пятница, 4 октября 2013 г.

Проект приказа ФСБ по защите ПДн с использованием средств криптографической защиты

Вчера был опубликован проект приказа ФСБ по защите персональных данных с использованием криптосредств.

Попробую провести краткий анализ этого документа.

Сначала отмечу самые важные, на мой взгляд, моменты:

1. Использование сертифицированных СКЗИ по прежнему обязательно.
2. Классы СКЗИ в явном виде сопоставлены с возможностями потенциального нарушителя. И это один из немногих положительных моментов в документе.
3. В большинстве случаев потребуется использование СКЗИ класса КС3 (!). Ниже поясню почему.  
4. В отличии от Методических рекомендаций, теперь отсутствует понятие «Модель нарушителя» и нет явного требования по ее разработке. Вместо этого есть требование о формировании и утверждении некой «совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимой для определения требуемого класса СКЗИ».


Требования, содержащиеся в приказе, можно разбить на следующие 4 группы:
а) требования по защите помещений;
б) требования по защите носителей персональных данных;
в) требования по регламентации и контролю доступа к ПДн, ведению электронного журнала;
г) требования к классу используемых СКЗИ.

Требования а), б), в) явно зависят от Уровня защищенности (УЗ), определённого согласно ПП 1119.  Эти требования включают в себя, например, оборудование помещений металлическими решетками и сигнализацией (для УЗ 1), поэкземплярный учет и хранение носителей ПДн в сейфах, необходимость ведения электронного журнала сообщений, назначение ответственных лиц... В общем и так далее. Подробнее со всеми требованиями можно ознакомится посмотрев на таблицу в конце поста.

Остановимся отдельно на определении класса СКЗИ.

Определение класса СКЗИ


Класс СКЗИ зависит от двух факторов:
- от предполагаемых возможностей нарушителя;
- от наличия актуальных угроз НДВ (см ПП 1119).

Предполагаемые возможности нарушителей описываются в разделах 10-16 Приказа. В целом, содержание этих разделов во многом идентично предыдущим Методическим рекомендациям.

Выбор класса СКЗИ теперь стал более прозрачным, но это не значит, что жить стало легче.

Обратим внимание на подпункт а) пункта 12: «СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:… доступ к СВТ, на которых реализованы СКЗИ и СФ».

Очевидно, что доступ к "СВТ, на которых реализовано СКЗИ", могут иметь пользователи системы, не говоря уже об админах. Исходя из данного пункта получается, что если на компьютере пользователя установлен VPN-клиент и пользователь рассматривается как потенциальный нарушитель, то согласно данным требованиям к VPN-клиенту предъявляются требования КС3.



Причем, если в предыдущих Методических рекомендациях была зацепка, которая позволяла исключить из числа потенциальных нарушителей админов, то в рассматриваемом проекте приказа такая зацепка отсутствует.

То есть, большинство систем, независимо от УЗ, попадут под использование КС3 как минимум.

Но это еще не все...

Для уровней защищенности с 3 по 1, заявлена привязка требуемого класса СКЗИ к наличию актуальных угроз НДВ:

Для УЗ 3 требуются:
- СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;
- СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.

Для УЗ 2 требуются:
- СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 1 и 2 типа;
- СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.

Для УЗ 1 требуются:
- СКЗИ класса КА1 в случаях, когда для информационной системы актуальны угрозы 1 типа;
- СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 2 типа.

Если мы признаем актуальными угрозы 1 и 2 типа (угрозы наличия НДВ ), то попадем на СКЗИ класса КВ.

Напомню, что может ожидать счастливых обладателей СКЗИ КВ:
- необходимость заказывать у ФСБ ключевые блокноты (компакт-диски), требуемые для работы СКЗИ. Срок изготовление ключей – пол года. Срок жизни набора ключей – год J;
- невозможность удаленного администрирования СКЗИ. Да, кстати, ключевые блокноты также можно развертывать только локально;
- при подключении СКЗИ - использование «оптической развязки» - «медь-оптика-медь» (для защиты от наводок).

Вывод: если в финальном релизе Приказа ничего не изменится, то, возможно, всем придется запасаться СКЗИ класса КС3. Ну или вообще избегать использования криптографии (что маловероятно).

В заключение, обещанная таблица с требованиями





№ п/п
Требование
УЗ 4
УЗ 3
УЗ 2
УЗ 1
1.                   
Организация режима обеспечения безопасности помещений, в которых размещена информационная система (далее – Помещения)
1.1.             
Оснащение Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня;
+
+
+
+
1.2.             
Утверждение правил доступа в Помещения сотрудников и посетителей в рабочее и нерабочее время;
+
+
+
+
1.3.             
Утверждение перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, а также порядка вскрытия Помещений в таких ситуациях.
+
+
+
+
1.4.             
Оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.



+
1.5.             
Оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения



+
2.                   
Обеспечение сохранности носителей персональных данных
2.1.             
Хранение носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
+
+
+
+
2.2.             
Поэкземплярный учет носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.
+
+
+
+
3.                   
Регламентация и контроль доступа к ПДн, ведение электронного журнала сообщений
3.1.             
Определить круг лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
+
+
+
+
3.2.             
Разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
+
+
+
+
3.3.             
Поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
+
+
+
+
3.4.             
Назначение обладающего достаточными навыками должностного лица ответственным за обеспечение безопасности персональных данных в информационной системе.
+
+
+
+
3.5.             
Создание отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение его функции на одно из существующих структурных подразделений.



+
3.6.             
Утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;


+
+
3.7.             
Обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;


+
+
3.8.             
Обеспечение информационной системы автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;


+
+
3.9.             
Обеспечение периодического контроля работоспособности указанных автоматизированных средств (не реже 1 раза в полгода).


+
+
3.10.         
Обеспечение информационной системы автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;



+
3.11.         
Отражение в электронном журнале безопасности полномочий сотрудников оператора персональных данных по доступу к персональным данным, содержащимся в информационной системе. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;



+
3.12.         
Назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников их должностным обязанностям (не реже 1 раза в месяц)



+
4.                   
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации
4.1.             
Получение исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак;
+
+
+
+
4.2.             
Формирование и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимой для определения требуемого класса СКЗИ;
+
+
+
+
4.3.             
Использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.
+
+
+
+


Комментариев нет:

Отправить комментарий