Развитие системы законодательного обеспечения информационной безопасности на национальном и международном уровнях
- Главная
- Юриспруденция
- Развитие системы законодательного обеспечения информационной безопасности на национальном и международном уровнях
Содержание
- 2. Содержание
- 3. (*) проект был представлен в июле 2016г в СПб на XV Совещании руководителей спецслужб государств-партнеров ФСБ
- 4. Текущая ситуация с регулированием в сфере информационной безопасности банковской системы РФ GDPR – Регламент ЕС о
- 5. Низкий уровень осведомленности клиентов в вопросах ИБ Простота и доступность реализации фрод-рассылок на клиентов Банка при
- 6. По данным аналитического обзора Следственного Департамента МВД за 2016г по уголовным делам, связанным с киберпреступлениями в
- 7. Уголовная ответственность за мошенничество по ст. 159.6 УК РФ наступает в случае, если преступлением причинен имущественный
- 8. Введение в ст.158 УК РФ нового вида хищения -«кража с банковского счета или электронных денежных средств».
- 9. Предложения и инициативы Сбербанка направленные на повышение эффективности регулирования в уголовном и уголовно-процессуальном законодательстве РФ (с
- 10. Текущее регулирование в законодательстве РФ в сфере обработки и защиты персональных данных ФЗ-152 "О персональных данных"
- 11. Открытые вопросы регулирования в законодательстве РФ о персональных данных Псевдоним пользователя в сети, и даже сессионные
- 12. Конкретизировать, что обработка ПДн в составе сведений конфиденциального характера, связанных с профессиональной деятельностью, доступ к которым
- 13. Текущее регулирование в законодательстве РФ в сфере обработки сведений, составляющих банковскую тайну Банковкая тайна (ст. 26
- 14. Закрепить в ФЗ-161 «О Национальной платежной системе» и ФЗ-126 «О связи» за банками право формирования запросов
- 15. При взаимодействии с представителями телеком-муникационной сферы: Минкомсвязи, Роскомнадзор, ключевые операторы сотовой связи, Национальной платежной ассоциации, на
- 16. (*) Еврокомиссия создала в 2012г European Cybercrime Centre (EC3) в составе Европола с ШК в Гааге,
- 18. Скачать презентацию
Содержание
Содержание
(*) проект был представлен в июле 2016г в СПб на XV
(*) проект был представлен в июле 2016г в СПб на XV
Предоставление банкам инициативного права передачи сведений, составляющих банковскую тайну в ПОО, субъектам ОРД, CERT, сообществу
Законодательство
РФ в сфере обработки
и обмена банковской тайной
Проект ФЗ №47571-7 «О безопасности критической информационной инфраструктуры»
Законопроект № 186266-7 "О внесении изменений в УК РФ в части усиления ответственности за хищение ДС с банковского счета..."
Уголовное и уголовно-процессуальное законодательство РФ
Ратификация Россией Конвенции (2001г) Совета Европы о кибербезопасности или продвижение альтернативной Конвенции по противодействию преступлениям в сфере ИКТ (*)
Стандартизация и гармонизация международных и национальных законодательных актов
Легализация обмена ПДн о кибер преступниках
Вывод из под регулирования «технологических» ПДн
Законодательство РФ в сфере обработки
и защиты персональных данных
Координация действий между международными
и национальными, государственными
и коммерческими CERT
Законодательство в сфере международного сотрудничества и обмена информацией об инцидентах ИБ и фактах совершенных киберпреступлений
Гармонизация положений GDPR 2016/679 и ФЗ-152
GDPR - Регламент ЕС о защите
персональных данных 2016/679
Актуальные направления в сфере информационной
безопасности в части оптимизации регулирования
Текущая ситуация с регулированием в сфере
информационной безопасности банковской системы РФ
GDPR
Текущая ситуация с регулированием в сфере
информационной безопасности банковской системы РФ
GDPR
ФЗ РФ обязательны к исполнению, как и НПА/ОРД регуляторов, стандарты – «де юре» носят рекомендательный характер, «де факто» – императивный по требованиям МПС VISA/MC
Национальное и международное регулирование в сфере ИБ банковской системы РФ
Низкий уровень осведомленности клиентов в вопросах ИБ
Простота и доступность реализации фрод-рассылок
Низкий уровень осведомленности клиентов в вопросах ИБ
Простота и доступность реализации фрод-рассылок
Массовость проникновения услуг Банка среди населения РФ
Мошенничество в «промышленном масштабе» на потоке: ОПГ, мошеннические КоллЦентры, бизнес в «зонах»
Безнаказанность злоумышленников из-за бюрократичности уголовно-процессуального законодательства при возрастающей технологичности реализации киберпреступлений
76% Социальная инженерия
1% Скимминг
17% ВрПО
2% Перепродажа
1% Замена СИМ-карты
3% Фишинг
Корневые причины:
58%
Фрод-рассылки
(SMS, e-mail,
Viber и пр.)
37%
Фрод через
АВИТО, Соц. сети,
Skype и пр.
5% Иное
76% SMS
18% звонок
3% Viber
3% e-mail
Фактическая структура способов реализации кибератак на клиентов Сбербанка и корневые причины успеха злоумышленников
По данным аналитического обзора Следственного Департамента МВД за 2016г по уголовным
По данным аналитического обзора Следственного Департамента МВД за 2016г по уголовным
Текущее регулирование в уголовном законодательстве РФ
в сфере противодействия киберпреступлениям
Уголовная ответственность за мошенничество по ст. 159.6 УК РФ наступает в
Уголовная ответственность за мошенничество по ст. 159.6 УК РФ наступает в
Ответственность по статье «Покушение» не работает, т.к. если атака предотвращена - ущерба нет,
ни клиент, ни банк не могут заявить об этом деянии в МВД.
Возбуждение УД по факту хищений денежных средств преимущественно возбуждаются по месту нахождения счетов мошенника, а не по месту нахождения кредитной организации или физ.лица, являющегося потерпевшим.
В случае возмещения средств клиенту Банком, организация автоматически не приобретает статус потерпевшей стороны и права требования компенсации убытков, при этом, у клиента исчезает мотивация в обращаться в правоохранительные органы.
В уголовном законодательстве ряда западных стран подробно описаны механизмы совершения преступления, а не набор признаков, как в УК РФ.
Недостаточная эффективность действующего законодательства РФ в отношении противодействия кибермошенничеству. Статья 273 УК РФ на сегодняшний день не предполагает возможности привлечения к уголовной ответственности лиц за приобретение, посредническую деятельность
по приобретению вирусной программы и её дальнейшему хранению, распространению
Существующие проблемы в уголовном законодательстве РФ
1
2
3
4
5
6
Введение в ст.158 УК РФ нового вида хищения -«кража с банковского
Введение в ст.158 УК РФ нового вида хищения -«кража с банковского
Выравнивание ответственности по ст.158 и 159 УК РФ - размер крупного и особо крупного ущерба для кражи (158) и мошенничества (159) разные, в ст.159 выше. Суть инициативы в увеличении срока наказания, при снижении размера ущерба за мошенничество.
Дополнение ст.183 УК РФ таким способом незаконного сбора информации, как «путем обмана». Поправка даст возможность привлекать к уголовной ответственности преступников, непосредственно осуществляющих воздействие на граждан методами социальной инженерии, без установления всех участников группы.
Предложения и инициативы Сбербанка направленные на повышение эффективности регулирования в уголовном и уголовно-процессуальном законодательстве РФ (до 2017)
Законопроект внесен в ГД
asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=186266-7
Предложения и инициативы Сбербанка направленные на повышение эффективности регулирования в уголовном
Предложения и инициативы Сбербанка направленные на повышение эффективности регулирования в уголовном
Внести изменения в статью
273 УК РФ в части введения уголовной ответственности
за хранение, предоставление, предложение предоставления
и приобретение вредоносной компьютерной программы.
Статью 273 УК РФ изложить в следующей редакции: «Создание, хранение, использование, распространение, предоставление, предложение предоставления и приобретение вредоносной компьютерной программы».
Инициировать перед Верховным Судом РФ издание нового Постановления Пленума, закрепляющего принципы правоприменительной практики по делам о хищениях с применением
ИТ и в сфере компьютерной информации, а также по делам, связанным с неправомерным доступом
к охраняемой законом компьютерной информации (вместо устаревшего Постановления Пленума ВС РФ № 51
«О судебной практике по делам о мошенничестве, присвоении и растрате» от 27.12.2007).
Ввести в законодательство
понятие киберпреступления,
описать типовые схемы кибермошенничества, разработать, согласовать и утвердить методические указания проведения расследований киберпреступлений.
Текущее регулирование в законодательстве РФ
в сфере обработки и защиты персональных
Текущее регулирование в законодательстве РФ в сфере обработки и защиты персональных
ФЗ-152 "О персональных данных"
Ст.3 Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн)
Постановление Правительства №1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказы ФСТЭК №49 и 21
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн»
Приказ ФСБ №378
«Об утверждении Состава и содержания орг-технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием СКЗИ»
ФЗ-126 "О связи"
Ст.53 Базы данных об абонентах операторов связи
К сведениям об абонентах относятся:
- фамилия, имя, отчество или псевдоним;
- наименование абонента ЮЛ;
- фамилия, имя, отчество руководителя и работников этого ЮЛ;
- адрес абонента или адрес установки оконечного оборудования;
- абонентские номера;
- другие данные, позволяющие идентифицировать абонента или его оконечное оборудование;
- сведения БД систем расчета за оказанные услуги связи,
в т.ч. о соединениях, трафике и платежах абонента
Ст.63 Тайна связи
гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи
ФЗ-395 "О банках и банковской деятельности"
Ст.26 Банковская тайна
Кредитная организация гарантирует тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону
Конституция
Ст.23
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Гражданский Кодекс РФ
Ст.857 Банковская тайна
Банк гарантирует тайну банковского счета и банковского
вклада, операций по счету и сведений о клиенте
Открытые вопросы регулирования в законодательстве РФ о персональных данных
Псевдоним пользователя в
Открытые вопросы регулирования в законодательстве РФ о персональных данных
Псевдоним пользователя в
Адрес установки оконечного оборудования связи
сведения БД систем расчета за оказанные услуги связи, в т.ч. о соединениях, трафике и платежах
Технологические данные о номере sim карты, IMSI, IMEI, MAC, IP-адрес пользовательского оборудования
Для сравнения, в международном стандарте PCI DSS v.3 четко разграничены
виды чувствительных данных, как и область его применения:
Обширность определения ПДн, смешаны сведения и личного,
и семейного характера, идентифицирующие личность признаки, включая биометрические данные, иные виды сведений, отнесенных к так называемым «специальным», а также второстепенные, технологические, атрибутивные сведения типа:
Конкретизировать, что обработка ПДн в составе сведений конфиденциального характера, связанных с
Конкретизировать, что обработка ПДн в составе сведений конфиденциального характера, связанных с
Уточнить, что к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для автоматической идентификации субъекта ПДн
Дополнить определение ПДн уточнением, что к ПДн не относятся данные, которые сервисы сами собирают и обрабатывают на своих вычислительных мощностях, а именно: псевдоним пользователя в сети, сессионные куки, ip-адрес устройства пользователя, посредством которого пользователь зашел на сайт Оператора, историю запросов пользователя, посещаемые интернет-ресурсы и т.п., а также иную технологическую информацию: данные о номере sim карты, IMSI, IMEI, MAC-адрес пользовательского оборудования
Предложения Сбербанка направленные на повышение эффективности
регулирования в законодательстве РФ о персональных данных
Текущее регулирование в законодательстве РФ в сфере
обработки сведений, составляющих банковскую
Текущее регулирование в законодательстве РФ в сфере обработки сведений, составляющих банковскую
Банковкая тайна (ст. 26 ФЗ-395)
Операции
Счета/вклады
Иные сведения
по усмотрению Банка
Сведения о клиенте
Остатки эл. ден. средств
Закрепить в ФЗ-161 «О Национальной платежной системе» и ФЗ-126 «О связи»
Закрепить в ФЗ-161 «О Национальной платежной системе» и ФЗ-126 «О связи»
Внести изменения в ФЗ-395 «О банках и банковской деятельности», уголовное и уголовно-процессуальное законодательство положения, предусматривающие возможность для банков инициативно сообщать в правоохранительные органы и субъектам ОРД сведения, составляющие банковскую тайну в отношении лиц, подозреваемых в совершении киберпреступлений.
Предложения по внесению изменений в законодательство РФ
в части касающейся обмена банковской тайной и ПДн клиентов
Внести изменения в ФЗ-152 «О персональных данных» и ФЗ-126 «О связи», отделив сведения личного и семейного характера от технологических данных, связанных с гражданином-ФЛ, как пользователем услуг связи, которые, одновременно, не позволили бы провести его идентификацию как субъекта ПДн. К технологическим данным считаем возможным отнести:
IMEI код телефонного устройства
ICCID идентификатор SIM карты
IMSI идентификатор абонента в сети сотовой связи любого оператора РФ
MAC и IP адреса пользовательских устройств, подключаемых к сети интернет
а также данные о фактах изменения статусов обслуживания абонентов, например, замены SIM карты, использования переадресации вызовов и т.п.
1
2
3
При взаимодействии с представителями телеком-муникационной сферы: Минкомсвязи, Роскомнадзор, ключевые операторы сотовой
При взаимодействии с представителями телеком-муникационной сферы: Минкомсвязи, Роскомнадзор, ключевые операторы сотовой
Статью 53 (ФЗ-126 "О связи") пункт 1 дополнить частью 7 следующего содержания: «Оператор связи вправе на основании соглашения с кредитной организацией и по ее запросу, в соответствии с пунктом 4 Статьи 8 ФЗ-161 «О Национальной платежной системе», передавать информацию о факте замены идентификационного модуля, о приостановлении оказания услуг связи, о переоформлении абонентского номера или прекращении абонентского договора. Согласие абонента, пользователя услугами связи на передачу указанной информации не требуется».
Дополнить статью 8 (ФЗ-161 «О национальной платежной системе») пункт 4 частью 2 следующего содержания: «Оператор по переводу денежных средств с целью удостовериться в праве клиента распоряжаться денежными средствами вправе на основании соглашения с оператором связи получать от него информацию в соответствии с п.1 Статьи 53 ФЗ-126 «О связи»».
Инициативы Сбербанка направленные на повышение эффективности противодействия киберпреступлениям путем изменений в законодательстве РФ о связи и НПС
(*) Еврокомиссия создала в 2012г European Cybercrime Centre (EC3) в составе
(*) Еврокомиссия создала в 2012г European Cybercrime Centre (EC3) в составе
Принятие решения о ратификации Конвенции Совета Европы о кибербезопасности
(Budapest Convention on Cybercrime 2001г)
Законодательство о кибербезопасности
Гармонизация положений Регламента ЕС о защите
персональных данных 2016/679 (GDPR) и ФЗ-152 «О персональных данных»
Стандартизация и гармонизация международного и национального законодательства о ПДн
Создание условий (в т.ч. правовых) для организации обмена информацией о киберпреступлениях и инцидентах ИБ
Координация действий между международными (European Cybercrime Centre*) и национальными (FinCERT), государственными
и коммерческими центрами противодействия киберпреступлениям
Законодательство в сфере международного сотрудничества и обмена информацией об инцидентах ИБ и фактах совершенных киберпреступлений
Открытые вопросы в направлении сближения требований международного и национального регулирования в сфере информационной безопасности