Пользование криптографических средств защиты (СКЗИ) тема весьма неоднозначная и скользкая. Тем немее у Оператора ПДн есть такое право в случае актуальных угроз применить СКЗИ для обеспечения защиты. Только вот не всегда понятно как использовать это право. И вот ФСБ облегчает на жизнь, в свет вышел документ методические рекомендации применимый как для государственных ИС так и всеми остальными Операторами ПДн. Рассмотрим этот документ более подробно.
И так, это случилось, 8-й Центр ФСБ выложил описывающий рекомендации в области разработки нормативно-правовых актов по защите ПДн. Одновременно этим же документом рекомендуется пользоваться операторам ИСПДн при разработке частных моделей угроз.
Так что же думает ФСБ о том, как и где нужно применять СКЗИ?
Достаточно важно, что данный документ опубликован только на сайте ФСБ, не имеет регистрации в Минюсте и не несет ничьей подпис и — то есть его юридическая значимость и обязательность остается только в рамках рекомендаций . Об этом важн помнить.
Давайте заглянем внутрь, в преамбуле документа определяется, что рекомендации «для федеральных органов исполнительной власти… иных государственных органов… которые… принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее – ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности» . Т.е. явно дается отсылка к государственным информационным системам.
Однако, одновременно этими же нормами «целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных». Т.е. документ в таком случае становится универсальным для всех пользователей.
Когда же необходимо использовать СКЗИ?
Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
- если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
- если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
- хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.
И вот к чем мы приходим. Если второй пункт так же достаточно логичен, то вот первый не так очевиден. Дело в том, что согласно текущей редакции закона «О персональных данных» имя, фамилия и отчество уже являются персональными данными. Соответственно любая переписка или регистрация на сайте (с учетом того, сколько данных сейчас требуют при регистрации) попадают формально под это определение.
Но, как говорится, нет правил без исключения. В конце документа есть две таблицы. Приведем лишь одну строку Приложения № 1 .
Актуальная угроза:
1.1. проведение атаки при нахождении в пределах контролируемой зоны.
Обоснование отсутствия (список немного сокращен):
- сотрудники, являющиеся пользователями ИСПДн, но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;
- пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;
- помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;
- утверждены правила доступа в помещения, где располагаются СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
- утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;
- осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;
- осуществляется регистрация и учет действий пользователей с ПДн;
на АРМ и серверах, на которых установлены СКЗИ:
используются сертифицированные средства защиты информации от несанкционированного доступа;- используются сертифицированные средства антивирусной защиты.
То есть, если пользователи проинформированы о правилах и ответственности, а и меры защиты применяются, то получается и беспокоиться не о чем.
- для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия.
Правда чуть ниже говорится, что список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. Про то, что оценка соответствия не есть сертификация, говорилось неоднократно.
- в случае отсутствия прошедших в установленном порядке процедуру оценки соответствия СКЗИ… на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной системы с участием оператора (уполномоченного лица) и предполагаемого разработчика СКЗИ готовится обоснование целесообразности разработки нового типа СКЗИ и определяются требования к его функциональным свойствам.
Это действительно радует. Дело в том, что сертификация процесс очень длительный — до полугода и больше. Зачастую клиенты используют новейшие ОС, не поддерживаемые сертифицированной версией. В соответствии с этим документом клиенты могут использовать продукты, находящиеся в процессе сертификации.
В документе указывается, что:
При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
- описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
- выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы.
Комментирует...
Алексей, добрый день!
В ответе 8-го Центра ничего не указано про необходимость использования именно сертифицированных СКЗИ. Но ведь есть "Методические рекомендации..." утвержденные руководством 8 Центра ФСБ России от 31.03.2015 №149/7/2/6-432, в которых есть во второй части такой абзац:
Для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru). Дополнительную информацию о конкретных средствах защиты информации рекомендуется получать непосредственно у разработчиков или производителей этих средств и, при необходимости, у специализированных организаций, проводивших тематические исследования этих средств;
Чем это не требование использовать сертифицированные СКЗИ?
Есть приказ ФСБ России от 10.07.2014 №378, в котором в подпункте "г" пункта 5 указано: " использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз."
Немного сбивает с толку вот это "когда применение таких средств необходимо для нейтрализации актуальных угроз". Но вся эта необходимость должна быть описана в модели нарушителя.
Но в этом случае опять же в разделе 3 "Методических рекомендаций..." от 2015 года указано, что "При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
- описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
- выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы."
Я всё это к чему - да, нет необходимости использовать СКЗИ всегда и везде при обеспечении безопасности обработки ПДн. Но для этого нужно сформировать модель нарушителя, где всё это описать и доказать. Про два случая, когда нужно их использовать Вы писали. Но то, что для обеспечения безопасности обработки ПДн по открытым каналам связи, или если обработка этих ПДн выходит за границы контролируемой зоны, можно использовать несертифицированные СКЗИ - тут не всё так просто. И может так случиться, что проще использовать сертифицированные СКЗИ и соблюдать все требования при их эксплуатации и хранении, чем использовать несертифицированные средства и бодаться с регулятором, который видя такую ситуацию, будет очень стараться ткнуть носом.
Unknown комментирует...Cлучай, когда применение таких средств необходимо для нейтрализации актуальных угроз: требование Приказа ФСТЭК России № 17 от 11 февраля 2013 г. (требования к государственными и муниц. ИСПДн),
пункт 11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
Алексей Лукацкий комментирует...Proximo: рекомендации ФСБ нелегитимны. 378-й приказ легитимен, но должен рассматриваться в контексте всего законодательства, а оно говорит, что особенности оценки соответствия устанавливаются Правительством или Президентом. Ни то, ни другой таких НПА не выпускали т
Алексей Лукацкий комментирует...Антон: в госах требование сертификации установлено законом, 17-й приказ их просто повторяет. А мы про ПДн говорим
Unknown комментирует...Алексей Лукацкий: №рекомендации ФСБ нелегитимны" Как нелегитимны? Я про документ от 19.05.2015 №149/7/2/6-432 (http://www.fsb.ru/fsb/science/single.htm!id%3D10437608%40fsbResearchart.html), но не про документ от 21.02.2008 №149/54-144.
Другой специалист также ранее делал запрос в ФСБ по похожей теме, и ему ответили, что "Методику..." и "Рекомендации..." ФСБ от 2008 года не нужно использовать, если Вы говорите про эти документы. Но опять же - официально эти документы не отменили. И легитимны эти документы или нет, полагаю, будут решать проверяющие от ФСБ уже на месте в ходе проверки.
Закон говорит, что нужно защищать ПДн. Подзаконные акты от Правительства, ФСБ, ФСТЭК определяют, как именно нужно их защищать. В НПА от ФСБ говорится: "Используйте сертифицированное. Если не хотите сертифицированное - докажите, что можете использовать такое. И будьте добры - приложите заключение на это от фирмы, у которой есть лицензия на право выдачи таких заключений". Как-то так...
Алексей Лукацкий комментирует...1. Любая рекомендация - это рекомендация, а не обязательное к исполнению требование.
2. Методичка 2015-го года не имеет отношения к операторам ПДн - она относится к госам, которые пишут модели угроз для подведомственных учреждений (с учетом п.1).
3. ФСБ не имеет права проводить проверки коммерческим операторов ПДн, а для госов вопрос применения несертифицированных СКЗИ и не стоит - они обязаны применять сертифицированные решения, независимо от наличия ПДн - это требования ФЗ-149.
4. Подзаконные акты говорят как защищать и это нормально. А вот форму оценку средств защиты они определять не могут - это может сделать только НПА Правительства или Президента. ФСБ не уполномочено это делать
В соответствии с Постановлением 1119:
4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
13.г. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Каким образом обосновать не актуальность угрозы при передачи ПДн через каналы оператора связи?
Т.е. если не СКЗИ, то видимо,
- терминальный доступ и тонкие клиенты, но при этом данные СЗИ терминального
доступа должны быть сертифицированы.
- защиты каналов оператором связи, ответственность на оператора связи (провайдера).
Неактуальность определяет оператор и никто ему для этого не нужен
Регистрационный N 33620
В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" 1 приказываю:
утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.
Директор А. Бортников
1 Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. I), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. I), ст. 4038.
Приложение
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности
I. Общие положения
1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационная система) с использованием средств криптографической защиты информации (далее - СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.
2. Настоящий документ предназначен для операторов, использующих СКЗИ для обеспечения безопасности персональных данных при их обработке в информационных системах.
3. Применение организационных и технических мер, определенных в настоящем документе, обеспечивает оператор с учетом требований эксплуатационных документов на СКЗИ, используемые для обеспечения безопасности персональных данных при их обработке в информационных системах.
4. Эксплуатация СКЗИ должна осуществляться в соответствии с документацией на СКЗИ и требованиями, установленными в настоящем документе, а также в соответствии с иными нормативными правовыми актами, регулирующими отношения в соответствующей области.
II. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 4 уровня защищенности
5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119 1 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
6. Для выполнения требования, указанного в подпункте "а" пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем:
а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;
б) утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
в) утверждения перечня лиц, имеющих право доступа в Помещения.
7. Для выполнения требования, указанного в подпункте "б" пункта 5 настоящего документа, необходимо:
а) осуществлять хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);
б) осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.
8. Для выполнения требования, указанного в подпункте "в" пункта 5 настоящего документа, необходимо:
а) разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
б) поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
9. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:
а) получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак;
б) формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ;
в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.
10. СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих:
а) создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ;
б) создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ 2 ;
в) проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее контролируемая зона) 3 ;
г) проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:
внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программых средств, совместно с которыми штатнофункционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;
внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ;
д) проведение атак на этапе эксплуатации СКЗИ на:
персональные данные;
ключевую, аутентифицирующую и парольную информацию СКЗИ;
программные компоненты СКЗИ;
аппаратные компоненты СКЗИ;
программные компоненты СФ, включая программное обеспечение BIOS;
аппаратные компоненты СФ;
данные, передаваемые по каналам связи;
иные объекты, которые установлены при формировании совокупности предложений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее - АС) и программного обеспечения (далее - ПО);
е) получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:
общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);
сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ;
общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее - канал связи);
все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами;
сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;
сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;
сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ;
ж) применение:
находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;
специально разработанных АС и ПО;
з) использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:
каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;
каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ;
и) проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети;
к) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства).
11. СКЗИ класса КС2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пункте 10 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) проведение атаки при нахождении в пределах контролируемой зоны;
б) проведение атак на этапе эксплуатации СКЗИ на следующие объекты:
документацию на СКЗИ и компоненты СФ.
Помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ;
в) получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:
сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;
сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;
сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;
г) использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;
б) возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
13. СКЗИ класса KB применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 - 12 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО;
б) проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;
в) проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.
14. СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 - 13 настоящего документа и не менее одной из следующих дополнительных возможностей:
а) создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО;
б) возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ;
в) возможность располагать всеми аппаратными компонентами СКЗИ и СФ.
15. В процессе формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, дополнительные возможности, не входящие в число перечисленных в пунктах 10 - 14 настоящего документа, не влияют на порядок определения требуемого класса СКЗИ.
III. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 3 уровня защищенности
16. В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.
18. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо меры, предусмотренной подпунктом "в" пункта 9 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:
IV. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 2 уровня защищенности
19. В соответствии с пунктом 15 Требований к защите персональных данных для обеспечения 2 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктами 5 и 16 настоящего документа, необходимо выполнение требования о том, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
20. Для выполнения требования, указанного в пункте 19 настоящего документа, необходимо:
а) утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;
б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;
в) обеспечение информационной системы автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;
г) обеспечение периодического контроля работоспособности указанных в подпунктах "б" и "в" настоящего пункта автоматизированных средств (не реже 1 раза в полгода).
21. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом "в" пункта 9 и пунктом 18 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:
СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;
СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.
V. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 1 уровня защищенности
22. В соответствии с пунктом 16 Требований к защите персональных данных для обеспечения 1 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктами 5, 16 и 19 настоящего документа, необходимо выполнение следующих требований:
а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
б) создание отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение его функций на одно из существующих структурных подразделений.
23. Для выполнения требования, указанного в подпункте "а" пункта 22 настоящего документа, необходимо:
а) обеспечение информационной системы автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
б) отражение в электронном журнале безопасности полномочий сотрудников оператора персональных данных по доступу к персональным данным, содержащимся в информационной системе. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;
в) назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям (не реже 1 раза в месяц).
24. Для выполнения требования, указанного в подпункте "б" пункта 22 настоящего документа, необходимо:
а) провести анализ целесообразности создания отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе;
б) создать отдельное структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возложить его функции на одно из существующих структурных подразделений.
25. Для выполнения требования, указанного в подпункте "а" пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо:
а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
б) оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.
26. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом "в" пункта 9, пунктами 18 и 21 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:
СКЗИ класса КА в случаях, когда для информационной системы актуальны угрозы 1 типа;
СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа.
1 Собрание законодательства Российской Федерации, 2012, N 45, 6257.
2 К этапам жизненного цикла СКЗИ относятся разработка (модернизация) указанных средств, их производство, хранение, транспортировка, ввод в эксплуатацию (пусконаладочные работы), эксплуатация.
3 Границей контролируемой зоны могут быть периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
Основными задачами защиты информации при ее хранении, обработке и передаче по каналам связи и на различных носителях, решаемыми с помощью СКЗИ, являются: 1.Обеспечение секретности (конфиденциальности) информации. 2.
Обеспечение целостности информации. 3.
Подтверждение подлинности информации (документов). Для решения этих задач необходима реализация следующих
процессов: 1.
Реализация собственно функций защиты информации, включая:
шифрование/расшифрование; создание/проверка ЭЦП; создание/проверка имитовставки. 2.
Контроль состояния и управление функционированием средств КЗИ (в системе):
контроль состояния: обнаружение и регистрация случаев нарушения работоспособности средств КЗИ, попыток НСД, случаев компрометации ключей;
управление функционированием: принятие мер в случае перечисленных отклонений от нормального функционирования средств КЗИ. 3.
Проведение обслуживания средств КЗИ: осуществление ключевого управления;
выполнение процедур, связанных с подключением новых абонентов сети и/или исключением выбывших абонентов; устранение выявленных недостатков СКЗИ; ввод в действие новых версий программного обеспечения СКЗИ;
модернизация и замена технических средств СКЗИ на более совершенные и/или замена средств, ресурс которых выработан.
Ключевое управление является одной из важнейших функций криптографической защиты информации и заключается в реализации следующих основных функций:
генерация ключей: определяет механизм выработки ключей или пар ключей с гарантией их криптографических качеств;
распределение ключей: определяет механизм, по которому ключи надежно и безопасно доставляются абонентам;
сохранение ключей: определяет механизм, по которому ключи надежно и безопасно сохраняются для дальнейшего их использования;
восстановление ключей: определяет механизм восстановления одного из ключей (замена на новый ключ);
уничтожение ключей: определяет механизм, по которому производится надежное уничтожение вышедших из употребления ключей;
ключевой архив: механизм, по которому ключи могут надежно сохраняться для их дальнейшего нотаризованного восстановления в конфликтных ситуациях.
В целом для реализации перечисленных функций криптографической защиты информации необходимо создание системы криптографической защиты информации, объединяющей собственно средства КЗИ, обслуживающий персонал, помещения, оргтехнику, различную документацию (техническую, нормативно-распорядительную) и т.д.
Как уже отмечалось, для получения гарантий защиты информации необходимо применение сертифицированных средств КЗИ.
В настоящее время наиболее массовым является вопрос защиты конфиденциальной информации. Для решения этого вопроса под эгидой ФАПСИ разработан функционально полный комплекс средств криптографической защиты конфиденциальной информации, который позволяет решить перечисленные задачи по защите информации для самых разнообразных приложений и условий применения.
В основу этого комплекса положены криптографические ядра "Верба" (система несимметричных ключей) и "Верба-О" (система симметричных ключей). Эти криптоядра обеспечивают процедуры шифрования данных в соответствии с требованиями ГОСТ 28147-89 "Системы обработки информации.
Защита криптографическая" и цифровой подписи в соответствии с требованиями ГОСТ Р34.10-94 "Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма".
Средства, входящие в комплекс СКЗИ, позволяют защищать электронные документы и информационные потоки с использованием сертифицированных механизмов шифрования и электронной подписи практически во всех современных информационных технологиях, в том числе позволяют осуществлять: использование СКЗИ в автономном режиме;
защищенный информационный обмен в режиме off-line; защищенный информационный обмен в режиме on-line; защищенный гетерогенный, т.е. смешанный, информационный обмен.
Для решения системных вопросов применения СКЗИ под руководством Д. А. Старовойтова разработана технология комплексной криптографической защиты информации "Витязь", которая предусматривает криптографическую защиту данных сразу во всех частях системы: не только в каналах связи и узлах системы, но и непосредственно на рабочих местах пользователей в процессе создания документа, когда защищается и сам документ. Кроме того, в рамках общей технологии "Витязь" предусмотрена упрощенная, легко доступная пользователям технология встраивания лицензированных СКЗИ в различные прикладные системы, что делает весьма широким круг использования этих СКЗИ.
Ниже следует описание средств и способов защиты для каждого из перечисленных режимов.
Использование СКЗИ в автономном режиме.
При автономной работе с СКЗИ могут быть реализованы следующие виды криптографической защиты информации: создание защищенного документа; защита файлов;
создание защищенной файловой системы; создание защищенного логического диска. По желанию пользователя могут быть реализованы следующие виды криптографической защиты документов (файлов):
шифрование документа (файла), что делает недоступным его содержание как при хранении документа (файла), так и при его передаче по каналам связи либо нарочным;
выработка имитовставки, что обеспечивает контроль целостности документа (файла);
формирование ЭЦП, что обеспечивает контроль целостности документа (файла) и аутентификацию лица, подписавшего документ (файл).
В результате защищаемый документ (файл) превращается в зашифрованный файл, содержащий, при необходимости, ЭЦП. ЭЦП, в зависимости от организации процесса обработки информации, может быть представлена и отдельным от подписываемого документа файлом. Далее этот файл может быть выведен на дискету или иной носитель, для доставки нарочным, либо отправлен по любой доступной электронной почте, например по Интернет.
Соответственно по получению зашифрованного файла по электронной почте либо на том или ином носителе выполненные действия по криптографической защите производятся в обратном порядке (расшифрование, проверка имитовставки, проверка ЭЦП).
Для осуществления автономной работы с СКЗИ могут быть использованы следующие сертифицированные средства:
текстовый редактор "Лексикон-Верба", реализованный на основе СКЗИ "Верба-О" и СКЗИ "Верба";
программный комплекс СКЗИ "Автономное рабочее место", реализованный на основе СКЗИ "Верба" и "Верба-О" для ОС Windows 95/98/NT;
криптографический дисковый драйвер PTS "DiskGuard".
Защищенный текстовый процессор "Лексикон-Верба".
Система "Лексикон-Верба" - это полнофункциональный текстовый редактор с поддержкой шифрования документов и электронной цифровой подписи. Для защиты документов в нем используются криптографические системы "Верба" и "Верба-О". Уникальность этого продукта состоит в том, что функции шифрования и подписи текста просто включены в состав функций современного текстового редактора. Шифрование и подпись документа в этом случае из специальных процессов превращаются просто в стандартные действия при работе с документом.
При этом система "Лексикон-Верба" выглядит как обычный текстовый редактор. Возможности форматирования текста включают полную настройку шрифтов и параграфов документа; таблицы и списки; колонтитулы, сноски, врезки; использование стилей и многие другие функции текстового редактора, отвечающего современным требованиям. "Лексикон-Верба" позволяет создавать и редактировать документы в форматах Лексикон, RTF, MS Word 6/95/97, MS Write.
Автономное рабочее место.
СКЗИ "Автономное рабочее место" реализовано на основе СКЗИ "Верба" и "Верба-О" для ОС Windows 95/98/NT и позволяет пользователю в диалоговом режиме выполнять следующие функции:
шифрование /расшифрование файлов на ключах; шифрование/расшифрование файлов на пароле; проставление/снятие/проверка электронно-цифровых подписей (ЭЦП) под файлами;
проверку шифрованных файлов;
проставление ЭЦП + шифрование (за одно действие) файлов; расшифрование + снятие ЭЦП (за одно действие) под файлами;
вычисление хэш-файла.
СКЗИ "Автономное рабочее место" целесообразно применять для повседневной работы сотрудников, которым необходимо обеспечить:
передачу конфиденциальной информации в электронном виде нарочным или курьером;
отправку конфиденциальной информации по сети общего пользования, включая Интернет;
защиту от несанкционированного доступа к конфиденциальной информации на персональных компьютерах сотрудников.
В требованиях по безопасности информации при проектировании информационных систем указываются признаки, характеризующие применяемые средства защиты информации. Они определены различными актами регуляторов в области обеспечения информационной безопасности, в частности - ФСТЭК и ФСБ России. Какие классы защищенности бывают, типы и виды средств защиты, а также где об этом узнать подробнее, отражено в статье.
Сегодня вопросы обеспечения информационной безопасности являются предметом пристального внимания, поскольку внедряемые повсеместно технологии без обеспечения информационной безопасности становятся источником новых серьезных проблем.
О серьезности ситуации сообщает ФСБ России: сумма ущерба, нанесенная злоумышленниками за несколько лет по всему миру составила от $300 млрд до $1 трлн. По сведениям, представленным Генеральным прокурором РФ, только за первое полугодие 2017 г. в России количество преступлений в сфере высоких технологий увеличилось в шесть раз, общая сумма ущерба превысила $ 18 млн. Рост целевых атак в промышленном секторе в 2017 г. отмечен по всему миру. В частности, в России прирост числа атак по отношению к 2016 г. составил 22 %.
Информационные технологии стали применяться в качестве оружия в военно-политических, террористических целях, для вмешательства во внутренние дела суверенных государств, а также для совершения иных преступлений. Российская Федерация выступает за создание системы международной информационной безопасности.
На территории Российской Федерации обладатели информации и операторы информационных систем обязаны блокировать попытки несанкционированного доступа к информации, а также осуществлять мониторинг состояния защищенности ИТ-инфраструктуры на постоянной основе. При этом защита информации обеспечивается за счет принятия различных мер, включая технические.
Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств.
Для современных информационных систем характерно использование различных аппаратно-программных платформ, территориальная распределенность компонентов, а также взаимодействие с открытыми сетями передачи данных.
Как защитить информацию в таких условиях? Соответствующие требования предъявляют уполномоченные органы, в частности, ФСТЭК и ФСБ России. В рамках статьи постараемся отразить основные подходы к классификации СЗИ с учетом требований указанных регуляторов. Иные способы описания классификации СЗИ, отраженные в нормативных документах российских ведомств, а также зарубежных организаций и агентств, выходят за рамки настоящей статьи и далее не рассматриваются.
Статья может быть полезна начинающим специалистам в области информационной безопасности в качестве источника структурированной информации о способах классификации СЗИ на основании требований ФСТЭК России (в большей степени) и, кратко, ФСБ России.
Структурой, определяющей порядок и координирующей действия обеспечения некриптографическими методами ИБ, является ФСТЭК России (ранее - Государственная техническая комиссия при Президенте Российской Федерации, Гостехкомиссия).
Если читателю приходилось видеть Государственный реестр сертифицированных средств защиты информации , который формирует ФСТЭК России, то он безусловно обращал внимание на наличие в описательной части предназначения СЗИ таких фраз, как «класс РД СВТ», «уровень отсутствия НДВ» и пр. (рисунок 1).
Рисунок 1. Фрагмент реестра сертифицированных СЗИ
ФСБ России определены классы криптографических СЗИ: КС1, КС2, КС3, КВ и КА.
К основным особенностям СЗИ класса КС1 относится их возможность противостоять атакам, проводимым из-за пределов контролируемой зоны. При этом подразумевается, что создание способов атак, их подготовка и проведение осуществляется без участия специалистов в области разработки и анализа криптографических СЗИ. Предполагается, что информация о системе, в которой применяются указанные СЗИ, может быть получена из открытых источников.
Если криптографическое СЗИ может противостоять атакам, блокируемым средствами класса КС1, а также проводимым в пределах контролируемой зоны, то такое СЗИ соответствует классу КС2. При этом допускается, например, что при подготовке атаки могла стать доступной информация о физических мерах защиты информационных систем, обеспечении контролируемой зоны и пр.
В случае возможности противостоять атакам при наличии физического доступа к средствам вычислительной техники с установленными криптографическими СЗИ говорят о соответствии таких средств классу КС3.
Если криптографическое СЗИ противостоит атакам, при создании которых участвовали специалисты в области разработки и анализа указанных средств, в том числе научно-исследовательские центры, была возможность проведения лабораторных исследований средств защиты, то речь идет о соответствии классу КВ.
Если к разработке способов атак привлекались специалисты в области использования НДВ системного программного обеспечения, была доступна соответствующая конструкторская документация и был доступ к любым аппаратным компонентам криптографических СЗИ, то защиту от таких атак могут обеспечивать средства класса КА.
Средства электронной подписи в зависимости от способностей противостоять атакам принято сопоставлять со следующими классами: КС1, КС2, КС3, КВ1, КВ2 и КА1. Эта классификация аналогична рассмотренной выше в отношении криптографических СЗИ.
В статье были рассмотрены некоторые способы классификации СЗИ в России, основу которых составляет нормативная база регуляторов в области защиты информации. Рассмотренные варианты классификации не являются исчерпывающими. Тем не менее надеемся, что представленная сводная информация позволит быстрее ориентироваться начинающему специалисту в области обеспечения ИБ.
