Размышления о значении и роли СТР-К в обеспечении ИБ

СТР-К или Специальные требования и рекомендации по защите конфиденциальной информации, документ довольно старый, но до сих пор действующий, который регламентирует меры по обеспечению защиты конфиденциальной информации  как в государственных органах так и применимый для использования в коммерческом секторе. Когда-то до выхода серии методических документов ФСТЭК и ФСБ и ряда Федеральных Законов, был едва ли не фундаментальным документом на который специалисты и эксперты опирались при организации защиты информации, проектировании систем ИБ и аттестации. 

В сегодняшней публикации мы рассмотрим СТР-К с точки зрения прошедших изменений, а так же постараемся отметить основные особенности и практическую заменимость документа для современных условий

Как было упомянуто выше в заголовке нашей публикации сегодня речь пойдет о уже достаточно старом и довольно неоднозначном документе в области защиты информации - "Специальные требования и рекомендации по защите конфиденциальной информации" (СТР-К). Буква "К" в названии документа говорит нам о том, что данный документ распространяется на защиту конфиденциальной информации (к примеру, служебная, банковская, коммерческая тайна) и не рассматривает вопросы защиты государственной тайны. 

Самое интересное, что когда-то этот документ был с грифом "Для служебного пользования" и его было практически невозможно достать рядовым пользователям. Прошли годы и теперь его легко можно найти в свободном доступе в сети Интернет.

Сам документ (доступная нам редакция) вышла в 2001 году. Еще задолго до появления таких федеральных законов как: ФЗ-152 "О персональных данных", ФЗ-149 "Об информации, информационных технологиях и о защите информации" и т.д. 

До появления профильных документов регулирующих защиту АС, буд-то это приказ ФСТЭК 21 по ПДн  или 17 приказ о ГИС или 31 про защиту АСУ ТП, в те дремучие годы СТР-К  был чуть ли не единственной путеводной картой для всех, кто занимался информационной безопасностью. Документ был в работе как и у прикладников, непосредственно занимающихся защитой информации, так и тех, кто занимался проектированием и внедрением и аттестацией систем ИБ. 

 Но не смотря на всю выше описанную нормативку, СТР-К до сих не отменен, а значит вполне может использоваться. Хотя ходили слухи про новую редакцию СТР-К, новый документ до сих пор в свет не вышел. 

В одном из своих сообщений наш коллега Алексей Лукацкий писал: "Готовятся новые требования по защите информации для госорганов на базе документов NIST. О том, что это планируется я писал, а вот о том, что речь идет о документах NIST, которые взяты за основу, я услышал впервые. Скорее всего будут взяты за основу документы 800-й серии, разработанные во исполнение американского закона FISMA. Планируемый РД заменит действующие уже около 20 лет СТР-К и РД по АС."

Чем же интересен данный документ?

СТР-К содержит достаточно полный набор требований преимущественно организационного характера и может использоваться для оценки достаточности этих мер в системе защиты АС. Если говорить о правовом статусе СТР-К, то тут мнения расходятся, так как документ не зарегистрирован в Минюсте, то есть для доказывания определенного мнения о его правовом статусе, следует обращаться в суд. 

Тем не менее на практике при проведении аттестации АС регуляторы (в частности, ФСТЭК) активно ранее использовали СТР-К, следовательно для обеспечения защиты конфиденциальной информации знать его обязательно.

Документ определяет следующие основные вопросы защиты информации:

• организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;

• состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;

• требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;

• требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств

• порядок обеспечения защиты информации при эксплуатации объектов информатизации

• особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;

• порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

Например, вот что говорится о служебной тайне: "АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г". 

Любопытно заметить, что система или подсистема защиты информации, обрабатываемой в АС различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке и хранении, при ее передаче по каналам связи.

Следующие абзацы описанные документы будут интересны всем кто занимается разработкой проектов ИБ, в частности при разработке проектной документации по ГОСТ 34 при выставлении требований к АС и подбору технических решений:

При разработке и эксплуатации АС, предполагающих использование информации, составляющей служебную тайну, а также персональных данных должны выполняться следующие основные требования:

1. В соответствии с РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" устанавливается следующий порядок классификации АС в зависимости от вида сведений конфиденциального характера: 

• АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г;

• АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д. 

А так же следующие требования:

• Для передачи информации по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации.

• Применяемые средства защиты информации должны быть сертифицированы. 

• Носители информации должны учитываться, храниться и уничтожаться в порядке, установленном для служебной информации ограниченного распространения, с пометкой  "Для служебного пользования". 

• Доступ к информации осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в организации. 

В одном из своих информационных сообщений ФСТЭК России дает разъяснения, касающиеся применения Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, в которых в том числе и упоминает про использование  СТР-К 

Итого, учитывая все выше перечисленное и экспертные мнения коллег, можно сделать выводы, что:

• Документ СТР-К, утвержденный решением Коллегии Гостехкомиссии России № 7.2/02.03.01г. действительно не регистрировался в Минюсте; А сам регулятор (читаем как ФСТЭК)  считает, что это технический документ и регистрации в Минюсте не подлежит;
• Для доказывания своей точки зрения на правовой статус данного документа в частном порядке нужно обращаться в суд;
• На практике при проведении аттестации автоматизированных систем как аттестаторы, так и проверяющие органы следуют рекомендациям этого документа;
• Приведённые в документе рекомендации распространяются не только на государственные АС, но и на принадлежащие коммерческим организациям и попыток обратиться в суд с обжалованием (по крайней мере, широко известных попыток) никто не предпринимал.