Сертифициран Skzi - какво трябва да знаете, за да изберете правилния. Класификация на средствата за информационна сигурност от fstek и fsb на русия
Тук обаче има много нюанси: отчитане и съхранение на инструменти за криптиране, достъп до CIPF, правилата за тяхното използване трябва да се извършват в строго съответствие с изискванията на закона.
Нарушаването на правилата за защита на информацията, в съответствие с член 13.12 от Кодекса за административните нарушения на Руската федерация, може да доведе до редица санкции: глоби за длъжностни лица и организации, както и конфискация на самите инструменти за криптозащита. Резултатът може да бъде невъзможност за изпращане на електронни отчети или блокиране на работата на институцията в системата за обмен на данни.
Редовният контрол върху използването на инструменти за криптиране, използвани за гарантиране на сигурността на личните данни (наричани по-долу PD), се извършва въз основа на изискванията на следните разпоредби:
- Федерален закон от 27 юли 2006 г. № 152-FZ „За личните данни“;
- Заповед на ФСБ на Русия от 10 юли 2014 г. № 378;
- Инструкция на FAPSI № 152 от 13.06.2001 г.;
- и редица други нормативни документи.
Планът за проверки на ФСБ за годината е публикуван на официалния уебсайт на Генералната прокуратура на Руската федерация. Тук всяка организация по своя TIN или OGRN може да разбере за предстоящите проверки през текущата година, тяхната продължителност и период.
За да се подготвите за проверката на FSB, е необходимо да се извършат редица организационни мерки, да се разработят и одобрят документи, свързани с работата с CIPF.
Отговорите на следните въпроси ще ви помогнат да организирате подготовката си за одит и да се съсредоточите върху това, което трябва да се направи:
- Разполага ли организацията със средства за криптографска защита на информацията? Има ли документи за придобиването им, водят ли се записи? Какви документи регулират прехвърлянето на CIPF за отчуждаване и използване?
- Кой отдел в предприятието отговаря за работата с CIPF, а именно: изготвяне на заключения относно възможността за използване на CIPF, разработване на мерки за осигуряване на функционирането и безопасността на използвания CIPF в съответствие с условията на издадените им сертификати, подробно счетоводство използвани CIPF, оперативна и техническа документация за тях, Отчитане на обслужваните притежатели на поверителна информация, наблюдение на спазването на условията за използване на CIPF, разследване и изготвяне на заключения за нарушения на условията за използване на CIPF, разработване на схема за организиране на криптографска защита на поверителна информация?
- Какви документи регламентират създаването на отдела, посочен по-горе, и какви документи назначават лица, отговорни за извършването на действия в рамките на това звено?
- Разработени ли са правила за отчитане и съхранение на CIPF?
- Утвърдени ли са формите на счетоводните дневници CIPF? Как се поддържат?
- Определен ли е кръгът от отговорни лица и отговорност в случай на нарушение на правилата за работа с CIPF?
- Как става съхранението и предоставянето на достъп до СЗКИ?
Всички документи трябва да бъдат одобрени от ръководителя или упълномощено лице на организацията, не се изисква секретност, но документите трябва да са предназначени само за служители на организацията и инспектори.
Опитът в поддръжката на клиенти по време на проверки на FSB ни позволи да идентифицираме най-типичните блокове, на които регулаторният орган обръща внимание.
1. Организиране на система от организационни мерки за защита на личните данни
|
Какво се проверява |
съвет | |
|---|---|---|
|
Обхват на CIPF в информационни системиах лични данни; Наличие на ведомствени документи и заповеди за организиране на криптографска защита |
Ведомствени документи и заповеди за организацията на защитата на криптографската информация | Необходимо е да се обърнете към документите, които определят задължителното използване на CIPF за обработка и предаване на информация. Относно защитата на личните данни в държавни системитова са 17 и 21 заповеди на FSTEC |
2. Организиране на система от мерки за криптографска защита на информацията
3. Разрешителни и експлоатационна документация
|
Какво се проверява |
Какви документи трябва да бъдат предоставени | съвет |
|---|---|---|
|
Наличие на необходимите лицензи за използване на CIPF в информационни системи за лични данни; Наличие на сертификати за съответствие за използваните CIPF; Наличие на оперативна документация за CIPF (формуляри, правила за работа, ръководство за оператора и др.); Процедурата за отчитане на CIPF, оперативна и техническа документация за тях |
Лицензи и сертификати за използвани CIPF; Оперативна документация за CIPF |
Какви документи имате предвид: 1) софтуерни лицензи, 2) наличието на комплекти за разпространение на тези лицензи, получени законно, |
4. Изисквания към обслужващия персонал
|
Какво се проверява |
Какви документи трябва да бъдат предоставени | съвет |
|---|---|---|
|
Процедурата за отчитане на лица, допуснати до работа с CIPF; Наличие на функционални отговорности на отговорни потребители на CIPF; Осигуреност на щатни бройки с персонал и неговата достатъчност за решаване на проблемите по организиране на защитата на криптографската информация; Организиране на процеса на обучение на лица, ползващи CIPF |
одобрени списъци; Документи, потвърждаващи функционалните задължения на служителите; Потребителски дневник криптографски средства; Документи, потвърждаващи завършването на обучение на служители |
Трябва да имате следните документи: 1) инструкции за работа с CIPF, 2) назначаване с вътрешни заповеди на отговорниците за работа с CIPF |
5. Работа на CIPF
|
Какво се проверява |
Какви документи трябва да бъдат предоставени | съвет |
|---|---|---|
|
Проверка на правилността на въвеждане в експлоатация; Оценка на техническото състояние на CIPF; Спазване на сроковете и пълнотата на поддръжката; Проверка на спазването на правилата за използване на CIPF и процедурата за обработка на ключови документи към тях |
Актове за въвеждане в експлоатация на CIPF; Журнал за копиране на CIPF; Журнал за регистрация и издаване на носители с ключова информация |
Необходимо е да се разработят следните документи: 1) актове за инсталиране на CIPF, 2) заповед за одобряване на формулярите на счетоводните дневници |
6. Организационни мерки
|
Какво се проверява |
Какви документи трябва да бъдат предоставени | съвет |
|---|---|---|
|
Изпълнение на изискванията за разположение, специално оборудване, охрана и организация на режима в помещенията, в които са монтирани средства за криптографска защита на информацията или се съхраняват ключови документи за тях; Съответствие на режима на съхранение на CIPF и основната документация с изискванията; Оценка на степента на обезпеченост на оператора с криптовалути и организация на доставката им; Проверка на наличието на инструкции за възстановяване на комуникацията в случай на компрометиране на валидни ключове към CIPF |
Оперативна документация за CIPF; Помещения, предназначени за инсталиране на CIPF и склад ключови документина тях; Инструкции в случай на компрометиране на валидни CIPF ключове |
1) Изпълнение на изискванията на Инструкция 152 FAPSI. В зависимост от конкретните условия може да се наложи поставяне на охрана, поставяне на завеси на прозорците, закупуване на сейф и др. 2) Инструкции за работа с CIPF |
Всички горепосочени изисквания произтичат от Правилника за извършване на проверки на FSB. Конкретните действия се извършват в съответствие със Заповед на FAPSI от 13 юни 2001 г. № 152.
Спазването на поне част от изискванията значително ще увеличи вероятността за преминаване на всички регулаторни процедури без глоба. Като цяло няма излишък в изискванията, всички действия са наистина важни и работят за защита на интересите на организацията.
Никита Ярков, Ръководител група по лицензиране в СКБ Контур, проект Контур-Безопасност
Коментира се...
Алексей, добър ден!
В отговора на 8-ми център не се посочва нищо за необходимостта от използване на сертифицирани средства за криптографска защита на информацията. Но има „Методически препоръки ...“, одобрени от ръководството на 8-ми център на ФСБ на Русия от 31 март 2015 г. № 149/7/2/6-432, в които има такъв параграф във втория част:
За да се гарантира сигурността на личните данни по време на обработката им в ISPD, трябва да се използват CIPF, които са преминали процедурата за оценка на съответствието по предписания начин. Списък на SKZI, заверен от FSBРусия, публикуван на официалния уебсайт на Центъра за лицензиране, сертифициране и защита на държавната тайна на ФСБ на Русия (www.clsz.fsb.ru). Допълнителна информацияпрепоръчително е да получите информация за конкретни инструменти за информационна сигурност директно от разработчиците или производителите на тези инструменти и, ако е необходимо, от специализирани организации, които са провели казуси на тези инструменти;
Защо това не е изискване за използване на сертифициран CIPF?
Има заповед на ФСБ на Русия от 10 юли 2014 г. № 378, в която буква "г" от параграф 5 гласи: "използването на средства за информационна сигурност, които са преминали процедурата за оценка на съответствието със законовите изисквания Руска федерацияв областта на информационната сигурност, в случаите, когато използването на такива средства е необходимо за неутрализиране на реални заплахи.“
Малко объркващо е това „когато използването на такива средства е необходимо за неутрализиране на реални заплахи“. Но цялата тази необходимост трябва да бъде описана в модела на нарушителя.
Но в този случай отново в раздел 3 от „Методическите препоръки ...“ от 2015 г. се посочва, че „При използване на комуникационни канали (линии), от които е невъзможно да се прихване защитената информация, предавана по тях и (или ), при които е невъзможно да се извършват неразрешени действия с тази информация, в общото описание на информационните системи е необходимо да се посочи:
- описание на методите и средствата за защита на тези канали от неоторизиран достъп до тях;
- заключения въз основа на резултатите от проучвания за сигурността на тези комуникационни канали (линии) от неоторизиран достъп до защитена информация, предавана чрез тях от организация, имаща право да провежда такива изследвания, с позоваване на документа, съдържащ тези заключения.
За какво съм всичко това - да, няма нужда да използвате криптографска защита на информацията винаги и навсякъде, като същевременно гарантирате сигурността на обработката на лични данни. Но за това е необходимо да се формира модел на нарушителя, където всичко това е описано и доказано. Написахте за два случая, когато трябва да ги използвате. Но фактът, че за да се гарантира сигурността на обработката на PD според отворени каналикомуникация или ако обработката на тези PD излиза извън границите на контролираната зона, можете да използвате несертифицирани инструменти за защита на криптографска информация - тук всичко не е толкова просто. И може да се случи, че е по-лесно да се използват сертифицирани средства за криптографска защита на информацията и да се спазват всички изисквания по време на тяхната работа и съхранение, отколкото да се използват несертифицирани средства и да се сблъскват с регулатора, който, виждайки такава ситуация, ще се опита много упорито да го бърка неговия нос.
непознати коментари...Случаят, когато използването на такива средства е необходимо за неутрализиране на текущите заплахи: изискването на Заповедта на FSTEC на Русия № 17 от 11 февруари 2013 г. (изисквания за държавни и общински ISPD),
клауза 11. За да се гарантира защитата на информацията, съдържаща се в информационната система, се използват инструменти за информационна сигурност, които са преминали оценка на съответствието под формата на задължително сертифициране за съответствие с изискванията за информационна сигурност в съответствие с член 5 от Федерален закон № 184-FZ от 27 декември 2002 г. "За техническо регулиране".
Алексей Лукацки коментира...Proximo: Препоръките на FSB са нелегитимни. Заповед 378 е легитимна, но трябва да се разглежда в контекста на цялото законодателство и в нея се казва, че спецификата на оценката на съответствието се определя от правителството или президента. Нито единият, нито другият такъв NPA не пусна т
Алексей Лукацки коментира...Антон: в държавата изискването за сертифициране е установено със закон, 17-та заповед просто ги повтаря. И ние говорим за PDN
непознати коментари...Алексей Лукацки: Не. Препоръките на ФСБ са нелегитимни „Колко нелегитимни? Говоря за документа от 19.05.2015 г. № %40fsbResearchart.html), но не и за документа от 21 февруари 2008 г. № 149/54- 144.
Друг специалист също преди това отправи искане до FSB по подобна тема и му беше казано, че "Методологията ..." и "Препоръките ..." на FSB от 2008 г. не трябва да се използват, ако говорите за тези документи . Но отново, тези документи не са официално отменени. И дали тези документи са легитимни или не, смятам, че ще решат инспекторите от ФСБ, които вече са на място по време на проверката.
Законът казва, че трябва да защитите PD. Подзаконови актове на правителството, FSB, FSTEC определят как точно трябва да бъдат защитени. NPA от FSB казва: "Използвайте сертифицирано. Ако не искате сертифицирано, докажете, че можете да го използвате. И моля, приложете заключение към това от фирма, която има лиценз за издаване на такива заключения." Нещо като това...
Алексей Лукацки коментира...1. Всяка препоръка е препоръка, а не задължително изискване.
2. Ръководството от 2015 г. няма нищо общо с операторите на PD - то се отнася за държави, които пишат модели на заплахи за подчинени институции (предмет на клауза 1).
3. FSB няма право да извършва проверки на търговските оператори на PD, а за правителствата проблемът с използването на несертифицирана криптографска защита на информацията не си струва - от тях се изисква да използват сертифицирани решения, независимо от наличието на PD - това са изискванията на FZ-149.
4. Уставът казва как да се защити и това е добре. Но те не могат да определят формата на преценка на средствата за защита - това може да стане само от НПА на правителството или президента. ФСБ няма право да прави това
Съгласно Регламент 1119:
4. Изборът на средства за информационна сигурност за системата за защита на личните данни се извършва от оператора в съответствие с регулаторните правни актове, приети от Федералната служба за сигурност на Руската федерация и Федералната служба за технически и експортен контрол съгласно част 4 на член 19 от Федералния закон „За личните данни“.
13.г. Използването на инструменти за информационна сигурност, които са преминали процедурата за оценка на съответствието с изискванията на законодателството на Руската федерация в областта на информационната сигурност, в случаите, когато използването на такива инструменти е необходимо за неутрализиране на текущите заплахи.
Как да оправдаем неуместността на заплахата при предаване на PD през каналите на телекомуникационния оператор?
Тези. ако не SKZI, то очевидно
- терминален достъп и тънки клиенти, но в същото време данните от системата за информационна сигурност на терминала
достъпът трябва да бъде сертифициран.
- защита на каналите от телеком оператора, отговорност на телеком оператора (доставчика).
Неуместността се определя от оператора и той не се нуждае от никого за това
Изискванията за информационна сигурност при проектирането на информационни системи посочват характеристиките, които характеризират използваните средства за защита на информацията. Те се определят от различни актове на регулаторите в областта на предоставянето информационна сигурност, по-специално - FSTEC и FSB на Русия. Какви класове за сигурност има, видове и видове инструменти за защита, както и къде да научите повече за това, е отразено в статията.
Въведение
Днес въпросите за осигуряване на информационна сигурност са обект на голямо внимание, тъй като технологиите, въведени навсякъде без информационна сигурност, се превръщат в източник на нови сериозни проблеми.
ФСБ на Русия съобщава за сериозността на ситуацията: размерът на щетите, причинени от киберпрестъпниците за няколко години по света, варира от 300 милиарда долара до 1 трилион долара. Според информацията, предоставена от главния прокурор на Руската федерация, само през първата половина на 2017 г. броят на престъпленията в областта на високите технологии в Русия се е увеличил шест пъти, общата сума на щетите надхвърля 18 милиона долара. в целенасочени атаки в индустриалния сектор през 2017 г. беше отбелязано по целия свят. По-специално в Русия увеличението на броя на атаките в сравнение с 2016 г. е 22%.
Информационните технологии започнаха да се използват като оръжие за военно-политически, терористични цели, за намеса във вътрешните работи на суверенни държави, както и за извършване на други престъпления. Руската федерация е за създаването на международна система за информационна сигурност.
На територията на Руската федерация собствениците на информация и операторите на информационни системи са длъжни да блокират опитите за неоторизиран достъп до информация, както и да наблюдават непрекъснато състоянието на сигурността на ИТ инфраструктурата. В същото време защитата на информацията се осигурява чрез приемането на различни мерки, включително технически.
Средствата за информационна сигурност или средствата за информационна сигурност осигуряват защита на информацията в информационните системи, които по същество са комбинация от информация, съхранявана в бази данни, информационни технологии, които осигуряват нейната обработка, и технически средства.
Съвременните информационни системи се характеризират с използването на различни хардуерни и софтуерни платформи, териториалното разпределение на компонентите, както и взаимодействието с отворени мрежипредаване на данни.
Как да защитим информацията в такива условия? Съответните изисквания се правят от упълномощени органи, по-специално FSTEC и FSB на Русия. В рамките на статията ще се опитаме да отразим основните подходи към класификацията на съоръженията за информационна сигурност, като вземем предвид изискванията на тези регулатори. Други начини за описание на класификацията на съоръженията за информационна сигурност, отразени в регулаторните документи на руските ведомства, както и на чуждестранни организации и агенции, са извън обхвата на тази статия и не се разглеждат допълнително.
Статията може да бъде полезна за начинаещи в областта на информационната сигурност като източник на структурирана информация за методите за класифициране на информацията за информационна сигурност въз основа на изискванията на FSTEC на Русия (в по-голяма степен) и накратко на FSB на Русия .
Структурата, която определя процедурата и координира действията за предоставяне на некриптографски методи за информационна сигурност, е FSTEC на Русия (бивша Държавна техническа комисия към президента на Руската федерация, Държавна техническа комисия).
Ако читателят трябваше да види Държавния регистър на сертифицираните средства за информационна сигурност, който се формира от FSTEC на Русия, тогава той със сигурност обърна внимание на присъствието в описателната част на целта на съоръжението за информационна сигурност на такива фрази като „клас RD SVT”, „ниво на липса на NDV” и др. (Фигура 1) .
Фигура 1. Фрагмент от регистъра на сертифицираните съоръжения за информационна сигурност
Класификация на криптографските средства за защита на информацията
FSB на Русия определя следните класове криптографски средства за защита на информацията: KS1, KS2, KS3, KB и KA.
Основните характеристики на SZI клас KS1 включват способността им да издържат на атаки, извършвани извън контролираната зона. Това означава, че създаването на методи за атака, тяхната подготовка и внедряване се извършва без участието на специалисти в разработването и анализа на криптографските средства за защита на информацията. Предполага се, че информацията за системата, в която се използват тези инструменти за информационна сигурност, може да бъде получена от отворени източници.
Ако криптографската IPS може да издържи на атаки, блокирани с помощта на клас CS1, както и извършени в контролирана зона, тогава такава IPS съответства на клас CS2. В същото време се предполага, например, че по време на подготовката на атака може да стане достъпна информация за физически мерки за защита на информационните системи, осигуряване на контролирана зона и др.
Ако е възможно да се устои на атаки с физически достъп до средства Информатикас инсталирана криптографска информационна защита означава, че тези средства отговарят на клас KS3.
Ако системата за криптографска информационна сигурност устои на атаки, чието създаване включваше специалисти в разработването и анализа на тези инструменти, включително изследователски центрове, беше възможно да се проведат лабораторни изследвания на средствата за защита, тогава говорим сиза съответствие с HF клас.
Ако специалисти в областта на използването на NDV на системата софтуер, съответната проектна документация е била налична и е имало достъп до всички хардуерни компоненти на криптографските съоръжения за информационна сигурност, тогава защита срещу такива атаки може да бъде осигурена с помощта на клас KA.
Класификация на средствата за защита на електронния подпис
съоръжения електронен подписв зависимост от способността да издържат на атаки, обичайно е да се сравнява със следните класове: KS1, KS2, KS3, KV1, KV2 и KA1. Тази класификация е подобна на тази, обсъдена по-горе във връзка с криптографски IPS.
заключения
Статията разглежда някои методи за класифициране на информационната сигурност в Русия, които се основават на регулаторната рамка на регулаторите в областта на защитата на информацията. Разгледаните варианти за класификация не са изчерпателни. Въпреки това се надяваме, че представената обобщена информация ще позволи на начинаещ специалист в областта на информационната сигурност да се ориентира бързо.
Регистрационен N 33620
В съответствие с част 4 от член 19 от Федералния закон от 27 юли 2006 г. N 152-FZ "За личните данни" 1 Заповядвам:
одобрява приложения обхват и съдържание на организационни и технически мерки за осигуряване на сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни, използващи криптографски средства за защита на информацията, необходими за изпълнение на изискванията за защита на личните данни, установени от правителството на Руската федерация за всяко от нивата на сигурност.
Режисьор А. Бортников
1 Сборник на законодателството на Руската федерация, 2006 г., N 31 (част I), чл. 3451; 2009, N 48, чл. 5716; N 52 (част I), чл. 6439; 2010, N 27, чл. 3407; N 31, чл. 4173, чл. 4196; № 49, чл. 6409; N 52 (част I), чл. 6974; 2011, N 23, чл. 3263; N 31, чл. 4701; 2013, N 14, чл. 1651; N 30 (част I), чл. 4038.
Приложение
Съставът и съдържанието на организационните и технически мерки за осигуряване на сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни, използващи криптографски средства за защита на информацията, необходими за изпълнение на изискванията за защита на личните данни, установени от правителството на Руската федерация за всеки от нивата на сигурност
I. Общи положения
1. Този документопределя състава и съдържанието на организационните и техническите мерки за осигуряване на сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни (наричани по-нататък информационната система), използвайки средства за криптографска защита на информацията (наричани по-долу CIPF), необходими за изпълнение на изисквания за защита на личните данни, установени от правителството на Руската федерация данни за всяко ниво на сигурност.
2. Този документ е предназначен за оператори, използващи CIPF, за да гарантират сигурността на личните данни при обработването им в информационни системи.
3. Прилагането на определените в този документ организационни и технически мерки се осигурява от оператора, като се вземат предвид изискванията на оперативните документи за криптографска защита на информацията, използвани за осигуряване на сигурността на личните данни при обработката им в информационни системи.
4. Работата на CIPF трябва да се извършва в съответствие с документацията за CIPF и изискванията, установени в този документ, както и в съответствие с други регулаторни правни актове, регулиращи отношенията в съответната област.
II. Състав и съдържание на организационни и технически мерки, необходими за изпълнение на изискванията, установени от правителството на Руската федерация към защитата на личните данни за 4 нива на сигурност
5. В съответствие с клауза 13 от Изискванията за защита на личните данни по време на тяхната обработка в информационни системи за лични данни, одобрени с Указ на правителството на Руската федерация от 1 ноември 2012 г. N1119 1 (наричани по-долу Изисквания за защита на личните данни), за осигуряване на 4-то ниво на сигурност на личните данни данните при обработването им в информационни системи трябва да бъдат изпълнени следните изисквания:
а) организиране на режим за осигуряване на сигурността на помещенията, в които се намира информационната система, предотвратяване на възможността за неконтролирано влизане или престой в тези помещения на лица, които нямат право на достъп до тези помещения;
б) осигуряване безопасността на носителите на лични данни;
в) одобрение от ръководителя на оператора на документ, определящ списъка на лицата, чийто достъп до личните данни, обработвани в информационната система, е необходим за изпълнение на техните служебни (трудови) задължения;
г) използване на инструменти за информационна сигурност, които са преминали процедурата за оценка на съответствието с изискванията на законодателството на Руската федерация в областта на информационната сигурност, в случай че използването на такива инструменти е необходимо за неутрализиране на текущи заплахи.
6. За изпълнение на изискването, посочено в буква "а" на параграф 5 от този документ, е необходимо да се осигури режим, който предотвратява възможността за неконтролирано влизане или престой в помещенията, където се намира използваната CIPF, CIPF и (или) носители на ключова, удостоверяваща и парола информация CIPF се съхраняват (наричани по-нататък - Помещенията), лица, които нямат право на достъп до Помещенията, което се постига чрез:
а) оборудване на Помещенията с входни врати с ключалки, гарантиране, че вратите на Помещенията са постоянно заключени и отворени само за разрешено преминаване, както и запечатване на Помещенията в края на работния ден или оборудване на Помещенията с подходящи технически средства, сигнализиране за неразрешено отваряне на Помещението;
б) утвърждаване на правилата за достъп до Помещенията в работно и извънработно време, както и при извънредни ситуации;
в) одобряване на списъка на лицата, имащи право на достъп до Помещенията.
7. За да се изпълни изискването, посочено в буква "б" на параграф 5 от този документ, е необходимо:
а) да съхраняват подвижни машинни носители на лични данни в сейфове (метални шкафове), оборудвани с вътрешни ключалки с два или повече дубликата на ключа и устройства за запечатване на ключалка или секретни брави. Ако на преносим машинен носител на лични данни се съхраняват само лични данни във вид, криптиран с помощта на CIPF, е разрешено съхраняването на такива носители извън сейфове (метални шкафове);
б) извършват поетапно отчитане на машинни носители на лични данни, което се постига чрез поддържане на регистър на носителите на лични данни с помощта на регистрационни (серийни) номера.
8. За да се изпълни изискването, посочено в буква "в" на параграф 5 от този документ, е необходимо:
а) разработва и одобрява документ, определящ списъка на лицата, чийто достъп до личните данни, обработвани в информационната система, е необходим за изпълнение на техните служебни (трудови) задължения;
б) поддържа актуален документът, определящ списъка на лицата, чийто достъп до личните данни, обработвани в информационната система, е необходим за изпълнение на техните служебни (трудови) задължения.
9. За изпълнение на изискването, посочено в буква "г" на параграф 5 от този документ, е необходимо за всяко от нивата на защита на личните данни да се използват криптографски средства за защита на информацията от съответния клас, които позволяват да се гарантира сигурността на личните данни при прилагане на целеви действия с помощта на хардуер и (или) софтуерни инструментис цел нарушаване на сигурността на защитените от CIPF лични данни или създаване на условия за това (наричано по-нататък атаката), което се постига чрез:
а) получаване на първоначални данни за формиране на набор от предположения за възможностите, които могат да бъдат използвани при създаване на методи, подготовка и провеждане на атаки;
б) формиране и одобрение от ръководителя на оператора на набор от предположения относно възможностите, които могат да бъдат използвани при създаването на методи, подготовка и провеждане на атаки и определяне на тази основа и като се вземе предвид вида на действителните заплахи от необходимия клас защита на криптографската информация;
в) използване за осигуряване на необходимото ниво на сигурност на личните данни при обработването им в информационната система CIPF от клас KS1 и по-висок.
10. CIPF от клас KS1 се използва за неутрализиране на атаки, при създаването на методи, подготовката и изпълнението на които се използват възможности от следните:
а) създаване на методи, подготовка и извършване на атаки без участие на специалисти в разработването и анализа на криптографската защита на информацията;
б) създаване на методи, подготовка и извършване на атаки на различни етапи жизнен цикъл CIPF 2;
в) извършване на нападение, намиране извън пространството, в което се контролира престоят и действията на лицата и (или) Превозно средство(наричана по-нататък контролираната зона) 3 ;
г) извършване на следните атаки на етапите на разработка (модернизация), производство, съхранение, транспортиране на CIPF и етапа на въвеждане в експлоатация на CIPF (работи по въвеждане в експлоатация):
въвеждане на неразрешени промени в CIPF и (или) в компонентите на хардуерни и софтуерни инструменти, заедно с които CIPF функционира нормално и в съвкупност представлява среда за функциониране на CIPF (наричана по-нататък SF), което може да повлияе на изпълнението на изискванията за CIPF, включително с използване на злонамерени програми;
въвеждане на неразрешени промени в документацията за CIPF и компоненти на SF;
д) извършване на атаки на етапа на работа на CIPF срещу:
Лична информация;
ключ, информация за удостоверяване и парола на CIPF;
софтуерни компоненти на CIPF;
хардуерни компоненти на CIPF;
SF софтуерни компоненти, включително BIOS софтуер;
SF хардуерни компоненти;
данни, предавани по комуникационни канали;
други обекти, които се установяват при формирането на набор от предложения за възможности, които могат да се използват при създаване на методи, подготовка и извършване на атаки, като се вземат предвид информационните технологии, използвани в информационната система, хардуер (наричан по-долу AS) и софтуер ( наричан по-долу софтуер);
е) получаване от свободно достъпни източници (включително информационни и телекомуникационни мрежи, достъпът до които не е ограничен до определен кръг лица, включително интернет информационна и телекомуникационна мрежа) информация за информационната система, която използва CIPF. В този случай може да се получи следната информация:
обща информация за информационната система, в която се използва CIPF (цел, състав, оператор, обекти, в които се намират ресурсите на информационната система);
информация за информационни технологии, бази данни, AS, софтуер, използван в информационната система заедно с CIPF, с изключение на информация, съдържаща се само в проектната документация за информационни технологии, бази данни, АС, софтуер, използван в информационната система заедно с CIPF;
обща информация за защитената информация, използвана при функционирането на CIPF;
информация за комуникационните канали, чрез които се предават лични данни, защитени от CIPF (наричани по-долу канал за комуникация);
всички възможни данни, предавани в отворена форма чрез комуникационни канали, които не са защитени от неоторизиран достъп до информация чрез организационни и технически мерки;
информация за всички нарушения на правилата за работа на CIPF и SF, които се появяват в комуникационни канали, които не са защитени от неоторизиран достъп до информация чрез организационни и технически мерки;
информация за всички проявени в комуникационните канали, които не са защитени от неоторизиран достъп до информация чрез организационни и технически мерки, неизправности и повреди на хардуерните компоненти на CIPF и SF;
информация, получена в резултат на анализа на всякакви сигнали от хардуерните компоненти на CIPF и SF;
g) приложение:
свободно достъпни или използвани извън контролираната зона АС и софтуер, включително хардуерни и софтуерни компоненти на CIPF и SF;
специално проектирани АС и софтуер;
з) използване на етапа на операцията като средство за прехвърляне от субекта към обекта (от обекта към субекта) на атаката на действията, извършени по време на подготовката и (или) провеждането на атаката:
комуникационни канали, които не са защитени от неоторизиран достъп до информация чрез организационни и технически мерки;
канали за разпространение на сигнали, съпътстващи функционирането на CIPF и SF;
i) извършване на атака на етапа на работа от информационни и телекомуникационни мрежи, достъпът до които не е ограничен до определен кръг лица, ако информационните системи, които използват CIPF, имат достъп до тези мрежи;
й) използване на етапа на работа на АС и софтуер, разположен извън контролираната зона, от състава на средствата на информационната система, използвани на местата на работа на CIPF (наричани по-нататък стандартни средства).
11. CIPF от клас KS2 се използва за неутрализиране на атаки, при създаването на методи, подготовката и изпълнението на които се използват възможностите измежду изброените в точка 10 от този документ и поне една от следните допълнителни функции:
а) извършване на атака в рамките на контролираната зона;
б) извършване на атаки на етапа на работа на CIPF върху следните обекти:
документация за CIPF и SF компоненти.
Помещения, в които има набор от софтуерни и технически елементи на системи за обработка на данни, способни да функционират самостоятелно или като част от други системи (наричани по-нататък - SVT), върху които са внедрени CIPF и SF;
в) получаване, в рамките на предоставените правомощия, както и в резултат на наблюдения, на следната информация:
информация за мерките за физическа защита на обектите, в които са разположени ресурсите на информационната система;
информация за мерките за осигуряване на контролирана зона на обекти, в които се намират ресурси на информационната система;
информация относно мерките за ограничаване на достъпа до Помещенията, в които се намира компютърното оборудване, върху което са внедрени CIPF и SF;
г) използване редовни средстваограничени от мерки, въведени в информационната система, която използва CIPF и насочени към предотвратяване и потискане на неразрешени действия.
12. CIPF от клас KS3 се използва за неутрализиране на атаки, при създаването на методи, подготовката и изпълнението на които се използват възможностите измежду изброените в параграфи 10 и 11 на този документ и поне една от следните допълнителни функции:
а) физически достъпкъм SVT, на който са внедрени CIPF и SF;
б) възможността да има хардуерни компоненти на CIPF и SF, ограничени от мерки, въведени в информационната система, която използва CIPF и насочени към предотвратяване и потискане на неразрешени действия.
13. CIPF от клас KB се използва за неутрализиране на атаки, при създаването на методи, подготовката и изпълнението на които се използват възможностите измежду изброените в параграфи 10 - 12 на този документ и поне една от следните допълнителни функции:
а) създаване на методи, подготовка и извършване на атаки с участието на специалисти в областта на анализа на сигнала, придружаващ работата на CIPF и SF, и в областта на използването на недокументирани (недекларирани) възможности на приложен софтуер за извършване на атаки;
б) провеждане на лабораторни изследвания на CIPF, използвани извън контролираната зона, ограничени от мерки, въведени в информационната система, в която се използва CIPF, и насочени към предотвратяване и пресичане на неразрешени действия;
в) извършване на работа по създаването на методи и средства за атаки в изследователски центрове, специализирани в разработването и анализа на средства за криптографска защита на информацията и SF, включително използване на изходния код на приложния софтуер, включен в SF, директно чрез използване на обаждания към CIPF софтуерни функции.
14. CIPF от клас KA се използват за неутрализиране на атаки, при създаването на методи, подготовката и изпълнението на които се използват възможностите измежду изброените в параграфи 10 - 13 от този документ и поне една от следните допълнителни функции:
а) създаване на методи, подготовка и извършване на атаки с участието на специалисти в областта на използването на недокументирани (недекларирани) възможности на системния софтуер за осъществяване на атаки;
б) възможност за разполагане на информация, съдържаща се в проектната документация за хардуерните и софтуерните компоненти на ОГ;
в) възможност за разполагане на всички хардуерни компоненти на CIPF и SF.
15. В процеса на формиране на набор от предположения за възможностите, които могат да бъдат използвани при създаване на методи, подготовка и провеждане на атаки, допълнителни функции, които не са включени в изброените в параграфи 10 - 14 от този документ, не засягат процедурата за определяне на необходимия клас CIPF.
III. Състав и съдържание на организационни и технически мерки, необходими за изпълнение на изискванията, установени от правителството на Руската федерация към защитата на личните данни за ниво на сигурност 3
16. В съответствие с параграф 14 от Изискванията за защита на личните данни, за да се осигури 3-то ниво на защита на личните данни при обработването им в информационни системи, в допълнение към изпълнението на изискванията, предвидени в параграф 5 от настоящия документ , е необходимо да се изпълни изискването за назначаване на длъжностно лице (служител), отговорно за осигуряване сигурността на личните данни в информационната система.
17. За да се изпълни изискването, посочено в параграф 16 от този документ, е необходимо да се назначи оператор (служител) с достатъчно умения, отговорен за гарантиране сигурността на личните данни в информационната система.
18. За да се изпълни изискването, посочено в буква "d" от параграф 5 от този документ, вместо мярката, предвидена в буква "c" от параграф 9 от този документ, е необходимо да се използва за осигуряване на необходимото ниво на защита на лични данни при обработването им в информационната система:
IV. Състав и съдържание на организационни и технически мерки, необходими за изпълнение на изискванията, установени от правителството на Руската федерация към защитата на личните данни за ниво на сигурност 2
19. В съответствие с параграф 15 от Изискванията за защита на личните данни, с цел осигуряване на 2-ро ниво на защита на личните данни при обработването им в информационни системи, в допълнение към изпълнението на изискванията, предвидени в параграфи 5 и 16 от този документ е необходимо да се изпълни изискването достъпът до съдържанието на регистъра на електронните съобщения да е възможен само за длъжностни лица (служители) на оператора или упълномощено лице, което се нуждае от информацията, съдържаща се в посочения регистър, за да изпълнява служебните си (трудови) задължения. ) задължения.
20. За да се изпълни изискването, посочено в параграф 19 от този документ, е необходимо:
а) одобрение от ръководителя на оператора на списъка на лицата, допуснати до съдържанието на регистъра на електронните съобщения, и поддържане на посочения списък актуален;
б) предоставяне на информационната система с автоматизирани средства, които регистрират исканията на потребителите на информационната система за получаване на лични данни, както и фактите за предоставяне на лични данни по тези искания в регистъра на електронните съобщения;
в) осигуряване на информационната система с автоматизирани средства, които изключват достъпа до съдържанието на регистъра на електронните съобщения на лица, които не са посочени в одобрения от ръководителя на оператора списък на лицата, които са допуснати до съдържанието на регистъра на електронните съобщения;
г) осигуряване на периодично наблюдение на работата на автоматизираните средства, посочени в букви "б" и "в" от тази алинея (най-малко веднъж на шест месеца).
21. За да се изпълни изискването, посочено в буква "d" от параграф 5 от този документ, вместо мерките, предвидени в буква "c" от параграф 9 и параграф 18 от този документ, е необходимо да се използва за осигуряване на необходимото ниво за защита на личните данни при обработването им в информационната система:
CIPF клас KB и по-висок в случаите, когато заплахите от тип 2 са от значение за информационната система;
CIPF клас KS1 и по-висок в случаите, когато заплахите от тип 3 са от значение за информационната система.
V. Състав и съдържание на организационни и технически мерки, необходими за изпълнение на изискванията, установени от правителството на Руската федерация към защитата на личните данни за 1 ниво на сигурност
22. В съответствие с т. 16 от Изискванията за защита на личните данни, с цел осигуряване на 1-во ниво на защита на личните данни при обработването им в информационните системи, освен изпълнение на изискванията, предвидени в т. 5, 16 и 19 от този документ трябва да бъдат изпълнени следните изисквания:
а) автоматично регистриране в електронния дневник за сигурност на промяна в правомощията на служител на оператора за достъп до лични данни, съдържащи се в информационната система;
б) създаването на отделно структурно звено, което да отговаря за осигуряването на сигурността на личните данни в информационната система, или възлагането на неговите функции на едно от съществуващите структурни звена.
23. За да се изпълни изискването, посочено в буква "а" на параграф 22 от този документ, е необходимо:
а) осигуряване на информационната система с автоматизирани средства, които позволяват автоматично регистриране в електронния дневник за сигурност на промените в правомощията на служител на оператора за достъп до лични данни, съдържащи се в информационната система;
б) отразяване в електронния дневник за сигурност на правомощията на служителите на оператора на лични данни за достъп до лични данни, съдържащи се в информационната система. Посочените правомощия трябва да съответстват на служебните задължения на служителите на оператора;
в) назначаване от оператора на лице, отговорно за периодично наблюдение на поддържането на електронен дневник за сигурност и съответствието на отразените в него правомощия на служителите на оператора със служебните им задължения (поне веднъж месечно).
24. За да се изпълни изискването, посочено в буква "b" на параграф 22 от този документ, е необходимо:
а) анализира възможността за създаване на отделно структурно звено, което да отговаря за осигуряването на сигурността на личните данни в информационната система;
б) да създаде отделно структурно звено, което да отговаря за осигуряването на сигурността на личните данни в информационната система, или да възложи неговите функции на едно от съществуващите структурни звена.
25. За изпълнение на изискването, посочено в буква "а" на параграф 5 от този документ, за осигуряване на 1-во ниво на сигурност е необходимо:
а) оборудва прозорците на помещенията, разположени на първия и (или) последния етаж на сградите, както и прозорците на помещенията, разположени в близост до пожарни стълби и други места, откъдето е възможно неупълномощени лица да влязат в помещенията, с метални решетки или капаци, аларми за взлом или други средства, предотвратяващи неконтролирано влизане на неоторизирани лица в помещенията;
б) оборудва прозорците и вратите на Помещенията, в които са разположени сървърите на информационната система, с метални решетки, аларми за взлом или други средства за предотвратяване на неконтролирано влизане на неупълномощени лица в помещенията.
26. За да се изпълни изискването, посочено в буква "d" от параграф 5 от този документ, вместо мерките, предвидени в буква "c" от параграф 9, параграфи 18 и 21 от този документ, е необходимо да се използва, за да се осигури необходимо ниво на защита на личните данни при обработването им в информационната система:
CIPF от клас KA в случаите, когато заплахите от тип 1 са от значение за информационната система;
CIPF от клас KB и по-висок в случаите, когато заплахите от тип 2 са от значение за информационната система.
1 Сборник на законодателството на Руската федерация, 2012 г., N 45, 6257.
2 Етапите на жизнения цикъл на CIPF включват разработването (модернизирането) на тези инструменти, тяхното производство, съхранение, транспортиране, въвеждане в експлоатация (пускане в експлоатация), експлоатация.
3 Границата на контролираната зона може да бъде периметърът на защитената територия на предприятието (институцията), ограждащите конструкции на защитената сграда, защитената част на сградата, разпределените помещения.
Както показва практиката, малко организации помнят и се ръководят от заповедта на FAPSI (чийто наследник е ФСБ на Русия) от 13 юни 2001 г. N 152 „За одобряване на Инструкцията за организиране и осигуряване на сигурността на съхранението, обработката и предаването чрез комуникационни канали, използващи средства за защита на криптографска информация с ограничен достъп, които не съдържат информация, представляваща държавна тайна.
Но Инструкцията е задължителна при използване на сертифициран CIPF, за да се гарантира сигурността на информацията ограничен достъп(предмет на защита в съответствие със законодателството на Руската федерация).И това е PD, всякакви тайни, GIS, NPC, бъдещи CII.
От 2008 до 2012 г. имаше облекчение за PD под формата на „Стандартни изисквания за организацията и работата на криптиращи (криптографски) средства, предназначени да защитават информация, която не съдържа информация, представляваща държавна тайна, ако се използват за гарантиране на сигурността лични данни, когато се обработват в информационни системи за лични данни”, одобрен от ръководството на 8-ми център на ФСБ на Русия от 21 февруари 2008 г. № 149/6/6-622. Но след освобождаването на RF PP № 1119, този документзагуби актуалност и ФСБ на Русия заяви, че е необходимо да се ръководи от Инструкцията.
В рамките на държавата контрол върху изпълнението на разпоредбите на тази инструкция, има голям брой нарушения.
Има много въпроси относно прилагането на Инструкцията, тъй като тя е написана във време, когато сертифицирани средства за криптографска защита на информацията се използват в редки организации в единични екземпляри. Сега, когато настроите. криптографията става повсеместна, което затруднява дословното следване на инструкцията.
Веднага искам да обърна внимание на факта, че Инструкциите във връзка с 99-FZ дават недвусмислени резултати относно необходимостта от получаване на лиценз от ФСБ на Русия или сключване на споразумение с лицензополучател:
Член 12 от 99-FZ: „1. В съответствие с това федерален законСледните дейности подлежат на лицензиране:
1) ... извършване на работа ... в областта на криптирането на информация, Поддръжкакриптиращи (криптографски) средства, информационни системи и телекомуникационни системи, защитени с криптиращи (криптографски) средства (с изключение на случая, когато поддръжката на криптиращи (криптографски) средства, информационни системи и телекомуникационни системи, защитени с криптиращи (криптографски) средства, се извършва за осигуряване собствени нужди юридическо лицеили индивидуален предприемач);
Постановление на правителството на Руската федерация № 313. Приложение към наредбата: „СПИСЪК НА ИЗВЪРШЕНИТЕ РАБОТИ И ПРЕДОСТАВЯНИ УСЛУГИ, СЪСТАВЛЯВАЩИ ЛИЦЕНЗИРАНАТА ДЕЙНОСТ ПО ОТНОШЕНИЕ НА КРИПТИРАЩИ (КРИПТОГРАФСКИ) СРЕДСТВА
12. Инсталиране, инсталиране (инсталация), настройка на криптиращи (криптографски) средства, с изключение на криптиращи (криптографски) средства за защита на фискални данни, предназначени за използване като част от касово оборудване, сертифицирано от Федералната служба за сигурност на Русия Федерация.
13. Инсталиране, инсталиране (инсталация), настройка на информационни системи, защитени с помощта на криптиращи (криптографски) средства.
14. Инсталиране, инсталиране (инсталация), настройка на телекомуникационни системи, защитени с криптиращи (криптографски) средства.
15. Инсталиране, инсталиране (инсталация), настройка на средствата за производство на ключови документи.
20. Поддръжка на криптиращи (криптографски) инструменти, предвидени в техническата и оперативна документация за тези инструменти ( с изключение на случаяако определената работа се извършва, за да се осигури собствени нуждиюридическо лице или индивидуален предприемач).
28. Производство и разпространение на ключови документи и (или) първоначална ключова информация за разработване на ключови документи с помощта на хардуер, софтуер и фърмуер, системи и комплекси за производство и разпространение на ключови документи за криптиращи (криптографски) средства.
Но Инструкцията съдържа по-строги изисквания.
FAPSI Инструкция № 152: “ 4. Сигурност на съхранение, обработка и предаване чрез комуникационни канали с помощта на CIPF на поверителна информация, чиито собственици нямат лицензи на FAPSI, лицензополучателите на FAPSI организират и предоставят ... въз основа на договори за предоставяне на услуги за криптографска защита на поверителна информация.
6. За да разработи и приложи мерки за организиране и гарантиране на сигурността на съхранението, обработката и предаването на поверителна информация с помощта на CIPF, лицензополучателят на FAPSI създава един или повече органи за криптографска защита ..."
Ключове за вкъщиследващ: организация без лиценз на FSB не може самостоятелно да организира работа по правилна работаСКЗИ. За да направите това, организацията трябва да се свърже с лицензополучателя, да сключи договор за услуга с него. Лицензополучателят на FSB има в своята структура OKZI, който организира работата по сигурността в клиентската организация и контролира тяхното изпълнение (и понякога го изпълнява сам).
PS : Аз също имах много въпроси относно прилагането на отделни точки от Инструкцията, най-интересните зададох на регулатора и в следващата статия ще споделя най-интересната информация ...
Също така е интересно да видим какви трудности сте имали вие, колеги, или обратното, положителният опит от използването на Инструкцията.