SlideShare a Scribd company logo

Весь магнитогорск за 15 минут

Aleksey Lukatskiy
Aleksey Lukatskiy
News & Politics
1 of 18
Download to read offline
5 дней Уральского форума за 15 минут! Лукацкий Алексей, консультант по безопасности
Новости ФСТЭК •  Готовятся 2 национальных стандарта по ИБ виртуализации и облачных вычислений –  Принятие - май 2014 •  Готовится приказ с требованиями к АСУ ТП КВО –  Принятие – март-апрель 2014 –  Законопроект по критически важным объектам планируется внести в Госдуму в апреле 2014 –  К КВО могут (по предварительному проекту) относиться организации, финансовый ущерб которым превышает 1 миллион рублей –  Многие системно значимые банки (и не только) могут попасть под раздачу
Новости ФСТЭК •  19 февраля на сайте ФСТЭК выложен методический документ, раскрывающий смысл 21/17-го приказов по защите ПДн и ГИС –  754 предложений и замечаний. Принято 500 •  «Приказ трех» по классификации ИСПДн отменен на прошлой неделе •  Вскорости планируется реализация ФСТЭК и ФСБ надзорных функций в рамках ПП-584 по защите платежных систем •  Готовится методика определения актуальных угроз •  Планируется разработка РД с требованиями к средствам защиты виртуализации
Новости ФСБ •  В конце февраля проект приказа по защите ПДн будет опубликован –  Из 120 предложений по проекту приказа ФСБ по ПДн принята только шестая часть •  Обязательная сертификация СКЗИ для ПДн остается и меняться не будет –  Вопрос применения СКЗИ для банкоматов, АБС, межфилиальном взаимодействии остается открытым •  Актуальность типа угроз определяется оператором ПДн •  8-й Центр не видит смысла в разработке методички по моделированию угроз при наличии лицензиатов, которые могут это сделать –  ФСТЭК такую методичку уже сделала •  Изменение подхода к сертификации СКЗИ
Новости РКН / персданные •  В 2014-м году будет пересмотрен перечень "адекватных" стран по линии ПДн –  Актуально для трансграничных денежных переводов и представительств иностранных банков •  Готовящиеся законопроекты –  –  –  –  по штрафам за несоблюдение отдельных требований ФЗ-152 по изменению ФЗ-152 по ответственности за неуведомление об утечке по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн
Новости Банка России •  Развитие ИБ в финансовой отрасли Банк России видит за счет тематик ПДн и банковской тайны, банковского CERT, ИБ виртуализации и облаков •  ЦБ планирует расширить действие СТО на все отрасли, которые попали под ЦБ после слияния с ФСФР •  Постепенном идет сдвиг в сторону реального управления рисками –  Обязательные требования по ИБ могут исчезнуть (исключая базовый минимум) и банки будут сами выбирать меры защиты (как в 379-П и т.п.) •  Новая версия СТО 1.0 гармонизирована с 382-П, ПП-1119, ФЗ-261 и 21-м приказом ФСТЭК •  Предположительно с 01.05.14 новые версии СТО и РС будут введены в действие
Новости Банка России •  Уже есть планы по очередному витку развития СТО –  Расширение 7-го раздела –  Пересмотр 8-го раздела в связи с изменениями в ISO27К •  Новая версия СТО 1.2 гармонизирована с 382-П –  Полное соответствие по алгоритму, частным показателям и срокам оценки •  На ТК122 единогласно утверждены РС по менеджменту инцидентов и ИБ на этапах жизненного цикла АБС •  На ТК122 рассматриваются РС по ИБ виртуализации и ресурсному обеспечению ИБ •  ЦБ готовит РС по DLP-решениям и мониторингу информации в соцсетях –  На ТК122 вынесут в мае, а принятие планируется к концу года
Новости Банка России •  Планируемые изменения в 382-П - банкоматы/платежные терминалы, платежные карты, интернет и мобильный банкинг –  Требования к банкоматам сильно пересекаются с 34-Т –  Требования к Интернет-банкингу похожи на 146-Т –  Требования к мобильному банкингу похожи на предыдущий пункт + требования к распространению через репозитории –  С 1-го января 2015 года вводится обязательное использование карт EMV (пока совмещенных с магнитной полосой)
Новости Банка России •  258-ю форму отчетности планируется отменить и внести нужную информацию в 203-ю форму –  Сроки пока не определены •  Внутренняя инструкция по проведению проверок 382-П (157-Т) может быть будет сделана открытой •  Изменение частоты подачи отчетности по 203-й форме не планируется –  Но такая возможность рассматривается в перспективе •  Двойная нагрузка на банки по отправке отчетности в ЦБ и оператору платежной системы останется и отменять ее не будут •  Существующая частичная нестыковка требований 382-П и требований операторов платежных систем остается
Большое количество требований (без КВО)
Новости Банка России •  Подготовлены поправки в законодательство в части упрощенного возврата незаконно списанных средств –  Подготовленные в прошлом году рекомендации по возврату незаконно списанных средств натолкнулись на недостатки действующего законодательства •  Банки не имеют права возлагать на клиентов возмещение затрат на расследование мошенничества
Отчетность •  Отчетность по "письму шести" ввиду выхода 382-П не нужна –  Мнение 8-го Центра •  Отчетность ради отчетности не нужна. Нужна обратная связь от регулятора по коррекции поведения отчитывающихся –  Мнение ФСТЭК •  Основная задача отчетности – стимулирование повышения защищенности банков –  Мнение ФСТЭК и ФСБ •  Отчетность нужна для оценки факта отправки уведомления в РКН –  Мнение РКН •  Зачем нужно две отчетности (по СТО и 382-П)? –  А отчетность в банковский CERT будет отличаться от них или нет?
Банковский CERT •  Задача CERT (по крупному) - снижать число инцидентов. Для этого надо и причины надо знать, и реагировать, и для фрода правила писать •  У ЦБ уже есть предварительная финансовая оценка создания банковского CERT •  Банкам не хватает реагирования и нормальной аналитики. Если обсуждаемый CERT это решит, будет хорошо. Но нужно и законодательство править •  Идея поддержана ДНПС, ГУБиЗИ, АРБ
Правоприменительная практика •  По мнению ДНПС опасения по поводу 9-й статьи пока не сбылись и уже не сбудутся •  Проблемы с правоприменительной практикой остаются –  –  –  –  Блокирование средств (если только не в рамках 115-ФЗ) Возврат средств Обмен информацией о мошенниках Невысокая квалификация судей и следователей •  У Сбербанка интересный опыт применения различных статей УК РФ в части наказания мошенников и нарушителей
Саморегулируемая организация
За кадром •  Перевод PCI DSS 3.0 и PA DSS 3.0 на сайте PCI Council –  ru.pcisecuritystandards.org
Особенности выступлений: ничего не поменялось •  Непонимание потребностей целевой аудитории со стороны интеграторов и производителей •  Непонимание банковской специфики аудитории со стороны интеграторов и производителей •  Неумение выступать публично •  Выступление не на оговоренную ранее тему •  Незнание интеграторами и производителями СТО БР и 382-П и отсутствие хоть какой-нибудь привязки своих решений к банковским стандартам •  Голимая реклама
security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 18

Recommended

5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут
Cisco Russia
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Expolink
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Aleksey Lukatskiy
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Aleksey Lukatskiy
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
SelectedPresentations
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
Aleksey Lukatskiy
 
Обзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекомаОбзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекома
Aleksey Lukatskiy
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данных
Aleksey Lukatskiy
 

Recommended

5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут5 дней Уральского форума за 15 минут
5 дней Уральского форума за 15 минут
Cisco Russia
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Expolink
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Aleksey Lukatskiy
 
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...Уральский форум по информационной безопасности финансовых организаций за 15 м...
Уральский форум по информационной безопасности финансовых организаций за 15 м...
Aleksey Lukatskiy
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
SelectedPresentations
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
Aleksey Lukatskiy
 
Обзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекомаОбзор тенденций ИБ-регулирования для телекома
Обзор тенденций ИБ-регулирования для телекома
Aleksey Lukatskiy
 
Ключевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данныхКлючевые тенденции законодательства России по защите данных
Ключевые тенденции законодательства России по защите данных
Aleksey Lukatskiy
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
DialogueScience
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
RISClubSPb
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
Softline
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
Cisco Russia
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...
elenae00
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Ontico
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
Cisco Russia
 
пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?
Aleksey Lukatskiy
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
Категорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираКатегорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мира
Aleksey Lukatskiy
 
Текущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыТекущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктуры
Aleksey Lukatskiy
 
Презентация к вебинару «Новые требования по идентификации пользователей в инт...
Презентация к вебинару «Новые требования по идентификации пользователей в инт...Презентация к вебинару «Новые требования по идентификации пользователей в инт...
Презентация к вебинару «Новые требования по идентификации пользователей в инт...
Anna Sukhachyova
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
Aleksey Lukatskiy
 
Ключевые правовые аспекты регулирования обработки персональных данных на пред...
Ключевые правовые аспекты регулирования обработки персональных данных на пред...Ключевые правовые аспекты регулирования обработки персональных данных на пред...
Ключевые правовые аспекты регулирования обработки персональных данных на пред...
КРОК
 
Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 ...
Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 ...Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 ...
Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 ...
ArtemAgeev
 
Какими требованиями регулируется защита унитарных предприятий?
Какими требованиями регулируется защита унитарных предприятий?Какими требованиями регулируется защита унитарных предприятий?
Какими требованиями регулируется защита унитарных предприятий?
Aleksey Lukatskiy
 
Какие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данныхКакие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данных
Константин Бажин
 
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхИзменения в законе о защите персональных данных
Изменения в законе о защите персональных данных
Valery Bychkov
 
Как писать?
Как писать?Как писать?
Как писать?
Aleksey Lukatskiy
 
Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!
Aleksey Lukatskiy
 

More Related Content

What's hot

Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
DialogueScience
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
RISClubSPb
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
Softline
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Ontico
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
Cisco Russia
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?
Aleksey Lukatskiy
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 ...
Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 ...Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 ...
Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 ...
ArtemAgeev
 
Какие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данныхКакие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данных
Константин Бажин
 

What's hot (20)

Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
 
пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
Категорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мираКатегорирование критических инфраструктур в разных странах мира
Категорирование критических инфраструктур в разных странах мира
 
Текущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыТекущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктуры
 
Презентация к вебинару «Новые требования по идентификации пользователей в инт...
Презентация к вебинару «Новые требования по идентификации пользователей в инт...Презентация к вебинару «Новые требования по идентификации пользователей в инт...
Презентация к вебинару «Новые требования по идентификации пользователей в инт...
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
 
Ключевые правовые аспекты регулирования обработки персональных данных на пред...
Ключевые правовые аспекты регулирования обработки персональных данных на пред...Ключевые правовые аспекты регулирования обработки персональных данных на пред...
Ключевые правовые аспекты регулирования обработки персональных данных на пред...
 
Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 ...
Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 ...Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 ...
Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 ...
 
Какими требованиями регулируется защита унитарных предприятий?
Какими требованиями регулируется защита унитарных предприятий?Какими требованиями регулируется защита унитарных предприятий?
Какими требованиями регулируется защита унитарных предприятий?
 
Какие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данныхКакие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данных
 
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхИзменения в законе о защите персональных данных
Изменения в законе о защите персональных данных
 

Viewers also liked

Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!
Aleksey Lukatskiy
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security Misunderstanding
Aleksey Lukatskiy
 
Data Centric Security Strategy
Data Centric Security StrategyData Centric Security Strategy
Data Centric Security Strategy
Aleksey Lukatskiy
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
Aleksey Lukatskiy
 
Регулирование ИБ в России
Регулирование ИБ в РоссииРегулирование ИБ в России
Регулирование ИБ в России
Aleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Aleksey Lukatskiy
 
Future security regulations in Russia
Future security regulations in RussiaFuture security regulations in Russia
Future security regulations in Russia
Aleksey Lukatskiy
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in Russia
Aleksey Lukatskiy
 
Russian Finance Security Regulations
Russian Finance Security RegulationsRussian Finance Security Regulations
Russian Finance Security Regulations
Aleksey Lukatskiy
 
Защищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт CiscoЗащищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт Cisco
Aleksey Lukatskiy
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Aleksey Lukatskiy
 

Viewers also liked (20)

Как писать?
Как писать?Как писать?
Как писать?
 
Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security Misunderstanding
 
Data Centric Security Strategy
Data Centric Security StrategyData Centric Security Strategy
Data Centric Security Strategy
 
Security Metrics.pdf
Security Metrics.pdfSecurity Metrics.pdf
Security Metrics.pdf
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
 
Регулирование ИБ в России
Регулирование ИБ в РоссииРегулирование ИБ в России
Регулирование ИБ в России
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
 
Future security regulations in Russia
Future security regulations in RussiaFuture security regulations in Russia
Future security regulations in Russia
 
DLP for top managers
DLP for top managersDLP for top managers
DLP for top managers
 
Security punishment
Security punishmentSecurity punishment
Security punishment
 
News in FZ-152
News in FZ-152News in FZ-152
News in FZ-152
 
New security threats
New security threatsNew security threats
New security threats
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in Russia
 
Russian Finance Security Regulations
Russian Finance Security RegulationsRussian Finance Security Regulations
Russian Finance Security Regulations
 
Защищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт CiscoЗащищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт Cisco
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
 
Information Security Trends
Information Security TrendsInformation Security Trends
Information Security Trends
 

Similar to Весь магнитогорск за 15 минут

CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
Expolink
 
Security regulations public
Security regulations publicSecurity regulations public
Security regulations public
Expolink
 
А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...
А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...
А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...
Ekaterina Morozova
 
Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...
Positive Hack Days
 
Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"
Aleksey Lukatskiy
 

Similar to Весь магнитогорск за 15 минут (20)

Законодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системыЗаконодательство РФ в области Национальной платежной системы
Законодательство РФ в области Национальной платежной системы
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Планируемые изменения законодательства по ИБ в России
Планируемые изменения законодательства по ИБ в РоссииПланируемые изменения законодательства по ИБ в России
Планируемые изменения законодательства по ИБ в России
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденции
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
 
Данные еще за границей. Что делать?
Данные еще за границей. Что делать? Данные еще за границей. Что делать?
Данные еще за границей. Что делать?
 
Предпосылки использования аутсорсинга и практика оказания услуг подразделения...
Предпосылки использования аутсорсинга и практика оказания услуг подразделения...Предпосылки использования аутсорсинга и практика оказания услуг подразделения...
Предпосылки использования аутсорсинга и практика оказания услуг подразделения...
 
Последние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным даннымПоследние изменения в законодательстве по персональным данным
Последние изменения в законодательстве по персональным данным
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
 
Security regulations public
Security regulations publicSecurity regulations public
Security regulations public
 
А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...
А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...
А.О.Федорец - Подключение к СМЭВ кредитных организаций. Итоги реализации прое...
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
 
Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...Как выборы Президента России влияют на рынок информационной безопасности и...
Как выборы Президента России влияют на рынок информационной безопасности и...
 
Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"Программа курса "Защита информации в НПС"
Программа курса "Защита информации в НПС"
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
 
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБТенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБ
 
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
Алексей Лукацкий (Cisco) - Тенденции законодательства по ИБ для финансовой от...
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
 

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Весь магнитогорск за 15 минут

  • 1. 5 дней Уральского форума за 15 минут! Лукацкий Алексей, консультант по безопасности
  • 2. Новости ФСТЭК •  Готовятся 2 национальных стандарта по ИБ виртуализации и облачных вычислений –  Принятие - май 2014 •  Готовится приказ с требованиями к АСУ ТП КВО –  Принятие – март-апрель 2014 –  Законопроект по критически важным объектам планируется внести в Госдуму в апреле 2014 –  К КВО могут (по предварительному проекту) относиться организации, финансовый ущерб которым превышает 1 миллион рублей –  Многие системно значимые банки (и не только) могут попасть под раздачу
  • 3. Новости ФСТЭК •  19 февраля на сайте ФСТЭК выложен методический документ, раскрывающий смысл 21/17-го приказов по защите ПДн и ГИС –  754 предложений и замечаний. Принято 500 •  «Приказ трех» по классификации ИСПДн отменен на прошлой неделе •  Вскорости планируется реализация ФСТЭК и ФСБ надзорных функций в рамках ПП-584 по защите платежных систем •  Готовится методика определения актуальных угроз •  Планируется разработка РД с требованиями к средствам защиты виртуализации
  • 4. Новости ФСБ •  В конце февраля проект приказа по защите ПДн будет опубликован –  Из 120 предложений по проекту приказа ФСБ по ПДн принята только шестая часть •  Обязательная сертификация СКЗИ для ПДн остается и меняться не будет –  Вопрос применения СКЗИ для банкоматов, АБС, межфилиальном взаимодействии остается открытым •  Актуальность типа угроз определяется оператором ПДн •  8-й Центр не видит смысла в разработке методички по моделированию угроз при наличии лицензиатов, которые могут это сделать –  ФСТЭК такую методичку уже сделала •  Изменение подхода к сертификации СКЗИ
  • 5. Новости РКН / персданные •  В 2014-м году будет пересмотрен перечень "адекватных" стран по линии ПДн –  Актуально для трансграничных денежных переводов и представительств иностранных банков •  Готовящиеся законопроекты –  –  –  –  по штрафам за несоблюдение отдельных требований ФЗ-152 по изменению ФЗ-152 по ответственности за неуведомление об утечке по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн
  • 6. Новости Банка России •  Развитие ИБ в финансовой отрасли Банк России видит за счет тематик ПДн и банковской тайны, банковского CERT, ИБ виртуализации и облаков •  ЦБ планирует расширить действие СТО на все отрасли, которые попали под ЦБ после слияния с ФСФР •  Постепенном идет сдвиг в сторону реального управления рисками –  Обязательные требования по ИБ могут исчезнуть (исключая базовый минимум) и банки будут сами выбирать меры защиты (как в 379-П и т.п.) •  Новая версия СТО 1.0 гармонизирована с 382-П, ПП-1119, ФЗ-261 и 21-м приказом ФСТЭК •  Предположительно с 01.05.14 новые версии СТО и РС будут введены в действие
  • 7. Новости Банка России •  Уже есть планы по очередному витку развития СТО –  Расширение 7-го раздела –  Пересмотр 8-го раздела в связи с изменениями в ISO27К •  Новая версия СТО 1.2 гармонизирована с 382-П –  Полное соответствие по алгоритму, частным показателям и срокам оценки •  На ТК122 единогласно утверждены РС по менеджменту инцидентов и ИБ на этапах жизненного цикла АБС •  На ТК122 рассматриваются РС по ИБ виртуализации и ресурсному обеспечению ИБ •  ЦБ готовит РС по DLP-решениям и мониторингу информации в соцсетях –  На ТК122 вынесут в мае, а принятие планируется к концу года
  • 8. Новости Банка России •  Планируемые изменения в 382-П - банкоматы/платежные терминалы, платежные карты, интернет и мобильный банкинг –  Требования к банкоматам сильно пересекаются с 34-Т –  Требования к Интернет-банкингу похожи на 146-Т –  Требования к мобильному банкингу похожи на предыдущий пункт + требования к распространению через репозитории –  С 1-го января 2015 года вводится обязательное использование карт EMV (пока совмещенных с магнитной полосой)
  • 9. Новости Банка России •  258-ю форму отчетности планируется отменить и внести нужную информацию в 203-ю форму –  Сроки пока не определены •  Внутренняя инструкция по проведению проверок 382-П (157-Т) может быть будет сделана открытой •  Изменение частоты подачи отчетности по 203-й форме не планируется –  Но такая возможность рассматривается в перспективе •  Двойная нагрузка на банки по отправке отчетности в ЦБ и оператору платежной системы останется и отменять ее не будут •  Существующая частичная нестыковка требований 382-П и требований операторов платежных систем остается
  • 11. Новости Банка России •  Подготовлены поправки в законодательство в части упрощенного возврата незаконно списанных средств –  Подготовленные в прошлом году рекомендации по возврату незаконно списанных средств натолкнулись на недостатки действующего законодательства •  Банки не имеют права возлагать на клиентов возмещение затрат на расследование мошенничества
  • 12. Отчетность •  Отчетность по "письму шести" ввиду выхода 382-П не нужна –  Мнение 8-го Центра •  Отчетность ради отчетности не нужна. Нужна обратная связь от регулятора по коррекции поведения отчитывающихся –  Мнение ФСТЭК •  Основная задача отчетности – стимулирование повышения защищенности банков –  Мнение ФСТЭК и ФСБ •  Отчетность нужна для оценки факта отправки уведомления в РКН –  Мнение РКН •  Зачем нужно две отчетности (по СТО и 382-П)? –  А отчетность в банковский CERT будет отличаться от них или нет?
  • 13. Банковский CERT •  Задача CERT (по крупному) - снижать число инцидентов. Для этого надо и причины надо знать, и реагировать, и для фрода правила писать •  У ЦБ уже есть предварительная финансовая оценка создания банковского CERT •  Банкам не хватает реагирования и нормальной аналитики. Если обсуждаемый CERT это решит, будет хорошо. Но нужно и законодательство править •  Идея поддержана ДНПС, ГУБиЗИ, АРБ
  • 14. Правоприменительная практика •  По мнению ДНПС опасения по поводу 9-й статьи пока не сбылись и уже не сбудутся •  Проблемы с правоприменительной практикой остаются –  –  –  –  Блокирование средств (если только не в рамках 115-ФЗ) Возврат средств Обмен информацией о мошенниках Невысокая квалификация судей и следователей •  У Сбербанка интересный опыт применения различных статей УК РФ в части наказания мошенников и нарушителей
  • 16. За кадром •  Перевод PCI DSS 3.0 и PA DSS 3.0 на сайте PCI Council –  ru.pcisecuritystandards.org
  • 17. Особенности выступлений: ничего не поменялось •  Непонимание потребностей целевой аудитории со стороны интеграторов и производителей •  Непонимание банковской специфики аудитории со стороны интеграторов и производителей •  Неумение выступать публично •  Выступление не на оговоренную ранее тему •  Незнание интеграторами и производителями СТО БР и 382-П и отсутствие хоть какой-нибудь привязки своих решений к банковским стандартам •  Голимая реклама
  • 18. security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 18