###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Cerințe pentru informațiile criptografice FSB. Cum să vă pregătiți pentru o verificare programată FSB a datelor personale? Criptare și semnătură electronică

    25.05.2021 Știri

    Principalele sarcini de protejare a informațiilor în timpul stocării, procesării și transmiterii acesteia prin canale de comunicare și pe diverse medii, rezolvate cu ajutorul CIPF, sunt: ​​1.

    Asigurarea secretului (confidenţialităţii) informaţiilor. 2.

    Asigurarea integritatii informatiilor. 3.

    Confirmarea autenticității informațiilor (documentelor). Pentru a rezolva aceste probleme, este necesar să implementați următoarele

    procese: 1.

    Implementarea funcțiilor efective de protecție a informațiilor, inclusiv:

    criptare/decriptare; crearea/verificarea semnăturii digitale; crearea/verificarea inserturilor simulate. 2.

    Monitorizarea stării și gestionarea funcționării instrumentelor KZI (în sistem):

    monitorizarea stării: detectarea și înregistrarea cazurilor de defecțiune a instrumentelor de securitate digitală, încercări de acces neautorizat, cazuri de compromitere a cheilor;

    managementul operațiunii: luarea de măsuri în cazul abaterilor enumerate de la funcționarea normală a instalațiilor CSI. 3.

    Efectuarea întreținerii instalațiilor KZI: implementarea managementului cheilor;

    efectuarea de proceduri legate de conectarea de noi abonați la rețea și/sau excluderea abonaților care pleacă; eliminarea deficiențelor identificate ale CIPF; introducerea de noi versiuni software CIPF;

    modernizarea și înlocuirea mijloacelor tehnice ale CIPF cu altele mai avansate și/sau înlocuirea mijloacelor a căror durată de viață s-a epuizat.

    Managementul cheilor este una dintre cele mai importante funcții ale protecției informațiilor criptografice și constă în implementarea următoarelor funcții principale:

    generarea cheilor: definește un mecanism de generare a cheilor sau perechilor de chei cu garanția calităților criptografice ale acestora;

    distribuția cheilor: definește mecanismul prin care cheile sunt livrate abonaților în mod fiabil și sigur;

    stocarea cheilor: definește un mecanism prin care cheile sunt stocate în siguranță și fiabil pentru utilizare ulterioară;

    recuperare cheie: definește mecanismul de restaurare a uneia dintre chei (înlocuirea acesteia cu o cheie nouă);

    distrugerea cheilor: definește mecanismul prin care cheile învechite sunt distruse în siguranță;

    arhiva chei: un mecanism prin care cheile pot fi stocate în siguranță pentru recuperarea lor în continuare notarială în situații de conflict.

    În general, pentru a implementa funcțiile enumerate de protecție a informațiilor criptografice, este necesar să se creeze un sistem de protecție a informațiilor criptografice care să combine instrumentele de securitate digitală în sine, personalul de service, sediul, echipamentele de birou, documentația variată (tehnică, de reglementare și administrativă) , etc.

    După cum sa menționat deja, pentru a obține garanții de securitate a informațiilor, este necesar să se utilizeze instrumente de securitate digitală certificate.

    În prezent, cea mai răspândită problemă este protecția informații confidențiale. Pentru a rezolva această problemă, sub auspiciile FAPSI, a fost dezvoltat un set complet funcțional de instrumente pentru protecția criptografică a informațiilor confidențiale, care permite rezolvarea problemelor enumerate de protecție a informațiilor pentru o mare varietate de aplicații și condiții de utilizare.

    Acest complex se bazează pe nucleele criptografice „Verba” (sistem de cheie asimetrică) și „Verba-O” (sistem de cheie simetrică). Aceste nuclee cripto oferă proceduri de criptare a datelor în conformitate cu cerințele GOST 28147-89 „Sisteme de procesare a informațiilor.

    Protecția criptografică” și semnatura digitalaîn conformitate cu cerințele GOST R34.10-94 "Tehnologia informației. Protecția criptografică a informațiilor. Proceduri pentru dezvoltarea și verificarea unei semnături digitale electronice bazate pe un algoritm criptografic asimetric."

    Mijloacele incluse în complexul CIPF vă permit să protejați documente electroniceși fluxurile de informații folosind mecanisme de criptare certificate și semnături electronice în aproape toate tehnologiile informaționale moderne, inclusiv permițând: utilizarea CIPF în modul offline;

    protejat schimb de informatiiîn modul off-line; schimb securizat de informații on-line; eterogen protejat, adică schimbul mixt de informații.

    Pentru a rezolva problemele sistemice ale utilizării CIPF, sub conducerea lui D. A. Starovoitov, a fost dezvoltată tehnologia Vityaz de protecție a informațiilor criptografice complexe, care asigură protecția datelor criptografice în toate părțile sistemului simultan: nu numai în canalele de comunicare și nodurile de sistem, dar de asemenea, direct la locurile de muncă ale utilizatorilor în timpul procesului de creare a unui document, când documentul în sine este protejat. În plus, în cadrul tehnologiei generale Vityaz, este furnizată o tehnologie simplificată care este ușor accesibilă utilizatorilor pentru încorporarea CIPF licențiat în diferite sisteme de aplicații, ceea ce face ca gama de utilizare a acestor CIPF să fie foarte largă.

    Mai jos este o descriere a mijloacelor și metodelor de protecție pentru fiecare dintre modurile enumerate.

    Utilizarea CIPF în modul offline.

    Când se lucrează autonom cu CIPF, pot fi implementate următoarele tipuri de protecție a informațiilor criptografice: crearea unui document securizat; protecția fișierelor;

    creând un securizat Sistemul de fișiere; crearea unei unități logice protejate. La cererea utilizatorului, pot fi implementate următoarele tipuri de protecție criptografică a documentelor (fișierelor):

    criptarea unui document (fișier), care face conținutul acestuia inaccesibil atât la stocarea documentului (fișier), cât și la transmiterea acestuia prin canale de comunicare sau manual;

    elaborarea unei inserții simulate, care asigură controlul integrității documentului (dosarului);

    generarea unei semnături digitale electronice, care asigură controlul integrității documentului (dosarul) și autentificarea persoanei care a semnat documentul (dosarul).

    Ca urmare, documentul (fișierul) protejat se transformă într-un fișier criptat care conține, dacă este necesar, o semnătură digitală electronică. Semnătura digitală, în funcție de organizarea procesului de prelucrare a informațiilor, poate fi prezentată ca fișier separat de documentul care se semnează. Acest fișier poate fi apoi scos pe o dischetă sau pe alt mediu pentru livrare prin curier sau trimis prin orice disponibil e-mail, de exemplu prin Internet.

    În consecință, la primirea unui fișier criptat prin e-mail sau pe unul sau altul mediu, etapele de protecție criptografică efectuate sunt efectuate în ordine inversă (decriptare, verificare imitații, verificare semnătură digitală).

    A implementa durata de viata a bateriei Următoarele mijloace certificate pot fi utilizate cu CIPF:

    editor de text „Lexicon-Verba”, implementat pe baza CIPF „Verba-O” și CIPF „Verba”;

    Pachetul software CIPF „Autonome la locul de muncă„, implementat pe baza CIPF „Verba” și „Verba-O” pentru Windows 95/98/NT;

    driver de disc criptografic PTS „DiskGuard”.

    Procesor de text securizat „Lexicon-Verba”.

    Sistemul Lexikon-Verba este un editor de text cu funcții complete, cu suport pentru criptarea documentelor și semnăturile digitale electronice. Pentru a proteja documentele, folosește sistemele criptografice Verba și Verba-O. Unicitatea acestui produs este că funcțiile de criptare și semnare text sunt pur și simplu incluse în funcțiile unui editor de text. Criptarea și semnarea unui document în acest caz se transformă din procese speciale în pur și simplu acțiuni standard atunci când lucrați cu un document.

    În același timp, sistemul Lexicon-Verba arată ca un editor de text obișnuit. Opțiunile de formatare a textului includ personalizare completă fonturi și paragrafe pentru documente; tabele și liste; anteturi, note de subsol, bare laterale; utilizarea stilurilor și a multor alte funcții ale unui editor de text care îndeplinește cerințele moderne. „Lexicon-Verba” vă permite să creați și să editați documente în formate Lexicon, RTF, MS Word 6/95/97, MS Write.

    Loc de muncă autonom.

    CIPF „Loc de muncă autonom” este implementat pe baza CIPF „Verba” și „Verba-O” pentru Windows 95/98/NT și permite utilizatorului să efectueze următoarele funcții în mod interactiv:

    criptarea/decriptarea fișierelor folosind chei; criptarea/decriptarea fișierelor folosind o parolă; aplicarea/eliminarea/verificarea semnăturilor electronice digitale (EDS) sub fișiere;

    verificarea fișierelor criptate;

    aplicarea semnăturii digitale + criptarea (într-o singură acțiune) a fișierelor; decriptare + eliminarea semnăturii digitale (într-o singură acțiune) sub fișiere;

    calculul fișierului hash.

    CIPF „Locul de muncă autonom” este recomandabil să fie utilizat pentru munca zilnică a angajaților care trebuie să asigure:

    transferul de informații confidențiale către în format electronic prin expres sau curier;

    trimiterea de informații confidențiale prin rețea uz comun, inclusiv internetul;

    protecție împotriva accesului neautorizat la informații confidențiale privind calculatoare personale angajati.

    Cerințele de securitate a informațiilor la proiectarea sistemelor informaționale indică caracteristicile care caracterizează mijloacele de securitate a informațiilor utilizate. Ele sunt definite de diverse acte ale autorităților de reglementare în domeniul securității securitatea informatiei, în special - FSTEC și FSB al Rusiei. Ce clase de securitate există, tipurile și tipurile de echipamente de protecție, precum și unde să aflați mai multe despre acest lucru, sunt reflectate în articol.

    Introducere

    Astăzi, problemele de asigurare a securității informației fac obiectul unei atenții deosebite, deoarece tehnologiile implementate peste tot fără asigurarea securității informațiilor devin o sursă de noi probleme serioase.

    FSB-ul rus raportează despre gravitatea situației: valoarea pagubelor cauzate de atacatori de-a lungul mai multor ani în întreaga lume a variat între 300 de miliarde de dolari și 1 trilion de dolari. Potrivit informațiilor furnizate de Procurorul General al Federației Ruse, numai în prima jumătate a anului 2017 în Rusia numărul infracțiunilor în domeniul tehnologie avansata a crescut de șase ori, valoarea totală a pagubelor a depășit 18 milioane de dolari. O creștere a atacurilor țintite în sectorul industrial în 2017 a fost observată în întreaga lume. În special, în Rusia, creșterea numărului de atacuri față de 2016 a fost de 22%.

    Tehnologiile informaționale au început să fie folosite ca arme în scopuri militaro-politice, teroriste, pentru a se amesteca în treburile interne ale statelor suverane, precum și pentru a comite alte infracțiuni. Federația Rusă reprezintă crearea unui sistem internațional de securitate a informațiilor.

    În teritoriu Federația Rusă proprietarii de informații și operatorii de sisteme informatice sunt obligați să blocheze tentativele de acces neautorizat la informații, precum și să monitorizeze în mod continuu starea de securitate a infrastructurii IT. Totodată, protecția informațiilor este asigurată prin luarea diferitelor măsuri, inclusiv tehnice.

    Instrumentele de securitate a informațiilor, sau sistemele de protecție a informațiilor, asigură protecția informațiilor în sistemele informaționale, care sunt în esență o colecție de informații stocate în baze de date, tehnologia Informatiei asigurarea prelucrarii acestuia, si mijloace tehnice.

    Sistemele informatice moderne se caracterizează prin utilizarea diverselor platforme hardware și software, distribuția teritorială a componentelor, precum și interacțiunea cu rețele deschise transmiterea datelor.

    Cum să protejăm informațiile în astfel de condiții? Cerințele corespunzătoare sunt prezentate de organismele autorizate, în special, FSTEC și FSB din Rusia. În cadrul articolului, vom încerca să reflectăm principalele abordări ale clasificării sistemelor de securitate a informațiilor, ținând cont de cerințele acestor autorități de reglementare. Alte modalități de a descrie clasificarea securității informațiilor, reflectate în documentele de reglementare ale departamentelor ruse, precum și ale organizațiilor și agențiilor străine, depășesc domeniul de aplicare al acestui articol și nu sunt luate în considerare în continuare.

    Articolul poate fi util specialiștilor începători în domeniul securității informațiilor ca sursă de informații structurate privind metodele de clasificare a securității informațiilor bazate pe cerințele FSTEC din Rusia (într-o măsură mai mare) și, pe scurt, FSB din Rusia.

    Structura care determină procedura și coordonează furnizarea de securitate a informațiilor folosind metode necriptografice este FSTEC din Rusia (fostă Comisia Tehnică de Stat sub președintele Federației Ruse, Comisia Tehnică de Stat).

    Dacă cititorul a văzut vreodată Registrul de stat al instrumentelor de securitate a informațiilor certificate, care este format de FSTEC din Rusia, atunci cu siguranță a acordat atenție prezenței în partea descriptivă a scopului sistemului de protecție a informațiilor unor expresii precum „RD SVT clasa”, „nivel de absență a nerespectării datelor de neconformitate”, etc. (Figura 1) .

    Figura 1. Fragment din registrul dispozitivelor certificate de protecție a informațiilor

    Clasificarea instrumentelor de securitate a informațiilor criptografice

    FSB al Rusiei a definit clase de sisteme de protecție a informațiilor criptografice: KS1, KS2, KS3, KV și KA.

    Principalele caracteristici ale IPS din clasa KS1 includ capacitatea lor de a rezista atacurilor efectuate din afara zonei controlate. Aceasta implică faptul că crearea metodelor de atac, pregătirea și implementarea acestora se realizează fără participarea specialiștilor în domeniul dezvoltării și analizei securității informațiilor criptografice. Se presupune că informațiile despre sistemul în care sunt utilizate sistemele de securitate a informațiilor specificate pot fi obținute din surse deschise.

    Dacă un sistem de securitate a informațiilor criptografice poate rezista atacurilor blocate prin intermediul clasei KS1, precum și celor efectuate în zona controlată, atunci o astfel de securitate a informațiilor corespunde clasei KS2. Se presupune, de exemplu, că în timpul pregătirii unui atac ar putea deveni disponibile informații despre măsurile fizice de protecție a sistemelor informaționale, asigurarea unei zone controlate etc.

    Dacă este posibil să rezistați atacurilor dacă există acces fizic la echipamentul informatic cu informații de securitate criptografice instalate, se spune că un astfel de echipament respectă clasa KS3.

    Dacă securitatea informațiilor criptografice rezistă atacurilor, a căror creare a implicat specialiști în domeniul dezvoltării și analizei acestor instrumente, inclusiv a centrelor de cercetare, și a fost posibilă efectuarea unor studii de laborator ale mijloacelor de securitate, atunci vorbim despre conformitatea cu clasa HF .

    Dacă în dezvoltarea metodelor de atac au fost implicați specialiști în domeniul utilizării software-ului sistemului NDV, documentația de proiectare corespunzătoare a fost disponibilă și a existat acces la orice componente hardware ale sistemelor de securitate a informațiilor criptografice, atunci protecția împotriva unor astfel de atacuri poate fi asigurată prin intermediul clasa KA.

    Clasificarea mijloacelor de protecție a semnăturii electronice

    Instrumentele de semnătură electronică, în funcție de capacitatea lor de a rezista la atacuri, sunt de obicei comparate cu următoarele clase: KS1, KS2, KS3, KB1, KB2 și KA1. Această clasificare este similară cu cea discutată mai sus în legătură cu securitatea informațiilor criptografice.

    concluzii

    Articolul a examinat câteva metode de clasificare a securității informațiilor în Rusia, a căror bază este cadrul de reglementare al autorităților de reglementare în domeniul protecției informațiilor. Opțiunile de clasificare luate în considerare nu sunt exhaustive. Cu toate acestea, sperăm că informațiile rezumate prezentate vor permite unui specialist începător în domeniul securității informațiilor să navigheze rapid.

    Utilizarea măsurilor de securitate criptografică (CIPF) este un subiect foarte controversat și alunecos. Cu toate acestea, Operatorul PD are dreptul de a utiliza CIPF pentru a asigura protecție în cazul unor amenințări reale. Dar nu este întotdeauna clar cum să folosiți acest drept. Și acum FSB face viața mai ușoară, a fost publicat un document de recomandări metodologice, aplicabil atât sistemelor informaționale de stat, cât și tuturor celorlalți Operatori PD. Să ne uităm la acest document mai detaliat.

    Și așa s-a întâmplat, a postat al 8-lea Centru FSB descriind recomandări în domeniul dezvoltării reglementărilor pentru protecția datelor cu caracter personal. În același timp, se recomandă ca operatorii ISDN să utilizeze același document atunci când dezvoltă modele private de amenințări.


    Deci, ce parere are FSB despre cum și unde ar trebui utilizat CIPF?


    Este destul de important ca acest document publicat doar pe site-ul FSB,nu are inregistrareîn Ministerul Justiţiei şinu poartă semnătura nimănuiȘi- adică semnificația sa juridică și obligatorie rămâne doar în cadrul recomandărilor. Acest lucru este important de reținut.


    Să aruncăm o privire în interior, preambulul documentului definește că recomandările "Pentru organisme federale puterea executivă... alte organe guvernamentale... care... adoptă acte normative de reglementare care definesc amenințările la adresa securității datelor cu caracter personal care sunt relevante la prelucrarea datelor cu caracter personal în sistemele informatice de date cu caracter personal (în continuare - ISPD), operate în implementarea de tipuri relevante de activități". Acestea. există o referire explicită la sistemele informaționale guvernamentale.



    Cu toate acestea, în același timp, este de asemenea recomandabil să vă ghidați după aceleași standarde atunci când dezvoltați modele de amenințări private operatorii de sisteme informatice de date cu caracter personal care au decis să utilizeze fonduri protecția informațiilor criptografice(denumit în continuare CIPF) pentru a asigura securitatea datelor cu caracter personal.” Acestea. În acest caz, documentul devine universal pentru toți utilizatorii.



    Când este necesar să utilizați CIPF?


    Utilizarea CIPF pentru a asigura securitatea datelor cu caracter personal este necesară în următoarele cazuri:

    1. dacă datele cu caracter personal sunt supuse protecției criptografice în conformitate cu legislația Federației Ruse;
    2. dacă în Sistem informatic Există amenințări care pot fi neutralizate doar cu ajutorul CIPF.
      3.

    1. transferul de date cu caracter personal prin canale de comunicare care nu sunt protejate de interceptarea de către un intrus a informațiilor transmise prin intermediul acestora sau de influențe neautorizate asupra acestor informații (de exemplu, la transferul de date cu caracter personal prin rețele publice de informații și telecomunicații);
    2. stocarea datelor cu caracter personal pe medii de stocare, accesul neautorizat la care de către contravenient nu poate fi exclus prin metode și tehnici necriptografice.

    Și la asta ajungem. Dacă și al doilea punct este destul de logic, atunci primul nu este atât de evident. Cert este că, conform versiunii actuale a Legii „Cu privire la datele cu caracter personal” prenume, prenume și patronimic sunt deja date personale. În consecință, orice corespondență sau înregistrare pe site (ținând cont de câte date sunt acum necesare în timpul înregistrării) se încadrează în mod oficial în această definiție.



    Dar, după cum se spune, nu există reguli fără excepții. Există două tabele la sfârșitul documentului. Să dăm doar o singură linie Aplicații nr. 1.



    Amenințare actuală:

    1.1. efectuarea unui atac într-o zonă controlată.

    Motivul absenței (lista ușor scurtată):

    1. angajații care sunt utilizatori ai ISPD, dar nu sunt utilizatori ai CIPF, sunt informați cu privire la regulile de lucru în ISPD și responsabilitatea pentru nerespectarea regulilor de securitate a informațiilor;
    2. Utilizatorii CIPF sunt informați despre regulile de lucru în ISDN, regulile de lucru cu CIPF și responsabilitatea pentru nerespectarea regulilor de securitate a informațiilor;
    3. localurile în care se află sistemul de protecție a informațiilor criptografice sunt dotate cu uși de intrare cu încuietori, asigurându-se că ușile localului sunt încuiate permanent și deschise numai pentru trecerea autorizată;
    4. au fost aprobate reguli de acces în incinta în care sunt amplasate sistemele de protecție a informațiilor criptografice în timpul orelor de lucru și nelucrătoare, precum și în situații de urgență;
    5. a fost aprobată o listă a persoanelor îndreptățite să acceseze incinta în care se află sistemele de protecție a informațiilor criptografice;
    6. se realizează delimitarea și controlul accesului utilizatorilor la resursele protejate;
    7. se realizează înregistrarea și contabilizarea acțiunilor utilizatorilor cu date personale;

    8. pe stațiile de lucru și serverele pe care este instalat CIPF:

      sunt utilizate mijloace certificate de protecție a informațiilor împotriva accesului neautorizat;
    9. Se folosesc produse de protecție antivirus certificate.

    Adică, dacă utilizatorii sunt informați despre reguli și responsabilități și se aplică măsuri de protecție, atunci nu este nimic de care să vă faceți griji.



    • Pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în ISPD, trebuie utilizat CIPF care a fost supus procedurii de evaluare a conformității în modul prescris.

    Adevărat, scrie chiar mai jos că lista dispozitivelor certificate de protecție a informațiilor criptografice poate fi găsită pe site-ul web al TsLSZ FSB. S-a spus de mai multe ori că evaluarea conformității nu este certificare.


    • în lipsa celor care au promovat procedura de evaluare a conformității pentru CIPF în conformitate cu procedura stabilită... la etapa de proiectare preliminară sau proiectare preliminară (proiect tehnic), dezvoltatorul sistemului informatic, cu participarea operatorului (persoană autorizată) și dezvoltatorul propus al CIPF, pregătește o justificare pentru fezabilitatea dezvoltării unui nou tip de CIPF și determină cerințele pentru proprietățile sale funcționale.

    Chiar mă face fericit. Adevărul este că certificare Procesul este foarte lung - până la șase luni sau mai mult. Adesea, clienții folosesc cele mai recente sisteme de operare care nu sunt acceptate de versiunea certificată. În conformitate cu acest document, clienții pot utiliza produse care sunt în curs de certificare.



    Documentul precizează că:

    Atunci când se utilizează canale (linii) de comunicare din care este imposibil să se intercepteze informații protejate transmise prin intermediul acestora și (sau) în care este imposibil să se efectueze influențe neautorizate asupra acestor informații, când descriere generala sistemele informatice trebuie să indice:

    1. descrierea metodelor și mijloacelor de protejare a acestor canale împotriva accesului neautorizat la acestea;
    2. concluzii bazate pe rezultatele studiilor privind securitatea acestor canale (linii) de comunicare din accesul neautorizat la informațiile protejate transmise prin intermediul acestora de către o organizație care are dreptul de a efectua astfel de studii, cu referire la documentul care conține aceste concluzii.
      3.


  • caracteristicile de securitate (confidențialitate, integritate, disponibilitate, autenticitate) care trebuie asigurate pentru datele cu caracter personal prelucrate;
  • canalele (liniile) de comunicare utilizate în fiecare subsistem sau în sistemul informațional în ansamblu, inclusiv sisteme de cabluri, și măsuri de limitare a accesului neautorizat la informațiile protejate transmise prin aceste canale (linii) de comunicare, indicând canalele (linii) de comunicare în care accesul neautorizat la informațiile protejate transmise prin intermediul acestora este imposibil și măsurile implementate pentru asigurarea acestei calități;
  • medii de informații protejate utilizate în fiecare subsistem al sistemului informațional sau în sistemul informațional în ansamblu (cu excepția canalelor (liniilor) de comunicare.

    • Cu toate acestea, există o mulțime de nuanțe aici: contabilitatea și stocarea instrumentelor de criptare, accesul la CIPF și reglementările pentru utilizarea acestora trebuie efectuate în strictă conformitate cu cerințele legale.

    Încălcarea regulilor de securitate a informațiilor, conform articolului 13.12 din Codul de infracțiuni administrative al Federației Ruse, poate atrage o serie de sancțiuni: amenzi pentru funcționari și organizații, precum și confiscarea mijloacelor de criptoprotecție în sine. Consecința poate fi incapacitatea de a trimite rapoarte electronice sau blocarea activității instituției în sistemul de schimb de date.

    Monitorizarea regulată a utilizării instrumentelor de criptare utilizate pentru a asigura securitatea datelor cu caracter personal (denumite în continuare PD) se realizează pe baza cerințelor următoarelor reglementări:

    • Legea federală din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”;
    • Ordinul FSB al Rusiei din 10 iulie 2014 nr. 378;
    • Instrucțiunea FAPSI nr. 152 din 13 iunie 2001;
    • și o serie de alte documente de reglementare.

    Planul de inspecție al FSB pentru anul este publicat pe site-ul oficial al Parchetului General al Federației Ruse. Aici, orice organizație, folosind TIN-ul sau OGRN-ul său, poate afla despre viitoarele inspecții din acest an, durata și perioada acestora.

    Pentru a se pregăti pentru o inspecție FSB, este necesar să se ia o serie de măsuri organizatorice, să se elaboreze și să se aprobe documente legate de lucrul cu protecția informațiilor criptografice.

    Răspunsurile la următoarele întrebări vă vor ajuta să vă sistematizați pregătirea pentru inspecție și să vă concentrați asupra măsurilor necesare:

    1. Are organizația mijloace de protecție a informațiilor criptografice? Există documente pentru achiziționarea lor, se țin evidența? Ce documente reglementează transferul CIPF pentru înstrăinare și utilizare?
    2. Care departament din întreprindere este responsabil de colaborarea cu CIPF, și anume: elaborarea concluziilor privind posibilitatea utilizării CIPF, elaborarea măsurilor pentru asigurarea funcționării și siguranței CIPF utilizate în conformitate cu termenii certificatelor eliberate pentru acestea, copie- Contabilitatea prin copie a CIPF utilizat, documentația operațională și tehnică pentru aceștia, contabilitatea deținătorilor de informații confidențiale prestate, monitorizarea respectării condițiilor de utilizare a CIPF, investigarea și întocmirea concluziilor cu privire la faptele de încălcare a condițiilor de utilizare a CIPF , dezvoltarea unei scheme de organizare a protecției criptografice a informațiilor confidențiale?
    3. Ce documente reglementează crearea compartimentului indicat mai sus, precum și ce acte desemnează persoanele responsabile cu desfășurarea acțiunilor în cadrul acestui departament?
    4. Au fost elaborate reglementări pentru înregistrarea și stocarea CIPF?
    5. Formularele jurnalelor contabile CIPF sunt aprobate?Cum sunt întreținute?
    6. A fost definit cercul persoanelor responsabile și responsabilitatea în cazul încălcării regulilor de lucru cu CIPF?
    7. Cum se realizează stocarea și furnizarea accesului la SZKI?

    Toate documentele trebuie să fie aprobate de șeful sau persoana autorizată a organizației; nu sunt necesare clasificări de securitate, cu toate acestea, documentele trebuie să fie destinate numai angajaților și inspectorilor organizației.

    Experiența noastră în sprijinirea clienților în timpul inspecțiilor FSB ne-a permis să identificăm cele mai tipice blocuri la care autoritatea de reglementare le acordă atenție.

    1. Organizarea unui sistem de măsuri organizatorice pentru protejarea datelor cu caracter personal

    Ce se verifică

    		 Sfat

    Domeniul de aplicare al CIPF în sistemele informatice de date cu caracter personal;

    Disponibilitatea documentelor departamentale și a comenzilor privind organizarea protecției criptografice

    		 Documente și ordine departamentale privind organizarea protecției informațiilor criptografice Este necesar să ne referim la documentele definitorii utilizare obligatorie CIPF pentru procesarea si transmiterea informatiilor. În ceea ce privește protecția datelor cu caracter personal în sistemele de stat, acestea sunt 17 și 21 de Ordine FSTEC

    2. Organizarea unui sistem de măsuri de protecție a informațiilor criptografice

    3. Autorizații și documentație de funcționare

    Ce se verifică

    		 Ce documente trebuie furnizate Sfat

    Disponibilitatea licențelor necesare pentru utilizarea CIPF în sistemele informatice de date cu caracter personal;

    Disponibilitatea certificatelor de conformitate pentru CIPF utilizat;

    Disponibilitatea documentației operaționale pentru CIPF (formulare, reguli de funcționare, manual de utilizare etc.);

    Procedura de înregistrare a CIPF, documentația operațională și tehnică pentru acestea

    Licențe și certificate pentru CIPF utilizate;

    Documentație operațională pentru CIPF

    La ce documente ne referim la:

    1) licențe software,

    2) disponibilitatea distribuțiilor pentru aceste licențe, obținute legal,

    4. Cerințe pentru personalul de service

    Ce se verifică

    		 Ce documente trebuie furnizate Sfat

    Procedura de înregistrare a persoanelor autorizate să lucreze la CIPF;

    Disponibilitatea responsabilităților funcționale ale utilizatorilor responsabili ai CIPF;

    Dotarea posturilor obișnuite cu personal și suficiența acestora pentru rezolvarea problemelor legate de organizarea protecției informațiilor criptografice;

    Organizarea procesului de instruire a persoanelor care utilizează CIPF

    Liste aprobate;

    Documente care confirmă responsabilitățile funcționale ale angajaților;

    Jurnalul utilizatorului instrumentelor criptografice;

    Documente care confirmă finalizarea instruirii angajaților

    Trebuie să aveți următoarele documente:

    1) instrucțiuni pentru lucrul cu CIPF,

    2) numirea prin ordine interne a responsabililor de lucru cu CIPF

    5. Funcționarea CIPF

    Ce se verifică

    		 Ce documente trebuie furnizate Sfat

    Verificarea punerii in functiune corecta;

    Evaluarea stării tehnice a sistemului de protecție a informațiilor criptografice;

    Respectarea termenelor limită și integralitate întreținere;

    Verificarea respectării regulilor de utilizare a CIPF și a procedurii de manipulare a documentelor cheie aferente acestora

    Certificate de punere în funcțiune a CIPF;

    Jurnalul de contabilitate copie-cu-instanță a CIPF;

    Jurnalul de înregistrare și emitere de media cu informații cheie

    Următoarele documente trebuie elaborate:

    1) certificate de instalare a CIPF,

    2) ordin pentru aprobarea formularelor de jurnal de bord

    6. Măsuri organizatorice

    Ce se verifică

    		 Ce documente trebuie furnizate Sfat

    Îndeplinirea cerințelor de amplasare, dotare specială, securitate și organizare a regimului în spațiile în care sunt instalate sisteme de protecție a informațiilor criptografice sau sunt stocate documentele cheie pentru acestea;

    Conformitatea modului de stocare al CIPF și a documentației cheie cu cerințele;

    Evaluarea gradului în care operatorului i se oferă criptochei și organizarea livrării acestora;

    Verificarea disponibilității instrucțiunilor pentru restabilirea comunicării în cazul compromiterii cheilor existente la CIPF

    Documentație operațională pentru CIPF;

    Spații alocate pentru instalarea CIPF și depozitarea documentelor cheie pentru acestea;

    Instrucțiuni în cazul compromiterii cheilor CIPF existente

    1) Respectarea cerințelor din Instrucțiunea 152 a FAPSI. Depinde de condițiile specifice; poate necesita instalarea securității, instalarea draperiilor la ferestre, achiziționarea unui seif etc.

    2) Instrucțiuni pentru lucrul cu CIPF

    Toate cerințele de mai sus rezultă din Reglementările pentru efectuarea inspecțiilor FSB. Actiunile specifice se desfasoara in conformitate cu Ordinul FAPSI Nr.152 din 13 iunie 2001.

    Conformitatea cu cel puțin o parte dintre cerințe va crește semnificativ probabilitatea de a trece toate procedurile de reglementare fără amendă. În general, nu există o redundanță în cerințe; toate acțiunile sunt cu adevărat importante și lucrează pentru a proteja interesele organizației.

    Nikita Yarkov, șeful grupului de licențiere la SKB Kontur, proiect Kontur-Safety

    Comentarii...

    Alexey, bună seara!
    Răspunsul de la Centrul 8 nu indică nimic despre necesitatea utilizării certificatului CIPF. Dar există „Recomandări metodologice...” aprobate de conducerea Centrului 8 al FSB al Rusiei din 31 martie 2015 nr. 149/7/2/6-432, în care există următorul paragraf în al doilea parte:

    Pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în ISPD, trebuie utilizat CIPF care a fost supus procedurii de evaluare a conformității în modul prescris. Lista CIPF certificate de FSB al Rusiei este publicată pe site-ul oficial al Centrului pentru Licențiere, Certificare și Protecție a Secretelor de Stat al FSB al Rusiei (www.clsz.fsb.ru). Informații suplimentare Se recomandă obținerea de informații despre instrumentele specifice de securitate a informațiilor direct de la dezvoltatorii sau producătorii acestor instrumente și, dacă este necesar, de la organizații specializate care au realizat studii de caz ale acestor instrumente;

    De ce nu este aceasta o cerință pentru a utiliza certificatul CIPF?

    Există un ordin al FSB al Rusiei din 10 iulie 2014 nr. 378, care prevede la paragraful „d” al paragrafului 5: „utilizarea instrumentelor de securitate a informațiilor care au trecut procedura de evaluare a conformității cu cerințele legislației. al Federației Ruse în domeniul securității informațiilor, în cazurile în care utilizarea unor astfel de mijloace este necesară pentru a neutraliza amenințările actuale.”

    Acest „atunci când utilizarea unor astfel de mijloace este necesară pentru a neutraliza amenințările actuale” este puțin confuz. Dar toată această nevoie trebuie descrisă în modelul intrusului.

    Dar în acest caz, din nou, Secțiunea 3 din „Recomandările metodologice...” din 2015 precizează că „La utilizarea canalelor (liniilor) de comunicare din care este imposibilă interceptarea informațiilor protejate transmise prin intermediul acestora și (sau) în care se află imposibil de efectuat influențe neautorizate. Aceste informații trebuie indicate în descrierea generală a sistemelor informaționale:
    - descrierea metodelor și mijloacelor de protejare a acestor canale împotriva accesului neautorizat la acestea;
    - concluzii bazate pe rezultatele studiilor privind securitatea acestor canale (linii) de comunicare din accesul neautorizat la informațiile protejate transmise prin intermediul acestora de către o organizație care are dreptul de a efectua astfel de studii, cu referire la documentul care conține aceste concluzii.”

    Ce vreau să spun prin toate acestea - da, nu este nevoie să folosiți întotdeauna și oriunde protecția informațiilor criptografice atunci când asigurați securitatea prelucrării datelor cu caracter personal. Dar pentru a face acest lucru, trebuie să creați un model al infractorului, unde toate acestea pot fi descrise și dovedite. Ai scris despre două cazuri când trebuie să le folosești. Dar faptul că pentru a asigura securitatea prelucrării datelor cu caracter personal canale deschise comunicații sau dacă prelucrarea acestor date cu caracter personal depășește limitele zonei controlate, puteți utiliza CIPF necertificat - nu este atât de simplu. Și se poate întâmpla să fie mai ușor să folosești dispozitive certificate de protecție a informațiilor criptografice și să respecti toate cerințele în timpul funcționării și stocării lor decât să folosești produse necertificate și să te întâlnești cu regulatorul, care, văzând o astfel de situație, va încerca foarte mult să frece. nasul lor înăuntru.

    Comentarii necunoscute...

    Cazul în care utilizarea unor astfel de mijloace este necesară pentru a neutraliza amenințările actuale: cerința Ordinului FSTEC al Rusiei nr. 17 din 11 februarie 2013 (cerințe pentru ISPDn de stat și municipal),

    clauza 11. Pentru a asigura protecția informațiilor conținute în sistemul informațional, se folosesc instrumente de securitate a informațiilor care au trecut evaluarea conformității sub forma certificării obligatorii pentru conformitatea cu cerințele de securitate a informațiilor în conformitate cu articolul 5 din Legea federală din 27 decembrie. , 2002 Nr. 184-FZ „Cu privire la reglementarea tehnică”.

    Alexey Lukatsky comentează...

    Proximo: Recomandările FSB sunt ilegitime. Ordinul 378 este legitim, dar trebuie luat în considerare în contextul întregii legislații, și spune că specificul evaluării conformității este stabilit de Guvern sau de Președinte. Nici unul, nici celălalt nu au emis astfel de acte juridice

    Alexey Lukatsky comentează...

    Anton: În guvernul de stat, cerința de certificare este stabilită prin lege, ordinul al 17-lea pur și simplu le repetă. Și vorbim despre PDn

    Comentarii necunoscute...

    Alexey Lukatsky: Nu. Recomandările FSB sunt ilegitime" Cât de ilegitime? Mă refer la documentul nr. 149/7/2/6-432 din 19 mai 2015 (http://www.fsb.ru/fsb/science/ single.htm!id%3D10437608 %40fsbResearchart.html), dar nu despre documentul din data de 21.02.2008 Nr. 149/54-144.

    De asemenea, un alt specialist a făcut anterior o solicitare la FSB pe o temă asemănătoare și i s-a spus că „Metodologia...” și „Recomandările...” ale FSB din 2008 nu trebuie folosite dacă vorbiți despre aceste documente. Dar din nou, aceste documente nu au fost anulate oficial. Și dacă aceste documente sunt legitime sau nu, cred că inspectorii FSB vor decide la fața locului în timpul controlului.

    Legea spune că datele personale trebuie protejate. Statutele Guvernului, FSB, FSTEC stabilesc exact cum trebuie protejate. Reglementările de la FSB spun: "Folosiți certificat. Dacă nu doriți certificat, dovediți că îl puteți folosi. Și fiți atât de amabili încât să atașați o concluzie în acest sens de la o companie care are licență pentru a emite astfel de concluzii." Ceva de genul...

    Alexey Lukatsky comentează...

    1. Orice recomandare este o recomandare și nu o cerință obligatorie.
    2. Manualul din 2015 nu are nicio legătură cu operatorii PD - se referă la oficialii guvernamentali care scriu modele de amenințare pentru instituțiile din subordine (ținând cont de punctul 1).
    3. FSB nu are dreptul de a efectua inspecții la operatorii comerciali PD, iar pentru agențiile guvernamentale problema utilizării protecției informațiilor criptografice necertificate nu merită - acestea sunt obligate să folosească solutii certificate, indiferent de prezența PD, acestea sunt cerințele Legii federale-149.
    4. Statutul vă spune cum să vă protejați și acest lucru este normal. Dar ei nu pot determina forma de evaluare a echipamentului de protecție - acest lucru se poate face numai prin reglementările Guvernului sau ale Președintelui. FSB nu este autorizat să facă acest lucru

    Comentarii necunoscute...

    Conform Decretului 1119:

    4. Alegerea mijloacelor de securitate a informațiilor pentru sistemul de protecție a datelor cu caracter personal este efectuată de operator în conformitate cu actele juridice de reglementare adoptate de Serviciul Federal de Securitate al Federației Ruse și de Serviciul Federal de Control Tehnic și de Export, în conformitate cu Partea 4 al articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.
    13.g. Utilizarea instrumentelor de securitate a informațiilor care au fost supuse evaluării conformității cu cerințele legislației Federației Ruse în domeniul securității informațiilor, în cazurile în care utilizarea unor astfel de instrumente este necesară pentru a neutraliza amenințările actuale.

    Cum se justifică nerelevanța amenințării la transmiterea datelor personale prin canalele unui operator de telecomunicații?

    Acestea. dacă nu CIPF, atunci se pare
    - acces terminal și clienti slabi, dar în același timp și datele de securitate a informațiilor ale terminalului
    accesul trebuie să fie certificat.
    - protectia canalelor de catre operatorul telecom, responsabilitatea operatorului (furnizorul) telecom.

    Alexey Lukatsky comentează...

    Irelevanța este determinată de operator și nu are nevoie de nimeni pentru asta