Уже много лет на разных площадках периодически возникают вопросы, касающиеся необходимости проведения оценки влияния (корректности встраивания) среды функционирования СКЗИ на выполнение предъявляемых к СКЗИ требований ФСБ.
Данным постом выскажу свое частное мнение по этому вопросу. Заранее благодарен за отзывы и комментарии. Вместе, надеюсь, найдем истину.
Необходимость провдения оценки влияния среды функционирования СКЗИ на выполнение предъявляемых к СКЗИ требований ФСБ регулируется двумя основными документами:
1. Приказ ФСБ №66 от 9 февраля 2005 г., под названием ПКЗ-2005 (Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005))
2. Формуляр на СКЗИ (рассмотрим на примере СКЗИ КриптоПро CSP5.0 R2).
- п.35: «Оценка влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований осуществляется разработчиком СКЗИ совместно со специализированной организацией».
- п.46: «СКЗИ эксплуатируются в соответствии с правилами пользования ими»
«Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:
- если информация конфиденциального характера подлежит защите в соответствии с законодательством РФ;
- при организации криптозащиты информации конфиденциального характера в ФОИВ, ОИВ субъектов РФ (далее - государственные органы);
- при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее - организации, выполняющие государственные заказы);
- если обязательность защиты информации конфиденциального характера возлагается законодательством РФ на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
- при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;
- при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.»
Формуляр на СКЗИ КриптоПро CSP 5.0 R2
При встраивании СКЗИ в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях:
- если информация конфиденциального характера подлежит защите в соответствии с законодательством РФ;
- при организации защиты конфиденциальной информации, обрабатываемой СКЗИ, в ФОИВ, ОИВ субъектов РФ;
- при организации криптозащиты конфиденциальной информации, обрабатываемой СКЗИ, в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для гос.нужд;
- если обязательность защиты информации конфиденциального характера возлагается законодательством РФ на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
- при обрабатывании информации конфиденциального характера, обладателем которой являются гос.органы или организации, выполняющие гос.заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования СКЗИ;
- при обрабатывании информации конфиденциального характера в гос.органах и в организациях, выполняющих гос.заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптозащиты данной информации.
Выводы
Таким образом, оценка влияния является обязательной в следующих случаях:
- Если СКЗИ применяются в ИС для криптозащиты ПДн (т.к. ПДн подлежат защите в соответствии со 152-ФЗ «О персональных данных» с использованием прошедших в установленном порядке процедуру оценки соответствия средств защиты информации);
- Если СКЗИ используются для организации криптозащиты информации конфиденциального характера в ФОИВ, ОИВ субъектов РФ и в иных организациях при выполнении ими заказов на поставку товаров, выполнении работ или оказании услуг для государственных нужд.
При этом важно отметить, что оценка влияния в указанных выше случаях не является обязательной, если на СКЗИ не возлагается задача по обеспечению конфиденциальности и/или целостности информации, например, когда СКЗИ используется как средство электронной подписи только для обеспечения юридической значимости электронного документа, а конфиденциальность и целостность ПДн обеспечивается другими средствами защиты, например, средствами VPN. Однако, для случая, указанного в п.2 выше, оценка влияния, как показывает практика, в любом случае проводится.