Шифровальные криптографические средства для защиты персональных данных что это
Закон «О персональных данных» требует от операторов или третьих лиц, имеющих доступ к персональным данным, обеспечения конфиденциальности информации. Распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания недопустимо. Изначально в законе присутствовало требование об обязательном использовании шифровальных (криптографических) средств для защиты персональных данных. Хотя это требование позднее было отменено (Федеральный закон от 27 декабря 2009 г. N 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»), но в ряде случаев невозможно обеспечить надежную защиту персональных данных без использования средств шифрования. В частности, когда речь идет о передаче персональных данных по информационным каналам передачи данных, то шифрование становится одним из главных способов защиты.
Согласно Постановлению 781: «В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации». Проведение таких тематических исследований относится к компетенции ФСБ. Таким образом, использование несертифицированных ФСБ средств криптографической защиты персональных данных противоречит законодательству РФ.
Использование средств криптографической защиты информации часто строится на базе криптосервиспровайдера (CSP) – программного модуля, осуществляющего криптографические преобразования в системах и обеспечивающего доступ к данным преобразованиям из пользовательских приложений. Данная технология разработана корпорацией Microsoft и ее применение ограничено в основном информационными системами, построенными на базе продуктов этой корпорации. В частности, такие популярные пользовательские приложения, как Mozilla Firefox и Thunderbird не поддерживают эту технологию.
Компания «Криптоком» предлагает использовать для обеспечения конфиденциальности информации свой сертифицированный продукт «МагПро КриптоПакет» в исполнении «КриптоТуннель»», основанный на альтернативной технологии. Основным назначением исполнения «КриптоТуннель» является защита соединений по протоколу HTTP, терминального доступа по протоколу RDP, доступа к почтовому серверу и т.п.
Использование «КриптоТуннеля» значительно облегчает применение средств шифрования для защиты данных. В отличие от использования CSP, клиентская часть «КриптоТуннеля» не требует установки и длительной настройки на местах пользователей и позволяет работать непосредственно со съемного носителя (например, USB-Flash) на любом компьютере без необходимости получения прав системного администратора.
Программный продукт «МагПро КриптоПакет» в исполнении «КриптоТуннель» достаточно универсален и позволяет использовать для установки защищенного web-соединения любой браузер (Internet Explorer, Mozilla FireFox, Google Chrome, Opera, Safari Apple и другие), а для RDP-соединений – любую версию RDP-клиента из состава Windows.
Использование «КриптоТуннеля» не ограничивается только операционными системами Microsoft, а охватывает практически весь спектр операционных систем (Windows, семейство Linux, а также FreeBSD и Sun Solaris).
Таким образом, «МагПро КриптоПакет» в исполнении «КриптоТуннель» обладает следующими преимуществами:
- не требует установки на пользовательских местах;
- не требует специального обучения пользователей;
- минимизирует количество возможных ошибок пользователя;
- позволяет работать непосредственно со съемного носителя (например, USB-Flash) на любом компьютере;
- позволяет использовать любой Интернет-браузер для защищенного web-соединения;
- не привязан к специфике операционной системы (кросс-платформенное решение);
- защита от атак «человек посередине» (шифрование трафика и аутентификация сервера);
- аутентификация клиента.
Программный комплекс «МагПро КриптоПакет» сертифицирован ФСБ как средство криптографической защиты информации (СКЗИ) по классам КС1 и КС2.
В состав СКЗИ «МагПро КриптоПакет» в исполнении «КриптоТуннель»» входит инструмент автоматического создания всех необходимых ключей и сертификатов, что позволяет в ряде случаев отказаться от услуг внешнего удостоверяющего центра (УЦ) и от разворачивания полноценного внутреннего УЦ.
Еще одной разработкой компании «Криптоком» является исполнение OpenVPN-ГОСТ, которое позволяет строить виртуальные частные сети и тем самым защищать информацию при передаче по каналам связи в информационных системах любой сложности. .
Внедрение OpenVPN-ГОСТ подразумевает наличие серверной и клиентской частей, а также организацию PKI (инфраструктуры открытых ключей) для обслуживания участников файлового обмена. Генерация всех необходимых ключевых файлов для сервера и клиента также осуществляется средствами, входащими в состав программного комплекса, услуги стороннего Удостоверяющего Центра не требуются.
Шифровальные криптографические средства для защиты персональных данных что это
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств
Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. N 149/6/6-622 ТИПОВЫЕ ТРЕБОВАНИЯ ПО ОРГАНИЗАЦИИ И ОБЕСПЕЧЕНИЮ ФУНКЦИОНИРОВАНИЯ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ, НЕ СОДЕРЖАЩЕЙ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ, В СЛУЧАЕ ИХ ИСПОЛЬЗОВАНИЯ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ 1. Общие положения 1.1. Настоящие Требования определяют порядок организации и обеспечения функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну (далее — криптосредство), в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система). 1.2. Настоящие Требования разработаны во исполнение: — Федерального закона «О персональных данных» от 27 июля 2006 г. N 152-ФЗ (Статья 19); — Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 17 ноября 2007 г. N 781 (далее — Положение); — Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960. 1.3. Настоящие Требования: — являются обязательными для оператора, осуществляющего обработку персональных данных, а также лица, которому на основании договора оператор поручает обработку персональных данных, и (или) лица, которому на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности защиты персональных данных при их обработке в информационной системе с использованием криптосредств. При этом существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе в случаях, предусмотренных действующим законодательством; — распространяются на криптосредства, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, все технические средства которых находятся в пределах Российской Федерации, а также в системах, технические средства которых частично или целиком находятся за пределами Российской Федерации; — не отменяют требования иных документов, регламентирующих порядок обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти. Оператор с учетом особенностей своей деятельности может разрабатывать не противоречащие настоящим Требованиям методические рекомендации по их применению. Используемые для целей настоящих Требований термины и определения приведены в Приложении 1. 2. Организация и обеспечение безопасности обработки с использованием шифровальных (криптографических) средств персональных данных 2.1. Безопасность обработки персональных данных с использованием криптосредств организуют и обеспечивают операторы, а также лица, которым на основании договора оператор поручает обработку персональных данных, и (или) лица, которым на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности обработки в информационной системе персональных данных с использованием криптосредств. Обеспечение безопасности персональных данных с использованием криптосредств должно осуществляться в соответствии с: 1) Приказом ФСБ России от 9 февраля 2005 г. N 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»; 2) Постановлением Правительства РФ от 29 декабря 2007 г. N 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»; 3) Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (N 149/54-144, 2008, ФСБ России); 4) Настоящими Требованиями. 2.2. Операторы несут ответственность за соответствие проводимых ими мероприятий по организации и обеспечению безопасности обработки с использованием криптосредств персональных данных лицензионным требованиям и условиям, эксплуатационной и технической документации к криптосредствам, а также настоящим Требованиям. При этом операторы должны обеспечивать комплексность защиты персональных данных, в том числе посредством применения некриптографических средств защиты. 2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет: — разработку для каждой информационной системы персональных данных модели угроз безопасности персональных данных при их обработке; — разработку на основе модели угроз системы безопасности персональных данных, обеспечивающей нейтрализацию всех перечисленных в модели угроз; — определение необходимости использования криптосредств для обеспечения безопасности персональных данных и, в случае положительного решения, определение на основе модели угроз цели использования криптосредств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных и (или) иных неправомерных действий при их обработке; — установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией к этим средствам; — проверку готовности криптосредств к использованию с составлением заключений о возможности их эксплуатации; — обучение лиц, использующих криптосредства, работе с ними; — поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителей персональных данных; — учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационной системе (пользователи криптосредств); — контроль за соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним; — разбирательство и составление заключений по фактам нарушения условий хранения носителей персональных данных, использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; — описание организационных и технических мер, которые оператор обязуется осуществлять при обеспечении безопасности персональных данных с использованием криптосредств при их обработке в информационных системах, с указанием в частности: а) индекса, условного наименования и регистрационных номеров используемых криптосредств; б) соответствия размещения и монтажа аппаратуры и оборудования, входящего в состав криптосредств, требованиям нормативной документации и правилам пользования криптосредствами; в) соответствия помещений, в котором размещены криптосредства и хранится ключевая документация к ним, настоящим Требованиям с описанием основных средств защиты; г) выполнения Требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Описание принятых мер должно быть включено в уведомление, предусмотренное частью 1 статьи 22 Федерального закона «О персональных данных». 2.4. Пользователи криптосредств допускаются к работе с ними по решению, утверждаемому оператором. При наличии двух и более пользователей криптосредств обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность криптосредств, ключевой, эксплуатационной и технической документации, а также за порученные участки работы. 2.5. Пользователи криптосредств обязаны: — не разглашать информацию, к которой они допущены, в том числе сведения о криптосредствах, ключевых документах к ним и других мерах защиты; — соблюдать требования к обеспечению безопасности персональных данных, требования к обеспечению безопасности криптосредств и ключевых документов к ним; — сообщать о ставших им известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним; — немедленно уведомлять оператора о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных; — сдать криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным настоящими Требованиями, при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств. 2.6. Обеспечение функционирования и безопасности криптосредств возлагается на ответственного пользователя криптосредств, имеющего необходимый уровень квалификации, назначаемого приказом оператора (далее — ответственный пользователь криптосредств). Допускается возложение функций ответственного пользователя криптосредств на: — одного из пользователей криптосредств; — на структурное подразделение или должностное лицо (работника), ответственных за обеспечение безопасности персональных данных, назначаемых оператором; — на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства. 2.7. Ответственные пользователи криптосредств должны иметь функциональные обязанности, разработанные в соответствии с настоящими Требованиями. 2.8. При определении обязанностей пользователя криптосредств необходимо учитывать, что безопасность обработки с использованием криптосредств персональных данных обеспечивается: — соблюдением пользователями криптосредств конфиденциальности при обращении со сведениями, которые им доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых криптосредств и ключевых документах к ним; — точным выполнением пользователями криптосредств требований к обеспечению безопасности персональных данных; — надежным хранением эксплуатационной и технической документации к криптосредствам, ключевых документов, носителей информации ограниченного распространения; — обеспечением принятых в соответствии с Требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных мер; — своевременным выявлением попыток посторонних лиц получить сведения о защищаемых персональных данных, об используемых криптосредствах или ключевых документах к ним; — немедленным принятием мер по предупреждению разглашения защищаемых персональных данных, а также возможной их утечки при выявлении фактов утраты или недостачи криптосредств, ключевых документов к ним, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и т.п. 2.9. Лица, оформляемые на работу в качестве пользователей (ответственных пользователей) криптосредств, должны быть ознакомлены с настоящими Требованиями и другими документами, регламентирующими организацию и обеспечение безопасности персональных данных при их обработке в информационных системах, под расписку и несут ответственность за несоблюдение ими требований указанных документов в соответствии с законодательством Российской Федерации. 2.10. Текущий контроль за организацией и обеспечением функционирования криптосредств возлагается на оператора и ответственного пользователя криптосредств в пределах их служебных полномочий. 2.11. Контроль за организацией, обеспечением функционирования и безопасности криптосредств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных, осуществляется в соответствии с действующим законодательством Российской Федерации. 2.12. В случае необходимости взаимодействия операторов информационных систем при использовании криптосредств для обеспечения безопасности обработки персональных данных для организации взаимодействия криптосредств по решению операторов персональных данных выделяется координирующий орган, ответственный за обеспечение безопасности персональных данных, указания которого являются обязательными для всех пользователей криптосредств. 3. Порядок обращения с криптосредствами и криптоключами к ним. Мероприятия при компрометации криптоключей 3.1. Пользователи криптосредств обязаны: — не разглашать информацию о ключевых документах; — не допускать снятие копий с ключевых документов; — не допускать вывод ключевых документов на дисплей (монитор) ПЭВМ или принтер; — не допускать записи на ключевой носитель посторонней информации; — не допускать установки ключевых документов в другие ПЭВМ. 3.2. При необходимости передачи по техническим средствам связи служебных сообщений ограниченного доступа, касающихся организации и обеспечения функционирования криптосредств, указанные сообщения необходимо передавать только с использованием криптосредств. Передача по техническим средствам связи криптоключей не допускается, за исключением специально организованных систем с децентрализованным снабжением криптоключами. 3.3. Криптосредства, используемые для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров криптосредств определяется Федеральной службой безопасности Российской Федерации. 3.4. Используемые или хранимые криптосредства, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету. Рекомендуемые формы приведены в Приложении N 2. При этом программные криптосредства должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Если аппаратные или аппаратно-программные криптосредства подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие криптосредства учитываются также совместно с соответствующими аппаратными средствами. Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования, ключевой блокнот. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно. 3.5. Все полученные экземпляры криптосредств, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям криптосредств, несущим персональную ответственность за их сохранность. Ответственный пользователь криптосредств заводит и ведет на каждого пользователя криптосредств лицевой счет, в котором регистрирует числящиеся за ними криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы. 3.6. Если эксплуатационной и технической документацией к криптосредствам предусмотрено применение разовых ключевых носителей или криптоключи вводят и хранят (на весь срок их действия) непосредственно в криптосредствах, то такой разовый ключевой носитель или электронная запись соответствующего криптоключа должны регистрироваться в техническом (аппаратном) журнале, ведущемся непосредственно пользователем криптосредств. В техническом (аппаратном) журнале отражают также данные об эксплуатации криптосредств и другие сведения, предусмотренные эксплуатационной и технической документацией. В иных случаях технический (аппаратный) журнал на криптосредства не заводится (если нет прямых указаний о его ведении в эксплуатационной или технической документации к криптосредствам). Типовая форма технического (аппаратного) журнала приведена в Приложении N 3. 3.7. Передача криптосредств, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями криптосредств и (или) ответственным пользователем криптосредств под расписку в соответствующих журналах поэкземплярного учета. Такая передача между пользователями криптосредств должна быть санкционирована ответственным пользователем криптосредств. 3.8. Пользователи криптосредств хранят инсталлирующие криптосредства носители, эксплуатационную и техническую документацию к криптосредствам, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Пользователи криптосредств предусматривают также раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих ключевых документов. 3.9. Аппаратные средства, с которыми осуществляется штатное функционирование криптосредств, а также аппаратные и аппаратно-программные криптосредства должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) криптосредств, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей криптосредств указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища. 3.10. Криптосредства и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными оператором ответственными пользователями криптосредств и сотрудниками при соблюдении мер, исключающих бесконтрольный доступ к криптосредствам и ключевым документам во время доставки. Эксплуатационную и техническую документацию к криптосредствам можно пересылать заказными или ценными почтовыми отправлениями. 3.11. Для пересылки криптосредств и ключевых документов они должны быть помещены в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия, в особенности на записанную ключевую информацию. Криптосредства пересылают отдельно от ключевых документов к ним. На упаковках указывают оператора или ответственного пользователя криптосредств, для которых эти упаковки предназначены. На таких упаковках делают пометку «Лично». Упаковки опечатывают таким образом, чтобы исключалась возможность извлечения из них содержимого без нарушения упаковок и оттисков печати. До первоначальной высылки (или возвращения) адресату сообщают отдельным письмом описание высылаемых ему упаковок и печатей, которыми они могут быть опечатаны. 3.12. Для пересылки криптосредств, эксплуатационной и технической документации к ним, ключевых документов следует подготовить сопроводительное письмо, в котором необходимо указать: что посылается и в каком количестве, учетные номера изделий или документов, а также при необходимости назначение и порядок использования высылаемого отправления. Сопроводительное письмо вкладывают в одну из упаковок. 3.13. Полученные упаковки вскрывает только оператор или ответственный пользователь криптосредств, для которых они предназначены. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать — их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получатель составляет акт, который высылает отправителю. Полученные с такими отправлениями криптосредства и ключевые документы до получения указаний от отправителя применять не разрешается. 3.14. При обнаружении бракованных ключевых документов или криптоключей один экземпляр бракованного изделия следует возвратить изготовителю для установления причин происшедшего и их устранения в дальнейшем, а оставшиеся экземпляры хранить до поступления дополнительных указаний от изготовителя. 3.15. Получение криптосредств, эксплуатационной и технической документации к ним, ключевых документов должно быть подтверждено отправителю в соответствии с порядком, указанным в сопроводительном письме. Отправитель обязан контролировать доставку своих отправлений адресатам. Если от адресата своевременно не поступило соответствующего подтверждения, то отправитель должен направить ему запрос и принять меры к уточнению местонахождения отправлений. 3.16. Заказ на изготовление очередных ключевых документов, их изготовление и рассылку на места использования для своевременной замены действующих ключевых документов следует производить заблаговременно. Указание о вводе в действие очередных ключевых документов может быть дано ответственным пользователем криптосредств только после поступления от всех заинтересованных пользователей криптосредств подтверждения о получении ими очередных ключевых документов. 3.17. Неиспользованные или выведенные из действия ключевые документы подлежат возвращению ответственному пользователю криптосредств или по его указанию должны быть уничтожены на месте. 3.18. Уничтожение криптоключей (исходной ключевой информации) может производиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования). Криптоключи (исходную ключевую информацию) стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, компакт-дисков (CD-ROM), Data Key, Smart Card, Touch Memory и т.п.). Непосредственные действия по стиранию криптоключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим криптосредствам, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации). Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим криптосредствам, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации). Бумажные и прочие сгораемые ключевые носители, а также эксплуатационную и техническую документацию к криптосредствам уничтожают путем сжигания или с помощью любых бумагорезательных машин. 3.19. Криптосредства уничтожают (утилизируют) по решению оператора, владеющего криптосредствами, и с уведомлением организации, ответственной в соответствии с ПКЗ-2005 за организацию поэкземплярного учета криптосредств. Намеченные к уничтожению (утилизации) криптосредства подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом криптосредства считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к криптосредствам процедура удаления программного обеспечения криптосредств и они полностью отсоединены от аппаратных средств. 3.20. Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций криптосредств, а также совместно работающее с криптосредствами оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения криптосредств без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта). 3.21. Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим криптосредствам. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в соответствующих журналах поэкземплярного учета. В эти же сроки с отметкой в техническом (аппаратном) журнале подлежат уничтожению разовые ключевые носители и ранее введенная и хранящаяся в криптосредствах или иных дополнительных устройствах ключевая информация, соответствующая выведенным из действия криптоключам; хранящиеся в криптографически защищенном виде данные следует перешифровать на новых криптоключах. 3.22. Разовые ключевые носители, а также электронные записи ключевой информации, соответствующей выведенным из действия криптоключам, непосредственно в криптосредствах или иных дополнительных устройствах уничтожаются пользователями этих криптосредств самостоятельно под расписку в техническом (аппаратном) журнале. Ключевые документы уничтожаются либо пользователями криптосредств, либо ответственным пользователем криптосредств под расписку в соответствующих журналах поэкземплярного учета, а уничтожение большого объема ключевых документов может быть оформлено актом. При этом пользователям криптосредств разрешается уничтожать только использованные непосредственно ими (предназначенные для них) криптоключи. После уничтожения пользователи криптосредств должны уведомить об этом (телефонограммой, устным сообщением по телефону и т.п.) ответственного пользователя криптосредств для списания уничтоженных документов с их лицевых счетов. Уничтожение по акту производит комиссия в составе не менее двух человек из числа лиц, допущенных к пользованию криптосредств. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих криптосредства носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делаются отметки в соответствующих журналах поэкземплярного учета. 3.23. Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации к криптосредствам. В чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, допускается по решению ответственного пользователя криптосредств согласованному с оператором, использование скомпрометированных криптоключей. В этом случае период использования скомпрометированных криптоключей должен быть максимально коротким, а защищаемая информация как можно менее ценной. 3.24. О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшихся (хранящихся) с их использованием персональных данных, пользователи криптосредств обязаны сообщать ответственному пользователю криптосредств и (или) оператору. Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, непредъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску. 3.25. Мероприятия по розыску и локализации последствий компрометации ключевых документов организует и осуществляет оператор. 3.26. Ключевые документы для криптосредств или исходная ключевая информация для выработки ключевых документов изготавливаются ФСБ России на договорной основе или лицами, имеющими лицензию ФСБ России на деятельность по изготовлению ключевых документов для криптосредств. Изготовлять ключевые документы из исходной ключевой информации могут операторы или ответственные пользователи криптосредств, применяя штатные криптосредства, если такая возможность предусмотрена эксплуатационной и технической документацией к криптосредствам. 4. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним 4.1. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним (далее — режимные помещения), должны обеспечивать сохранность персональных данных, криптосредств и ключевых документов к ним. При оборудовании режимных помещений должны выполняться требования к размещению, монтажу криптосредств, а также другого оборудования, функционирующего с криптосредствами. Перечисленные в настоящем документе требования к режимным помещениям могут не предъявляться, если это предусмотрено правилами пользования криптосредствами, согласованными с ФСБ России. 4.2. Режимные помещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к криптосредствам. Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в режимные помещения посторонних лиц, необходимо оборудовать металлическими решетками или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в режимные помещения. 4.3. Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ. 4.4. Режим охраны помещений, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает ответственный пользователь криптосредств по согласованию при необходимости с оператором, в помещениях которого установлены криптосредства или хранятся ключевые документы к ним. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящих Требований. 4.5. Двери спецпомещений должны быть постоянно закрыты на замок и могут открываться только для санкционированного прохода сотрудников и посетителей. Ключи от входных дверей нумеруют, учитывают и выдают сотрудникам, имеющим право допуска в режимные помещения, под расписку в журнале учета хранилищ. Дубликаты ключей от входных дверей таких помещений следует хранить в сейфе оператора или ответственного пользователя криптосредствами. 4.6. Для предотвращения просмотра извне режимных помещений их окна должны быть защищены. 4.7. Режимные помещения, как правило, должны быть оснащены охранной сигнализацией, связанной со службой охраны здания или дежурным по организации. Исправность сигнализации периодически необходимо проверять ответственному пользователю криптосредств совместно с представителем службы охраны или дежурным по организации с отметкой в соответствующих журналах. 4.8. Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих криптосредства носителей должно быть предусмотрено необходимое число надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин. Один экземпляр ключа от хранилища должен находиться у сотрудника, ответственного за хранилище. Дубликаты ключей от хранилищ сотрудники хранят в сейфе ответственного пользователя криптосредств. Дубликат ключа от хранилища ответственного пользователя криптосредств в опечатанной упаковке должен быть передан на хранение оператору под расписку в соответствующем журнале. 4.9. По окончании рабочего дня режимное помещение и установленные в нем хранилища должны быть закрыты, хранилища опечатаны. Находящиеся в пользовании ключи от хранилищ должны быть сданы под расписку в соответствующем журнале ответственному пользователю криптосредств или уполномоченному (дежурному), которые хранят эти ключи в личном или специально выделенном хранилище. Ключи от режимных помещений, а также ключ от хранилища, в котором находятся ключи от всех других хранилищ режимного помещения, в опечатанном виде должны быть сданы под расписку в соответствующем журнале службы охраны или дежурному по организации одновременно с передачей под охрану самих режимных помещений. Печати, предназначенные для опечатывания хранилищ, должны находиться у пользователей криптосредств, ответственных за эти хранилища. 4.10. При утрате ключа от хранилища или от входной двери в режимное помещение замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от хранилища переделать невозможно, то такое хранилище необходимо заменить. Порядок хранения ключевых и других документов в хранилище, от которого утрачен ключ, до изменения секрета замка устанавливает оператор или ответственный пользователь криптосредств. 4.11. В обычных условиях режимные помещения, находящиеся в них опечатанные хранилища могут быть вскрыты только пользователями криптосредств, ответственным пользователем криптосредств или оператором. При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти помещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено ответственному пользователю криптосредств или оператору. Прибывший ответственный пользователь криптосредств должен оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять при необходимости меры к локализации последствий компрометации персональных данных и к замене скомпрометированных криптоключей. 4.12. Размещение и монтаж криптосредств, а также другого оборудования, функционирующего с криптосредствами, в режимных помещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными криптосредствами. На время отсутствия пользователей криптосредств указанное оборудование при наличии технической возможности должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае по согласованию с ответственным пользователем криптосредств необходимо предусмотреть организационно-технические меры, исключающие возможность использования криптосредств посторонними лицами. Приложение 1 ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи. Доступ к информации — возможность получения информации и ее использования. Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Контролируемая зона — пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств. Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения. Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. Криптосредство — шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) — шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. Модель нарушителя — предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности. Модель угроз — перечень возможных угроз. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Пользователь — лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом. Режимные помещения — помещения, где установлены криптосредства или хранятся ключевые документы к ним. Средство защиты информации — техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации. Шифровальные (криптографические) средства — криптосредства: а) средства шифрования — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении; б) средства имитозащиты — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации; в) средства электронной цифровой подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи; г) средства кодирования — средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций; д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации); е) ключевые документы (независимо от вида носителя ключевой информации).
Приложение 2 ТИПОВАЯ ФОРМА журнала поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов
N п/п | Наименование криптосредства, эксплуатационной и технической документации к ним, ключевых документов | Регистрационные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов | Номера экземпляров (криптогра- фические номера) ключевых документов | Отметка о получении | Отметка о выдаче | ||
От кого полу- чены | Дата и номер сопрово- дитель- ного письма | Ф.И.О. пользо- вателя крипто- средств | Дата и распи- ска в полу- чении | ||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
Отметка о подключении (установке) СКЗИ | Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов | Приме- чание | ||||
Ф.И.О. пользовате- ля криптосредств, производившего подключение (установку) | Дата подключения (установки) и под- писи лиц, произ- ведших подключение (установку) | Номера аппаратных средств, в которые установлены или к которым подключены криптосредства | Дата изъятия (уничто- жения) | Ф.И.О. пользо- вателя СКЗИ, производившего изъятие (уничтожение) | Номер акта или расписка об унич- тожении | |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
Приложение 3 ТИПОВАЯ ФОРМА технического (аппаратного) журнала
N п/п | Дата | Тип и регист- рацион- ные номера исполь- зуемых крипто- средств | Записи по об- служи- ванию крипто- средств | Используемые криптоключи | Отметка об уничтожении (стирании) | Приме- чание | |||
Тип ключе- вого доку- мента | Серийный, крипто- графичес- кий номер и номер экземпля- ра ключе- вого документа | Номер разо- вого ключе- вого носи- теля или зоны крип- тосредств, в которую введены криптоключи | Дата | Подпись пользо- вателя крипто- средств | |||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
Время публикации: 26.03.2014 13:12
Последнее изменение: 26.03.2014 13:13
- Министерство цифрового развития, связи и массовых коммуникаций РФ
- РСпектр
- Единый реестр запрещенной информации
- Реестр нарушителей авторских прав
- Публичный реестр инфраструктуры связи и телерадиовещания РФ
- Портал персональных данных
О применении банками шифровальных (криптографических) средств защиты информации и юридической ответственности за невыполнение предписаний регуляторов
В соответствии с ч. 1 ст. 27 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (далее – 161-ФЗ) операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Согласно п.9 «Положения о защите информации в платежной системе», утв. постановлением Правительства РФ от 13.06.2012 № 584 применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации.
ФСБ России — регулятором в части области разработки, производства, реализации, эксплуатации, ввоза в Российскую Федерацию и вывоза из Российской Федерации шифровальных (криптографических) средств (согласно разделу 3 «Положения о Федеральной службе безопасности Российской Федерации», утв. Указом Президента РФ от 11.08.2003 № 960) — разработан ряд документов в данной области. Среди них «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации», утв. приказом ФСБ России от 09.02.2005 № 66 (далее — Положение ПКЗ-2005).
Согласно п.12 Положения ПКЗ-2005 для защиты информация конфиденциального характера должны использоваться средства криптографической защиты информации (далее – СКЗИ ), удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российской Федерации. Обязанность соблюдения конфиденциальности персональных данных установлена также ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), следовательно, вышесказанное положение распространяется и на защиту персональных данных. В ч.4 ст.19 152-ФЗ определено, что состав и содержание необходимых для выполнения требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются ФСБ России в пределах ее полномочий. В настоящий момент новые документы ФСБ России еще не утверждены, поэтому необходимо руководствоваться теми, которые действуют с 2008 г. В частности, согласно п.2.3 «Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утв. ФСБ России 21.02.2008 г. № 149/6/6-622, при разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет: определение необходимости использования криптосредств для обеспечения безопасности персональных данных и, в случае положительного решения, определение на основе модели угроз цели использования криптосредств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных и (или) иных неправомерных действий при их обработке.
В соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ России 21.02.2008 г. № 149/54-144) основными каналами атак являются, в том числе, каналы связи (как внутри, так и вне контролируемой зоны), не защищенные от несанкционированного доступа к информации организационно-техническими мерами. Понятийный аппарат, содержащийся в Положение ПКЗ-2005, дает основание для возможности применения шифровальных средств для защиты информации при ее передаче по каналам связи: средства шифрования – это аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении (пп «а» п.2 Положение ПКЗ-2005).
Вышесказанное позволяет сделать вывод о целесообразности применения банками шифровальных средств для защиты персональных данных при их передаче по каналам связи. Во исполнение 161-ФЗ Центральным Банком Российской Федерации было принято «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (утв. Банком России 09.06.2012 г. № 382-П). П.2.9.1 указанного Положения дает основания для возможности использования несертифицированных СКЗИ : «в случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа». Решение об отсутствии необходимости применения СКЗИ может быть принято банком на основании Модели угроз.
Юридическая ответственность
В соответствии с ч.9 ст.19 152-ФЗ решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных ФСБ России может быть наделена полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных. На данный момент такого решения Правительства Российской Федерации еще не принято, в связи с чем правомерно предполагать невозможность проведения проверок ФСБ России в данной сфере до принятия такого решения.
Тем не менее, в соответствии со ст.19.5 КоАП РФ невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства влечет наложение административного штрафа на должностных лиц — от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц — от десяти тысяч до двадцати тысяч рублей.
Кроме того, согласно ст.74 Федерального закона от 10.07.2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» в случаях нарушения кредитной организацией федеральных законов, издаваемых в соответствии с ними нормативных актов и предписаний Банка России, непредставления информации, представления неполной или недостоверной информации Банк России имеет право требовать от кредитной организации устранения выявленных нарушений, взыскивать штраф в размере до 0,1 процента минимального размера уставного капитала либо ограничивать проведение кредитной организацией отдельных операций на срок до шести месяцев. А в соответствии со ст. 15.36 КоАП РФ повторное в течение года неисполнение оператором платежной системы, операционным центром, платежным клиринговым центром предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе, влечет наложение административного штрафа на должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц — от ста тысяч до пятисот тысяч рублей.
Криптографическая защита персональных данных
Требования ФСБ остаются до сих пор загадкой для многих специалистов. Почему так происходит?
- Необязательное применение средств шифрования операторами.
- Сложная для понимания нормативная база.
- Отсутствие разъяснений к документам со стороны регулятора.
- Страх операторов навлечь на себя дополнительные проверки при использовании криптографии.
Но, несмотря на все трудности, без криптографической защиты не обойтись при передаче персональных данных по незащищенному каналу связи, сюда входит, например, удаленная работа сотрудников с базой данных клиентов, обмен информацией между филиалами и головным офисом, передача личной информации работников третьим лицам. В том или ином виде подобные задачи присутствуют практически в каждой организации.
Давайте разберем в общих чертах нормативную базу по этому вопросу. Можно выделить три основных документа по криптографической защите персональных данных в Российской Федерации:
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144 — Документ официально опубликован не был.
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных«, утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622 — Документ официально опубликован не был.
- Приказ ФСБ № 378 от 10 июля 2014 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Зарегистрировано в Минюсте России 18 августа 2014г.
Методические рекомендации
Документ был принят еще во времена действия «старых» документов ФСТЭК («четверокнижия», 58-го Приказа, 781 Постановления Правительства) и дополнял их содержание. Стоит отметить, что рассматриваемый нормативный документ не был зарегистрирован в Минюсте, на сегодняшний день статус его непонятен. Скорее всего, в связи с изданием Приказа 378 Методические рекомендации свою актуальность потеряли. Однако я хочу кратко остановиться на содержании документа, чтобы было понятно, как исторически развивались требования к системам шифрования.
Требования вышеуказанного документа (а также других нормативных актов в области криптографической защиты ПДн) не распространяются на следующие случаи:
- Обработка персональных данных без использования средств автоматизации;
- Работа с персональными данными, составляющими государственную тайну;
- Использование технических средств, расположенных за пределами РФ.
В документе сказано, что в случае использования средств криптографической защиты, нужно разрабатывать модель угроз по требованиям как ФСТЭК, так и ФСБ (за редким исключением). Операторы могут сами составлять модели угроз и нарушителя, лишь при необходимости привлекая лицензиатов ФСБ. Все угрозы в документе делятся на атаки и угрозы, не являющиеся атаками, приведены примеры распространенных угроз. Вы можете руководствоваться Методикой как справочным материалом при написании модели по новым требованиям.
Модель угроз верхнего уровня определяет характеристики безопасности ПДн и других объектов защиты. В детализированной модели угроз обозначены требуемые условия криптозащиты.
На модель угроз влияют различные факторы: условия создания и использования ПДн, формы представления ПДн, характеристики безопасности и т.д.
Кроме привычных характеристик: целостности, конфиденциальности и доступности выделяют также неотказуемость, учетность, аутентичность и адекватность.
Пример модели угроз верхнего уровня:
- Угроза конфиденциальности персональных данных.
- Угроза целостности персональных данных.
- Угроза доступности персональных данных.
Документ посвящен не только вопросам формирования модели угроз, но и особенностям составления адекватной модели нарушителя. Все нарушения в Методических рекомендациях делятся на два класса: прямые и косвенные нарушения безопасности ПДн (угрозы, создающие условия для возникновения прямых угроз). Выделяется 6 основных типов нарушителей: Н1, Н2, Н3, Н4, Н5, Н6. Чем выше цифра, тем больше возможностей, нарушитель каждого следующего типа наследует возможности предыдущего. Оператор самостоятельно определяет уровень подготовки нарушителей, доступные им инструменты и делает предположение о сговоре. В документе указаны основные характеристики нарушителя каждого типа. Также определены 6 уровней криптозащиты: KC1, KC2, KC3, KB1, KB2, KA1 и 6 классов криптосредств с аналогичными названиями, в этом плане ничего не изменилось и по сей день. ИСПДн также разделяются на 6 классов, в зависимости от наивысшей категории нарушителя. АК1- если наивысшая категория нарушителя Н1, АК2-если Н2, АК3 — если Н3, АК4 — если Н4, АК5 — если Н5, АК6 — если Н6. Соответственно распределены средства криптозащиты: АК1 — КС1, АК2 — КС2, АК3 — КС3, АК4 — КВ1, АК5 — КВ2, АК6 — КА1.
Типовые требования
Типовые требования были написаны в тот же период, что и Методические рекомендации, не зарегистрированы в Минюсте, на сегодняшний день их статус непонятен. На мой взгляд, в документе содержится полезная для изучения информация. Подробно описаны обязанности пользователей криптосредств, обозначены основные правила для них:
- не допускать копирования ключевой информации;
- не разглашать информацию о ключах;
- не записывать на ключевые носители постороннюю информацию и т.д.
Описан процесс уничтожения ключа, основные требования к помещениям, представлены типовые формы журналов. На основании информации, содержащейся в документе можно построить некоторые полезные инструкции.
Приказ 378
Выхода 378 Приказа ждало все профессиональное сообщество и вот, наконец, он вступил в силу. На сегодняшний день это — главный документ в области криптографической защиты персональных данных, и его действие распространяется на все ИСПДн, в которых используются в качестве защиты криптографические СЗИ. Приказом определены требования не только к криптографической защите, но и к режиму обеспечения безопасности помещений, порядок хранения носителей информации и другие организационные меры в зависимости от уровня защищенности системы. Отдельно указано, что оператору следует использовать СЗИ, прошедшие оценку соответствия — сертифицированные по требованиям безопасности. Защитные меры описаны очень подробно, включают в себя требования к оснащенности помещений (замки, приспособления для опечатывания, решетки на окна и т.д.). В отличие от положений Методических рекомендаций в Приказе 378 класс СКЗИ определяется относительно уровня защищенности и актуального типа угроз. Возможности злоумышленника учитываются лишь при определении класса СКЗИ для 4 уровня защищенности.
Таблица 1. Класс СКЗИ
Зависимость от уровня защищенности и типа угроз достаточно очевидна, и, как мы видим, оператор почти всегда может выбрать класс СКЗИ из нескольких вариантов.
Документ отличается четкой логикой изложения — достаточно знать уровень защищенности своей системы — требования к ИСПДн каждого уровня представлены в отдельных разделах. Стоит отметить, что требования наследуются от более низких уровней к более высоким, ИСПДн 1-го уровня защищенности должна отвечать требованиям для ИСПДн 2-го, 3-го и 4-го уровней. На мой взгляд, разобраться с требованиями нового Приказа не составит труда даже начинающему специалисту.
Безусловно, в одной краткой статье невозможно определить все нюансы криптографической защиты персональных данных, да и нужно ли это делать? Мы разобрали здесь основные моменты, поняли логику документов, остальное — детали, которые можно изучить самостоятельно. А в пятой части будут рассмотрены не менее важные вопросы: определение требований к системе защиты персональных данных и выбор мер защиты.
Автор: Шудрова К.Е.
Читайте также:
16 декабря 2014
Химеры информационной безопасности
Каждый специалист по защите информации рано или поздно задумывается о границах своих возможностей. В данной статье мне хотелось бы по-рассуждать о том, что является неосуществимым на данный момент, спустя пару лет мы с вами будем наблюдать совсем другую картину и причин тому масса: глобализация, изменение потребностей бизнеса, увеличение мощности информационных систем и многое другое.