О необходимости проведения оценки влияния среды функционирования на СКЗИ

Уже много лет на разных площадках периодически возникают вопросы, касающиеся  необходимости проведения оценки влияния (корректности встраивания) среды функционирования СКЗИ на выполнение предъявляемых к СКЗИ требований ФСБ.

Данным постом выскажу свое частное мнение по этому вопросу. Заранее благодарен за отзывы и комментарии. Вместе, надеюсь, найдем истину.

Необходимость провдения оценки влияния среды функционирования СКЗИ на выполнение предъявляемых к СКЗИ требований ФСБ регулируется двумя основными документами:

1.    Приказ ФСБ №66 от 9 февраля 2005 г., под названием ПКЗ-2005 (Об утверждении положения  о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005))

2.     Формуляр на СКЗИ (рассмотрим на примере СКЗИ КриптоПро CSP5.0 R2).

 Далее указаны основные моменты относительно необходимости проведения оценки влияния, приведенные в данных документах.

 ПКЗ-2005

• п.35: «Оценка влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований осуществляется разработчиком СКЗИ совместно со специализированной организацией».
• п.46: «СКЗИ эксплуатируются в соответствии с правилами пользования ими» 

«Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях: 

• если информация конфиденциального характера подлежит защите в соответствии с законодательством РФ;
• при организации криптозащиты информации конфиденциального характера в ФОИВ, ОИВ субъектов РФ (далее - государственные органы);
• при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее - организации, выполняющие государственные заказы);
• если обязательность защиты информации конфиденциального характера возлагается законодательством РФ на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
• при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;
• при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.» 

Формуляр на СКЗИ КриптоПро CSP 5.0 R2 

При встраивании СКЗИ в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях: 

• если информация конфиденциального характера подлежит защите в соответствии с законодательством РФ;
• при организации защиты конфиденциальной информации, обрабатываемой СКЗИ, в ФОИВ, ОИВ субъектов РФ;
• при организации криптозащиты конфиденциальной информации, обрабатываемой СКЗИ, в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для гос.нужд;
• если обязательность защиты информации конфиденциального характера возлагается законодательством РФ на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
• при обрабатывании информации конфиденциального характера, обладателем которой являются гос.органы или организации, выполняющие гос.заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования СКЗИ;
• при обрабатывании информации конфиденциального характера в гос.органах и в организациях, выполняющих гос.заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптозащиты данной информации. 

Выводы 

Таким образом, оценка влияния является обязательной в следующих случаях:

1. Если СКЗИ применяются в ИС для криптозащиты ПДн (т.к. ПДн подлежат защите в соответствии со 152-ФЗ «О персональных данных» с использованием прошедших в установленном порядке процедуру оценки соответствия средств защиты информации);
2. Если СКЗИ используются для организации криптозащиты информации конфиденциального характера в ФОИВ, ОИВ субъектов РФ и в иных организациях при выполнении ими заказов на поставку товаров, выполнении работ или оказании услуг для государственных нужд. 

При этом важно отметить, что оценка влияния в указанных выше случаях не является обязательной, если на СКЗИ не возлагается задача по обеспечению конфиденциальности и/или целостности информации, например, когда СКЗИ используется как средство электронной подписи только для обеспечения юридической значимости электронного документа, а конфиденциальность и целостность ПДн обеспечивается другими средствами защиты, например, средствами VPN. Однако, для случая, указанного в п.2 выше, оценка влияния, как показывает практика, в любом случае проводится.