Вчера был опубликован проект приказа ФСБ по защите персональных данных с использованием криптосредств.
Попробую провести краткий анализ этого документа.
Сначала отмечу самые важные, на мой взгляд, моменты:
1. Использование сертифицированныхСКЗИ по прежнему обязательно.
2. Классы СКЗИ в явном виде сопоставлены с возможностями потенциального нарушителя. И это один из немногих положительных моментов в документе.
3. В большинстве случаев потребуется использование СКЗИ класса КС3 (!). Ниже поясню почему.
4. В отличии от Методических рекомендаций, теперь отсутствует понятие «Модель нарушителя» и нет явного требования по ее разработке. Вместо этого есть требование о формировании и утверждении некой «совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимой для определения требуемого класса СКЗИ».
Требования, содержащиеся в приказе, можно разбить на следующие 4 группы:
а) требования по защите помещений;
б) требования по защите носителей персональных данных;
в) требования по регламентации и контролю доступа к ПДн, ведению электронного журнала;
г) требования к классу используемых СКЗИ.
Требования а), б), в) явно зависят от Уровня защищенности (УЗ), определённого согласно ПП 1119. Эти требования включают в себя, например, оборудование помещений металлическими решетками и сигнализацией (для УЗ 1), поэкземплярный учет и хранение носителей ПДн в сейфах, необходимость ведения электронного журнала сообщений, назначение ответственных лиц... В общем и так далее. Подробнее со всеми требованиями можно ознакомится посмотрев на таблицу в конце поста.
Остановимся отдельно на определении класса СКЗИ.
Класс СКЗИ зависит от двух факторов:
- от предполагаемых возможностей нарушителя;
- от наличия актуальных угроз НДВ (см ПП 1119).
Предполагаемые возможности нарушителей описываются в разделах 10-16 Приказа. В целом, содержание этих разделов во многом идентично предыдущим Методическим рекомендациям.
Выбор класса СКЗИ теперь стал более прозрачным, но это не значит, что жить стало легче.
Обратим внимание на подпункт а) пункта 12: «СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:… доступ к СВТ, на которых реализованы СКЗИ и СФ».
Очевидно, что доступ к "СВТ, на которых реализовано СКЗИ", могут иметь пользователи системы, не говоря уже об админах. Исходя из данного пункта получается, что если на компьютере пользователя установлен VPN-клиент и пользователь рассматривается как потенциальный нарушитель, то согласно данным требованиям к VPN-клиенту предъявляются требования КС3.
Причем, если в предыдущих Методических рекомендациях была зацепка, которая позволяла исключить из числа потенциальных нарушителей админов, то в рассматриваемом проекте приказа такая зацепка отсутствует.
То есть, большинство систем, независимо от УЗ, попадут под использование КС3как минимум.
Но это еще не все...
Для уровней защищенности с 3 по 1, заявлена привязка требуемого класса СКЗИ к наличию актуальных угроз НДВ:
Для УЗ 3 требуются:
- СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;
- СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.
Для УЗ 2 требуются:
- СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 1 и 2 типа;
- СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.
Для УЗ 1 требуются:
- СКЗИ класса КА1 в случаях, когда для информационной системы актуальны угрозы 1 типа;
- СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 2 типа.
Если мы признаем актуальными угрозы 1 и 2 типа (угрозы наличия НДВ ), то попадем на СКЗИ класса КВ.
Напомню, что может ожидать счастливых обладателей СКЗИ КВ:
- необходимость заказывать у ФСБ ключевые блокноты (компакт-диски), требуемые для работы СКЗИ. Срок изготовление ключей – пол года. Срок жизни набора ключей – год J;
- невозможность удаленного администрирования СКЗИ. Да, кстати, ключевые блокноты также можно развертывать только локально;
- при подключении СКЗИ - использование «оптической развязки» - «медь-оптика-медь» (для защиты от наводок).
Вывод: если в финальном релизе Приказа ничего не изменится, то, возможно, всем придется запасаться СКЗИ класса КС3. Ну или вообще избегать использования криптографии (что маловероятно).
В заключение, обещанная таблица с требованиями
name='more'>
Попробую провести краткий анализ этого документа.
Сначала отмечу самые важные, на мой взгляд, моменты:
1. Использование сертифицированныхСКЗИ по прежнему обязательно.
2. Классы СКЗИ в явном виде сопоставлены с возможностями потенциального нарушителя. И это один из немногих положительных моментов в документе.
3. В большинстве случаев потребуется использование СКЗИ класса КС3 (!). Ниже поясню почему.
4. В отличии от Методических рекомендаций, теперь отсутствует понятие «Модель нарушителя» и нет явного требования по ее разработке. Вместо этого есть требование о формировании и утверждении некой «совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, необходимой для определения требуемого класса СКЗИ».
Требования, содержащиеся в приказе, можно разбить на следующие 4 группы:
а) требования по защите помещений;
б) требования по защите носителей персональных данных;
в) требования по регламентации и контролю доступа к ПДн, ведению электронного журнала;
г) требования к классу используемых СКЗИ.
Требования а), б), в) явно зависят от Уровня защищенности (УЗ), определённого согласно ПП 1119. Эти требования включают в себя, например, оборудование помещений металлическими решетками и сигнализацией (для УЗ 1), поэкземплярный учет и хранение носителей ПДн в сейфах, необходимость ведения электронного журнала сообщений, назначение ответственных лиц... В общем и так далее. Подробнее со всеми требованиями можно ознакомится посмотрев на таблицу в конце поста.
Остановимся отдельно на определении класса СКЗИ.
Определение класса СКЗИ
Класс СКЗИ зависит от двух факторов:
- от предполагаемых возможностей нарушителя;
- от наличия актуальных угроз НДВ (см ПП 1119).
Предполагаемые возможности нарушителей описываются в разделах 10-16 Приказа. В целом, содержание этих разделов во многом идентично предыдущим Методическим рекомендациям.
Выбор класса СКЗИ теперь стал более прозрачным, но это не значит, что жить стало легче.
Обратим внимание на подпункт а) пункта 12: «СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:… доступ к СВТ, на которых реализованы СКЗИ и СФ».
Очевидно, что доступ к "СВТ, на которых реализовано СКЗИ", могут иметь пользователи системы, не говоря уже об админах. Исходя из данного пункта получается, что если на компьютере пользователя установлен VPN-клиент и пользователь рассматривается как потенциальный нарушитель, то согласно данным требованиям к VPN-клиенту предъявляются требования КС3.
Причем, если в предыдущих Методических рекомендациях была зацепка, которая позволяла исключить из числа потенциальных нарушителей админов, то в рассматриваемом проекте приказа такая зацепка отсутствует.
То есть, большинство систем, независимо от УЗ, попадут под использование КС3как минимум.
Но это еще не все...
Для уровней защищенности с 3 по 1, заявлена привязка требуемого класса СКЗИ к наличию актуальных угроз НДВ:
Для УЗ 3 требуются:
- СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;
- СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.
Для УЗ 2 требуются:
- СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 1 и 2 типа;
- СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.
Для УЗ 1 требуются:
- СКЗИ класса КА1 в случаях, когда для информационной системы актуальны угрозы 1 типа;
- СКЗИ класса КВ2 и выше в случаях, когда для информационной системы актуальны угрозы 2 типа.
Если мы признаем актуальными угрозы 1 и 2 типа (угрозы наличия НДВ ), то попадем на СКЗИ класса КВ.
Напомню, что может ожидать счастливых обладателей СКЗИ КВ:
- необходимость заказывать у ФСБ ключевые блокноты (компакт-диски), требуемые для работы СКЗИ. Срок изготовление ключей – пол года. Срок жизни набора ключей – год J;
- невозможность удаленного администрирования СКЗИ. Да, кстати, ключевые блокноты также можно развертывать только локально;
- при подключении СКЗИ - использование «оптической развязки» - «медь-оптика-медь» (для защиты от наводок).
Вывод: если в финальном релизе Приказа ничего не изменится, то, возможно, всем придется запасаться СКЗИ класса КС3. Ну или вообще избегать использования криптографии (что маловероятно).
В заключение, обещанная таблица с требованиями
name='more'>
№ п/п | Требование | УЗ 4 | УЗ 3 | УЗ 2 | УЗ 1 |
1. | Организация режима обеспечения безопасности помещений, в которых размещена информационная система (далее – Помещения) | ||||
1.1. | Оснащение Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатыванияПомещений по окончании рабочего дня; | + | + | + | + |
1.2. | Утверждение правил доступа в Помещения сотрудников и посетителей в рабочее и нерабочее время; | + | + | + | + |
1.3. | Утверждение перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, а также порядка вскрытия Помещений в таких ситуациях. | + | + | + | + |
1.4. | Оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализациейили другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения. | + | |||
1.5. | Оборудовать окна и двери Помещений, в которых размещены серверыинформационной системы, металлическими решетками, охранной сигнализациейили другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения | + | |||
2. | Обеспечение сохранности носителей персональных данных | ||||
2.1. | Хранение носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками; | + | + | + | + |
2.2. | Поэкземплярный учетносителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров. | + | + | + | + |
3. | Регламентация и контроль доступа к ПДн, ведение электронного журнала сообщений | ||||
3.1. | Определить круг лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; | + | + | + | + |
Булат ШамсутдиновЖурнал информационной безопасности | |||||
