 239 с базы данных угроз Хотя

такую связь в блогах у коллег уже можно найти да вот как бы СТК заботился этим вот ожидается что в марте максимума реле наконец-то на модель угроз уже будет принято будет зарегистрировано в минюсте Ну Единственное что точно то что она сильно переработано по сравнению с тем проектам которые мы все с вами коллеги видели вы годичной давности там лучше будет сильно усложненная классификатор учёт модели нарушителя даже не заложен механизм какого-то какой-то работы с угрозами и

говорил что они будут разрабатывать или планирует разрабатывать средства автоматизации моделирования угроз над вообще бомба covid Это круто будет посмотрим что получится надеюсь что у коллег всё получится и в новой модели угроз или каким-то теме метод документами тоже обещают привязку к матрице метро так это действительно прорыв Чего уж тут скрывать обещают там также так масштабно 17 приказ ужесточение требований уже сейчас в семнадцатом приказе заложено сертифицированной амортизаторы будут введены обязательные уровня доверия

усиление требования к эксплуатации Но в общем здесь всегда говорил что мы наша основная цель это работа с сорванными и собственно забота о безопасности особенности организации поэтому номер 17 приказ они помогают в первую очередь тем не менее анонсирован также изменение основных приказов части приказов связано с этой критической информационной инфраструктуры это 31 235 239 туда также планируется добавить сертификат маршрутизаторы запрет на обработку как цитирую сейчас цифровой информации за пределы Российской Федерации ну

такие такого рода уточнение Ну и из остального что еще планируется так на 20 год и почему он как будет самым я уверена обсуждаемым регулятором в двадцатом это тоже Казалось бы по мелочи планируют выпустить метод рекомендации по аттестации тоже уже много лет Обещают всё пока это дифференцирование требований к различным средствам защиты информации да то есть никак сейчас есть например 17 21 239 привязка просто абстрактном информационная система дифференцировать с требованием основываясь на их

отношению к различным к различным видам объектов информатизации если можно так выразиться то есть отдельно для ARM отдельно для ЛВС отдельно актуальной для и ТКС отдельно там что в общем ты тоже хорошая практика если смотреть зарубежное фреймворки Турции сыр или места нарушают они там тоже дифференцированным Ну и обещает свиток усиления требования к выявлению инцидентов и реагирование на инциденты То есть давно уже с трибун говорится что мы будем жёстко следите наказывать за это реально инциденты контролировать чтобы вы

их выявляли грамотно закрывали большой ток в общем-то стек ещё раз Всегда говори ты говорил что основной профиль деятельности откосы но посмотрите 2020 год только начался а мы уже видим столько hyip вокруг инициатив стык которая обсуждается даже не профильных СМИ до центральных СМИ частности мы с коллегами обсуждали изменения СТ 209 приказ на канале РБК ТВ на рассчитана на широкую аудиторию это всё говорит о том что мы абсолютно на все сферы не только на голос сектор Но и на коммерческое направление причём во всех

сферах я уверен что в банках тоже свои слова скажет Ну и остальных сферах в том числе поэтому общем-то мой посыл такой что Благая воспринимать такое Ника Я защищу в обсуждение Давай в Скайпе вокруг в девятнадцатом году они их способностях с лихвой компенсируются 2020 что будем смотреть

Cackle comments for the website

Buy this talk

Access to the talk “Почему ФСТЭК в 2020 снова становится ключевым законодателем нормативной моды в области ИБ”
Available
In cart
Free
Free
Free
Free
Free
Free

Buy this video

Video

Access to the talk “Почему ФСТЭК в 2020 снова становится ключевым законодателем нормативной моды в области ИБ”
Available
In cart
Free
Free
Free
Free
Free
Free