Сертифицированные средства криптографической защиты информации (скзи). назначение и области применения скзи
В требованиях по безопасности информации при проектировании информационных систем указываются признаки, характеризующие применяемые средства защиты информации. Они определены различными актами регуляторов в области обеспечения информационной безопасности, в частности - ФСТЭК и ФСБ России. Какие классы защищенности бывают, типы и виды средств защиты, а также где об этом узнать подробнее, отражено в статье.
Введение
Сегодня вопросы обеспечения информационной безопасности являются предметом пристального внимания, поскольку внедряемые повсеместно технологии без обеспечения информационной безопасности становятся источником новых серьезных проблем.
О серьезности ситуации сообщает ФСБ России: сумма ущерба, нанесенная злоумышленниками за несколько лет по всему миру составила от $300 млрд до $1 трлн. По сведениям, представленным Генеральным прокурором РФ, только за первое полугодие 2017 г. в России количество преступлений в сфере высоких технологий увеличилось в шесть раз, общая сумма ущерба превысила $ 18 млн. Рост целевых атак в промышленном секторе в 2017 г. отмечен по всему миру. В частности, в России прирост числа атак по отношению к 2016 г. составил 22 %.
Информационные технологии стали применяться в качестве оружия в военно-политических, террористических целях, для вмешательства во внутренние дела суверенных государств, а также для совершения иных преступлений. Российская Федерация выступает за создание системы международной информационной безопасности.
На территории Российской Федерации обладатели информации и операторы информационных систем обязаны блокировать попытки несанкционированного доступа к информации, а также осуществлять мониторинг состояния защищенности ИТ-инфраструктуры на постоянной основе. При этом защита информации обеспечивается за счет принятия различных мер, включая технические.
Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств.
Для современных информационных систем характерно использование различных аппаратно-программных платформ, территориальная распределенность компонентов, а также взаимодействие с открытыми сетями передачи данных.
Как защитить информацию в таких условиях? Соответствующие требования предъявляют уполномоченные органы, в частности, ФСТЭК и ФСБ России. В рамках статьи постараемся отразить основные подходы к классификации СЗИ с учетом требований указанных регуляторов. Иные способы описания классификации СЗИ, отраженные в нормативных документах российских ведомств, а также зарубежных организаций и агентств, выходят за рамки настоящей статьи и далее не рассматриваются.
Статья может быть полезна начинающим специалистам в области информационной безопасности в качестве источника структурированной информации о способах классификации СЗИ на основании требований ФСТЭК России (в большей степени) и, кратко, ФСБ России.
Структурой, определяющей порядок и координирующей действия обеспечения некриптографическими методами ИБ, является ФСТЭК России (ранее - Государственная техническая комиссия при Президенте Российской Федерации, Гостехкомиссия).
Если читателю приходилось видеть Государственный реестр сертифицированных средств защиты информации , который формирует ФСТЭК России, то он безусловно обращал внимание на наличие в описательной части предназначения СЗИ таких фраз, как «класс РД СВТ», «уровень отсутствия НДВ» и пр. (рисунок 1).
Рисунок 1. Фрагмент реестра сертифицированных СЗИ
Классификация криптографических средств защиты информации
ФСБ России определены классы криптографических СЗИ: КС1, КС2, КС3, КВ и КА.
К основным особенностям СЗИ класса КС1 относится их возможность противостоять атакам, проводимым из-за пределов контролируемой зоны. При этом подразумевается, что создание способов атак, их подготовка и проведение осуществляется без участия специалистов в области разработки и анализа криптографических СЗИ. Предполагается, что информация о системе, в которой применяются указанные СЗИ, может быть получена из открытых источников.
Если криптографическое СЗИ может противостоять атакам, блокируемым средствами класса КС1, а также проводимым в пределах контролируемой зоны, то такое СЗИ соответствует классу КС2. При этом допускается, например, что при подготовке атаки могла стать доступной информация о физических мерах защиты информационных систем, обеспечении контролируемой зоны и пр.
В случае возможности противостоять атакам при наличии физического доступа к средствам вычислительной техники с установленными криптографическими СЗИ говорят о соответствии таких средств классу КС3.
Если криптографическое СЗИ противостоит атакам, при создании которых участвовали специалисты в области разработки и анализа указанных средств, в том числе научно-исследовательские центры, была возможность проведения лабораторных исследований средств защиты, то речь идет о соответствии классу КВ.
Если к разработке способов атак привлекались специалисты в области использования НДВ системного программного обеспечения, была доступна соответствующая конструкторская документация и был доступ к любым аппаратным компонентам криптографических СЗИ, то защиту от таких атак могут обеспечивать средства класса КА.
Классификация средств защиты электронной подписи
Средства электронной подписи в зависимости от способностей противостоять атакам принято сопоставлять со следующими классами: КС1, КС2, КС3, КВ1, КВ2 и КА1. Эта классификация аналогична рассмотренной выше в отношении криптографических СЗИ.
Выводы
В статье были рассмотрены некоторые способы классификации СЗИ в России, основу которых составляет нормативная база регуляторов в области защиты информации. Рассмотренные варианты классификации не являются исчерпывающими. Тем не менее надеемся, что представленная сводная информация позволит быстрее ориентироваться начинающему специалисту в области обеспечения ИБ.
Пользование криптографических средств защиты (СКЗИ) тема весьма неоднозначная и скользкая. Тем немее у Оператора ПДн есть такое право в случае актуальных угроз применить СКЗИ для обеспечения защиты. Только вот не всегда понятно как использовать это право. И вот ФСБ облегчает на жизнь, в свет вышел документ методические рекомендации применимый как для государственных ИС так и всеми остальными Операторами ПДн. Рассмотрим этот документ более подробно.
И так, это случилось, 8-й Центр ФСБ выложил описывающий рекомендации в области разработки нормативно-правовых актов по защите ПДн. Одновременно этим же документом рекомендуется пользоваться операторам ИСПДн при разработке частных моделей угроз.
Так что же думает ФСБ о том, как и где нужно применять СКЗИ?
Достаточно важно, что данный документ опубликован только на сайте ФСБ, не имеет регистрации в Минюсте и не несет ничьей подпис и — то есть его юридическая значимость и обязательность остается только в рамках рекомендаций . Об этом важн помнить.
Давайте заглянем внутрь, в преамбуле документа определяется, что рекомендации «для федеральных органов исполнительной власти… иных государственных органов… которые… принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее – ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности» . Т.е. явно дается отсылка к государственным информационным системам.
Однако, одновременно этими же нормами «целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных». Т.е. документ в таком случае становится универсальным для всех пользователей.
Когда же необходимо использовать СКЗИ?
Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
- если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
- если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
- хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.
И вот к чем мы приходим. Если второй пункт так же достаточно логичен, то вот первый не так очевиден. Дело в том, что согласно текущей редакции закона «О персональных данных» имя, фамилия и отчество уже являются персональными данными. Соответственно любая переписка или регистрация на сайте (с учетом того, сколько данных сейчас требуют при регистрации) попадают формально под это определение.
Но, как говорится, нет правил без исключения. В конце документа есть две таблицы. Приведем лишь одну строку Приложения № 1 .
Актуальная угроза:
1.1. проведение атаки при нахождении в пределах контролируемой зоны.
Обоснование отсутствия (список немного сокращен):
- сотрудники, являющиеся пользователями ИСПДн, но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;
- пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;
- помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;
- утверждены правила доступа в помещения, где располагаются СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
- утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;
- осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;
- осуществляется регистрация и учет действий пользователей с ПДн;
на АРМ и серверах, на которых установлены СКЗИ:
используются сертифицированные средства защиты информации от несанкционированного доступа;- используются сертифицированные средства антивирусной защиты.
То есть, если пользователи проинформированы о правилах и ответственности, а и меры защиты применяются, то получается и беспокоиться не о чем.
- для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия.
Правда чуть ниже говорится, что список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. Про то, что оценка соответствия не есть сертификация, говорилось неоднократно.
- в случае отсутствия прошедших в установленном порядке процедуру оценки соответствия СКЗИ… на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной системы с участием оператора (уполномоченного лица) и предполагаемого разработчика СКЗИ готовится обоснование целесообразности разработки нового типа СКЗИ и определяются требования к его функциональным свойствам.
Это действительно радует. Дело в том, что сертификация процесс очень длительный — до полугода и больше. Зачастую клиенты используют новейшие ОС, не поддерживаемые сертифицированной версией. В соответствии с этим документом клиенты могут использовать продукты, находящиеся в процессе сертификации.
В документе указывается, что:
При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
- описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
- выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы.
Комментирует...
Алексей, добрый день!
В ответе 8-го Центра ничего не указано про необходимость использования именно сертифицированных СКЗИ. Но ведь есть "Методические рекомендации..." утвержденные руководством 8 Центра ФСБ России от 31.03.2015 №149/7/2/6-432, в которых есть во второй части такой абзац:
Для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru). Дополнительную информацию о конкретных средствах защиты информации рекомендуется получать непосредственно у разработчиков или производителей этих средств и, при необходимости, у специализированных организаций, проводивших тематические исследования этих средств;
Чем это не требование использовать сертифицированные СКЗИ?
Есть приказ ФСБ России от 10.07.2014 №378, в котором в подпункте "г" пункта 5 указано: " использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз."
Немного сбивает с толку вот это "когда применение таких средств необходимо для нейтрализации актуальных угроз". Но вся эта необходимость должна быть описана в модели нарушителя.
Но в этом случае опять же в разделе 3 "Методических рекомендаций..." от 2015 года указано, что "При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
- описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
- выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы."
Я всё это к чему - да, нет необходимости использовать СКЗИ всегда и везде при обеспечении безопасности обработки ПДн. Но для этого нужно сформировать модель нарушителя, где всё это описать и доказать. Про два случая, когда нужно их использовать Вы писали. Но то, что для обеспечения безопасности обработки ПДн по открытым каналам связи, или если обработка этих ПДн выходит за границы контролируемой зоны, можно использовать несертифицированные СКЗИ - тут не всё так просто. И может так случиться, что проще использовать сертифицированные СКЗИ и соблюдать все требования при их эксплуатации и хранении, чем использовать несертифицированные средства и бодаться с регулятором, который видя такую ситуацию, будет очень стараться ткнуть носом.
Unknown комментирует...Cлучай, когда применение таких средств необходимо для нейтрализации актуальных угроз: требование Приказа ФСТЭК России № 17 от 11 февраля 2013 г. (требования к государственными и муниц. ИСПДн),
пункт 11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
Алексей Лукацкий комментирует...Proximo: рекомендации ФСБ нелегитимны. 378-й приказ легитимен, но должен рассматриваться в контексте всего законодательства, а оно говорит, что особенности оценки соответствия устанавливаются Правительством или Президентом. Ни то, ни другой таких НПА не выпускали т
Алексей Лукацкий комментирует...Антон: в госах требование сертификации установлено законом, 17-й приказ их просто повторяет. А мы про ПДн говорим
Unknown комментирует...Алексей Лукацкий: №рекомендации ФСБ нелегитимны" Как нелегитимны? Я про документ от 19.05.2015 №149/7/2/6-432 (http://www.fsb.ru/fsb/science/single.htm!id%3D10437608%40fsbResearchart.html), но не про документ от 21.02.2008 №149/54-144.
Другой специалист также ранее делал запрос в ФСБ по похожей теме, и ему ответили, что "Методику..." и "Рекомендации..." ФСБ от 2008 года не нужно использовать, если Вы говорите про эти документы. Но опять же - официально эти документы не отменили. И легитимны эти документы или нет, полагаю, будут решать проверяющие от ФСБ уже на месте в ходе проверки.
Закон говорит, что нужно защищать ПДн. Подзаконные акты от Правительства, ФСБ, ФСТЭК определяют, как именно нужно их защищать. В НПА от ФСБ говорится: "Используйте сертифицированное. Если не хотите сертифицированное - докажите, что можете использовать такое. И будьте добры - приложите заключение на это от фирмы, у которой есть лицензия на право выдачи таких заключений". Как-то так...
Алексей Лукацкий комментирует...1. Любая рекомендация - это рекомендация, а не обязательное к исполнению требование.
2. Методичка 2015-го года не имеет отношения к операторам ПДн - она относится к госам, которые пишут модели угроз для подведомственных учреждений (с учетом п.1).
3. ФСБ не имеет права проводить проверки коммерческим операторов ПДн, а для госов вопрос применения несертифицированных СКЗИ и не стоит - они обязаны применять сертифицированные решения, независимо от наличия ПДн - это требования ФЗ-149.
4. Подзаконные акты говорят как защищать и это нормально. А вот форму оценку средств защиты они определять не могут - это может сделать только НПА Правительства или Президента. ФСБ не уполномочено это делать
В соответствии с Постановлением 1119:
4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
13.г. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Каким образом обосновать не актуальность угрозы при передачи ПДн через каналы оператора связи?
Т.е. если не СКЗИ, то видимо,
- терминальный доступ и тонкие клиенты, но при этом данные СЗИ терминального
доступа должны быть сертифицированы.
- защиты каналов оператором связи, ответственность на оператора связи (провайдера).
Неактуальность определяет оператор и никто ему для этого не нужен
Основными задачами защиты информации при ее хранении, обработке и передаче по каналам связи и на различных носителях, решаемыми с помощью СКЗИ, являются: 1.Обеспечение секретности (конфиденциальности) информации. 2.
Обеспечение целостности информации. 3.
Подтверждение подлинности информации (документов). Для решения этих задач необходима реализация следующих
процессов: 1.
Реализация собственно функций защиты информации, включая:
шифрование/расшифрование; создание/проверка ЭЦП; создание/проверка имитовставки. 2.
Контроль состояния и управление функционированием средств КЗИ (в системе):
контроль состояния: обнаружение и регистрация случаев нарушения работоспособности средств КЗИ, попыток НСД, случаев компрометации ключей;
управление функционированием: принятие мер в случае перечисленных отклонений от нормального функционирования средств КЗИ. 3.
Проведение обслуживания средств КЗИ: осуществление ключевого управления;
выполнение процедур, связанных с подключением новых абонентов сети и/или исключением выбывших абонентов; устранение выявленных недостатков СКЗИ; ввод в действие новых версий программного обеспечения СКЗИ;
модернизация и замена технических средств СКЗИ на более совершенные и/или замена средств, ресурс которых выработан.
Ключевое управление является одной из важнейших функций криптографической защиты информации и заключается в реализации следующих основных функций:
генерация ключей: определяет механизм выработки ключей или пар ключей с гарантией их криптографических качеств;
распределение ключей: определяет механизм, по которому ключи надежно и безопасно доставляются абонентам;
сохранение ключей: определяет механизм, по которому ключи надежно и безопасно сохраняются для дальнейшего их использования;
восстановление ключей: определяет механизм восстановления одного из ключей (замена на новый ключ);
уничтожение ключей: определяет механизм, по которому производится надежное уничтожение вышедших из употребления ключей;
ключевой архив: механизм, по которому ключи могут надежно сохраняться для их дальнейшего нотаризованного восстановления в конфликтных ситуациях.
В целом для реализации перечисленных функций криптографической защиты информации необходимо создание системы криптографической защиты информации, объединяющей собственно средства КЗИ, обслуживающий персонал, помещения, оргтехнику, различную документацию (техническую, нормативно-распорядительную) и т.д.
Как уже отмечалось, для получения гарантий защиты информации необходимо применение сертифицированных средств КЗИ.
В настоящее время наиболее массовым является вопрос защиты конфиденциальной информации. Для решения этого вопроса под эгидой ФАПСИ разработан функционально полный комплекс средств криптографической защиты конфиденциальной информации, который позволяет решить перечисленные задачи по защите информации для самых разнообразных приложений и условий применения.
В основу этого комплекса положены криптографические ядра "Верба" (система несимметричных ключей) и "Верба-О" (система симметричных ключей). Эти криптоядра обеспечивают процедуры шифрования данных в соответствии с требованиями ГОСТ 28147-89 "Системы обработки информации.
Защита криптографическая" и цифровой подписи в соответствии с требованиями ГОСТ Р34.10-94 "Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма".
Средства, входящие в комплекс СКЗИ, позволяют защищать электронные документы и информационные потоки с использованием сертифицированных механизмов шифрования и электронной подписи практически во всех современных информационных технологиях, в том числе позволяют осуществлять: использование СКЗИ в автономном режиме;
защищенный информационный обмен в режиме off-line; защищенный информационный обмен в режиме on-line; защищенный гетерогенный, т.е. смешанный, информационный обмен.
Для решения системных вопросов применения СКЗИ под руководством Д. А. Старовойтова разработана технология комплексной криптографической защиты информации "Витязь", которая предусматривает криптографическую защиту данных сразу во всех частях системы: не только в каналах связи и узлах системы, но и непосредственно на рабочих местах пользователей в процессе создания документа, когда защищается и сам документ. Кроме того, в рамках общей технологии "Витязь" предусмотрена упрощенная, легко доступная пользователям технология встраивания лицензированных СКЗИ в различные прикладные системы, что делает весьма широким круг использования этих СКЗИ.
Ниже следует описание средств и способов защиты для каждого из перечисленных режимов.
Использование СКЗИ в автономном режиме.
При автономной работе с СКЗИ могут быть реализованы следующие виды криптографической защиты информации: создание защищенного документа; защита файлов;
создание защищенной файловой системы; создание защищенного логического диска. По желанию пользователя могут быть реализованы следующие виды криптографической защиты документов (файлов):
шифрование документа (файла), что делает недоступным его содержание как при хранении документа (файла), так и при его передаче по каналам связи либо нарочным;
выработка имитовставки, что обеспечивает контроль целостности документа (файла);
формирование ЭЦП, что обеспечивает контроль целостности документа (файла) и аутентификацию лица, подписавшего документ (файл).
В результате защищаемый документ (файл) превращается в зашифрованный файл, содержащий, при необходимости, ЭЦП. ЭЦП, в зависимости от организации процесса обработки информации, может быть представлена и отдельным от подписываемого документа файлом. Далее этот файл может быть выведен на дискету или иной носитель, для доставки нарочным, либо отправлен по любой доступной электронной почте, например по Интернет.
Соответственно по получению зашифрованного файла по электронной почте либо на том или ином носителе выполненные действия по криптографической защите производятся в обратном порядке (расшифрование, проверка имитовставки, проверка ЭЦП).
Для осуществления автономной работы с СКЗИ могут быть использованы следующие сертифицированные средства:
текстовый редактор "Лексикон-Верба", реализованный на основе СКЗИ "Верба-О" и СКЗИ "Верба";
программный комплекс СКЗИ "Автономное рабочее место", реализованный на основе СКЗИ "Верба" и "Верба-О" для ОС Windows 95/98/NT;
криптографический дисковый драйвер PTS "DiskGuard".
Защищенный текстовый процессор "Лексикон-Верба".
Система "Лексикон-Верба" - это полнофункциональный текстовый редактор с поддержкой шифрования документов и электронной цифровой подписи. Для защиты документов в нем используются криптографические системы "Верба" и "Верба-О". Уникальность этого продукта состоит в том, что функции шифрования и подписи текста просто включены в состав функций современного текстового редактора. Шифрование и подпись документа в этом случае из специальных процессов превращаются просто в стандартные действия при работе с документом.
При этом система "Лексикон-Верба" выглядит как обычный текстовый редактор. Возможности форматирования текста включают полную настройку шрифтов и параграфов документа; таблицы и списки; колонтитулы, сноски, врезки; использование стилей и многие другие функции текстового редактора, отвечающего современным требованиям. "Лексикон-Верба" позволяет создавать и редактировать документы в форматах Лексикон, RTF, MS Word 6/95/97, MS Write.
Автономное рабочее место.
СКЗИ "Автономное рабочее место" реализовано на основе СКЗИ "Верба" и "Верба-О" для ОС Windows 95/98/NT и позволяет пользователю в диалоговом режиме выполнять следующие функции:
шифрование /расшифрование файлов на ключах; шифрование/расшифрование файлов на пароле; проставление/снятие/проверка электронно-цифровых подписей (ЭЦП) под файлами;
проверку шифрованных файлов;
проставление ЭЦП + шифрование (за одно действие) файлов; расшифрование + снятие ЭЦП (за одно действие) под файлами;
вычисление хэш-файла.
СКЗИ "Автономное рабочее место" целесообразно применять для повседневной работы сотрудников, которым необходимо обеспечить:
передачу конфиденциальной информации в электронном виде нарочным или курьером;
отправку конфиденциальной информации по сети общего пользования, включая Интернет;
защиту от несанкционированного доступа к конфиденциальной информации на персональных компьютерах сотрудников.
Однако здесь кроется масса нюансов: учет и хранение средств шифрования, допуски к СКЗИ, регламент их использования должны проводиться в строгом соответствии с требованиями законодательства.
Нарушение правил защиты информации, согласно статье 13.12 КоАП РФ, может повлечь ряд санкций: штрафы для должностных лиц и организации, а также конфискацию самих средств криптозащиты. Следствием может стать невозможность отправить электронную отчетность или блокировка работы учреждения в системе обмена данными.
Регулярный контроль использования шифровальных средств, применяемых для обеспечения безопасности персональных данных (далее ПДн), проводится на основании требований следующих нормативных актов:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Приказ ФСБ России от 10.07.2014 № 378;
- Инструкция ФАПСИ от 13.06.2001 № 152;
- и ряд других нормативных документов.
План проверок ФСБ на год публикуется на официальном сайте Генеральной прокуратуры РФ . Здесь любая организация по своему ИНН или ОГРН может узнать о предстоящих проверках в текущем году, их длительности и периоде проведения.
Для того чтобы подготовиться к проверке ФСБ, необходимо провести ряд организационных мер, разработать и утвердить документы, связанные с работой с СКЗИ.
Ответы на следующие вопросы помогут систематизировать работу по подготовке к проверке и сосредоточиться на необходимых мерах:
- Есть ли в организации средства криптографической защиты информации? Есть ли документы на их приобретение, ведется ли учет? Какими документами регламентируется передача СКЗИ в отчуждение и в пользование?
- Какой отдел на предприятии отвечает за работу с СКЗИ, а именно: составление заключений о возможности эксплуатации СКЗИ, разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним, учет обслуживаемых обладателей конфиденциальной информации, контроль за соблюдением условий использования СКЗИ, расследование и составление заключений по фактам нарушения условий использования СКЗИ, разработку схемы организации криптографической защиты конфиденциальной информации?
- Какими документами регламентируется создание обозначенного выше отдела, а также какими документами назначаются лица, ответственные за выполнение действий в рамках данного подразделения?
- Выработан ли регламент учета и хранения СКЗИ?
- Утверждены ли формы журналов учета СКЗИ?Как они ведутся?
- Определен ли круг ответственных лиц и ответственность в случае нарушения правил работы с СКЗИ?
- Каким образом производится хранение и предоставление доступак СЗКИ?
Все документы должны быть утверждены руководителем либо уполномоченным лицом организации, грифов секретности не требуется, однако документы должны быть предназначены только для сотрудников организации и проверяющих.
Опыт поддержки клиентов в ходе проверок ФСБ позволил нам выделить наиболее типичные блоки, на которые обращает внимание контролирующий орган.
1. Организация системы организационных мер защиты персональных данных
|
Что проверяется |
Совет | |
|---|---|---|
|
Область применения СКЗИ в информационных системах персональных данных; Наличие ведомственных документов и приказов по организации криптографической защиты |
Ведомственные документы и приказы по организации криптографической защиты информации | Необходимо сослаться на документы, определяющие обязательное использование СКЗИ для обработки и передачи информации. В части защиты ПДн в государственных системах это 17 и 21 Приказы ФСТЭК |
2. Организация системы криптографических мер защиты информации
3. Разрешительная и эксплуатационная документация
|
Что проверяется |
Какие документы должны быть предоставлены | Совет |
|---|---|---|
|
Наличие необходимых лицензий для использования СКЗИ в информационных системах персональных данных; Наличие сертификатов соответствия на используемые СКЗИ; Наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководство оператора и т п.); Порядок учета СКЗИ, эксплуатационной и технической документации к ним |
Лицензии и сертификаты на используемые СКЗИ; Эксплуатационная документация на СКЗИ |
Какие документы имеются в виду: 1) лицензии на ПО, 2) наличие дистрибутивов к этим лицензиям, полученных законным путем, |
4. Требования к обслуживающему персоналу
|
Что проверяется |
Какие документы должны быть предоставлены | Совет |
|---|---|---|
|
Порядок учета лиц, допущенных к работе с СКЗИ; Наличие функциональных обязанностей ответственных пользователей СКЗИ; Укомплектованность штатных должностей личным составом и его достаточность для решения задач по организации криптографической защиты информации; Организация процесса обучения лиц, использующих СКЗИ |
Утвержденные списки; Документы, подтверждающие функциональные обязанности сотрудников; Журнал учета пользователей криптографических средств; Документы, подтверждающие прохождение обучения сотрудников |
Необходимо иметь следующие документы: 1) инструкция по работе с СКЗИ, 2) назначение внутренними приказами ответственных за работу с СКЗИ |
5. Эксплуатация СКЗИ
|
Что проверяется |
Какие документы должны быть предоставлены | Совет |
|---|---|---|
|
Проверка правильности ввода в эксплуатацию; Оценка технического состояния СКЗИ; Соблюдение сроков и полноты технического обслуживания; Проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним |
Акты ввода СКЗИ в эксплуатацию; Журнал поэкземплярного учета СКЗИ; Журнал учета и выдачи носителей с ключевой информацией |
Необходимо разработать следующие документы: 1) акты установки СКЗИ, 2) приказ по утверждению форм журналов учета |
6. Организационные меры
|
Что проверяется |
Какие документы должны быть предоставлены | Совет |
|---|---|---|
|
Выполнение требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним; Соответствие режима хранения СКЗИ и ключевой документации предъявляемым требованиям; Оценка степени обеспечения оператора криптоключами и организация их доставки; Проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ |
Эксплуатационная документация на СКЗИ; Помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним; Инструкция на случай компрометации действующих ключей СКЗИ |
1) Выполнение требования Инструкции 152 ФАПСИ. Зависит от конкретных условий, может потребовать монтажа охраны, установки штор на окна, покупки сейфа и пр. 2) Инструкция по работе с СКЗИ |
Все перечисленные требования вытекают из Регламента проведения проверок ФСБ. Конкретные действия проводятся согласно Приказу ФАПСИ от 13 июня 2001 года №152.
Выполнение хотя бы части требований существенно поднимет вероятность пройти все регламентные процедуры без штрафа. В целом в требованиях нет избыточности, все действия действительно важны и работают на защиту интересов организации.
Никита Ярков , руководитель группы лицензирования компании «СКБ Контур», проект «Контур-Безопасность»
Windows PhoneSony Xperia Z, Z1, Z2, Z3, Z5 — как не запутаться, перечисляя модификации смартфонов, выпущенные за последние 3 года? И это не считая версий вроде Compact, Ultra или Premium, которые тоже существуют в линейке японской марки. Чтобы жить было интереснее и
Любой пользователь интернета, использует возможности интернета по своим нуждам, кому-то он нужен для развлечений, кому-то для связи с друзьями, родными и близкими людьми, а кто-то приходит сюда для того чтобы зарабатывать, а возможно и для того, чтобы вес
Добрый день.Аккумуляторная батарея есть абсолютно в каждом ноутбуке (без нее немыслимо представить себе мобильное устройство).Случается иногда так, что она перестает заряжаться: и вроде бы ноутбук подключен к сети, и все светодиоды на корпусе моргают, да
