четверг, 25 февраля 2016 г.

Применение сертифицированных СКЗИ - точка зрения ФСБ

Пользование криптографических средств защиты (СКЗИ) тема весьма неоднозначная и скользкая. Тем немее у Оператора ПДн есть такое право в случае актуальных угроз применить СКЗИ для обеспечения защиты. Только вот не всегда понятно как использовать это право. И вот ФСБ облегчает на жизнь, в свет вышел документ методические рекомендации применимый как для государственных ИС так и всеми остальными Операторами ПДн. Рассмотрим этот документ более подробно.

И так, это случилось, 8-й Центр ФСБ выложил  документ описывающий рекомендации в области разработки нормативно-правовых актов по защите ПДн. Одновременно этим же документом рекомендуется пользоваться операторам ИСПДн при разработке частных моделей угроз.


Так что же думает ФСБ о том, как и где нужно применять СКЗИ?


Достаточно важно, что данный документ опубликован только на сайте ФСБ, не имеет регистрации в Минюсте и не несет ничьей подписи — то есть его юридическая значимость и обязательность остается только в рамках рекомендаций. Об этом важн помнить.


Давайте заглянем внутрь, в преамбуле документа определяется, что рекомендации «для федеральных органов исполнительной власти… иных государственных органов… которые… принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее – ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности». Т.е. явно дается отсылка к государственным информационным системам.



Однако, одновременно этими же нормами «целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных». Т.е. документ в таком случае становится универсальным для всех пользователей.



Когда же необходимо использовать СКЗИ?

Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
  1. если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
  2. если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.

Это логично. Вопрос номер два. Но когда угрозы могут быть нейтрализованы только с помощью СКЗИ?
  1. передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
  2. хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.


И вот к чем мы приходим. Если второй пункт так же достаточно логичен, то вот первый не так очевиден. Дело в том, что согласно текущей редакции закона «О персональных данных» имя, фамилия и отчество уже являются персональными данными. Соответственно любая переписка или регистрация на сайте (с учетом того, сколько данных сейчас требуют при регистрации) попадают формально под это определение. 



Но, как говорится, нет правил без исключения. В конце документа есть две таблицы. Приведем лишь одну строку Приложения № 1.



Актуальная угроза:
1.1. проведение атаки при нахождении в пределах контролируемой зоны. 

Обоснование отсутствия (список немного сокращен):
  1. сотрудники, являющиеся пользователями ИСПДн, но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;
  2. пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;
  3. помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;
  4. утверждены правила доступа в помещения, где располагаются СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
  5. утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;
  6. осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;
  7. осуществляется регистрация и учет действий пользователей с ПДн;
  8. на АРМ и серверах, на которых установлены СКЗИ:
    используются сертифицированные средства защиты информации от несанкционированного доступа;
  9. используются сертифицированные средства антивирусной защиты.

То есть, если пользователи проинформированы о правилах и ответственности, а и меры защиты применяются, то получается и беспокоиться не о чем.



Идем дальше. Что еще интересного есть в документе?
  • для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. 

Правда чуть ниже говорится, что список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. Про то, что оценка соответствия не есть сертификация, говорилось неоднократно.


  • в случае отсутствия прошедших в установленном порядке процедуру оценки соответствия СКЗИ… на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной системы с участием оператора (уполномоченного лица) и предполагаемого разработчика СКЗИ готовится обоснование целесообразности разработки нового типа СКЗИ и определяются требования к его функциональным свойствам. 

Это действительно радует. Дело в том, что сертификация процесс очень длительный — до полугода и больше. Зачастую клиенты используют новейшие ОС, не поддерживаемые сертифицированной версией. В соответствии с этим документом клиенты могут использовать продукты, находящиеся в процессе сертификации.



В документе указывается, что:
При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:

  1. описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
  2. выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы.


Соответственно необходимо иметь документ, анализирующий защищенность канала. При этом не указывается, какие организации имеют право выдавать такие заключения.



Документ содержит перечень сведений, которые необходимо указывать при описании информационных систем. Например:
  1. характеристики безопасности (конфиденциальность, целостность, доступность, подлинность), которые необходимо обеспечивать для обрабатываемых персональных данных;
  2. используемые в каждой подсистеме или в информационной системе в целом каналы (линии) связи, включая кабельные системы, и меры по ограничению несанкционированного доступа к защищаемой информации, передаваемой по этим каналам (линиям) связи, с указанием каналов (линий) связи, в которых невозможен несанкционированный доступ к передаваемой по ним защищаемой информации, и реализуемые для обеспечения этого качества меры;
  3. носители защищаемой информации, используемые в каждой подсистеме информационной системы или в информационной системе в целом (за исключением каналов (линий) связи).

Ну и в заключение скажем, что:


Согласование с ФСБ России частных моделей угроз операторов, подготовленных в соответствии с настоящими методическими рекомендациями, не требуется.

За материалы спасибо Infosecurity 

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...

Примечание. Отправлять комментарии могут только участники этого блога.