Вимоги до Скз фсб. Як підготуватись до планової перевірки ФСБ за персональними даними? Шифрування та електронний підпис

Основними завданнями захисту інформації при її зберіганні, обробці та передачі каналами зв'язку та на різних носіях, що вирішуються за допомогою СКЗІ, є: 1.

Забезпечення таємності (конфіденційності) інформації. 2.

Забезпечення цілісності інформації. 3.

Доказ автентичності інформації (документів). Для вирішення цих завдань необхідна реалізація наступних

процесів: 1.

Реалізація власне функцій захисту інформації, включаючи:

шифрування/розшифрування; створення/перевірка ЕЦП; створення/перевірка імітівставки. 2.

Контроль стану та управління функціонуванням засобів КЗІ (у системі):

контроль стану: виявлення та реєстрація випадків порушення працездатності засобів КЗІ, спроб НСД, випадків компрометації ключів;

управління функціонуванням: вжиття заходів у разі перерахованих відхилень від нормального функціонування засобів КЗІ. 3.

Проведення обслуговування коштів КЗІ: здійснення ключового керування;

виконання процедур, пов'язаних із підключенням нових абонентів мережі та/або виключенням абонентів, що вибули; усунення виявлених недоліків СКЗІ; введення в дію нових версій програмного забезпеченняСКЗІ;

модернізація та заміна технічних засобів СКЗІ на більш досконалі та/або заміна коштів, ресурс яких вироблений.

Ключове управління є однією з найважливіших функцій криптографічного захисту інформації та полягає в реалізації наступних основних функцій:

генерація ключів: визначає механізм вироблення ключів або пар ключів із гарантією їх криптографічних якостей;

розподіл ключів: визначає механізм, яким ключі надійно і безпечно доставляються абонентам;

збереження ключів: визначає механізм, за яким ключі надійно та безпечно зберігаються для подальшого їх використання;

відновлення ключів: визначає механізм відновлення одного із ключів (заміна на новий ключ);

знищення ключів: визначає механізм, за яким проводиться надійне знищення ключів, що вийшли з використання;

ключовий архів: механізм, яким ключі можуть надійно зберігатися їхнього подальшого нотаризованого відновлення у конфліктних ситуаціях.

Загалом для реалізації перерахованих функцій криптографічного захисту інформації необхідно створення системи криптографічного захисту інформації, яка об'єднує власне кошти КЗІ, обслуговуючий персонал, приміщення, оргтехніку, різну документацію (технічну, нормативно-розпорядчу) тощо.

Як зазначалося, для отримання гарантій захисту необхідно застосування сертифікованих коштів КЗИ.

В даний час найбільш масовим є питання захисту конфіденційної інформації. Для вирішення цього питання під егідою ФАПСІ розроблено функціонально повний комплекс засобів криптографічного захисту конфіденційної інформації, який дозволяє вирішити перелічені завдання захисту інформації для найрізноманітніших додатків та умов застосування.

В основу цього комплексу покладено криптографічні ядра "Верба" (система несиметричних ключів) та "Верба-О" (система симетричних ключів). Ці криптоядра забезпечують процедури шифрування даних відповідно до вимог ГОСТ 28147-89 "Системи обробки інформації".

Захист криптографічний" та цифровий підписвідповідно до вимог ГОСТ Р34.10-94 "Інформаційна технологія. Криптографічний захист інформації. Процедури вироблення та перевірки електронного цифрового підпису на базі асиметричного криптографічного алгоритму".

Кошти, що входять до комплексу СКЗІ, дозволяють захищати електронні документита інформаційні потоки з використанням сертифікованих механізмів шифрування та електронного підпису практично у всіх сучасних інформаційних технологіях, у тому числі дозволяють здійснювати: використання СКЗІ в автономному режимі;

захищений інформаційний обміну режимі off-line; захищений інформаційний обмін у режимі on-line; захищений гетерогенний, тобто. змішаний, інформаційний обмін.

Для вирішення системних питань застосування СКЗІ під керівництвом Д. А. Старовойтова розроблено технологію комплексного криптографічного захисту інформації "Витязь", яка передбачає криптографічний захист даних одразу у всіх частинах системи: не тільки в каналах зв'язку та вузлах системи, а й безпосередньо на робочих місцях користувачів у процесі створення документа, коли захищається сам документ. Крім того, в рамках загальної технології "Вітязь" передбачена спрощена, легко доступна користувачам технологія вбудовування ліцензованих СКЗІ в різні прикладні системи, що робить широким коло використання цих СКЗІ.

Нижче наведено опис засобів і засобів захисту для кожного з перерахованих режимів.

Використання СКЗІ в автономному режимі.

При автономній роботі з СКЗІ можуть бути реалізовані такі види криптографічного захисту: створення захищеного документа; захист файлів;

створення захищеної файлової системи; створення захищеного логічного диска За бажанням користувача можуть бути реалізовані такі види криптографічного захисту документів (файлів):

шифрування документа (файлу), що робить недоступним його зміст як із зберіганні документа (файлу), і за його передачі каналами зв'язку чи нарочным;

вироблення імітівставки, що забезпечує контроль цілісності документа (файлу);

формування ЕЦП, що забезпечує контроль цілісності документа (файлу) та автентифікацію особи, яка підписала документ (файл).

В результаті документ (файл), що захищається, перетворюється на зашифрований файл, що містить, при необхідності, ЕЦП. ЕЦП, залежно від організації процесу обробки інформації, може бути представлена і окремим документом, що підписується файлом. Далі цей файл може бути виведений на дискету або інший носій, для доставки нарочним, або відправлений по будь-якій доступній електронній пошті, наприклад, через Інтернет.

Відповідно до отримання зашифрованого файлу електронною поштою або на тому чи іншому носії виконані дії з криптографічного захисту здійснюються у зворотному порядку (розшифрування, перевірка імітівставки, перевірка ЕЦП).

Для здійснення автономної роботиіз СКЗІ можуть бути використані такі сертифіковані засоби:

текстовий редактор "Лексикон-Верба", реалізований на основі СКЗІ "Верба-О" та СКЗІ "Верба";

програмний комплекс СКЗІ "Автономне робоче місце", реалізований на основі СКЗІ "Верба" та "Верба-О" для ОС Windows 95/98/NT;

криптографічний дисковий драйвер PTS DiskGuard.

Захищений текстовий процесор "Лексикон-Верба".

Система "Лексикон-Верба" - це повнофункціональний текстовий редактор із підтримкою шифрування документів та електронного цифрового підпису. Для захисту документів у ньому використовуються криптографічні системи "Верба" та "Верба-О". Унікальність цього продукту полягає в тому, що функції шифрування та підпису тексту просто включені до складу функцій сучасного текстового редактора. Шифрування і підпис документа у разі зі спеціальних процесів перетворюються просто на стандартні дії під час роботи з документом.

При цьому система Лексікон-Верба виглядає як звичайний текстовий редактор. Можливості форматування тексту включають повне налаштуванняшрифтів та параграфів документа; таблиці та списки; колонтитули, виноски, врізання; використання стилів та багато інших функцій текстового редактора, що відповідає сучасним вимогам. "Лексикон-Верба" дозволяє створювати та редагувати документи у форматах Лексикон, RTF, MS Word 6/95/97, MS Write.

Автономне робоче місце.

СКЗІ "Автономне робоче місце" реалізовано на основі СКЗІ "Верба" та "Верба-О" для ОС Windows 95/98/NT і дозволяє користувачеві в діалоговому режимі виконувати такі функції:

шифрування/розшифрування файлів на ключах; шифрування/розшифрування файлів на паролі; проставлення/зняття/перевірка електронно-цифрових підписів (ЕЦП) під файлами;

перевірку шифрованих файлів;

проставлення ЕЦП + шифрування (за одну дію) файлів; розшифрування + зняття ЕЦП (за одну дію) під файлами;

обчислення хеш-файлу.

СКЗІ "Автономне робоче місце" доцільно застосовувати для повсякденної роботи працівників, яким необхідно забезпечити:

передачу конфіденційної інформації в електронному виглядіумисним або кур'єром;

надсилання конфіденційної інформації через мережу загального користування, включаючи Інтернет;

захист від несанкціонованого доступу до конфіденційної інформації персональних комп'ютерахспівробітників.

У вимогах безпеки інформації при проектуванні інформаційних систем вказуються ознаки, що характеризують застосовувані засоби захисту інформації. Вони визначені різними актами регуляторів у сфері забезпечення інформаційної безпеки, зокрема - ФСТЕК та ФСБ Росії. Які класи захищеності бувають, типи та види засобів захисту, а також де про це дізнатися докладніше, відображено у статті.

Вступ

Сьогодні питання забезпечення інформаційної безпеки є предметом пильної уваги, оскільки технології, що впроваджуються повсюдно, без забезпечення інформаційної безпеки стають джерелом нових серйозних проблем.

Про серйозність ситуації повідомляє ФСБ Росії: сума збитків, завданих зловмисниками за кілька років по всьому світу, склала від $300 млрд до $1 трлн. За відомостями, поданими Генеральним прокурором РФ, лише за перше півріччя 2017 р. у Росії кількість злочинів у сфері високих технологійзбільшилась у шість разів, загальна сума збитків перевищила $18 млн. Зростання цільових атак у промисловому секторі у 2017 р. відзначено по всьому світу. Зокрема, в Росії приріст кількості атак до 2016 р. становив 22 %.

Інформаційні технології стали застосовуватися як зброя у військово-політичних, терористичних цілях, для втручання у внутрішні справи суверенних держав, а також для скоєння інших злочинів. Росія виступає за створення системи міжнародної інформаційної безпеки.

На території Російської Федераціївласники інформації та оператори інформаційних систем зобов'язані блокувати спроби несанкціонованого доступу до інформації, а також здійснювати моніторинг стану захищеності ІТ-інфраструктури на постійній основі. При цьому захист інформації забезпечується за рахунок вжиття різних заходів, включаючи технічні.

Засоби захисту інформації, або СЗІ забезпечують захист інформації в інформаційних системах, що по суті є сукупністю інформації, що зберігається в базах даних, інформаційні технології, що забезпечують її обробку, та технічних засобів.

Для сучасних інформаційних систем характерне використання різних апаратно-програмних платформ, територіальна розподіл компонентів, а також взаємодія з відкритими мережами передачі даних.

Як захистити інформацію за таких умов? Відповідні вимоги пред'являють уповноважені органи, зокрема, ФСТЕК та ФСБ Росії. У рамках статті намагатимемося відобразити основні підходи до класифікації СЗІ з урахуванням вимог зазначених регуляторів. Інші методи опису класифікації СЗІ, відбиті у нормативних документах російських відомств, і навіть зарубіжних організацій та агентств, виходять за межі цієї статті і далі не розглядаються.

Стаття може бути корисна початківцям у галузі інформаційної безпеки як джерело структурованої інформації про способи класифікації СЗІ на підставі вимог ФСТЕК Росії (переважно) і, коротко, ФСБ Росії.

Структурою, що визначає порядок та координує дії забезпечення некриптографічними методами ІБ, є ФСТЕК Росії (раніше - Державна технічна комісія при Президентові Російської Федерації, Держтехкомісія).

Якщо читачеві доводилося бачити Державний реєстр сертифікованих засобів захисту інформації, який формує ФСТЕК Росії, то він безумовно звертав увагу на наявність в описовій частині призначення СЗІ таких фраз, як клас РД СВТ, рівень відсутності НДВ тощо (рисунок 1) .

Малюнок 1. Фрагмент реєстру сертифікованих СЗІ

Класифікація криптографічних засобів захисту інформації

ФСБ Росії визначено класи криптографічних СЗІ: КС1, КС2, КС3, КВ та КА.

До основних особливостей СЗІ класу КС1 належить їхня можливість протистояти атакам, що проводяться з-за меж контрольованої зони. При цьому мається на увазі, що створення способів атак, їх підготовка та проведення здійснюється без участі фахівців у галузі розробки та аналізу криптографічних СЗІ. Передбачається, що інформацію про систему, у якій застосовуються зазначені СЗІ, можна отримати з відкритих джерел.

Якщо криптографічне СЗІ може протистояти атакам, блокованим засобами класу КС1, а також проведеним у межах контрольованої зони, таке СЗІ відповідає класу КС2. При цьому допускається, наприклад, що при підготовці атаки могла стати доступною інформація про фізичні заходи захисту інформаційних систем, забезпечення контрольованої зони та ін.

У разі можливості протистояти атакам за наявності фізичного доступу до засобів обчислювальної техніки із встановленими криптографічними СЗІ говорять про відповідність таких засобів класу КС3.

Якщо криптографічне СЗІ протистоїть атакам, при створенні яких брали участь фахівці у галузі розробки та аналізу зазначених засобів, у тому числі науково-дослідні центри, була можливість проведення лабораторних досліджень засобів захисту, то йдеться про відповідність класу КВ.

Якщо до розробки способів атак залучалися фахівці в галузі використання НДВ системного програмного забезпечення, була доступна відповідна конструкторська документація і був доступ до будь-яких апаратних компонентів криптографічних СЗІ, захист від таких атак можуть забезпечувати засоби класу КА.

Класифікація засобів захисту електронного підпису

Засоби електронного підпису залежно від здібностей протистояти атакам прийнято зіставляти з такими класами: КС1, КС2, КС3, КВ1, КВ2 та КА1. Ця класифікація аналогічна розглянутій вище щодо криптографічних СЗІ.

Висновки

У статті було розглянуто деякі способи класифікації СЗІ у Росії, основу яких становить нормативна база регуляторів у сфері захисту. Розглянуті варіанти класифікації є вичерпними. Проте сподіваємося, що представлена зведена інформація дозволить швидше орієнтуватися початківцю в галузі забезпечення ІБ.

Користування криптографічних засобів захисту (СКЗІ) тема дуже неоднозначна та слизька. Тим не менш, у Оператора ПДн є таке право у разі актуальних загроз застосувати СКЗІ для забезпечення захисту. Тільки от не завжди зрозуміло, як використовувати це право. І ось ФСБ полегшує життя, у світ вийшов документ методичні рекомендації застосовний як державних ІВ і всіма іншими Операторами ПДн. Розглянемо цей документ докладніше.

І так це сталося, 8-й Центр ФСБ виклав описує рекомендації у сфері розробки нормативно-правових актів захисту ПДн. Одночасно цим же документом рекомендується користуватися операторам ІСПД при розробці приватних моделей загроз.

То що думає ФСБ у тому, як і де потрібно застосовувати СКЗИ?

Досить важливо, що даний документопубліковано лише на сайті ФСБ,не має реєстраціїу Мін'юсті тане несе нічиєї підписі— тобто його юридична значимість та обов'язковість залишається лише у рамках рекомендацій. Про це важливо пам'ятати.

Давайте заглянемо всередину, у преамбулі документа визначається, що рекомендації «для федеральних органіввиконавчої влади… інших державних органів… які… приймають нормативні правові акти, в яких визначають загрози безпеці персональних даних, актуальні при обробці персональних даних в інформаційних системах персональних даних (далі – ІСПДн), що експлуатуються під час здійснення відповідних видів діяльності». Тобто. явно дається відсилання до державних інформаційних систем.

Однак одночасно цими ж нормами «доцільно також керуватися при розробці. приватних моделей погрозоператорам інформаційних систем персональних даних, які ухвалили рішення про використання коштів криптографічного захисту інформації(Далі – СКЗІ) для забезпечення безпеки персональних даних». Тобто. документ стає універсальним для всіх користувачів.

Коли ж потрібно використовувати СКЗІ?

Використання СКЗІ для забезпечення безпеки персональних даних необхідне у таких випадках:

якщо персональні дані підлягають криптографічного захисту відповідно до законодавства Російської Федерації;

якщо в інформаційної системиіснують загрози, які можуть бути нейтралізовані лише за допомогою СКЗД.

передача персональних даних каналами зв'язку, не захищеними від перехоплення порушником інформації, що передається по них, або від несанкціонованих впливів на цю інформацію (наприклад, при передачі персональних даних по інформаційно-телекомунікаційним мережам загального користування);

зберігання персональних даних на носіях інформації, несанкціонований доступ до яких з боку порушника не може бути виключено за допомогою некриптографічних методів та способів.

І ось до чого ми приходимо. Якщо другий пункт так само досить логічний, то перший не такий очевидний. Справа в тому, що згідно з поточною редакцією закону «Про персональні дані» ім'я, прізвище та по батьковівже є персональними даними. Відповідно, будь-яке листування або реєстрація на сайті (з урахуванням того, скільки даних зараз вимагають при реєстрації) потрапляють формально під це визначення.

Але, як кажуть, немає правил без винятку. Наприкінці документа є дві таблиці. Наведемо лише один рядок Додатки №1.

Актуальна загроза:

1.1. проведення атаки під час перебування у межах контрольованої зони.

Обґрунтування відсутності (список трохи скорочено):

співробітники, які є користувачами ІСПДн, але не є користувачами СКЗІ, поінформовані про правила роботи в ІСПДн та відповідальність за недотримання правил забезпечення безпеки інформації;

користувачі СКЗІ поінформовані про правила роботи в ІСПДн, правила роботи з СКЗІ та відповідальність за недотримання правил забезпечення безпеки інформації;

приміщення, в яких розташовуються СКЗІ, оснащені вхідними дверима із замками, забезпечення постійного закриття дверей приміщень на замок та їх відкриття лише для санкціонованого проходу;

затверджено правила доступу до приміщень, де розташовуються СКЗІ, у робочий та неробочий час, а також у позаштатних ситуаціях;

затверджено перелік осіб, які мають право доступу до приміщень, де розташовуються СКЗІ;

здійснюється розмежування та контроль доступу користувачів до ресурсів, що захищаються;

здійснюється реєстрація та облік дій користувачів з ПДн;

на АРМ та серверах, на яких встановлені СКЗІ:
використовуються сертифіковані засоби захисту від несанкціонованого доступу;

використовуються сертифіковані засоби антивірусного захисту.

Тобто, якщо користувачі поінформовані про правила та відповідальність, а й заходи захисту застосовуються, то виходить і турбуватися нема про що.

для забезпечення безпеки персональних даних при їх обробці в ІСПДН повинні використовуватись СКЗІ, які пройшли в установленому порядку процедуру оцінки відповідності.

Щоправда, трохи нижче говориться, що список сертифікованих СКЗІ можна знайти на сайті ЦЛСЗ ФСБ. Про те, що оцінка відповідності не є сертифікацією, йшлося неодноразово.

у разі відсутності процедури оцінки відповідності СКЗІ, що пройшли в установленому порядку… на етапі аванпроекту або ескізного (ескізно-технічного) проекту розробником інформаційної системи за участю оператора (уповноваженої особи) та передбачуваного розробника СКЗІ готується обґрунтування доцільності розробки функціональним вимогам до СКЗІ властивостям.

Це справді тішить. Справа в тому що сертифікаціяпроцес дуже тривалий – до півроку та більше. Найчастіше клієнти використовують новітні ОС, які не підтримуються сертифікованою версією. Відповідно до цього документа, клієнти можуть використовувати продукти, що знаходяться в процесі сертифікації.

У документі зазначається, що:

При використанні каналів (ліній) зв'язку, з яких неможливе перехоплення інформації, що передається по ним, і (або) в яких неможливе здійснення несанкціонованих впливів на цю інформацію, при загальному описіінформаційних систем необхідно зазначати:

опис методів та способів захисту цих каналів від несанкціонованого доступу до них;

висновки за результатами досліджень захищеності цих каналів (ліній) зв'язку від несанкціонованого доступу до захищеної інформації, що передається по них, організацією, що має право проводити такі дослідження, з посиланням на документ, в якому містяться ці висновки.

характеристики безпеки (конфіденційність, цілісність, доступність, справжність), які необхідно забезпечувати для персональних даних, що обробляються;

використовувані в кожній підсистемі або в інформаційній системі в цілому канали (лінії) зв'язку, включаючи кабельні системи, та заходи з обмеження несанкціонованого доступу до інформації, що захищається, що передається по цих каналах (ліній) зв'язку, із зазначенням каналів (ліній) зв'язку, в яких неможливий несанкціонований доступ до інформації, що передається по них, і реалізовані для забезпечення цієї якості заходи;

носії інформації, що захищається, використовуються в кожній підсистемі інформаційної системи або в інформаційній системі в цілому (за винятком каналів (ліній) зв'язку).

Однак тут криється маса нюансів: облік та зберігання засобів шифрування, допуски до СКЗІ, регламент їх використання повинні проводитись у суворій відповідності до вимог законодавства.

Порушення правил захисту інформації, згідно зі статтею 13.12 КоАП РФ, може спричинити низку санкцій: штрафи для посадових осіб та організації, а також конфіскацію самих засобів криптозахисту. Наслідком може стати неможливість надіслати електронну звітність або блокування роботи установи у системі обміну даними.

Регулярний контроль використання шифрувальних засобів, які застосовуються для забезпечення безпеки персональних даних (далі ПДн), проводиться на підставі вимог таких нормативних актів:

Федеральний закон від 27.07.2006 № 152-ФЗ "Про персональні дані";
Наказ ФСБ Росії від 10.07.2014 №378;
Інструкція ФАПСІ від 13.06.2001 р. № 152;
та низку інших нормативних документів.

План перевірок ФСБ на рік публікується на офіційному сайті Генеральної прокуратури РФ. Тут будь-яка організація за своїм ІПН або ОГРН може дізнатися про майбутні перевірки в поточному році, їх тривалість та період проведення.

Для того, щоб підготуватися до перевірки ФСБ, необхідно провести низку організаційних заходів, розробити та затвердити документи, пов'язані з роботою із СКЗІ.

Відповіді на такі питання допоможуть систематизувати роботу з підготовки до перевірки та зосередитись на необхідних заходах:

Чи є в організації засоби криптографічного захисту інформації? Чи є документи на їхнє придбання, чи ведеться облік? Якими документами регламентується передача СКЗІ у відчуження та в користування?
Який відділ на підприємстві відповідає за роботу зі СКЗІ, а саме: складання висновків про можливість експлуатації СКЗІ, розробку заходів щодо забезпечення функціонування та безпеки застосовуваних СКЗІ відповідно до умов виданих на них сертифікатів, поекземплярний облік використовуваних СКЗІ, експлуатаційної та технічної документації до них, облік власників конфіденційної інформації, що обслуговуються, контроль за дотриманням умов використання СКЗІ, розслідування та складання висновків за фактами порушення умов використання СКЗІ, розробку схеми організації криптографічного захисту конфіденційної інформації?
Якими документами регламентується створення зазначеного вище відділу, а також якими документами призначаються особи, відповідальні за виконання дій у рамках цього підрозділу?
Чи вироблено регламент обліку та зберігання СКЗД?
Чи затверджені форми журналів обліку СКЗІ? Як вони ведуться?
Чи визначено коло відповідальних осіб та відповідальність у разі порушення правил роботи із СКЗД?
Яким чином здійснюється зберігання та надання доступів ЗЗК?

Усі документи мають бути затверджені керівником чи уповноваженою особою організації, грифів таємності не потрібно, проте документи мають бути призначені лише для співробітників організації та перевіряючих.

Досвід підтримки клієнтів під час перевірок ФСБ дозволив нам виділити найбільш типові блоки, на які звертає увагу контролюючий орган.

1. Організація системи організаційних заходів захисту персональних даних

Що перевіряється		Порада
Область застосування СКЗІ в інформаційних системах персональних даних; Наявність відомчих документів та наказів щодо організації криптографічного захисту	Відомчі документи та накази щодо організації криптографічного захисту інформації	Необхідно послатись на документи, що визначають обов'язкове використанняСКЗІ для обробки та передачі інформації. У частині захисту ПДн у державних системах це 17 та 21 Накази ФСТЕК

Що перевіряється

Порада

Область застосування СКЗІ в інформаційних системах персональних даних;

Наявність відомчих документів та наказів щодо організації криптографічного захисту

Відомчі документи та накази щодо організації криптографічного захисту інформації

Необхідно послатись на документи, що визначають обов'язкове використанняСКЗІ для обробки та передачі інформації. У частині захисту ПДн у державних системах це 17 та 21 Накази ФСТЕК

2. Організація системи криптографічних заходів захисту інформації

3. Дозвільна та експлуатаційна документація

Що перевіряється	Які документи мають бути надані	Порада
наявність необхідних ліцензій для використання СКЗІ в інформаційних системах персональних даних; Наявність сертифікатів відповідності на використовувані СКЗІ; Наявність експлуатаційної документації на СКЗІ (формулярів, правил роботи, керівництво оператора тощо); Порядок обліку СКЗІ, експлуатаційної та технічної документації до них	Ліцензії та сертифікати на використовувані СКЗІ; Експлуатаційна документація на СКЗІ	Які документи маються на увазі: 1) ліцензії на ПЗ, 2) наявність дистрибутивів до цих ліцензій, отриманих законним шляхом,

Що перевіряється

Які документи мають бути надані

Порада

наявність необхідних ліцензій для використання СКЗІ в інформаційних системах персональних даних;

Наявність сертифікатів відповідності на використовувані СКЗІ;

Наявність експлуатаційної документації на СКЗІ (формулярів, правил роботи, керівництво оператора тощо);

Порядок обліку СКЗІ, експлуатаційної та технічної документації до них

Ліцензії та сертифікати на використовувані СКЗІ;

Експлуатаційна документація на СКЗІ

Які документи маються на увазі:

1) ліцензії на ПЗ,

2) наявність дистрибутивів до цих ліцензій, отриманих законним шляхом,

4. Вимоги до обслуговуючого персоналу

Що перевіряється	Які документи мають бути надані	Порада
порядок обліку осіб, допущених до роботи з СКЗІ; Наявність функціональних обов'язків відповідальних користувачів СКЗІ; Укомплектованість штатних посад особовим складом та його достатність для вирішення завдань щодо організації криптографічного захисту інформації; Організація процесу навчання осіб, які використовують СКЗІ	Затверджені списки; документи, що підтверджують функціональні обов'язки працівників; Журнал обліку користувачів криптографічних засобів; Документи, що підтверджують проходження навчання працівників	Необхідно мати такі документи: 1) інструкція по роботі із СКЗІ, 2) призначення внутрішніми наказами відповідальних за роботу із СКЗІ

Що перевіряється

Які документи мають бути надані

Порада

порядок обліку осіб, допущених до роботи з СКЗІ;

Наявність функціональних обов'язків відповідальних користувачів СКЗІ;

Укомплектованість штатних посад особовим складом та його достатність для вирішення завдань щодо організації криптографічного захисту інформації;

Організація процесу навчання осіб, які використовують СКЗІ

Затверджені списки;

документи, що підтверджують функціональні обов'язки працівників;

Журнал обліку користувачів криптографічних засобів;

Документи, що підтверджують проходження навчання працівників

Необхідно мати такі документи:

1) інструкція по роботі із СКЗІ,

2) призначення внутрішніми наказами відповідальних за роботу із СКЗІ

5. Експлуатація СКЗІ

Що перевіряється	Які документи мають бути надані	Порада
Перевірка правильності введення в експлуатацію; Оцінка технічного стану СКЗІ; Дотримання термінів та повноти технічне обслуговування; Перевірка дотримання правил користування СКЗД та порядку поводження з ключовими документами до них	Акти введення СКЗІ в експлуатацію; Журнал поекземплярного обліку СКЗІ; Журнал обліку та видачі носіїв із ключовою інформацією	Необхідно розробити такі документи: 1) акти встановлення СКЗІ, 2) наказ щодо затвердження форм журналів обліку

Що перевіряється

Які документи мають бути надані

Порада

Перевірка правильності введення в експлуатацію;

Оцінка технічного стану СКЗІ;

Дотримання термінів та повноти технічне обслуговування;

Перевірка дотримання правил користування СКЗД та порядку поводження з ключовими документами до них

Акти введення СКЗІ в експлуатацію;

Журнал поекземплярного обліку СКЗІ;

Журнал обліку та видачі носіїв із ключовою інформацією

Необхідно розробити такі документи:

1) акти встановлення СКЗІ,

2) наказ щодо затвердження форм журналів обліку

6. Організаційні заходи

Що перевіряється	Які документи мають бути надані	Порада
Виконання вимог щодо розміщення, спеціального обладнання, охорони та організації режиму у приміщеннях, де встановлені СКЗІ або зберігаються ключові документи до них; Відповідність режиму зберігання СКЗІ і ключової документації вимогам, що висуваються; Оцінка ступеня забезпечення оператора криптокоключами та організація їх доставки; Перевірка наявності інструкції щодо відновлення зв'язку у разі компрометації діючих ключів до СКЗІ	Експлуатаційна документація на СКЗІ; Приміщення, виділені для встановлення СКЗІ та зберігання ключових документів до них; Інструкція на випадок компрометації діючих ключів СКЗІ	1) Виконання вимог Інструкції 152 ФАПСІ. Залежить від конкретних умов, може вимагати монтажу охорони, встановлення штор на вікна, покупки сейфа та ін. 2) Інструкція по роботі із СКЗІ

Що перевіряється

Які документи мають бути надані

Порада

Виконання вимог щодо розміщення, спеціального обладнання, охорони та організації режиму у приміщеннях, де встановлені СКЗІ або зберігаються ключові документи до них;

Відповідність режиму зберігання СКЗІ і ключової документації вимогам, що висуваються;

Оцінка ступеня забезпечення оператора криптокоключами та організація їх доставки;

Перевірка наявності інструкції щодо відновлення зв'язку у разі компрометації діючих ключів до СКЗІ

Експлуатаційна документація на СКЗІ;

Приміщення, виділені для встановлення СКЗІ та зберігання ключових документів до них;

Інструкція на випадок компрометації діючих ключів СКЗІ

1) Виконання вимог Інструкції 152 ФАПСІ. Залежить від конкретних умов, може вимагати монтажу охорони, встановлення штор на вікна, покупки сейфа та ін.

2) Інструкція по роботі із СКЗІ

Усі перелічені вимоги випливають із Регламенту проведення перевірок ФСБ. Конкретні дії проводяться згідно з Наказом ФАПСІ від 13 червня 2001 року №152.

Виконання хоча б частини вимог суттєво підніме можливість пройти всі регламентні процедури без штрафу. Загалом у вимогах немає надмірності, всі дії справді важливі та працюють на захист інтересів організації.

Микита Ярків, керівник групи ліцензування компанії «СКБ Контур», проект «Контур-Безпека»

Коментує...

Олексію, добрий день!
У відповіді 8 Центру нічого не вказано про необхідність використання саме сертифікованих СКЗІ. Але є "Методичні рекомендації..." затверджені керівництвом 8 Центру ФСБ Росії від 31.03.2015 №149/7/2/6-432, в яких є в другій частині такий абзац:

Для забезпечення безпеки персональних даних при їх обробці в ІСПДН повинні використовуватись СКЗІ, які пройшли в установленому порядку процедуру оцінки відповідності. Перелік СКЗІ, сертифікованих ФСБ Росії, опубліковано на офіційному сайті Центру з ліцензування, сертифікації та захисту державної таємниці ФСБ Росії (www.clsz.fsb.ru). Додаткову інформаціюпро конкретні засоби захисту інформації рекомендується отримувати безпосередньо у розробників або виробників цих засобів і, при необхідності, у спеціалізованих організацій, які проводили тематичні дослідження цих засобів;

Чим це не вимога використати сертифіковані СКЗІ?

Є наказ ФСБ Росії від 10.07.2014 №378, в якому в підпункті "г" пункту 5 зазначено: використання засобів захисту інформації, що пройшли процедуру оцінки відповідності вимогам законодавства Російської Федерації в галузі забезпечення безпеки інформації, у разі, коли застосування таких засобів необхідне для нейтралізації актуальних загроз.

Трохи спантеличує ось це "коли застосування таких засобів необхідне для нейтралізації актуальних загроз". Але вся ця необхідність має бути описана у моделі порушника.

Але в цьому випадку знову ж таки в розділі 3 "Методичних рекомендацій..." від 2015 року зазначено, що "При використанні каналів (ліній) зв'язку, з яких неможливе перехоплення інформації, що передається за ними, та (або) в яких неможливе здійснення несанкціонованих впливів на цю інформацію при загальному описі інформаційних систем необхідно вказувати:
- Опис методів та способів захисту цих каналів від несанкціонованого доступу до них;
- висновки за результатами досліджень захищеності цих каналів (ліній) зв'язку від несанкціонованого доступу до захищеної інформації, що передається по них, організацією, що має право проводити такі дослідження, з посиланням на документ, в якому містяться ці висновки."

Я все це до чого - так, немає необхідності використовувати СКЗІ завжди і скрізь при забезпеченні безпеки обробки ПДН. Але для цього потрібно сформувати модель порушника, де все це описати та довести. Про два випадки, коли їх потрібно використовувати Ви писали. Але те, що для забезпечення безпеки обробки ПДН по відкритим каналамзв'язку, або якщо обробка цих ПДН виходить за межі контрольованої зони, можна використовувати несертифіковані СКЗІ - тут не так просто. І може так статися, що простіше використовувати сертифіковані СКЗІ та дотримуватись усіх вимог при їх експлуатації та зберіганні, ніж використовувати несертифіковані засоби та бодатися з регулятором, який бачачи таку ситуацію, дуже намагатиметься тицьнути носом.

Unknown коментує...

Випадок, коли застосування таких засобів необхідне для нейтралізації актуальних загроз: вимога Наказу ФСТЕК Росії № 17 від 11 лютого 2013 р. (вимоги до державних та муніц. ІСПДн),

пункт 11. Для забезпечення захисту інформації, що міститься в інформаційній системі, застосовуються засоби захисту інформації, які пройшли оцінку відповідності у формі обов'язкової сертифікації на відповідність вимогам безпеки інформації відповідно до статті 5 Федерального закону від 27 грудня 2002 р. № 184-ФЗ «Про технічне регулювання».

Олексій Лукацький коментує...

Proximo: рекомендації ФСБ є нелегітимними. 378-й наказ є легітимним, але має розглядатися в контексті всього законодавства, а воно каже, що особливості оцінки відповідності встановлюються Урядом або Президентом. Ні те, ні інше таких НПА не випускали т

Олексій Лукацький коментує...

Антон: у держах вимога сертифікації встановлена законом, 17-й наказ їх просто повторює. А ми про ПДн говоримо

Unknown коментує...

Як нелегітимні? Я про документ від 19.05.2015 №149/7/2/6-432 (http://www.fsb.ru/fsb/science/single.htm!id%3D10437608 %40fsbResearchart.html), але не про документ від 21.02.2008 №149/54-144.

Інший фахівець також раніше робив запит до ФСБ на схожу тему, і йому відповіли, що "Методику..." та "Рекомендації..." ФСБ від 2008 року не потрібно використовувати, якщо Ви говорите про ці документи. Але знову ж таки – офіційно ці документи не скасували. І легітимні ці документи чи ні, гадаю, вирішуватимуть перевіряльники від ФСБ уже на місці під час перевірки.

Закон каже, що треба захищати ПДН. Підзаконні акти від Уряду, ФСБ, ФСТЕК визначають, як саме їх треба захищати. У НПА від ФСБ йдеться: "Використовуйте сертифіковане. Якщо не хочете сертифіковане - доведіть, що можете використовувати таке. І будьте ласкаві - прикладіть висновок на це від фірми, яка має ліцензію на право видачі таких висновків". Якось так...

Олексій Лукацький коментує...

1. Будь-яка рекомендація – це рекомендація, а не обов'язкова до виконання вимога.
2. Методичка 2015-го року не має відношення до операторів ПДН – вона відноситься до держав, які пишуть моделі загроз для підвідомчих установ (з урахуванням п.1).
3. ФСБ не має права проводити перевірки комерційним операторам ПДН, а для держав питання застосування несертифікованих СКЗІ і не варто - вони зобов'язані застосовувати сертифіковані рішення, незалежно від наявності ПДН – це вимоги ФЗ-149.
4. Підзаконні акти говорять як захищати, і це нормально. А ось форму оцінку засобів захисту вони визначати не можуть – це може зробити лише НПА Уряду чи Президента. ФСБ не уповноважено це робити

Unknown коментує...

Відповідно до Постанови 1119:

4. Вибір засобів захисту інформації для системи захисту персональних даних здійснюється оператором відповідно до нормативних правових актів, прийнятих Федеральною службою безпеки Російської Федерації та Федеральною службою з технічного та експортного контролю на виконання частини 4 статті 19 Федерального закону "Про персональні дані".
13.р. Використання засобів захисту інформації, які пройшли процедуру оцінки відповідності вимогам законодавства Російської Федерації у сфері забезпечення безпеки інформації, у разі, коли застосування таких засобів необхідне нейтралізації актуальних загроз.

Яким чином обґрунтувати не актуальність загрози при передачі ПДН через канали оператора зв'язку?

Тобто. якщо не СКЗІ, то мабуть,
- термінальний доступ та тонкі клієнти, але при цьому дані ЗЗІ термінального
доступу мають бути сертифіковані.
- захисту каналів оператором зв'язку, відповідальність оператора зв'язку (провайдера).

Олексій Лукацький коментує...

Неактуальність визначає оператор і ніхто йому для цього не потрібен