Комментирует...
Алексей, добрый день!
В ответе 8-го Центра ничего не указано про необходимость использования именно сертифицированных СКЗИ. Но ведь есть "Методические рекомендации..." утвержденные руководством 8 Центра ФСБ России от 31.03.2015 №149/7/2/6-432, в которых есть во второй части такой абзац:
Для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru). Дополнительную информацию о конкретных средствах защиты информации рекомендуется получать непосредственно у разработчиков или производителей этих средств и, при необходимости, у специализированных организаций, проводивших тематические исследования этих средств;
Чем это не требование использовать сертифицированные СКЗИ?
Есть приказ ФСБ России от 10.07.2014 №378, в котором в подпункте "г" пункта 5 указано: " использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз."
Немного сбивает с толку вот это "когда применение таких средств необходимо для нейтрализации актуальных угроз". Но вся эта необходимость должна быть описана в модели нарушителя.
Но в этом случае опять же в разделе 3 "Методических рекомендаций..." от 2015 года указано, что "При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
- описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
- выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы."
Я всё это к чему - да, нет необходимости использовать СКЗИ всегда и везде при обеспечении безопасности обработки ПДн. Но для этого нужно сформировать модель нарушителя, где всё это описать и доказать. Про два случая, когда нужно их использовать Вы писали. Но то, что для обеспечения безопасности обработки ПДн по открытым каналам связи, или если обработка этих ПДн выходит за границы контролируемой зоны, можно использовать несертифицированные СКЗИ - тут не всё так просто. И может так случиться, что проще использовать сертифицированные СКЗИ и соблюдать все требования при их эксплуатации и хранении, чем использовать несертифицированные средства и бодаться с регулятором, который видя такую ситуацию, будет очень стараться ткнуть носом.
Unknown комментирует...Cлучай, когда применение таких средств необходимо для нейтрализации актуальных угроз: требование Приказа ФСТЭК России № 17 от 11 февраля 2013 г. (требования к государственными и муниц. ИСПДн),
пункт 11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
Алексей Лукацкий комментирует...Proximo: рекомендации ФСБ нелегитимны. 378-й приказ легитимен, но должен рассматриваться в контексте всего законодательства, а оно говорит, что особенности оценки соответствия устанавливаются Правительством или Президентом. Ни то, ни другой таких НПА не выпускали т
Алексей Лукацкий комментирует...Антон: в госах требование сертификации установлено законом, 17-й приказ их просто повторяет. А мы про ПДн говорим
Unknown комментирует...Алексей Лукацкий: №рекомендации ФСБ нелегитимны" Как нелегитимны? Я про документ от 19.05.2015 №149/7/2/6-432 (http://www.fsb.ru/fsb/science/single.htm!id%3D10437608%40fsbResearchart.html), но не про документ от 21.02.2008 №149/54-144.
Другой специалист также ранее делал запрос в ФСБ по похожей теме, и ему ответили, что "Методику..." и "Рекомендации..." ФСБ от 2008 года не нужно использовать, если Вы говорите про эти документы. Но опять же - официально эти документы не отменили. И легитимны эти документы или нет, полагаю, будут решать проверяющие от ФСБ уже на месте в ходе проверки.
Закон говорит, что нужно защищать ПДн. Подзаконные акты от Правительства, ФСБ, ФСТЭК определяют, как именно нужно их защищать. В НПА от ФСБ говорится: "Используйте сертифицированное. Если не хотите сертифицированное - докажите, что можете использовать такое. И будьте добры - приложите заключение на это от фирмы, у которой есть лицензия на право выдачи таких заключений". Как-то так...
Алексей Лукацкий комментирует...1. Любая рекомендация - это рекомендация, а не обязательное к исполнению требование.
2. Методичка 2015-го года не имеет отношения к операторам ПДн - она относится к госам, которые пишут модели угроз для подведомственных учреждений (с учетом п.1).
3. ФСБ не имеет права проводить проверки коммерческим операторов ПДн, а для госов вопрос применения несертифицированных СКЗИ и не стоит - они обязаны применять сертифицированные решения, независимо от наличия ПДн - это требования ФЗ-149.
4. Подзаконные акты говорят как защищать и это нормально. А вот форму оценку средств защиты они определять не могут - это может сделать только НПА Правительства или Президента. ФСБ не уполномочено это делать
В соответствии с Постановлением 1119:
4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
13.г. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Каким образом обосновать не актуальность угрозы при передачи ПДн через каналы оператора связи?
Т.е. если не СКЗИ, то видимо,
- терминальный доступ и тонкие клиенты, но при этом данные СЗИ терминального
доступа должны быть сертифицированы.
- защиты каналов оператором связи, ответственность на оператора связи (провайдера).
Неактуальность определяет оператор и никто ему для этого не нужен
В требованиях по безопасности информации при проектировании информационных систем указываются признаки, характеризующие применяемые средства защиты информации. Они определены различными актами регуляторов в области обеспечения информационной безопасности, в частности - ФСТЭК и ФСБ России. Какие классы защищенности бывают, типы и виды средств защиты, а также где об этом узнать подробнее, отражено в статье.
Введение
Сегодня вопросы обеспечения информационной безопасности являются предметом пристального внимания, поскольку внедряемые повсеместно технологии без обеспечения информационной безопасности становятся источником новых серьезных проблем.
О серьезности ситуации сообщает ФСБ России: сумма ущерба, нанесенная злоумышленниками за несколько лет по всему миру составила от $300 млрд до $1 трлн. По сведениям, представленным Генеральным прокурором РФ, только за первое полугодие 2017 г. в России количество преступлений в сфере высоких технологий увеличилось в шесть раз, общая сумма ущерба превысила $ 18 млн. Рост целевых атак в промышленном секторе в 2017 г. отмечен по всему миру. В частности, в России прирост числа атак по отношению к 2016 г. составил 22 %.
Информационные технологии стали применяться в качестве оружия в военно-политических, террористических целях, для вмешательства во внутренние дела суверенных государств, а также для совершения иных преступлений. Российская Федерация выступает за создание системы международной информационной безопасности.
На территории Российской Федерации обладатели информации и операторы информационных систем обязаны блокировать попытки несанкционированного доступа к информации, а также осуществлять мониторинг состояния защищенности ИТ-инфраструктуры на постоянной основе. При этом защита информации обеспечивается за счет принятия различных мер, включая технические.
Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств.
Для современных информационных систем характерно использование различных аппаратно-программных платформ, территориальная распределенность компонентов, а также взаимодействие с открытыми сетями передачи данных.
Как защитить информацию в таких условиях? Соответствующие требования предъявляют уполномоченные органы, в частности, ФСТЭК и ФСБ России. В рамках статьи постараемся отразить основные подходы к классификации СЗИ с учетом требований указанных регуляторов. Иные способы описания классификации СЗИ, отраженные в нормативных документах российских ведомств, а также зарубежных организаций и агентств, выходят за рамки настоящей статьи и далее не рассматриваются.
Статья может быть полезна начинающим специалистам в области информационной безопасности в качестве источника структурированной информации о способах классификации СЗИ на основании требований ФСТЭК России (в большей степени) и, кратко, ФСБ России.
Структурой, определяющей порядок и координирующей действия обеспечения некриптографическими методами ИБ, является ФСТЭК России (ранее - Государственная техническая комиссия при Президенте Российской Федерации, Гостехкомиссия).
Если читателю приходилось видеть Государственный реестр сертифицированных средств защиты информации , который формирует ФСТЭК России, то он безусловно обращал внимание на наличие в описательной части предназначения СЗИ таких фраз, как «класс РД СВТ», «уровень отсутствия НДВ» и пр. (рисунок 1).
Рисунок 1. Фрагмент реестра сертифицированных СЗИ
Классификация криптографических средств защиты информации
ФСБ России определены классы криптографических СЗИ: КС1, КС2, КС3, КВ и КА.
К основным особенностям СЗИ класса КС1 относится их возможность противостоять атакам, проводимым из-за пределов контролируемой зоны. При этом подразумевается, что создание способов атак, их подготовка и проведение осуществляется без участия специалистов в области разработки и анализа криптографических СЗИ. Предполагается, что информация о системе, в которой применяются указанные СЗИ, может быть получена из открытых источников.
Если криптографическое СЗИ может противостоять атакам, блокируемым средствами класса КС1, а также проводимым в пределах контролируемой зоны, то такое СЗИ соответствует классу КС2. При этом допускается, например, что при подготовке атаки могла стать доступной информация о физических мерах защиты информационных систем, обеспечении контролируемой зоны и пр.
В случае возможности противостоять атакам при наличии физического доступа к средствам вычислительной техники с установленными криптографическими СЗИ говорят о соответствии таких средств классу КС3.
Если криптографическое СЗИ противостоит атакам, при создании которых участвовали специалисты в области разработки и анализа указанных средств, в том числе научно-исследовательские центры, была возможность проведения лабораторных исследований средств защиты, то речь идет о соответствии классу КВ.
Если к разработке способов атак привлекались специалисты в области использования НДВ системного программного обеспечения, была доступна соответствующая конструкторская документация и был доступ к любым аппаратным компонентам криптографических СЗИ, то защиту от таких атак могут обеспечивать средства класса КА.
Классификация средств защиты электронной подписи
Средства электронной подписи в зависимости от способностей противостоять атакам принято сопоставлять со следующими классами: КС1, КС2, КС3, КВ1, КВ2 и КА1. Эта классификация аналогична рассмотренной выше в отношении криптографических СЗИ.
Выводы
В статье были рассмотрены некоторые способы классификации СЗИ в России, основу которых составляет нормативная база регуляторов в области защиты информации. Рассмотренные варианты классификации не являются исчерпывающими. Тем не менее надеемся, что представленная сводная информация позволит быстрее ориентироваться начинающему специалисту в области обеспечения ИБ.
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ".
А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ). А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ.
С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных”, утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622. Но после выхода ПП РФ №1119, данный документ потерял актуальность и ФСБ России сообщила что необходимо руководствоваться именно Инструкцией.
В рамках гос. контроля именно по выполнению положений данной Инструкции находится большое количество нарушений.
По применению Инструкции есть много вопросов, ведь писалась она в те времена, когда сертифицированные СКЗИ применялись в редких организациях в единичных экземплярах. Сейчас же, когда серт. криптография становится повсеместной, вызывает сложности дословное выполнение Инструкции.
Сразу же хочу обратить внимание на тот факт, что Инструкция в связке с 99-ФЗ дают однозначные результаты о необходимости получения лицензии ФСБ России или заключения договора с лицензиатом:
Ст.12 99-ФЗ: “1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:
1) … выполнение работ … в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);”
Постановление правительства РФ №313. Приложение к положению: “ПЕРЕЧЕНЬ ВЫПОЛНЯЕМЫХ РАБОТ И ОКАЗЫВАЕМЫХ УСЛУГ, СОСТАВЛЯЮЩИХ ЛИЦЕНЗИРУЕМУЮ ДЕЯТЕЛЬНОСТЬ, В ОТНОШЕНИИ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая , если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.”
Но Инструкция содержит более строгие требования.
Инструкция ФАПСИ №152:“ 4. Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ, лицензиаты ФАПСИ организуют и обеспечивают... на основании договоров на оказание услуг по криптографической защите конфиденциальной информации.
6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты…”
Основной вывод следующий: организация без лицензии ФСБ не может самостоятельно организовать работы по правильной эксплуатации СКЗИ. Для этого организации обязательно нужно обратится к лицензиату, заключить с ним договор на обслуживание. У лицензиата ФСБ в структуре выделяется ОКЗИ, который организует работы по обеспечению безопасности в организации-заказчике и контролирует их выполнение (а иногда и сам выполняет).
PS : По применению отдельных пунктов Инструкции у меня также было много вопросов, самые интересные я задавал регулятору и в следующей статье поделюсь наиболее интересной информацией…
Также интересно увидеть какие у Вас, коллеги, были сложности или наоборот положительный опыт применения Инструкции.
Основными задачами защиты информации при ее хранении, обработке и передаче по каналам связи и на различных носителях, решаемыми с помощью СКЗИ, являются: 1.Обеспечение секретности (конфиденциальности) информации. 2.
Обеспечение целостности информации. 3.
Подтверждение подлинности информации (документов). Для решения этих задач необходима реализация следующих
процессов: 1.
Реализация собственно функций защиты информации, включая:
шифрование/расшифрование; создание/проверка ЭЦП; создание/проверка имитовставки. 2.
Контроль состояния и управление функционированием средств КЗИ (в системе):
контроль состояния: обнаружение и регистрация случаев нарушения работоспособности средств КЗИ, попыток НСД, случаев компрометации ключей;
управление функционированием: принятие мер в случае перечисленных отклонений от нормального функционирования средств КЗИ. 3.
Проведение обслуживания средств КЗИ: осуществление ключевого управления;
выполнение процедур, связанных с подключением новых абонентов сети и/или исключением выбывших абонентов; устранение выявленных недостатков СКЗИ; ввод в действие новых версий программного обеспечения СКЗИ;
модернизация и замена технических средств СКЗИ на более совершенные и/или замена средств, ресурс которых выработан.
Ключевое управление является одной из важнейших функций криптографической защиты информации и заключается в реализации следующих основных функций:
генерация ключей: определяет механизм выработки ключей или пар ключей с гарантией их криптографических качеств;
распределение ключей: определяет механизм, по которому ключи надежно и безопасно доставляются абонентам;
сохранение ключей: определяет механизм, по которому ключи надежно и безопасно сохраняются для дальнейшего их использования;
восстановление ключей: определяет механизм восстановления одного из ключей (замена на новый ключ);
уничтожение ключей: определяет механизм, по которому производится надежное уничтожение вышедших из употребления ключей;
ключевой архив: механизм, по которому ключи могут надежно сохраняться для их дальнейшего нотаризованного восстановления в конфликтных ситуациях.
В целом для реализации перечисленных функций криптографической защиты информации необходимо создание системы криптографической защиты информации, объединяющей собственно средства КЗИ, обслуживающий персонал, помещения, оргтехнику, различную документацию (техническую, нормативно-распорядительную) и т.д.
Как уже отмечалось, для получения гарантий защиты информации необходимо применение сертифицированных средств КЗИ.
В настоящее время наиболее массовым является вопрос защиты конфиденциальной информации. Для решения этого вопроса под эгидой ФАПСИ разработан функционально полный комплекс средств криптографической защиты конфиденциальной информации, который позволяет решить перечисленные задачи по защите информации для самых разнообразных приложений и условий применения.
В основу этого комплекса положены криптографические ядра "Верба" (система несимметричных ключей) и "Верба-О" (система симметричных ключей). Эти криптоядра обеспечивают процедуры шифрования данных в соответствии с требованиями ГОСТ 28147-89 "Системы обработки информации.
Защита криптографическая" и цифровой подписи в соответствии с требованиями ГОСТ Р34.10-94 "Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма".
Средства, входящие в комплекс СКЗИ, позволяют защищать электронные документы и информационные потоки с использованием сертифицированных механизмов шифрования и электронной подписи практически во всех современных информационных технологиях, в том числе позволяют осуществлять: использование СКЗИ в автономном режиме;
защищенный информационный обмен в режиме off-line; защищенный информационный обмен в режиме on-line; защищенный гетерогенный, т.е. смешанный, информационный обмен.
Для решения системных вопросов применения СКЗИ под руководством Д. А. Старовойтова разработана технология комплексной криптографической защиты информации "Витязь", которая предусматривает криптографическую защиту данных сразу во всех частях системы: не только в каналах связи и узлах системы, но и непосредственно на рабочих местах пользователей в процессе создания документа, когда защищается и сам документ. Кроме того, в рамках общей технологии "Витязь" предусмотрена упрощенная, легко доступная пользователям технология встраивания лицензированных СКЗИ в различные прикладные системы, что делает весьма широким круг использования этих СКЗИ.
Ниже следует описание средств и способов защиты для каждого из перечисленных режимов.
Использование СКЗИ в автономном режиме.
При автономной работе с СКЗИ могут быть реализованы следующие виды криптографической защиты информации: создание защищенного документа; защита файлов;
создание защищенной файловой системы; создание защищенного логического диска. По желанию пользователя могут быть реализованы следующие виды криптографической защиты документов (файлов):
шифрование документа (файла), что делает недоступным его содержание как при хранении документа (файла), так и при его передаче по каналам связи либо нарочным;
выработка имитовставки, что обеспечивает контроль целостности документа (файла);
формирование ЭЦП, что обеспечивает контроль целостности документа (файла) и аутентификацию лица, подписавшего документ (файл).
В результате защищаемый документ (файл) превращается в зашифрованный файл, содержащий, при необходимости, ЭЦП. ЭЦП, в зависимости от организации процесса обработки информации, может быть представлена и отдельным от подписываемого документа файлом. Далее этот файл может быть выведен на дискету или иной носитель, для доставки нарочным, либо отправлен по любой доступной электронной почте, например по Интернет.
Соответственно по получению зашифрованного файла по электронной почте либо на том или ином носителе выполненные действия по криптографической защите производятся в обратном порядке (расшифрование, проверка имитовставки, проверка ЭЦП).
Для осуществления автономной работы с СКЗИ могут быть использованы следующие сертифицированные средства:
текстовый редактор "Лексикон-Верба", реализованный на основе СКЗИ "Верба-О" и СКЗИ "Верба";
программный комплекс СКЗИ "Автономное рабочее место", реализованный на основе СКЗИ "Верба" и "Верба-О" для ОС Windows 95/98/NT;
криптографический дисковый драйвер PTS "DiskGuard".
Защищенный текстовый процессор "Лексикон-Верба".
Система "Лексикон-Верба" - это полнофункциональный текстовый редактор с поддержкой шифрования документов и электронной цифровой подписи. Для защиты документов в нем используются криптографические системы "Верба" и "Верба-О". Уникальность этого продукта состоит в том, что функции шифрования и подписи текста просто включены в состав функций современного текстового редактора. Шифрование и подпись документа в этом случае из специальных процессов превращаются просто в стандартные действия при работе с документом.
При этом система "Лексикон-Верба" выглядит как обычный текстовый редактор. Возможности форматирования текста включают полную настройку шрифтов и параграфов документа; таблицы и списки; колонтитулы, сноски, врезки; использование стилей и многие другие функции текстового редактора, отвечающего современным требованиям. "Лексикон-Верба" позволяет создавать и редактировать документы в форматах Лексикон, RTF, MS Word 6/95/97, MS Write.
Автономное рабочее место.
СКЗИ "Автономное рабочее место" реализовано на основе СКЗИ "Верба" и "Верба-О" для ОС Windows 95/98/NT и позволяет пользователю в диалоговом режиме выполнять следующие функции:
шифрование /расшифрование файлов на ключах; шифрование/расшифрование файлов на пароле; проставление/снятие/проверка электронно-цифровых подписей (ЭЦП) под файлами;
проверку шифрованных файлов;
проставление ЭЦП + шифрование (за одно действие) файлов; расшифрование + снятие ЭЦП (за одно действие) под файлами;
вычисление хэш-файла.
СКЗИ "Автономное рабочее место" целесообразно применять для повседневной работы сотрудников, которым необходимо обеспечить:
передачу конфиденциальной информации в электронном виде нарочным или курьером;
отправку конфиденциальной информации по сети общего пользования, включая Интернет;
защиту от несанкционированного доступа к конфиденциальной информации на персональных компьютерах сотрудников.
