Comunicadores certificados: lo que necesita saber para elegirlos correctamente. Clasificación de los medios de seguridad de la información de FSTEC y FSB de Rusia Verificación de la información criptográfica del FSB por la Universidad Federal de Siberia
Sin embargo, aquí hay muchos matices: la contabilidad y el almacenamiento de las herramientas de cifrado, el acceso a CIPF y las regulaciones para su uso deben llevarse a cabo en estricta conformidad con los requisitos legales.
La violación de las normas de seguridad de la información, según el artículo 13.12 del Código de Infracciones Administrativas de la Federación de Rusia, puede conllevar una serie de sanciones: multas para funcionarios y organizaciones, así como la confiscación de los propios medios de criptoprotección. La consecuencia puede ser la imposibilidad de enviar informes electrónicos o el bloqueo del trabajo de la institución en el sistema de intercambio de datos.
El seguimiento periódico del uso de las herramientas de cifrado utilizadas para garantizar la seguridad de los datos personales (en adelante, PD) se lleva a cabo de acuerdo con los requisitos de las siguientes normas:
- Ley Federal de 27 de julio de 2006 No. 152-FZ “Sobre Datos Personales”;
- Orden del FSB de Rusia de 10 de julio de 2014 No. 378;
- Instrucción FAPSI No. 152 de 13 de junio de 2001;
- y una serie de otros documentos reglamentarios.
El plan de inspección del FSB para el año se publica en el sitio web oficial de la Fiscalía General de la Federación de Rusia. Aquí, cualquier organización, utilizando su TIN u OGRN, puede conocer las próximas inspecciones de este año, su duración y plazo.
Para prepararse para una inspección del FSB, es necesario tomar una serie de medidas organizativas, desarrollar y aprobar documentos relacionados con el trabajo con la protección de información criptográfica.
Las respuestas a las siguientes preguntas le ayudarán a sistematizar su preparación para la inspección y centrarse en las medidas necesarias:
- ¿La organización cuenta con medios de protección de la información criptográfica? ¿Existen documentos para su adquisición, se llevan registros? ¿Qué documentos regulan la transferencia del CIPF para enajenación y uso?
- Qué departamento de la empresa es responsable de trabajar con CIPF, a saber: elaborar conclusiones sobre la posibilidad de utilizar CIPF, desarrollar medidas para garantizar el funcionamiento y seguridad de los CIPF utilizados de acuerdo con los términos de los certificados emitidos para ellos, copiar- contabilidad por copia de los CIPF utilizados, documentación operativa y técnica de los mismos, contabilidad de los titulares de información confidencial atendidos, seguimiento del cumplimiento de los términos de uso de CIPF, investigación y elaboración de conclusiones sobre hechos de violación de los términos de uso de CIPF , ¿desarrollo de un esquema para organizar la protección criptográfica de información confidencial?
- ¿Qué documentos regulan la creación del departamento indicado anteriormente, así como qué documentos designan a las personas responsables de realizar las acciones dentro de este departamento?
- ¿Se han desarrollado regulaciones para registrar y almacenar CIPF?
- ¿Están aprobados los formularios de los diarios contables del CIPF? ¿Cómo se mantienen?
- ¿Se ha definido el círculo de responsables y la responsabilidad en caso de violación de las reglas para trabajar con CIPF?
- ¿Cómo se almacena y proporciona acceso a SZKI?
Todos los documentos deben ser aprobados por el jefe o persona autorizada de la organización; no se requieren clasificaciones de seguridad; sin embargo, los documentos deben estar destinados únicamente a los empleados e inspectores de la organización.
Nuestra experiencia en el apoyo a clientes durante las inspecciones del FSB nos permitió identificar los bloqueos más típicos a los que presta atención la autoridad reguladora.
1. Organización de un sistema de medidas organizativas para proteger los datos personales.
|
¿Qué se está comprobando? |
Consejo | |
|---|---|---|
|
Ámbito de aplicación del CIPF en sistemas de información ah datos personales; Disponibilidad de documentos y órdenes departamentales sobre la organización de la protección criptográfica. |
Documentos y órdenes departamentales sobre la organización de la protección de la información criptográfica. | Es necesario hacer referencia a los documentos que definen el uso obligatorio de CIPF para procesar y transmitir información. En materia de protección de datos personales en sistemas estatales estos son los pedidos 17 y 21 de FSTEC |
2. Organización de un sistema de medidas de protección de la información criptográfica.
3. Permisos y documentación operativa
|
¿Qué se está comprobando? |
¿Qué documentos se deben proporcionar? | Consejo |
|---|---|---|
|
Disponibilidad de las licencias necesarias para el uso de CIPF en sistemas de información de datos personales; Disponibilidad de certificados de conformidad para el CIPF utilizado; Disponibilidad de documentación operativa para CIPF (formularios, reglas de operación, manual del operador, etc.); El procedimiento para registrar CIPF, documentación operativa y técnica para ellos. |
Licencias y certificados del CIPF utilizado; Documentación operativa para CIPF |
¿A qué documentos nos referimos? 1) licencias de software, 2) la disponibilidad de distribuciones para estas licencias, obtenidas legalmente, |
4. Requisitos para el personal de servicio.
|
¿Qué se está comprobando? |
¿Qué documentos se deben proporcionar? | Consejo |
|---|---|---|
|
El procedimiento para registrar personas autorizadas para trabajar con CIPF; Disponibilidad de responsabilidades funcionales de los usuarios responsables de CIPF; Dotación de puestos regulares con personal y su suficiencia para resolver problemas relacionados con la organización de la protección de la información criptográfica; Organización del proceso de formación de personas usuarias de CIPF. |
Listas aprobadas; Documentos que confirmen las responsabilidades funcionales de los empleados; Registro de usuario medios criptográficos; Documentos que confirmen la finalización de la formación de los empleados. |
Debes tener los siguientes documentos: 1) instrucciones para trabajar con CIPF, 2) nombramiento por órdenes internas de los responsables de trabajar con CIPF |
5. Funcionamiento del CIPF
|
¿Qué se está comprobando? |
¿Qué documentos se deben proporcionar? | Consejo |
|---|---|---|
|
Comprobar la correcta puesta en servicio; Evaluación del estado técnico del sistema de protección de información criptográfica; Cumplimiento de los plazos e integridad del mantenimiento; Verificar el cumplimiento de las reglas para el uso de CIPF y el procedimiento para el manejo de documentos clave relacionados con ellos. |
Certificados de puesta en funcionamiento del CIPF; Diario de contabilidad copia por instancia de CIPF; Diario de grabación y emisión de medios con información clave. |
Es necesario desarrollar los siguientes documentos: 1) certificados de instalación de CIPF, 2) orden de aprobación de los formularios del libro de registro |
6. Medidas organizativas
|
¿Qué se está comprobando? |
¿Qué documentos se deben proporcionar? | Consejo |
|---|---|---|
|
Cumplimiento de los requisitos de ubicación, equipamiento especial, seguridad y organización del régimen en los locales donde está instalado CIPF o se almacenan documentos clave para ellos; Cumplimiento del modo de almacenamiento de CIPF y documentación clave con los requisitos; Evaluar el grado en que el operador dispone de criptoclaves y organizar su entrega; Comprobar la disponibilidad de instrucciones para restablecer la comunicación en caso de que se comprometan las claves existentes de CIPF |
Documentación operativa para CIPF; Locales destinados a la instalación y almacenamiento del CIPF documentos clave a ellos; Instrucciones en caso de compromiso de claves CIPF existentes |
1) Cumplimiento de los requisitos de la Instrucción 152 de la FAPSI. Depende de condiciones específicas; puede requerir instalación de seguridad, instalación de cortinas en las ventanas, compra de una caja fuerte, etc. 2) Instrucciones para trabajar con CIPF |
Todos los requisitos anteriores se derivan del Reglamento para realizar inspecciones del FSB. Las acciones específicas se llevan a cabo de acuerdo con la Orden FAPSI No. 152 del 13 de junio de 2001.
El cumplimiento de al menos parte de los requisitos aumentará significativamente la probabilidad de pasar todos los procedimientos regulatorios sin multa. En general, no hay redundancia en los requisitos; todas las acciones son verdaderamente importantes y trabajan para proteger los intereses de la organización.
Nikita Yárkov, jefe del grupo de licencias de SKB Kontur, proyecto Kontur-Safety
Comentarios...
Alexey, ¡buenas tardes!
La respuesta del 8º Centro no indica nada sobre la necesidad de utilizar CIPF certificado. Pero existen “Recomendaciones Metodológicas...” aprobadas por la dirección del 8º Centro del FSB de Rusia con fecha 31 de marzo de 2015 No. 149/7/2/6-432, en las que en el segundo párrafo se encuentra el siguiente párrafo parte:
Para garantizar la seguridad de los datos personales durante su procesamiento en el ISPD, se debe utilizar un CIPF que haya pasado el procedimiento de evaluación de la conformidad en la forma prescrita. Lista de CIPF, certificado por el FSB Rusia, publicado en el sitio web oficial del Centro de Licencias, Certificación y Protección de Secretos de Estado del FSB de Rusia (www.clsz.fsb.ru). Información adicional Se recomienda obtener información sobre herramientas específicas de seguridad de la información directamente de los desarrolladores o fabricantes de estas herramientas y, si es necesario, de organizaciones especializadas que hayan realizado estudios de casos de estas herramientas;
¿Por qué no es un requisito utilizar CIPF certificado?
Existe una orden del FSB de Rusia de 10 de julio de 2014 No. 378, que establece en el inciso “d” del párrafo 5: “el uso de herramientas de seguridad de la información que hayan pasado el procedimiento para evaluar el cumplimiento de los requisitos legales Federación Rusa en el ámbito de la seguridad de la información, en los casos en que el uso de dichos medios sea necesario para neutralizar las amenazas actuales."
Esto de “cuándo es necesario el uso de tales medios para neutralizar las amenazas actuales” es un poco confuso. Pero toda esta necesidad debe describirse en el modelo del intruso.
Pero en este caso, nuevamente, la Sección 3 de las “Recomendaciones Metodológicas...” de 2015 establece que “Cuando se utilizan canales (líneas) de comunicación desde los cuales es imposible interceptar información protegida transmitida a través de ellos y (o) en los que es imposible imposible ejercer influencias no autorizadas sobre esta información, con descripción general Los sistemas de información deben indicar:
- descripción de los métodos y medios para proteger estos canales contra el acceso no autorizado a ellos;
- conclusiones basadas en los resultados de estudios de seguridad de estos canales (líneas) de comunicación contra el acceso no autorizado a información protegida transmitida a través de ellos por una organización que tiene derecho a realizar dichos estudios, con referencia al documento que contiene estas conclusiones."
Lo que quiero decir con todo esto es que sí, no es necesario utilizar protección de información criptográfica siempre y en todas partes para garantizar la seguridad del procesamiento de datos personales. Pero para hacer esto, es necesario crear un modelo del delincuente, donde todo esto pueda describirse y probarse. Escribiste sobre dos casos en los que necesitas usarlos. Pero el hecho de que para garantizar la seguridad del procesamiento de datos personales canales abiertos comunicaciones, o si el procesamiento de estos datos personales va más allá de los límites de la zona controlada, puede utilizar CIPF no certificado; no es tan simple. Y puede suceder que sea más fácil utilizar dispositivos certificados de protección de información criptográfica y cumplir con todos los requisitos durante su funcionamiento y almacenamiento que utilizar productos no certificados y chocar con el regulador, quien, al ver tal situación, se esforzará mucho en frotarse. su nariz hacia adentro.
Comentarios desconocidos...El caso en el que el uso de dichos medios es necesario para neutralizar las amenazas actuales: el requisito de la Orden del FSTEC de Rusia No. 17 del 11 de febrero de 2013 (requisitos para ISPDn estatales y municipales),
cláusula 11. Para garantizar la protección de la información contenida en el sistema de información, se utilizan herramientas de seguridad de la información que hayan pasado la evaluación de conformidad en forma de certificación obligatoria para el cumplimiento de los requisitos de seguridad de la información de conformidad con el artículo 5 de la Ley Federal del 27 de diciembre. , 2002 No. 184-FZ “Sobre reglamento técnico".
Alexey Lukatsky comenta...Proximo: Las recomendaciones del FSB son ilegítimas. La Orden 378 es legítima, pero debe considerarse en el contexto de toda la legislación y dice que los detalles de la evaluación del cumplimiento los establece el Gobierno o el Presidente. Ni uno ni otro emitieron tales actos jurídicos.
Alexey Lukatsky comenta...Antón: En el gobierno estatal los requisitos de certificación están establecidos por ley, la orden 17 simplemente los repite. Y estamos hablando de PDn.
Comentarios desconocidos...Alexey Lukatsky: No. Las recomendaciones del FSB son ilegítimas" ¿Qué tan ilegítimas? Me refiero al documento No. 149/7/2/6-432 del 19 de mayo de 2015 (http://www.fsb.ru/fsb/science/ single.htm!id%3D10437608 %40fsbResearchart.html), pero no sobre el documento de fecha 21/02/2008 No. 149/54-144.
Otro especialista también hizo anteriormente una solicitud al FSB sobre un tema similar, y le dijeron que no es necesario utilizar la "Metodología..." y las "Recomendaciones..." del FSB de 2008 si se trata de estos documentos. Pero nuevamente, estos documentos no fueron cancelados oficialmente. Y si estos documentos son legítimos o no, creo que los inspectores del FSB decidirán sobre el terreno durante la inspección.
La ley dice que los datos personales deben ser protegidos. Los estatutos del Gobierno, FSB y FSTEC determinan exactamente cómo deben protegerse. Las regulaciones del FSB dicen: "Utilice certificado. Si no quiere certificado, demuestre que puede usarlo y tenga la amabilidad de adjuntar una conclusión al respecto de una empresa que tenga licencia para emitir tales conclusiones". Algo como esto...
Alexey Lukatsky comenta...1. Cualquier recomendación es una recomendación y no un requisito obligatorio.
2. El manual de 2015 no tiene nada que ver con los operadores de PD: se refiere a funcionarios gubernamentales que escriben modelos de amenazas para instituciones subordinadas (teniendo en cuenta el punto 1).
3. El FSB no tiene derecho a realizar inspecciones de operadores comerciales de PD, y para las agencias gubernamentales la cuestión de utilizar CIPF no certificado no vale la pena: están obligadas a utilizar soluciones certificadas, independientemente de la disponibilidad de PD, estas son las requisitos de la Ley Federal-149.
4. Los estatutos te dicen cómo proteger y esto es normal. Pero no pueden determinar la forma de evaluación del equipo de protección; esto sólo puede hacerse mediante las disposiciones del Gobierno o del Presidente. El FSB no está autorizado a hacer esto.
Según el Decreto 1119:
4. La elección de los medios de seguridad de la información para el sistema de protección de datos personales la realiza el operador de acuerdo con los actos legales reglamentarios adoptados por el Servicio Federal de Seguridad de la Federación de Rusia y el Servicio Federal de Control Técnico y de Exportaciones de conformidad con la Parte 4. del artículo 19 de la Ley Federal "Sobre Datos Personales".
13.g. El uso de herramientas de seguridad de la información que hayan sido objeto de una evaluación del cumplimiento de los requisitos de la legislación de la Federación de Rusia en el campo de la seguridad de la información, en los casos en que el uso de dichas herramientas sea necesario para neutralizar las amenazas actuales.
¿Cómo justificar la irrelevancia de la amenaza al transmitir datos personales a través de los canales de un operador de telecomunicaciones?
Aquellos. si no CIPF, entonces aparentemente
- acceso a la terminal y clientes delgados, pero al mismo tiempo los datos de seguridad de la información del terminal.
el acceso debe estar certificado.
- protección de canales por parte del operador de telecomunicaciones, responsabilidad del operador de telecomunicaciones (proveedor).
La irrelevancia la determina el operador y no necesita a nadie para ello.
Los requisitos de seguridad de la información al diseñar sistemas de información indican las características que caracterizan los medios de seguridad de la información utilizados. Están definidos por diversas leyes de los reguladores en el campo de la seguridad. seguridad de información, en particular - FSTEC y el FSB de Rusia. En el artículo se reflejan qué clases de seguridad existen, tipos y tipos de equipos de protección, así como dónde obtener más información al respecto.
Introducción
Hoy en día, las cuestiones relativas a garantizar la seguridad de la información son objeto de mucha atención, ya que las tecnologías que se implementan en todas partes sin garantizar la seguridad de la información se convierten en una fuente de nuevos problemas graves.
El FSB ruso informa sobre la gravedad de la situación: los daños causados por los atacantes durante varios años en todo el mundo oscilaron entre 300 mil millones de dólares y 1 billón de dólares. Según la información proporcionada por el Fiscal General de la Federación de Rusia, sólo en el primer semestre de 2017, el número de delitos en el ámbito de la alta tecnología en Rusia se sextuplicó y el importe total de los daños superó los 18 millones de dólares. Un aumento de los ataques dirigidos. en el sector industrial en 2017 se notó en todo el mundo. En particular, en Rusia el aumento del número de ataques respecto a 2016 fue del 22%.
Las tecnologías de la información comenzaron a utilizarse como armas con fines militares y políticos, terroristas, para interferir en los asuntos internos de estados soberanos, así como para cometer otros delitos. La Federación de Rusia aboga por la creación de un sistema internacional de seguridad de la información.
En el territorio de la Federación de Rusia, los titulares de información y los operadores de sistemas de información deben bloquear los intentos de acceso no autorizado a la información, así como monitorear el estado de seguridad de la infraestructura de TI en base permanente. Al mismo tiempo, la protección de la información se garantiza mediante la adopción de diversas medidas, incluidas las técnicas.
Las herramientas de seguridad de la información, o sistemas de protección de la información, garantizan la protección de la información en los sistemas de información, que son esencialmente un conjunto de información almacenada en bases de datos, tecnologías de la información que aseguran su procesamiento y medios técnicos.
Los sistemas de información modernos se caracterizan por el uso de diversas plataformas de hardware y software, la distribución territorial de los componentes, así como la interacción con redes abiertas transmisión de datos.
¿Cómo proteger la información en tales condiciones? Los requisitos correspondientes los presentan los organismos autorizados, en particular el FSTEC y el FSB de Rusia. En el marco del artículo, intentaremos reflejar los principales enfoques para la clasificación de los sistemas de seguridad de la información, teniendo en cuenta los requisitos de estos reguladores. Otras formas de describir la clasificación de la seguridad de la información, reflejadas en los documentos reglamentarios de los departamentos rusos, así como de organizaciones y agencias extranjeras, están fuera del alcance de este artículo y no se consideran más a fondo.
El artículo puede ser útil para los especialistas novatos en el campo de la seguridad de la información como fuente de información estructurada sobre los métodos de clasificación de la seguridad de la información según los requisitos del FSTEC de Rusia (en mayor medida) y, en resumen, del FSB de Rusia.
La estructura que determina el procedimiento y coordina la provisión de seguridad de la información utilizando métodos no criptográficos es la FSTEC de Rusia (anteriormente la Comisión Técnica Estatal dependiente del Presidente de la Federación de Rusia, Comisión Técnica Estatal).
Si el lector alguna vez ha visto el Registro Estatal de Herramientas Certificadas de Seguridad de la Información, que está formado por el FSTEC de Rusia, seguramente prestó atención a la presencia en la parte descriptiva del propósito del sistema de protección de la información frases como "RD SVT clase”, “nivel de ausencia de incumplimiento con datos de incumplimiento”, etc. (Figura 1) .
Figura 1. Fragmento del registro de dispositivos de protección de la información certificados
Clasificación de herramientas de seguridad de la información criptográfica.
El FSB de Rusia ha definido clases de sistemas de protección de información criptográfica: KS1, KS2, KS3, KV y KA.
Las principales características de los IPS de clase KS1 incluyen su capacidad para resistir ataques realizados desde fuera del área controlada. Esto implica que la creación de métodos de ataque, su preparación e implementación se lleva a cabo sin la participación de especialistas en el campo del desarrollo y análisis de la seguridad de la información criptográfica. Se supone que la información sobre el sistema en el que se utilizan los sistemas de seguridad de la información especificados se puede obtener de fuentes abiertas.
Si un sistema de seguridad de la información criptográfica puede resistir los ataques bloqueados mediante la clase KS1, así como los realizados dentro del área controlada, entonces dicha seguridad de la información corresponde a la clase KS2. Se supone, por ejemplo, que durante la preparación de un ataque podría estar disponible información sobre medidas físicas para proteger los sistemas de información, garantizar un área controlada, etc.
Si es posible resistir ataques si tienes acceso físico a los fondos tecnologia computacional con sistemas de seguridad de información criptográfica instalados, se habla de la conformidad de dichos medios con la clase KS3.
Si la seguridad de la información criptográfica resiste los ataques, en cuya creación participaron especialistas en el campo del desarrollo y análisis de estas herramientas, incluidos los centros de investigación, fue posible realizar estudios de laboratorio de los medios de seguridad, entonces estamos hablando acerca de sobre el cumplimiento de la clase HF.
Si especialistas en el campo del uso del sistema NDV estuvieran involucrados en el desarrollo de métodos de ataque software, la documentación de diseño correspondiente estaba disponible y había acceso a todos los componentes de hardware del sistema de seguridad de información criptográfica, entonces se puede brindar protección contra tales ataques mediante la clase KA.
Clasificación de los medios de protección de la firma electrónica.
Instalaciones firma electronica Dependiendo de la capacidad de resistir ataques, se acostumbra compararlos con las siguientes clases: KS1, KS2, KS3, KV1, KV2 y KA1. Esta clasificación es similar a la comentada anteriormente en relación a la seguridad de la información criptográfica.
conclusiones
El artículo examina algunos métodos de clasificación de la seguridad de la información en Rusia, cuya base es el marco regulatorio de los reguladores en el campo de la protección de la información. Las opciones de clasificación consideradas no son exhaustivas. Sin embargo, esperamos que la información resumida presentada permita a un especialista novato en el campo de la seguridad de la información navegar rápidamente.
Matrícula N° 33620
De conformidad con la Parte 4 del artículo 19 de la Ley Federal de 27 de julio de 2006 N 152-FZ “Sobre Datos Personales” 1 Ordeno:
aprobar la composición y el contenido adjuntos de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en sistemas de información de datos personales utilizando herramientas de protección de información criptográfica necesarias para cumplir con los requisitos establecidos por el Gobierno de la Federación de Rusia para la protección de datos personales para cada nivel de seguridad.
Director A. Bortnikov
1 Colección de legislación de la Federación de Rusia, 2006, núm. 31 (Parte I), art. 3451; 2009, n. 48, art. 5716; N 52 (parte I), art. 6439; 2010, n. 27, art. 3407; N 31, art. 4173, art. 4196; N 49, art. 6409; N 52 (parte I), art. 6974; 2011, n. 23, art. 3263; N 31, art. 4701; 2013, n. 14, art. 1651; N 30 (parte I), art. 4038.
Solicitud
La composición y contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en sistemas de información de datos personales utilizando herramientas de protección de información criptográfica necesarias para cumplir con los requisitos establecidos por el Gobierno de la Federación de Rusia para la protección de datos personales para cada nivel de seguridad
I. Disposiciones generales
1. Este documento define la composición y el contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales (en adelante, el sistema de información) utilizando herramientas de protección de información criptográfica (en adelante, información criptográfica). protección) necesarios para cumplir con los requisitos establecidos por el Gobierno de la Federación de Rusia para la protección de datos personales para cada nivel de seguridad.
2. Este documento está destinado a los operadores que utilizan CIPF para garantizar la seguridad de los datos personales cuando se procesan en los sistemas de información.
3. La aplicación de las medidas organizativas y técnicas definidas en este documento está garantizada por el operador, teniendo en cuenta los requisitos de los documentos operativos de CIPF utilizados para garantizar la seguridad de los datos personales cuando se procesan en sistemas de información.
4. El funcionamiento del CIPF deberá realizarse de acuerdo con la documentación del CIPF y los requisitos establecidos en este documento, así como de conformidad con otros actos legales reglamentarios que regulen las relaciones en el ámbito correspondiente.
II. Composición y contenido de las medidas organizativas y técnicas necesarias para cumplir los requisitos establecidos por el Gobierno de la Federación de Rusia. a la protección de datos personales para seguridad de nivel 4
5. De conformidad con el párrafo 13 de los Requisitos para la protección de datos personales durante su procesamiento en sistemas de información de datos personales, aprobado por Decreto del Gobierno de la Federación de Rusia del 1 de noviembre de 2012 N1119 1 (en adelante, los Requisitos para Protección de Datos Personales), para garantizar el nivel 4 de protección de datos personales. Cuando se traten datos en sistemas de información, se deberán cumplir los siguientes requisitos:
a) organizar un régimen de seguridad para las instalaciones en las que se encuentra el sistema de información, evitando la posibilidad de entrada o permanencia incontrolada en estas instalaciones por parte de personas que no tienen acceso a estas instalaciones;
b) garantizar la seguridad de los portadores de datos personales;
c) aprobación por parte del jefe del operador de un documento que define la lista de personas cuyo acceso a los datos personales procesados en el sistema de información es necesario para el desempeño de sus funciones oficiales (laborales);
d) el uso de herramientas de seguridad de la información que hayan pasado el procedimiento para evaluar el cumplimiento de los requisitos de la legislación de la Federación de Rusia en el campo de la seguridad de la información, en los casos en que el uso de dichos medios sea necesario para neutralizar las amenazas actuales.
6. Para cumplir con el requisito especificado en el inciso “a” del párrafo 5 de este documento, es necesario asegurar un régimen que impida la posibilidad de entrada o permanencia incontrolada en las instalaciones donde se encuentra el CIPF utilizado, CIPF y (o) Se almacenan los portadores de la clave, la autenticación y la información de contraseña de CIPF (en adelante, las Instalaciones), personas que no tienen el derecho de acceso a las Instalaciones, que se logra mediante:
a) equipar el Local con puertas de entrada con cerradura, garantizando que las puertas del Local estén siempre cerradas con llave y abiertas únicamente para el paso autorizado, así como precintar el Local al final de la jornada laboral o equipar el Local con los dispositivos adecuados dispositivos tecnicos, señalando una apertura no autorizada del Local;
b) aprobación de normas para el acceso al Local en horario laboral y no laboral, así como en situaciones de emergencia;
c) aprobación de la lista de personas con derecho a acceder al Local.
7. Para cumplir con el requisito especificado en el inciso “b” del párrafo 5 de este documento, es necesario:
a) almacenar medios informáticos extraíbles de datos personales en cajas fuertes (armarios metálicos) equipadas con cerraduras internas con dos o más llaves duplicadas y dispositivos para sellar cerraduras o cerraduras de combinación. Si solo se almacenan datos personales en un medio de almacenamiento informático extraíble cifrado mediante CIPF, dichos medios pueden almacenarse fuera de cajas fuertes (armarios metálicos);
b) llevar a cabo una contabilidad copia por instancia de los medios de datos personales de la máquina, lo que se logra manteniendo un registro de los medios de datos personales utilizando números de registro (fábrica).
8. Para cumplir con el requisito especificado en el inciso “c” del párrafo 5 de este documento, es necesario:
a) desarrollar y aprobar un documento que defina una lista de personas cuyo acceso a los datos personales procesados en el sistema de información es necesario para el desempeño de sus funciones oficiales (laborales);
b) mantener actualizado un documento que defina una lista de personas cuyo acceso a los datos personales procesados en el sistema de información es necesario para el desempeño de sus funciones oficiales (laborales).
9. Para cumplir con el requisito especificado en el subpárrafo "d" del párrafo 5 de este documento, es necesario que cada uno de los niveles de seguridad de datos personales utilice CIPF de la clase adecuada, lo que permite garantizar la seguridad de los datos personales al implementar objetivos específicos. acciones utilizando hardware y (o) software con el objetivo de violar la seguridad de los datos personales protegidos por CIPF o crear las condiciones para ello (en adelante, ataque), lo cual se logra mediante:
a) obtener datos iniciales para formar un conjunto de suposiciones sobre las capacidades que se pueden utilizar al crear métodos, preparar y llevar a cabo ataques;
b) formación y aprobación por parte del gerente del operador de un conjunto de suposiciones sobre las capacidades que se pueden utilizar para crear métodos, preparar y llevar a cabo ataques, y determinar sobre esta base y teniendo en cuenta el tipo de amenazas actuales la clase requerida de CIPF ;
c) utilizado para garantizar el nivel requerido de seguridad de los datos personales cuando se procesan en un sistema de información CIPF de clase KS1 y superior.
10. CIPF clase KS1 se utiliza para neutralizar ataques, al crear métodos, prepararlos y ejecutarlos, se utilizan las siguientes capacidades:
a) crear métodos, preparar y llevar a cabo ataques sin la participación de especialistas en el campo del desarrollo y análisis de CIPF;
b) crear métodos, preparar y llevar a cabo ataques en varias etapas ciclo vital CIPF 2;
c) llevar a cabo un ataque estando fuera del espacio dentro del cual se ejerce el control sobre la estancia y las acciones de las personas y (o) Vehículo(en lo sucesivo denominada zona controlada) 3 ;
d) realizar los siguientes ataques en las etapas de desarrollo (modernización), producción, almacenamiento, transporte de CIPF y en la etapa de puesta en servicio de CIPF (obras de puesta en servicio):
realizar cambios no autorizados en el sistema de protección de información criptográfica y (o) en los componentes de hardware y software, junto con los cuales el sistema de protección de información criptográfica funciona normalmente y que representan colectivamente el entorno de funcionamiento del sistema de protección de información criptográfica (en lo sucesivo, SF) , que puede afectar el cumplimiento de los requisitos del sistema de protección de información criptográfica, incluido el uso de programas maliciosos;
realizar cambios no autorizados en la documentación de CIPF y componentes del SF;
e) realizar ataques en la etapa de operación del CIPF contra:
Informacion personal;
información de clave, autenticación y contraseña de CIPF;
Componentes de software CIPF;
Componentes de hardware CIPF;
Componentes de software SF, incluido software BIOS;
componentes de hardware SF;
datos transmitidos a través de canales de comunicación;
otros objetos que se establecen al formar un conjunto de propuestas sobre capacidades que pueden usarse para crear métodos, preparar y llevar a cabo ataques, teniendo en cuenta las tecnologías de la información, hardware (en adelante AS) y software (en adelante software). ) utilizado en el sistema de información;
f) recibir de aquellos en acceso libre fuentes (incluidas las redes de información y telecomunicaciones, cuyo acceso no se limita a un determinado círculo de personas, incluida la red de información y telecomunicaciones "Internet") de información sobre el sistema de información en el que se utiliza CIPF. Se puede obtener la siguiente información:
información general sobre el sistema de información en el que se utiliza CIPF (finalidad, composición, operador, objetos en los que se encuentran los recursos del sistema de información);
información sobre tecnologías de la información, bases de datos, AS, software utilizado en el sistema de información junto con CIPF, con excepción de la información contenida únicamente en la documentación de diseño para tecnologías de la información, bases de datos, AS, software utilizado en el sistema de información junto con CIPF;
información general sobre información protegida utilizada durante la operación de CIPF;
información sobre los canales de comunicación a través de los cuales se transmiten los datos personales protegidos por CIPF (en adelante, el canal de comunicación);
todos los datos posibles transmitidos de forma clara a través de canales de comunicación que no estén protegidos del acceso no autorizado a la información mediante medidas organizativas y técnicas;
información sobre todas las violaciones de las reglas de operación de CIPF y SF que ocurren en canales de comunicación que no están protegidos del acceso no autorizado a la información por medidas organizativas y técnicas;
información sobre todos los fallos y fallos de los componentes de hardware de CIPF y SF que aparecen en canales de comunicación que no están protegidos del acceso no autorizado a la información mediante medidas organizativas y técnicas;
información obtenida como resultado del análisis de cualquier señal de los componentes de hardware de CIPF y SF;
g) aplicación:
sistemas y software que están disponibles gratuitamente o se utilizan fuera del área controlada, incluidos los componentes de hardware y software de CIPF y SF;
parlantes y software especialmente desarrollados;
h) uso en la etapa de operación como medio para transferir de un sujeto a otro (de un objeto a otro) las acciones de ataque realizadas durante la preparación y (o) realización de un ataque:
canales de comunicación que no están protegidos del acceso no autorizado a la información mediante medidas organizativas y técnicas;
canales de propagación de señales que acompañan el funcionamiento de CIPF y SF;
i) realizar un ataque desde redes de información y telecomunicaciones en etapa operativa, cuyo acceso no esté limitado a un determinado círculo de personas, si los sistemas de información que utilizan CIPF tienen acceso a estas redes;
j) el uso durante la etapa de operación de AS y software ubicados fuera de la zona controlada de las herramientas del sistema de información utilizadas en los sitios de operación CIPF (en adelante, herramientas estándar).
11. CIPF clase KS2 se utiliza para neutralizar ataques, al crear métodos, prepararlos y ejecutarlos, se utilizan las capacidades enumeradas en el párrafo 10 de este documento y al menos una de las siguientes capacidades adicionales:
a) llevar a cabo un ataque mientras se encuentre dentro del área controlada;
b) realizar ataques en la etapa de operación del CIPF contra los siguientes objetos:
documentación para componentes CIPF y SF.
Locales que contengan un conjunto de software y elementos técnicos de sistemas de procesamiento de datos que puedan funcionar de forma independiente o como parte de otros sistemas (en adelante SVT), en los que se implementen CIPF y SF;
c) obtener, en el marco de las facultades otorgadas, así como como resultado de las observaciones, la siguiente información:
información sobre medidas físicas para proteger los objetos en los que se encuentran los recursos del sistema de información;
información sobre medidas para asegurar el área controlada de los objetos en los que se encuentran los recursos del sistema de información;
información sobre medidas para restringir el acceso a los Locales en los que se encuentran los dispositivos electrónicos, donde se implementan CIPF y SF;
d) utilizar fondos regulares, limitado por medidas implementadas en el sistema de información en el que se utiliza CIPF, y dirigido a prevenir y suprimir acciones no autorizadas.
12. CIPF clase KS3 se utiliza para neutralizar ataques, al crear métodos, prepararlos y ejecutarlos, se utilizan las capacidades enumeradas en los párrafos 10 y 11 de este documento y al menos una de las siguientes capacidades adicionales:
A) acceso físico a SVT, en el que se implementan CIPF y SF;
b) la capacidad de tener componentes de hardware de CIPF y SF, limitados por medidas implementadas en el sistema de información en el que se utiliza CIPF, y destinados a prevenir y suprimir acciones no autorizadas.
13. La clase KB CIPF se utiliza para neutralizar ataques, al crear métodos, prepararlos y ejecutarlos, se utilizan las capacidades enumeradas en los párrafos 10 a 12 de este documento y al menos una de las siguientes capacidades adicionales:
a) crear métodos, preparar y llevar a cabo ataques con la participación de especialistas en el campo del análisis de señales que acompañan el funcionamiento de CIPF y SF, y en el campo del uso de capacidades no documentadas (no declaradas) de software de aplicación para implementar ataques;
b) realizar estudios de laboratorio de protección de la información criptográfica utilizada fuera del área controlada, limitados por las medidas implementadas en el sistema de información en el que se utiliza el sistema de protección de la información criptográfica, y destinados a prevenir y reprimir acciones no autorizadas;
c) realizar trabajos para crear métodos y medios de ataques en centros de investigación especializados en el desarrollo y análisis de CIPF e IP, incluido el uso de códigos fuente de software de aplicación incluidos en el IP, que utiliza directamente llamadas a funciones del programa CIPF.
14. CIPF clase KA se utiliza para neutralizar ataques, al crear métodos, prepararlos y ejecutarlos, se utilizan las capacidades enumeradas en los párrafos 10 a 13 de este documento y al menos una de las siguientes capacidades adicionales:
a) crear métodos, preparar y llevar a cabo ataques con la participación de especialistas en el campo del uso de capacidades no documentadas (no declaradas) del software del sistema para implementar ataques;
b) la capacidad de tener información contenida en la documentación de diseño de los componentes de hardware y software del SF;
c) la capacidad de tener todos los componentes de hardware de CIPF y SF.
15. En el proceso de formar un conjunto de suposiciones sobre las capacidades que se pueden utilizar para crear métodos, preparar y llevar a cabo ataques, características adicionales, no incluidos en los enumerados en los párrafos 10 a 14 de este documento, no afectan el procedimiento para determinar la clase requerida de CIPF.
III. Composición y contenido de las medidas organizativas y técnicas necesarias para cumplir los requisitos establecidos por el Gobierno de la Federación de Rusia. a la protección de datos personales para seguridad de nivel 3
16. De acuerdo con el párrafo 14 de los Requisitos para la Protección de Datos Personales, con el fin de garantizar el nivel 3 de seguridad de los datos personales cuando se procesan en sistemas de información, además de cumplir con los requisitos previstos en el párrafo 5 de este documento, es necesario para cumplir con el requisito de designar un funcionario (empleado) responsable de garantizar la seguridad datos personales en el sistema de información.
17. Para cumplir con el requisito especificado en el párrafo 16 de este documento, es necesario designar a un funcionario (empleado) del operador con habilidades suficientes responsable de garantizar la seguridad de los datos personales en el sistema de información.
18. Para cumplir con el requisito especificado en el subpárrafo "d" del párrafo 5 de este documento, es necesario, en lugar de la medida prevista en el subpárrafo "c" del párrafo 9 de este documento, utilizar para garantizar el nivel requerido de seguridad. de los datos personales al tratarlos en el sistema de información:
IV. Composición y contenido de las medidas organizativas y técnicas necesarias para cumplir los requisitos establecidos por el Gobierno de la Federación de Rusia. a la protección de datos personales para seguridad de nivel 2
19. De conformidad con el párrafo 15 de los Requisitos para la protección de datos personales, con el fin de garantizar el nivel 2 de seguridad de los datos personales durante su procesamiento en los sistemas de información, además de cumplir con los requisitos previstos en los párrafos 5 y 16 de este documento. , es necesario cumplir con el requisito de que el acceso al contenido del diario de mensajes electrónicos sea posible exclusivamente para los funcionarios (empleados) del operador o una persona autorizada para quien la información contenida en el diario especificado es necesaria para realizar funciones oficiales (laborales). deberes.
20. Para cumplir con el requisito especificado en el párrafo 19 de este documento, es necesario:
a) aprobación por parte del jefe del operador de la lista de personas admitidas en el contenido del registro de mensajes electrónicos y mantenimiento actualizado de la lista especificada;
b) dotar al sistema de información de medios automatizados que registren las solicitudes de los usuarios del sistema de información para obtener datos personales, así como los hechos de proporcionar datos personales sobre estas solicitudes en un registro de mensajes electrónicos;
c) dotación del sistema de información de medios automatizados que excluyan el acceso al contenido del registro electrónico de mensajes de personas no indicadas en la lista de personas aprobadas por el jefe del operador aprobado para el contenido del registro electrónico de mensajes;
d) garantizar un seguimiento periódico del funcionamiento de los medios automatizados especificados en los incisos “b” y “c” de este párrafo (al menos una vez cada seis meses).
21. Para cumplir con el requisito especificado en el subpárrafo "d" del párrafo 5 de este documento, es necesario, en lugar de las medidas previstas en el subpárrafo "c" del párrafo 9 y el párrafo 18 de este documento, para garantizar el nivel requerido de Seguridad de los datos personales al procesarlos en el sistema de información:
CIPF clase KB y superior en los casos en que las amenazas de tipo 2 sean relevantes para el sistema de información;
CIPF clase KS1 y superior en los casos en que las amenazas de tipo 3 sean relevantes para el sistema de información.
V. Composición y contenido de las medidas organizativas y técnicas necesarias para cumplir los requisitos establecidos por el Gobierno de la Federación de Rusia. a la protección de datos personales para 1 nivel de seguridad
22. De conformidad con el párrafo 16 de los Requisitos para la Protección de Datos Personales, con el fin de garantizar el nivel 1 de seguridad de los datos personales al procesarlos en los sistemas de información, además de cumplir con los requisitos previstos en los párrafos 5, 16 y 19 de este documento se deben cumplir los siguientes requisitos:
a) registro automático en el registro electrónico de seguridad de los cambios en las facultades del empleado del operador para acceder a los datos personales contenidos en el sistema de información;
b) la creación de una unidad estructural separada responsable de garantizar la seguridad de los datos personales en el sistema de información, o la asignación de sus funciones a una de las unidades estructurales existentes.
23. Para cumplir con el requisito especificado en el inciso “a” del párrafo 22 de este documento, es necesario:
a) dotar al sistema de información de medios automatizados que permitan registrar automáticamente en el registro electrónico de seguridad los cambios en las facultades del empleado del operador para acceder a los datos personales contenidos en el sistema de información;
b) reflejo en el registro de seguridad electrónico de las facultades de los empleados del operador de datos personales para acceder a los datos personales contenidos en el sistema de información. Los poderes especificados deben corresponder a las responsabilidades oficiales de los empleados del operador;
c) nombramiento por parte del operador de una persona responsable de monitorear periódicamente el mantenimiento de un registro de seguridad electrónico y el cumplimiento de las facultades de los empleados del operador reflejadas en él con sus responsabilidades laborales (al menos una vez al mes).
24. Para cumplir con el requisito especificado en el inciso “b” del párrafo 22 de este documento, es necesario:
a) realizar un análisis de la viabilidad de crear una unidad estructural separada responsable de garantizar la seguridad de los datos personales en el sistema de información;
b) crear una unidad estructural separada responsable de garantizar la seguridad de los datos personales en el sistema de información, o asignar sus funciones a una de las unidades estructurales existentes.
25. Para cumplir con el requisito especificado en el inciso “a” del párrafo 5 de este documento, para garantizar el nivel 1 de seguridad es necesario:
a) equipar las ventanas de los Locales ubicados en el primer y (o) piso superior de los edificios, así como las ventanas de los Locales ubicadas cerca de las escaleras de incendios y otros lugares desde donde personas no autorizadas pueden ingresar al Local, con rejas o contraventanas metálicas , una alarma de seguridad u otros medios que impidan la entrada incontrolada de personas no autorizadas al local;
b) equipar las ventanas y puertas de los Locales en los que se encuentren los servidores del sistema de información con rejas metálicas, alarmas de seguridad u otros medios que impidan el ingreso incontrolado de personas no autorizadas al local.
26. Para cumplir con el requisito especificado en el subpárrafo "d" del párrafo 5 de este documento, es necesario, en lugar de las medidas previstas en el subpárrafo "c" del párrafo 9, párrafos 18 y 21 de este documento, para asegurar el requerido Nivel de protección de los datos personales cuando se procesan en el sistema de información:
CIPF clase KA en los casos en que las amenazas de tipo 1 sean relevantes para el sistema de información;
Clase CIPF KB y superior en los casos en que las amenazas de tipo 2 sean relevantes para el sistema de información.
1 Colección de legislación de la Federación de Rusia, 2012, N 45, 6257.
2 Las etapas del ciclo de vida del CIPF incluyen el desarrollo (modernización) de estos medios, su producción, almacenamiento, transporte, puesta en servicio (puesta en servicio) y operación.
3 El límite de la zona controlada puede ser el perímetro del territorio protegido de la empresa (institución), las estructuras de cerramiento del edificio protegido, la parte protegida del edificio, las instalaciones asignadas.
Como muestra la práctica, pocas organizaciones recuerdan y se guían por la orden de FAPSI (cuyo sucesor legal es el FSB de Rusia) del 13 de junio de 2001 N 152 “Sobre la aprobación de las Instrucciones para organizar y garantizar la seguridad del almacenamiento, procesamiento y la transmisión a través de canales de comunicación utilizando medios criptográficos de protección de la información de acceso limitado, que no contengan información que constituya un secreto de Estado".
Pero las Instrucciones son obligatorias cuando se utiliza CIPF certificado para garantizar la seguridad de la información. acceso limitado(sujeto a protección de conformidad con la legislación de la Federación de Rusia).Y esto es PDn, todo tipo de secretos, GIS, NPS, futuras CII.
De 2008 a 2012, hubo una flexibilización de los datos personales en forma de "Requisitos estándar para organizar y garantizar el funcionamiento de los medios de cifrado (criptográficos) destinados a proteger información que no contenga información que constituya un secreto de estado en caso de su uso para garantizar la seguridad de los datos personales cuando se procesan en sistemas de información de datos personales”, aprobado por la dirección del 8º Centro del FSB de Rusia el 21 de febrero de 2008 No. 149/6/6-622. Pero después de la publicación del RF PP No. 1119, este documento perdió su relevancia y el FSB de Rusia informó que es necesario seguir las Instrucciones.
En el marco del estado control sobre la implementación de las disposiciones de esta Instrucción, se encuentra una gran cantidad de violaciones.
Hay muchas preguntas sobre la aplicación de las Instrucciones, ya que fueron escritas en un momento en que los CIPF certificados se usaban en raras organizaciones en copias únicas. Ahora, cuando servi. La criptografía se está volviendo omnipresente, lo que dificulta seguir las instrucciones palabra por palabra.
Me gustaría llamar la atención de inmediato sobre el hecho de que las Instrucciones junto con 99-FZ brindan resultados claros sobre la necesidad de obtener una licencia del FSB de Rusia o celebrar un acuerdo con el licenciatario:
Artículo 12 99-FZ: "1. De acuerdo con esto Ley Federal Los siguientes tipos de actividades están sujetos a licencia:
1) ... realización del trabajo ... en el campo del cifrado de información, Mantenimiento medios de cifrado (criptográficos), sistemas de información y sistemas de telecomunicaciones protegidos mediante medios de cifrado (criptográficos) (excepto si el mantenimiento de los medios de cifrado (criptográficos), sistemas de información y sistemas de telecomunicaciones protegidos mediante medios de cifrado (criptográficos) se lleva a cabo para proporcionar propias necesidades entidad legal o empresario individual);”
Decreto del Gobierno de la Federación de Rusia No. 313. Anexo al reglamento: “LISTA DE TRABAJOS REALIZADOS Y SERVICIOS PRESTADOS, QUE CONSTITUYEN ACTIVIDADES LICENCIADAS, EN RELACIÓN CON HERRAMIENTAS DE CIFRADO (CRIPTOGRÁFICAS)
12. Instalación, instalación (instalación), ajuste de medios de cifrado (criptográficos), con excepción de los medios de cifrado (criptográficos) para proteger datos fiscales, diseñados para su uso como parte del equipo de caja registradora, certificados por el Servicio Federal de Seguridad de Rusia. Federación.
13. Instalación, instalación (instalación), ajuste de sistemas de información protegidos mediante medios cifrados (criptográficos).
14. Instalación, instalación (instalación), ajuste de sistemas de telecomunicaciones protegidos mediante medios de cifrado (criptográficos).
15. Instalación, instalación (instalación), ajuste de medios para la producción de documentos clave.
20. Trabajos de mantenimiento de medios de cifrado (criptográficos) previstos en la documentación técnica y operativa de estos medios ( excepto en el caso, si el trabajo especificado se lleva a cabo para garantizar propias necesidades persona jurídica o empresario individual).
28. Producción y distribución de documentos clave y (o) información clave inicial para el desarrollo de documentos clave utilizando hardware, software y firmware, sistemas y complejos para la producción y distribución de documentos clave para herramientas de cifrado (criptográficas).
Pero las Instrucciones contienen requisitos más estrictos.
Instrucción FAPSI N° 152: “ 4. La seguridad del almacenamiento, procesamiento y transmisión a través de canales de comunicación utilizando CIPF de información confidencial, cuyos titulares no tienen licencias FAPSI, los licenciatarios FAPSI organizan y garantizan... sobre la base de contratos para la prestación de servicios de protección criptográfica. de información confidencial.
6. Para desarrollar e implementar medidas para organizar y garantizar la seguridad del almacenamiento, procesamiento y transmisión de información confidencial utilizando CIPF, el licenciatario FAPSI crea uno o más organismos de protección criptográfica…”
Conclusión principal siguiente: una organización sin una licencia FSB no puede organizar el trabajo de forma independiente en funcionamiento correcto CIPF. Para ello, la organización debe ponerse en contacto con el licenciatario y celebrar un contrato de servicio con él. El licenciatario de FSB tiene en su estructura un OKZI, que organiza el trabajo de seguridad en la organización del cliente y controla su implementación (y en ocasiones lo realiza él mismo).
PD: También tenía muchas preguntas sobre la aplicación de puntos individuales de las Instrucciones; le pregunté las más interesantes al regulador y en el próximo artículo compartiré la información más interesante...
También es interesante ver qué dificultades tuvieron ustedes, sus colegas o, por el contrario, experiencias positivas al utilizar las Instrucciones.