Сертифицирани средства за криптографска защита на информацията (криптографска защита на информацията). предназначение и области на приложение на криптографската информация. Сертифицирани криптографски информационни услуги - какво трябва да знаете, за да ги изберете правилно Сертифицирани криптографски информационни услуги FSB

Използвайте криптографски средстватемата за защита (CIPF) е много противоречива и хлъзгава. Операторът на PD обаче има право да използва CIPF, за да осигури защита в случай на действителни заплахи. Но не винаги е ясно как да използвате това право. И сега FSB улеснява живота; публикуван е документ с методически препоръки, приложим както за държавните информационни системи, така и за всички други оператори на PD. Нека разгледаме този документ по-подробно.

Така и стана, съобщи 8-ми център на ФСБ описване на препоръки в областта на разработването на разпоредби за защита на личните данни. В същото време се препоръчва ISDN операторите да използват същия документ, когато разработват модели за частни заплахи.

И така, какво мисли FSB за това как и къде трябва да се използва CIPF?

Доста важно е това този документпубликувани само на уебсайта на ФСБ,няма регистрацияв Министерството на правосъдието ине носи ничий подписИ- тоест неговата правна значимост и обвързваща сила остава само в рамките на препоръките. Това е важно да запомните.

Нека да надникнем вътре, преамбюлът на документа определя препоръките „за федералните органи на изпълнителната власт... друго правителствени агенции... които ... приемат регулаторни правни актове, които определят заплахите за сигурността на личните данни, които са от значение при обработването на лични данни в информационни системи за лични данни (наричани по-долу ISPD), действащи при изпълнението на съответни видове дейности". Тези. има изрично позоваване на правителствените информационни системи.

В същото време обаче е препоръчително да се ръководите от същите тези стандарти при разработването модели на частни заплахиоператори на информационни системи за лични данни, които са решили да използват средства криптографска защита на информацията(наричан по-долу CIPF), за да се гарантира сигурността на личните данни.“ Тези. В този случай документът става универсален за всички потребители.

Кога е необходимо да се използва CIPF?

Използването на CIPF за гарантиране на сигурността на личните данни е необходимо в следните случаи:

1. ако личните данни подлежат на криптографска защита в съответствие със закона Руска федерация;
2. ако в информационна системаИма заплахи, които могат да бъдат неутрализирани само с помощта на CIPF.

1. прехвърляне на лични данни чрез комуникационни канали, които не са защитени от прихващане от нарушител на информация, предавана чрез тях, или от неразрешени въздействия върху тази информация (например при прехвърляне на лични данни през обществени информационни и телекомуникационни мрежи);
2. съхраняване на лични данни на носители за съхранение, неоторизиран достъп до които от нарушителя не може да бъде изключен с помощта на некриптографски методи и методи.

И ето до какво стигаме. Ако втората точка също е съвсем логична, то първата не е толкова очевидна. Факт е, че според действащата редакция на Закона за личните данни име, фамилия и бащино имевече са лични данни. Съответно всяка кореспонденция или регистрация на сайта (като се има предвид колко данни сега се изискват по време на регистрация) формално попада под това определение.

Но, както се казва, няма правила без изключения. В края на документа има две таблици. Нека дадем само един ред Приложения №1.

Текуща заплаха:

1.1. извършване на атака, докато сте в контролирана зона.

Причина за отсъствие (списъкът е леко съкратен):

1. служителите, които са потребители на ISPD, но не са потребители на CIPF, са информирани за правилата за работа в ISPD и отговорността за неспазване на правилата за сигурност на информацията;
2. Потребителите на CIPF са информирани за правилата за работа в ISDN, правилата за работа с CIPF и отговорността за неспазване на правилата за сигурност на информацията;
3. помещенията, в които е разположена системата за криптографска защита на информацията, са оборудвани с входни врати с брави, гарантиращи, че вратите на помещенията са постоянно заключени и отворени само за разрешено преминаване;
4. утвърдени са правила за достъп до помещенията, в които се намират системи за криптографска защита на информацията в работно и извънработно време, както и при извънредни ситуации;
5. утвърден е списък на лицата, които имат право на достъп до помещенията, в които се намират системи за криптографска защита на информацията;
6. извършва се разграничаване и контрол на достъпа на потребителите до защитени ресурси;
7. извършва се регистрация и отчитане на потребителските действия с лични данни;

8. на работни станции и сървъри, на които е инсталиран CIPF:

   използват се сертифицирани средства за защита на информацията от неоторизиран достъп;
9. Използват се сертифицирани продукти за антивирусна защита.

Тоест, ако потребителите са информирани за правилата и отговорностите и се прилагат мерки за защита, тогава няма от какво да се притеснявате.

• За да се гарантира сигурността на личните данни при обработката им в ISPD, трябва да се използва CIPF, който е преминал през процедурата за оценка на съответствието по предписания начин.

Вярно, малко по-долу се казва, че списъкът на сертифицираните устройства за криптографска защита на информацията може да бъде намерен на уебсайта на ЦЛСЗ ФСБ. Неведнъж е казано, че оценката на съответствието не е сертификация.

• при отсъствие на лица, които са преминали процедурата за оценка на съответствието за CIPF по установения ред... на етапа на предварителен проект или предварителен (проект на технически) проект, разработчикът на информационната система, с участието на оператора (упълномощено лице) и предложения разработчик на CIPF, изготвя обосновка за възможността за разработване на нов тип CIPF и определя изискванията за неговите функционални свойства.

Наистина ме радва. Факт е, че сертифициранеПроцесът е много дълъг - до шест месеца или повече. Често клиентите използват най-новите операционни системи, които не се поддържат от сертифицираната версия. В съответствие с този документ клиентите могат да използват продукти, които са в процес на сертифициране.

В документа се посочва, че:

При използване на комуникационни канали (линии), от които е невъзможно да се прихване защитена информация, предавана през тях и (или) в които е невъзможно да се извършват неразрешени влияния върху тази информация, когато общо описаниеинформационните системи трябва да посочват:

1. описание на методите и средствата за защита на тези канали от неоторизиран достъп до тях;
2. заключения въз основа на резултатите от проучвания на сигурността на тези комуникационни канали (линии) от неоторизиран достъп до защитена информация, предавана чрез тях от организация, която има право да провежда такива изследвания, с позоваване на документа, съдържащ тези заключения.

Регистрационен N 33620

В съответствие с част 4 на чл.19 Федерален законот 27 юли 2006 г. N 152-FZ „За личните данни“ 1 Заповядвам:

одобрява приложения състав и съдържание на организационни и технически мерки за осигуряване на сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни, използващи криптографски инструменти за защита на информацията, необходими за изпълнение на изискванията, установени от правителството на Руската федерация за защита на личните данни за всяко ниво на сигурност.

Режисьор А. Бортников

1 Сборник на законодателството на Руската федерация, 2006 г., № 31 (част I), чл. 3451; 2009, N 48, чл. 5716; N 52 (част I), чл. 6439; 2010, N 27, чл. 3407; N 31, чл. 4173, чл. 4196; N 49, чл. 6409; N 52 (част I), чл. 6974; 2011, N 23, чл. 3263; N 31, чл. 4701; 2013, N 14, чл. 1651; N 30 (част I), чл. 4038.

Приложение

Съставът и съдържанието на организационните и технически мерки за осигуряване на сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни, използващи криптографски инструменти за защита на информацията, необходими за изпълнение на изискванията, установени от правителството на Руската федерация за защита на личните данни за всеки ниво на сигурност

I. Общи положения

1. Този документ определя състава и съдържанието на организационни и технически мерки за осигуряване на сигурността на личните данни при обработването им в информационни системи за лични данни (наричани по-нататък информационната система) с помощта на средства за криптографска защита на информацията (наричани по-нататък криптографска информация) защита), необходими за изпълнение на установените от правителството на Руската федерация изисквания за защита на личните данни за всяко ниво на сигурност.

2. Този документ е предназначен за оператори, използващи CIPF, за да гарантират сигурността на личните данни, когато се обработват в информационни системи.

3. Прилагането на организационните и техническите мерки, определени в този документ, се осигурява от оператора, като се вземат предвид изискванията на оперативните документи за CIPF, използвани за гарантиране на сигурността на личните данни при обработка в информационни системи.

4. Работата на CIPF трябва да се извършва в съответствие с документацията за CIPF и изискванията, установени в този документ, както и в съответствие с други нормативни правни актове, уреждащи отношенията в съответната област.

II. Състав и съдържание на организационни и технически мерки, необходими за изпълнение на изискванията, установени от правителството на Руската федерация към защитата на личните данни за ниво на сигурност 4

5. В съответствие с параграф 13 от Изискванията за защита на личните данни по време на тяхната обработка в информационни системи за лични данни, одобрени с Указ на правителството на Руската федерация от 1 ноември 2012 г. N1119 1 (наричани по-долу Изисквания за Защита на личните данни), за да се осигури ниво 4 на защита на личните данни При обработката на данни в информационни системи трябва да бъдат изпълнени следните изисквания:

а) организиране на охранителен режим на помещенията, в които се намира информационната система, предотвратяващ възможността за неконтролирано влизане или престой в тези помещения от лица, които нямат достъп до тези помещения;

б) осигуряване безопасността на носителите на лични данни;

в) одобрение от ръководителя на оператора на документ, определящ списъка на лицата, чийто достъп до личните данни, обработвани в информационната система, е необходим за изпълнение на техните служебни (трудови) задължения;

г) използването на средства за информационна сигурност, които са преминали процедурата за оценка на съответствието с изискванията на законодателството на Руската федерация в областта на информационната сигурност, в случаите, когато използването на такива средства е необходимо за неутрализиране на текущи заплахи.

6. За изпълнение на изискването, посочено в буква "а" на параграф 5 от този документ, е необходимо да се осигури режим, който предотвратява възможността за неконтролирано влизане или престой в помещенията, където се намира използваната CIPF, CIPF и (или) носители на информация за ключ, удостоверяване и парола на CIPF се съхраняват (наричани по-нататък Помещенията), лица, които нямат право на достъп до Помещенията, което се постига чрез:

а) оборудване на Помещенията с входни врати с ключалки, като се гарантира, че вратите на Помещенията са винаги заключени и отворени само за разрешено преминаване, както и запечатване на Помещенията в края на работния ден или оборудване на Помещенията с подходящи технически средства, сигнализиране за неразрешено отваряне на Помещението;

б) утвърждаване на правила за достъп до Помещенията в работно и извънработно време, както и при извънредни ситуации;

в) одобряване на списъка на лицата, имащи право на достъп до Помещенията.

7. За да се изпълни изискването, посочено в буква "б" на параграф 5 от този документ, е необходимо:

а) съхраняват сменяеми компютърни носители за съхранение на лични данни в сейфове (метални шкафове), оборудвани с вътрешни ключалки с два или повече дублирани ключа и устройства за запечатване на ключалка или секретни брави. Ако само лични данни се съхраняват на преносим компютърен носител за съхранение, криптиран с помощта на CIPF, такъв носител може да се съхранява извън сейфове (метални шкафове);

б) извършват отчитане на копие по екземпляр на машинни носители с лични данни, което се постига чрез поддържане на регистър на носители с лични данни с помощта на регистрационни (фабрични) номера.

8. За да се изпълни изискването, посочено в буква "в" на параграф 5 от този документ, е необходимо:

а) разработва и одобрява документ, определящ списък на лицата, чийто достъп до личните данни, обработвани в информационната система, е необходим за изпълнение на техните служебни (трудови) задължения;

б) поддържа актуален документ, определящ списък на лицата, чийто достъп до обработваните в информационната система лични данни е необходим за изпълнение на техните служебни (трудови) задължения.

9. За да се изпълни изискването, посочено в буква "d" на параграф 5 от този документ, е необходимо за всяко от нивата на сигурност на личните данни да се използва CIPF от съответния клас, което позволява да се гарантира сигурността на личните данни при прилагане на целеви действия, използващи хардуер и (или) софтуерс цел нарушаване на сигурността на защитените от CIPF лични данни или създаване на условия за това (наричано по-нататък атака), което се постига чрез:

а) получаване на първоначални данни за формиране на набор от предположения за възможностите, които могат да се използват при създаване на методи, подготовка и извършване на атаки;

б) формиране и одобрение от мениджъра на оператора на набор от предположения относно възможностите, които могат да се използват при създаване на методи, подготовка и извършване на атаки, и определяне на тази основа и като се вземе предвид вида на текущите заплахи на необходимия клас CIPF ;

в) използвани за осигуряване на необходимото ниво на сигурност на личните данни, когато се обработват в CIPF информационна система от клас KS1 и по-висок.

10. CIPF клас KS1 се използва за неутрализиране на атаки, при създаване на методи, подготовка и изпълнение на които се използват следните възможности:

а) създаване на методи, подготовка и извършване на атаки без участието на специалисти в областта на разработването и анализа на CIPF;

б) създаване на методи, подготовка и извършване на атаки на различни етапи от жизнения цикъл на CIPF 2;

в) извършване на нападение, докато се намира извън пространството, в което се осъществява контрол върху престоя и действията на лицата и (или) Превозно средство(наричана по-нататък контролираната зона) 3 ;

г) извършване на следните атаки на етапите на разработка (модернизация), производство, съхранение, транспортиране на CIPF и етапа на въвеждане в експлоатация на CIPF (работи по въвеждане в експлоатация):

извършване на неразрешени промени в системата за криптографска защита на информацията и (или) в компонентите на хардуера и софтуера, заедно с които системата за криптографска защита на информацията функционира нормално и колективно представляват работната среда на системата за криптографска защита на информацията (наричана по-долу SF) , които могат да повлияят на изпълнението на изискванията към системата за криптографска защита на информацията, включително използването на злонамерени програми;

извършване на неразрешени промени в документацията за CIPF и компоненти на SF;

д) извършване на атаки на етапа на работа на CIPF върху:

Лична информация;

ключ, информация за удостоверяване и парола на CIPF;

софтуерни компоненти CIPF;

CIPF хардуерни компоненти;

SF софтуерни компоненти, включително BIOS софтуер;

SF хардуерни компоненти;

данни, предавани чрез комуникационни канали;

други обекти, които се установяват при формирането на набор от предложения за способности, които могат да се използват при създаване на методи, подготовка и извършване на атаки, като се вземат предвид тези, използвани в информационната система информационни технологии, хардуер (по-нататък - AS) и софтуер(наричан по-долу софтуер);

е) получаване от свободно достъпни източници (включително информационни и телекомуникационни мрежи, достъпът до които не е ограничен до определен кръг лица, включително информационна и телекомуникационна мрежа в Интернет) информация за информационната система, в която се използва CIPF. Може да се получи следната информация:

обща информация за информационната система, в която се използва CIPF (цел, състав, оператор, обекти, в които се намират ресурсите на информационната система);

информация за информационни технологии, бази данни, AS, софтуер, използван в информационната система заедно с CIPF, с изключение на информация, съдържаща се само в проектната документация за информационни технологии, бази данни, AS, софтуер, използван в информационната система заедно с CIPF;

обща информация за защитената информация, използвана по време на работата на CIPF;

информация за комуникационните канали, по които се предават личните данни, защитени от CIPF (наричани по-долу канал за комуникация);

всички възможни данни, предадени на отворена формачрез комуникационни канали, които не са защитени от неоторизиран достъп до информация чрез организационни и технически мерки;

информация за всички нарушения на правилата за работа на CIPF и SF, които се случват в комуникационни канали, които не са защитени от неоторизиран достъп до информация чрез организационни и технически мерки;

информация за всички неизправности и повреди на хардуерните компоненти на CIPF и SF, които се появяват в комуникационни канали, които не са защитени от неоторизиран достъп до информация чрез организационни и технически мерки;

информация, получена в резултат на анализ на всякакви сигнали от хардуерни компоненти на CIPF и SF;

g) приложение:

системи и софтуер, които са свободно достъпни или използвани извън контролираната зона, включително хардуерни и софтуерни компоненти на CIPF и SF;

специално разработени високоговорители и софтуер;

з) използване на етапа на операцията като средство за прехвърляне от субект към обект (от обект към субект) на действия на атака, извършени по време на подготовката и (или) провеждането на атака:

комуникационни канали, които не са защитени от неоторизиран достъп до информация чрез организационни и технически мерки;

канали за разпространение на сигнала, съпътстващи функционирането на CIPF и SF;

i) извършване на атака от информационни и телекомуникационни мрежи на етапа на работа, достъпът до които не е ограничен до определен кръг лица, ако информационните системи, които използват CIPF, имат достъп до тези мрежи;

й) използването по време на етапа на работа на AS и софтуер, разположен извън контролираната зона от средствата на информационната система, използвани в обектите на работа на CIPF (наричани по-нататък стандартни инструменти).

11. CIPF клас KS2 се използва за неутрализиране на атаки, при създаване на методи, подготовка и изпълнение на които се използват възможностите, изброени в параграф 10 от този документ, и поне една от следните допълнителни възможности:

а) извършване на атака в рамките на контролираната зона;

б) извършване на атаки на етапа на работа на CIPF върху следните обекти:

документация за CIPF и SF компоненти.

Помещения, които съдържат набор от софтуерни и технически елементи на системи за обработка на данни, които могат да функционират самостоятелно или като част от други системи (наричани по-долу SVT), върху които са внедрени CIPF и SF;

в) получаване, в рамките на предоставените правомощия, както и в резултат на наблюдения, на следната информация:

информация за физически мерки за защита на обекти, в които се намират ресурси на информационната система;

информация за мерките за осигуряване на контролираната зона на обекти, в които се намират ресурси на информационната система;

информация относно мерките за ограничаване на достъпа до Помещенията, в които се намират електронните устройства, в които са внедрени CIPF и SF;

г) използване редовни средства, ограничени от мерки, въведени в информационната система, в която се използва CIPF, и насочени към предотвратяване и потискане на неразрешени действия.

12. CIPF клас KS3 се използва за неутрализиране на атаки, при създаване на методи, подготовка и изпълнение на които се използват възможностите, изброени в параграфи 10 и 11 от този документ, и поне една от следните допълнителни възможности:

а) физически достъп до електронни устройства, на които са внедрени CIPF и SF;

б) възможност за наличие на хардуерни компоненти на CIPF и SF, ограничени от мерки, въведени в информационната система, в която се използва CIPF, и насочени към предотвратяване и потискане на неразрешени действия.

13. CIPF клас KB се използва за неутрализиране на атаки, при създаване на методи, подготовка и изпълнение на които се използват възможностите, изброени в параграфи 10 - 12 от този документ, и поне една от следните допълнителни възможности:

а) създаване на методи, подготовка и извършване на атаки с участието на специалисти в областта на анализа на сигнали, съпътстващи функционирането на CIPF и SF, и в областта на използването на недокументирани (недекларирани) възможности на приложен софтуер за извършване на атаки;

б) провеждане на лабораторни изследвания на защитата на криптографската информация, използвана извън контролираната зона, ограничена от мерките, въведени в информационната система, в която се използва системата за криптографска защита на информацията, и насочена към предотвратяване и потискане на неразрешени действия;

в) извършване на работа за създаване на методи и средства за атаки в изследователски центрове, специализирани в разработването и анализа на CIPF и IP, включително използване на изходните кодове на приложен софтуер, включен в IP, който директно използва повиквания към програмните функции на CIPF.

14. CIPF клас KA се използва за неутрализиране на атаки, при създаване на методи, подготовка и изпълнение на които се използват възможностите, изброени в параграфи 10 - 13 от този документ, и поне една от следните допълнителни възможности:

а) създаване на методи, подготовка и извършване на атаки с участието на специалисти в областта на използването на недокументирани (недекларирани) възможности на системния софтуер за осъществяване на атаки;

б) възможност за разполагане на информация, съдържаща се в проектната документация за хардуерните и софтуерните компоненти на ОГ;

в) възможност за разполагане на всички хардуерни компоненти на CIPF и SF.

15. В процеса на формиране на набор от предположения относно способностите, които могат да се използват за създаване на методи, подготовка и извършване на атаки, допълнителни функции, които не са включени в изброените в параграфи 10 - 14 от този документ, не засягат процедурата за определяне на необходимия клас CIPF.

III. Състав и съдържание на организационни и технически мерки, необходими за изпълнение на изискванията, установени от правителството на Руската федерация към защитата на личните данни за ниво на сигурност 3

16. В съответствие с параграф 14 от Изискванията за защита на личните данни, за да се гарантира ниво 3 на сигурност на личните данни, когато се обработват в информационни системи, в допълнение към изпълнението на изискванията, предвидени в параграф 5 от този документ, е необходимо за изпълнение на изискването за назначаване на длъжностно лице (служител), отговорно за осигуряване на сигурността на личните данни в информационната система.

17. За изпълнение на изискването, посочено в параграф 16 от този документ, е необходимо да бъде назначено длъжностно лице (служител) на оператора с достатъчно умения, отговорно за осигуряване сигурността на личните данни в информационната система.

18. За да се изпълни изискването, посочено в буква "d" от параграф 5 от този документ, е необходимо вместо мярката, предвидена в буква "c" от параграф 9 от този документ, да се използва за осигуряване на необходимото ниво на сигурност на личните данни при обработването им в информационната система:

IV. Състав и съдържание на организационни и технически мерки, необходими за изпълнение на изискванията, установени от правителството на Руската федерация към защитата на личните данни за ниво на сигурност 2

19. В съответствие с параграф 15 от Изискванията за защита на личните данни, за да се осигури ниво 2 на сигурност на личните данни при обработването им в информационни системи, в допълнение към изпълнението на изискванията, предвидени в параграфи 5 и 16 от настоящия документ , е необходимо да се изпълни изискването достъпът до съдържанието на регистъра на електронните съобщения да е възможен само за длъжностни лица(служители) на оператора или упълномощено лице, за което информацията, съдържаща се в посочения дневник, е необходима за изпълнение на служебни (трудови) задължения.

20. За да се изпълни изискването, посочено в параграф 19 от този документ, е необходимо:

а) одобрение от ръководителя на оператора на списъка на лицата, допуснати до съдържанието на регистъра на електронните съобщения, и поддържане на посочения списък актуален;

б) предоставяне на информационната система с автоматизирани средства, които регистрират искания от потребители на информационната система за получаване на лични данни, както и фактите за предоставяне на лични данни по тези искания в регистър на електронни съобщения;

в) осигуряване на информационната система с автоматизирани средства, които изключват достъп до съдържанието на електронния регистър на съобщенията на лица, които не са посочени в списъка на лицата, одобрен от ръководителя на оператора, одобрен за съдържанието на електронния регистър на съобщенията;

г) осигуряване на периодично наблюдение на работата на автоматизираните средства, посочени в букви "б" и "в" от тази алинея (най-малко веднъж на шест месеца).

21. За да се изпълни изискването, посочено в буква "d" от параграф 5 от този документ, е необходимо, вместо мерките, предвидени в буква "c" от параграф 9 и параграф 18 от този документ, да се осигури необходимото ниво на сигурност на личните данни при обработването им в информационната система:

CIPF клас KB и по-висок в случаите, когато заплахите от тип 2 са от значение за информационната система;

CIPF клас KS1 и по-висок в случаите, когато заплахите от тип 3 са от значение за информационната система.

V. Състав и съдържание на организационни и технически мерки, необходими за изпълнение на изискванията, установени от правителството на Руската федерация към защитата на личните данни за 1 ниво на сигурност

22. В съответствие с параграф 16 от Изискванията за защита на личните данни, за да се осигури ниво 1 на сигурност на личните данни при обработването им в информационни системи, в допълнение към изпълнението на изискванията, предвидени в параграфи 5, 16 и 19 от този документ трябва да отговаря на следните изисквания:

а) автоматично регистриране в електронния регистър за сигурност на промени в правомощията на служител на оператора за достъп до лични данни, съдържащи се в информационната система;

б) създаването на отделно структурно звено, което да отговаря за осигуряването на сигурността на личните данни в информационната система, или възлагането на неговите функции на едно от съществуващите структурни звена.

23. За да се изпълни изискването, посочено в буква "а" на параграф 22 от този документ, е необходимо:

а) предоставяне на информационната система с автоматизирани средства, които позволяват автоматично записване в електронния дневник за сигурност на промените в правомощията на служител на оператора за достъп до лични данни, съдържащи се в информационната система;

б) отразяване в електронния дневник за сигурност на правомощията на служителите на оператора на лични данни за достъп до лични данни, съдържащи се в информационната система. Посочените правомощия трябва да съответстват служебни задълженияслужители на оператора;

в) назначаване от оператора на лице, отговорно за периодичното наблюдение на поддържането на електронен дневник за сигурност и съответствието на правомощията на служителите на оператора, отразени в него, с техните служебни задължения (поне веднъж месечно).

24. За да се изпълни изискването, посочено в буква "b" на параграф 22 от този документ, е необходимо:

а) извършва анализ на възможността за създаване на отделно структурно звено, което да отговаря за осигуряването на сигурността на личните данни в информационната система;

б) да създаде отделно структурно звено, което да отговаря за осигуряването на сигурността на личните данни в информационната система, или да възложи неговите функции на едно от съществуващите структурни звена.

25. За изпълнение на изискването, посочено в буква "а" на параграф 5 от този документ, за осигуряване на ниво 1 на сигурност е необходимо:

а) оборудвайте прозорците на помещенията, разположени на първия и (или) последния етаж на сградите, както и прозорците на помещенията, разположени в близост до пожарни стълби и други места, от които неупълномощени лица могат да влязат в помещенията, с метални решетки или щори , охранителна аларма или други средства, предотвратяващи неконтролирано влизане на неоторизирани лица в помещенията;

б) оборудват прозорците и вратите на Помещенията, в които са разположени сървърите на информационната система, с метални решетки, охранителни аларми или други средства, които предотвратяват неконтролираното влизане на неупълномощени лица в помещенията.

26. За да се изпълни изискването, посочено в буква "d" от параграф 5 от този документ, е необходимо вместо мерките, предвидени в буква "c" от параграф 9, параграфи 18 и 21 от този документ, да се осигури изискваното ниво на защита на личните данни при обработване в информационната система:

CIPF клас KA в случаите, когато заплахите от тип 1 са от значение за информационната система;

CIPF клас KB и по-висок в случаите, когато заплахите от тип 2 са от значение за информационната система.

1 Сборник на законодателството на Руската федерация, 2012 г., N 45, 6257.

2 Етапите на жизнения цикъл на CIPF включват разработването (модернизирането) на тези средства, тяхното производство, съхранение, транспортиране, въвеждане в експлоатация (пускане в експлоатация) и експлоатация.

3 Границата на контролираната зона може да бъде периметърът на защитената територия на предприятието (институцията), ограждащите конструкции на защитената сграда, защитената част на сградата, разпределените помещения.

Изискванията за информационна сигурност при проектиране на информационни системи посочват характеристиките, които характеризират използваните средства за информационна сигурност. Те се определят от различни актове на регулаторите в областта на сигурността информационна сигурност, по-специално - FSTEC и FSB на Русия. Какви класове на сигурност има, видове и видове защитно оборудване, както и къде да научите повече за това, са отразени в статията.

Въведение

Днес въпросите за осигуряване на информационна сигурност са обект на голямо внимание, тъй като технологиите, които се прилагат навсякъде, без да се гарантира информационната сигурност, се превръщат в източник на нови сериозни проблеми.

Руската ФСБ съобщава за сериозността на ситуацията: размерът на щетите, причинени от нападатели за няколко години по света, варира от 300 милиарда долара до 1 трилион долара. Според информация, предоставена от главния прокурор на Руската федерация, само през първата половина на 2017 г. в Русия броят на престъпленията в областта на висока технологиясе увеличи шесткратно, общият размер на щетите надхвърли 18 милиона долара Увеличение на целевите атаки в индустриалния сектор през 2017 г. беше отбелязано в целия свят. По-специално, в Русия увеличението на броя на атаките в сравнение с 2016 г. е 22%.

Информационните технологии започнаха да се използват като оръжие за военно-политически, терористични цели, за намеса във вътрешните работи на суверенни държави, както и за извършване на други престъпления. Руската федерация е за създаването на международна система за информационна сигурност.

На територията на Руската федерация притежателите на информация и операторите на информационни системи са длъжни да блокират опитите за неоторизиран достъп до информация, както и да наблюдават непрекъснато състоянието на сигурността на ИТ инфраструктурата. В същото време защитата на информацията се осигурява чрез предприемане на различни мерки, включително технически.

Средствата за информационна сигурност или системите за защита на информацията осигуряват защитата на информацията в информационните системи, които по същество представляват колекция от информация, съхранявана в бази данни, информационни технологии, които осигуряват нейната обработка, и технически средства.

Съвременните информационни системи се характеризират с използването на различни хардуерни и софтуерни платформи, териториалното разпределение на компонентите, както и взаимодействието с отворени мрежипредаване на данни.

Как да защитим информацията в такива условия? Съответните изисквания са представени от упълномощени органи, по-специално FSTEC и FSB на Русия. В рамките на статията ще се опитаме да отразим основните подходи към класификацията на системите за информационна сигурност, като вземем предвид изискванията на тези регулатори. Други начини за описание на класификацията на информационната сигурност, отразена в регулаторните документи на руските ведомства, както и на чуждестранни организации и агенции, са извън обхвата на тази статия и не се разглеждат допълнително.

Статията може да бъде полезна за начинаещи специалисти в областта на информационната сигурност като източник на структурирана информация за методите за класифициране на информационната сигурност въз основа на изискванията на FSTEC на Русия (в по-голяма степен) и накратко на FSB на Русия.

Структурата, която определя процедурата и координира осигуряването на информационна сигурност с помощта на некриптографски методи, е FSTEC на Русия (бивша Държавна техническа комисия към президента на Руската федерация, Държавна техническа комисия).

Ако читателят някога е виждал Държавния регистър на сертифицираните средства за защита на информацията, който се формира от FSTEC на Русия, тогава той със сигурност обърна внимание на присъствието в описателната част на целта на системата за защита на информацията такива фрази като „RD SVT клас“, „ниво на липса на несъответствие с данни за несъответствие“ и др. (Фигура 1) .

Фигура 1. Фрагмент от регистъра на сертифицираните средства за защита на информацията

Класификация на средствата за защита на криптографската информация

ФСБ на Русия е определила класове системи за криптографска защита на информацията: KS1, KS2, KS3, KV и KA.

Основните характеристики на IPS от клас KS1 включват способността им да издържат на атаки, извършвани извън контролираната зона. Това означава, че създаването на методи за атака, тяхната подготовка и внедряване се извършва без участието на специалисти в областта на разработването и анализа на криптографската информационна сигурност. Предполага се, че информацията за системата, в която се използват посочените системи за информационна сигурност, може да бъде получена от отворени източници.

Ако системата за криптографска информационна сигурност може да издържи на атаки, блокирани с помощта на клас KS1, както и тези, извършвани в контролираната зона, тогава такава информационна сигурност съответства на клас KS2. Предполага се например, че по време на подготовката на атака може да стане достъпна информация за физически мерки за защита на информационните системи, осигуряване на контролирана зона и др.

Ако е възможно да се устои на атаки, ако има физически достъп до компютърно оборудване с инсталирана криптографска информация за сигурност, се казва, че такова оборудване отговаря на класа KS3.

Ако сигурността на криптографската информация устои на атаки, чието създаване включваше специалисти в областта на разработването и анализа на тези инструменти, включително изследователски центрове, и беше възможно да се проведат лабораторни изследвания на средствата за сигурност, тогава говорим за съответствие с HF класа .

Ако специалисти в областта на използването на системния софтуер на NDV са участвали в разработването на методи за атака, съответното проектна документацияи е имало достъп до всякакви хардуерни компоненти на криптографската информационна сигурност, тогава защитата срещу такива атаки може да бъде осигурена с помощта на клас KA.

Класификация на средствата за защита на електронния подпис

съоръжения електронен подписв зависимост от способността да издържат на атаки, обичайно е да ги сравнявате със следните класове: KS1, KS2, KS3, KV1, KV2 и KA1. Тази класификация е подобна на тази, обсъдена по-горе във връзка със сигурността на криптографската информация.

заключения

Статията разгледа някои методи за класифициране на системите за информационна сигурност в Русия, чиято основа е нормативна базарегулатори в областта на информационната сигурност. Разгледаните варианти за класификация не са изчерпателни. Въпреки това се надяваме, че представената обобщена информация ще позволи на начинаещ специалист в областта на информационната сигурност бързо да се ориентира.

коментари...

Алексей, добър ден!
Отговорът от 8-ми център не показва нищо относно необходимостта от използване на сертифициран CIPF. Но има „Методически препоръки...“, одобрени от ръководството на 8-ми център на ФСБ на Русия от 31 март 2015 г. № 149/7/2/6-432, в които има следния параграф във втория част:

За да се гарантира сигурността на личните данни при обработката им в ISPD, трябва да се използва CIPF, който е преминал през процедурата за оценка на съответствието по предписания начин. Списък на CIPF, заверен от FSBРусия, публикуван на официалния уебсайт на Центъра за лицензиране, сертифициране и защита на държавната тайна на ФСБ на Русия (www.clsz.fsb.ru). Допълнителна информацияПрепоръчително е да получите информация за конкретни инструменти за информационна сигурност директно от разработчиците или производителите на тези инструменти и, ако е необходимо, от специализирани организации, които са провели казуси на тези инструменти;

Защо това не е изискване за използване на сертифициран CIPF?

Има заповед на ФСБ на Русия от 10 юли 2014 г. № 378, която гласи в буква „d“ на параграф 5: „използването на средства за информационна сигурност, които са преминали процедурата за оценка на съответствието с изискванията на законодателството на Руската федерация в областта на информационната сигурност, в случаите, когато използването на такива средства е необходимо за неутрализиране на текущите заплахи."

Това „когато използването на такива средства е необходимо за неутрализиране на текущи заплахи“ е малко объркващо. Но цялата тази нужда трябва да бъде описана в модела на нарушителя.

Но в този случай отново раздел 3 от „Методическите препоръки...“ от 2015 г. гласи, че „При използване на комуникационни канали (линии), от които е невъзможно да се прихване защитена информация, предавана чрез тях и (или) в които е невъзможно е да се извършват неразрешени влияния. Тази информация трябва да бъде посочена в общото описание на информационните системи:
- описание на методите и средствата за защита на тези канали от неоторизиран достъп до тях;
- заключения въз основа на резултатите от проучвания на сигурността на тези комуникационни канали (линии) от неоторизиран достъп до защитена информация, предавана чрез тях от организация, която има право да провежда такива изследвания, с позоваване на документа, съдържащ тези заключения.

Какво имам предвид с всичко това – да, не е необходимо винаги и навсякъде да се използва криптографска защита на информацията, когато се гарантира сигурността на обработката на лични данни. Но за да направите това, трябва да създадете модел на нарушителя, където всичко това може да бъде описано и доказано. Написахте за два случая, когато трябва да ги използвате. Но фактът, че за да се гарантира сигурността на обработката на лични данни по отворени комуникационни канали или ако обработката на тези лични данни излиза извън границите на контролираната зона, можете да използвате несертифициран CIPF - не е толкова просто. И може да се случи, че е по-лесно да се използват сертифицирани устройства за криптографска защита на информацията и да се спазват всички изисквания по време на тяхната работа и съхранение, отколкото да се използват несертифицирани продукти и да се сблъскат с регулатора, който, виждайки такава ситуация, ще се опита много упорито да търка носа им навътре.

Случаят, когато използването на такива средства е необходимо за неутрализиране на текущите заплахи: изискването на Заповедта на FSTEC на Русия № 17 от 11 февруари 2013 г. (изисквания за държавни и общински ISPDn),

клауза 11. За да се гарантира защитата на информацията, съдържаща се в информационната система, се използват средства за информационна сигурност, които са преминали оценка на съответствието под формата на задължително сертифициране за съответствие с изискванията за информационна сигурност в съответствие с член 5 от Федералния закон от 27 декември , 2002 г. № 184-FZ „За техническото регулиране“.

Proximo: Препоръките на FSB са нелегитимни. Заповед 378 е легитимна, но трябва да се разглежда в контекста на цялото законодателство и в нея се казва, че спецификата на оценката на съответствието се определя от правителството или президента. Нито единият, нито другият са издавали такива правни актове

Антон: В държавното управление изискването за сертифициране е установено със закон, 17-та заповед просто ги повтаря. И ние говорим за PDn

Алексей Лукацки: Не. Препоръките на ФСБ са нелегитимни" Колко нелегитимни? Говоря за документ № 149/7/2/6-432 от 19 май 2015 г. (http://www.fsb.ru/fsb/science/ single.htm!id%3D10437608 %40fsbResearchart.html), но не и за документа от 21.02.2008 г. № 149/54-144.

Друг специалист също преди това отправи искане до FSB по подобна тема и му беше казано, че не е необходимо да се използват „Методологията...“ и „Препоръките...“ на FSB от 2008 г., ако става дума за тези документи. Но отново, тези документи не бяха официално отменени. А дали тези документи са законни или не, смятам, че инспекторите на ФСБ ще решат на място по време на проверката.

Законът казва, че личните данни трябва да бъдат защитени. Подзаконовите актове на правителството, FSB, FSTEC определят как точно трябва да бъдат защитени. Наредбите на FSB гласят: „Ако не искате сертифицирано, докажете, че можете да го използвате, и бъдете така любезни да приложите заключение за това от компания, която има лиценз за издаване на такива заключения.“ Нещо като това...

1. Всяка препоръка е препоръка, а не задължително изискване.
2. Ръководството от 2015 г. няма нищо общо с операторите на PD - то се отнася до държавни служители, които пишат модели на заплаха за подчинени институции (като се има предвид точка 1).
3. FSB няма право да извършва проверки на търговски PD оператори, а за държавните агенции проблемът с използването на несертифициран CIPF не си струва - те са длъжни да използват сертифицирани решения, независимо от наличието на PD - това са изискванията на Федерален закон-149.
4. Уставът ви казва как да защитите и това е нормално. Но те не могат да определят формата на оценка на защитните средства - това може да стане само с наредби на правителството или президента. ФСБ не е упълномощена да прави това

Съгласно Указ 1119:

4. Изборът на средства за информационна сигурност за системата за защита на личните данни се извършва от оператора в съответствие с регулаторните правни актове, приети от Федералната служба за сигурност на Руската федерация и Федералната служба за технически и експортен контрол в съответствие с част 4 на член 19 от Федералния закон „За личните данни“.
13.г. Използването на инструменти за информационна сигурност, които са преминали оценка за съответствие с изискванията на законодателството на Руската федерация в областта на информационната сигурност, в случаите, когато използването на такива инструменти е необходимо за неутрализиране на текущи заплахи.

Как да оправдаем неуместността на заплахата при предаване на лични данни през каналите на телеком оператор?

Тези. ако не CIPF, то очевидно
- терминален достъп и тънки клиенти, но в същото време данни за сигурност на информацията на терминала
достъпът трябва да бъде сертифициран.
- защита на каналите от телеком оператора, отговорност за телеком оператора (доставчика).

Неуместността се определя от оператора и той не се нуждае от никого за това