Развитие системы законодательного обеспечения информационной безопасности на

уровнях
I Международная конференция по информационной безопасности «Инфофорум-Югра»

Ханты-Мансийск
июнь 2017

XV Совещании руководителей спецслужб государств-партнеров ФСБ РФ
Предоставление банкам инициативного права

передачи сведений, составляющих банковскую тайну в ПОО, субъектам ОРД, CERT, сообществу

Законодательство РФ в сфере обработки и обмена банковской тайной

Проект ФЗ №47571-7 «О безопасности критической информационной инфраструктуры»
Законопроект № 186266-7 "О внесении изменений в УК РФ в части усиления ответственности за хищение ДС с банковского счета..."

Уголовное и уголовно-процессуальное законодательство РФ

Ратификация Россией Конвенции (2001г) Совета Европы о кибербезопасности или продвижение альтернативной Конвенции по противодействию преступлениям в сфере ИКТ (*)

Стандартизация и гармонизация международных и национальных законодательных актов

Легализация обмена ПДн о кибер преступниках
Вывод из под регулирования «технологических» ПДн

Законодательство РФ в сфере обработки и защиты персональных данных

Координация действий между международными и национальными, государственными и коммерческими CERT

Законодательство в сфере международного сотрудничества и обмена информацией об инцидентах ИБ и фактах совершенных киберпреступлений

Гармонизация положений GDPR 2016/679 и ФЗ-152

GDPR - Регламент ЕС о защите персональных данных 2016/679

Актуальные направления в сфере информационной безопасности в части оптимизации регулирования

РФ
GDPR – Регламент ЕС о защите персональных данных 2016/679 от

27 апреля 2016 г, отменяет Директиву ЕС о защите персональных данных 95/46/EC от 1995г с 01.01.2018 г
ФЗ РФ обязательны к исполнению, как и НПА/ОРД регуляторов, стандарты – «де юре» носят рекомендательный характер, «де факто» – императивный по требованиям МПС VISA/MC

Национальное и международное регулирование в сфере ИБ банковской системы РФ

фрод-рассылок на клиентов Банка при их дешевизне для мошенников
Массовость проникновения

услуг Банка среди населения РФ
Мошенничество в «промышленном масштабе» на потоке: ОПГ, мошеннические КоллЦентры, бизнес в «зонах»
Безнаказанность злоумышленников из-за бюрократичности уголовно-процессуального законодательства при возрастающей технологичности реализации киберпреступлений

76% Социальная инженерия

1% Скимминг

17% ВрПО

2% Перепродажа

1% Замена СИМ-карты

3% Фишинг

Корневые причины:

58%
Фрод-рассылки (SMS, e-mail, Viber и пр.)

37%
Фрод через АВИТО, Соц. сети, Skype и пр.

5% Иное

76% SMS

18% звонок

3% Viber

3% e-mail

Фактическая структура способов реализации кибератак на клиентов Сбербанка и корневые причины успеха злоумышленников

уголовным делам, связанным с киберпреступлениями в РФ, 75% были приостановлено

за не установлением лица, подлежащего привлечению к уголовной ответственности в качестве обвиняемого, только 7% дел было направлено в суд.

Текущее регулирование в уголовном законодательстве РФ в сфере противодействия киберпреступлениям

в случае, если преступлением причинен имущественный вред потерпевшему (обязательное условие).

В отсутствие вреда, чаще всего содеянное квалифицируется по ст.272 УК РФ (максимальный срок наказания до 7 лет лишения свободы), что по своей суровости не соответствует уровню опасности деяния и тяжести последствий по данному виду преступлений.

Ответственность по статье «Покушение» не работает, т.к. если атака предотвращена - ущерба нет, ни клиент, ни банк не могут заявить об этом деянии в МВД.

Возбуждение УД по факту хищений денежных средств преимущественно возбуждаются по месту нахождения счетов мошенника, а не по месту нахождения кредитной организации или физ.лица, являющегося потерпевшим.

В случае возмещения средств клиенту Банком, организация автоматически не приобретает статус потерпевшей стороны и права требования компенсации убытков, при этом, у клиента исчезает мотивация в обращаться в правоохранительные органы.

В уголовном законодательстве ряда западных стран подробно описаны механизмы совершения преступления, а не набор признаков, как в УК РФ.

Недостаточная эффективность действующего законодательства РФ в отношении противодействия кибермошенничеству. Статья 273 УК РФ на сегодняшний день не предполагает возможности привлечения к уголовной ответственности лиц за приобретение, посредническую деятельность по приобретению вирусной программы и её дальнейшему хранению, распространению

Существующие проблемы в уголовном законодательстве РФ

1

2

3

4

5

6

банковского счета или электронных денежных средств». Инициатива должна упростить возбуждение

уголовных дел по заявлениям граждан по фактам кибермошенничества.
Выравнивание ответственности по ст.158 и 159 УК РФ - размер крупного и особо крупного ущерба для кражи (158) и мошенничества (159) разные, в ст.159 выше. Суть инициативы в увеличении срока наказания, при снижении размера ущерба за мошенничество.
Дополнение ст.183 УК РФ таким способом незаконного сбора информации, как «путем обмана». Поправка даст возможность привлекать к уголовной ответственности преступников, непосредственно осуществляющих воздействие на граждан методами социальной инженерии, без установления всех участников группы.

Предложения и инициативы Сбербанка направленные на повышение эффективности регулирования в уголовном и уголовно-процессуальном законодательстве РФ (до 2017)

Законопроект внесен в ГД
asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=186266-7

уголовном и уголовно-процессуальном законодательстве РФ (с начала 2017)
Внести изменения в

статью 273 УК РФ в части введения уголовной ответственности за хранение, предоставление, предложение предоставления и приобретение вредоносной компьютерной программы. Статью 273 УК РФ изложить в следующей редакции: «Создание, хранение, использование, распространение, предоставление, предложение предоставления и приобретение вредоносной компьютерной программы».

Инициировать перед Верховным Судом РФ издание нового Постановления Пленума, закрепляющего принципы правоприменительной практики по делам о хищениях с применением ИТ и в сфере компьютерной информации, а также по делам, связанным с неправомерным доступом к охраняемой законом компьютерной информации (вместо устаревшего Постановления Пленума ВС РФ № 51 «О судебной практике по делам о мошенничестве, присвоении и растрате» от 27.12.2007).

Ввести в законодательство понятие киберпреступления, описать типовые схемы кибермошенничества, разработать, согласовать и утвердить методические указания проведения расследований киберпреступлений.

персональных данных
ФЗ-152 "О персональных данных" Ст.3 Персональные данные (ПДн) - любая

информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн)
Постановление Правительства №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказы ФСТЭК №49 и 21
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн»
Приказ ФСБ №378 «Об утверждении Состава и содержания орг-технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием СКЗИ»

ФЗ-126 "О связи" Ст.53 Базы данных об абонентах операторов связи К сведениям об абонентах относятся: - фамилия, имя, отчество или псевдоним; - наименование абонента ЮЛ; - фамилия, имя, отчество руководителя и работников этого ЮЛ; - адрес абонента или адрес установки оконечного оборудования; - абонентские номера; - другие данные, позволяющие идентифицировать абонента или его оконечное оборудование; - сведения БД систем расчета за оказанные услуги связи, в т.ч. о соединениях, трафике и платежах абонента
Ст.63 Тайна связи гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи

ФЗ-395 "О банках и банковской деятельности" Ст.26 Банковская тайна Кредитная организация гарантирует тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону

Конституция Ст.23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Гражданский Кодекс РФ Ст.857 Банковская тайна Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте

в сети, и даже сессионные куки
Адрес установки оконечного оборудования связи
сведения

БД систем расчета за оказанные услуги связи, в т.ч. о соединениях, трафике и платежах
Технологические данные о номере sim карты, IMSI, IMEI, MAC, IP-адрес пользовательского оборудования

Для сравнения, в международном стандарте PCI DSS v.3 четко разграничены виды чувствительных данных, как и область его применения:

Обширность определения ПДн, смешаны сведения и личного, и семейного характера, идентифицирующие личность признаки, включая биометрические данные, иные виды сведений, отнесенных к так называемым «специальным», а также второстепенные, технологические, атрибутивные сведения типа:

с профессиональной деятельностью, доступ к которым ограничен федеральным законом, осуществляется

в порядке, установленном федеральным законом и принятыми в соответствии с ним нормативными правовыми актами для соответствующего вида конфиденциальных сведений
Уточнить, что к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность  и которые используются оператором для автоматической идентификации субъекта ПДн
Дополнить определение ПДн уточнением, что к ПДн не относятся данные, которые сервисы сами собирают и обрабатывают на своих вычислительных мощностях, а именно: псевдоним пользователя в сети, сессионные куки, ip-адрес устройства пользователя, посредством которого пользователь зашел на сайт Оператора, историю запросов пользователя, посещаемые интернет-ресурсы и т.п., а также иную технологическую информацию: данные о номере sim карты, IMSI, IMEI, MAC-адрес пользовательского оборудования

Предложения Сбербанка направленные на повышение эффективности регулирования в законодательстве РФ о персональных данных

банковскую тайну
Банковкая тайна (ст. 26 ФЗ-395)
Операции
Счета/вклады
Иные сведения по усмотрению Банка
Сведения

о клиенте
Остатки эл. ден. средств

связи» за банками право формирования запросов о технологических данных своих

клиентов, являющихся абонентами соответствующего оператора связи или интернет-провайдера, иных операторов ПДн, без получения письменного согласия граждан – субъектов ПДн.

Внести изменения в ФЗ-395 «О банках и банковской деятельности», уголовное и уголовно-процессуальное законодательство положения, предусматривающие возможность для банков инициативно сообщать в правоохранительные органы и субъектам ОРД сведения, составляющие банковскую тайну в отношении лиц, подозреваемых в совершении киберпреступлений.

Предложения по внесению изменений в законодательство РФ в части касающейся обмена банковской тайной и ПДн клиентов

Внести изменения в ФЗ-152 «О персональных данных» и ФЗ-126 «О связи», отделив сведения личного и семейного характера от технологических данных, связанных с гражданином-ФЛ, как пользователем услуг связи, которые, одновременно, не позволили бы провести его идентификацию как субъекта ПДн. К технологическим данным считаем возможным отнести:
IMEI код телефонного устройства
ICCID идентификатор SIM карты
IMSI идентификатор абонента в сети сотовой связи любого оператора РФ
MAC и IP адреса пользовательских устройств, подключаемых к сети интернет
а также данные о фактах изменения статусов обслуживания абонентов, например, замены SIM карты, использования переадресации вызовов и т.п.

1

2

3

сотовой связи, Национальной платежной ассоциации, на базе ГУБЗИ ЦБР, были

выработаны предложения о внесении изменений в ФЗ-126 «О связи» и ФЗ-161 «О национальной платежной системе», а именно:
Статью 53 (ФЗ-126 "О связи") пункт 1 дополнить частью 7 следующего содержания: «Оператор связи вправе на основании соглашения с кредитной организацией и по ее запросу, в соответствии с пунктом 4 Статьи 8 ФЗ-161 «О Национальной платежной системе», передавать информацию о факте замены идентификационного модуля, о приостановлении оказания услуг связи, о переоформлении абонентского номера или прекращении абонентского договора. Согласие абонента, пользователя услугами связи на передачу указанной информации не требуется».
Дополнить статью 8 (ФЗ-161 «О национальной платежной системе») пункт 4 частью 2 следующего содержания: «Оператор по переводу денежных средств с целью удостовериться в праве клиента распоряжаться денежными средствами вправе на основании соглашения с оператором связи получать от него информацию в соответствии с п.1 Статьи 53 ФЗ-126 «О связи»».

Инициативы Сбербанка направленные на повышение эффективности противодействия киберпреступлениям путем изменений в законодательстве РФ о связи и НПС

составе Европола с ШК в Гааге, а в 2013г была

утверждена Европарламентом «Directive on Attacks against InfoSystems 2013/40/EU», заменившая рамочное решение 2005/222/JHA

Принятие решения о ратификации Конвенции Совета Европы о кибербезопасности
(Budapest Convention on Cybercrime 2001г)

Законодательство о кибербезопасности

Гармонизация положений Регламента ЕС о защите персональных данных 2016/679 (GDPR) и ФЗ-152 «О персональных данных»

Стандартизация и гармонизация международного и национального законодательства о ПДн

Создание условий (в т.ч. правовых) для организации обмена информацией о киберпреступлениях и инцидентах ИБ
Координация действий между международными (European Cybercrime Centre*) и национальными (FinCERT), государственными и коммерческими центрами противодействия киберпреступлениям

Законодательство в сфере международного сотрудничества и обмена информацией об инцидентах ИБ и фактах совершенных киберпреступлений

Открытые вопросы в направлении сближения требований международного и национального регулирования в сфере информационной безопасности