вторник, 27 декабря 2016 г.

СЗПДн. Анализ. Обеспечение безопасности при использовании СКЗИ



Думаю, что многие, кто использует сертифицированные СКЗИ сталкивались с инструкцией утвержденной приказом ФАПСИ от 13 июня 2001 г. №152 (далее - Инструкция) и её не совсем удобными требованиями по обеспечению безопасности помещений и хранилищ. Хотя большинство лиц, которые обязаны выполнять требования Инструкции ничего не знают о ней.
Даже есть не трогать ОКЗИ и взять только то что касается хранилищ и помещений пользователей:

“30.        Пользователи СКЗИ хранят инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Пользователи СКЗИ предусматривают также раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих криптоключей.
31.          Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей СКЗИ указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища.
51.          Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, должны обеспечивать сохранность конфиденциальной информации, СКЗИ, ключевых документов.
При оборудовании спецпомещений должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функционирующего с СКЗИ.
52.          Спецпомещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к СКЗИ. Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие спецпомещений в нерабочее время. Окна спецпомещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.
62.          Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в спецпомещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ.
На время отсутствия пользователей СКЗИ указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае пользователи СКЗИ по согласованию с органом криптографической защиты обязаны предусмотреть организационно-технические меры, исключающие возможность использования СКЗИ посторонними лицами в их отсутствие.
63.          Режим охраны спецпомещений пользователей СКЗИ, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает обладатель конфиденциальной информации по согласованию с соответствующим органом криптографической защиты. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Инструкции, специфику и условия работы конкретных пользователей СКЗИ.
64.          В спецпомещениях пользователей СКЗИ для хранения выданных им ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей необходимо иметь достаточное число надежно запираемых шкафов (ящиков, хранилищ) индивидуального пользования, оборудованных приспособлениями для опечатывания замочных скважин. Ключи от этих хранилищ должны находиться у соответствующих пользователей СКЗИ.
66.          В обычных условиях опечатанные хранилища пользователей СКЗИ могут быть вскрыты только самими пользователями.

В связи с тем, что в организации может быть достаточно большой процент пользователей СКЗИ и помещений в которых используются СКЗИ. Возьмём, например, медицинские учреждения – в соответствии с распоряжением правительства РФ № 2769-р весь медицинский персонал должен быть обеспечен средствами и сертификатами ЭП, а это большая часть персонала. В организациях других отраслей также возможно обширное применение СКЗИ (удаленный доступ к корпоративной сети, работа в распределенных ИСПДн / ГИС, взаимодействие удаленных объектов, значимый электронный документооборот, передача отчетности, взаимодействие с банками и т.п.)

При реализации требований Инструкции пользователи СКЗИ сталкиваются со следующими проблемами:
·         Опечатывание индивидуальных хранилищ и замочных скважин. А это значит, что придется массово работать с пластилином, а всем пользователям придется носить индивидуальные печати (а тут те же проблемы что и с средствами двухфакторной аутентификации – нежелание пользователей носить их, неудобный форм-фактор, потери, передача, оставленные на рабочем месте печати). Пользователи в настоящее время хотят работать “без пластилина”.  Есть хранилища с кодовыми замками. Есть многошкафчики с электронными замками. Они не вписываются в Инструкцию.
·         Прочные двери с замками. Современные реалии – открытые офисы, кабинеты со стеклянными или пластиковыми перегородками. Они тоже не вписываются в Инструкцию.

·         Решетки на окнах стеклянных зданий
Некоторые пользователи и эксперты ИБ пытаются хитрить – говорят себе: “я буду выполнять только требования, указанные в эксплуатационной документации на СКЗИ, это те же самые требования Инструкции, только адаптированные производителем. Они заменяют для меня требования Инструкции”.

Чтобы разобраться с этими проблемами и спорными моментами, я отправил вопрос в ФСБ России, в котором ссылался на эксплуатационную документацию на СКЗИ КриптоПро и С-терра Шлюз



и ниже представляю их ответ.

Если кратко:
·         нужно выполнять требования документации на СЗКИ + инструкцию ФАПСИ 152 + требования иных документов (например приказа №378 для ПДн)
·         можно использовать компенсирующие меры "адекватные" заменяемым

Что такое “адекватные”? В моем понимании, это меры, которые будут решать те же задачи. Например, “опечатывание” применяется для определения фактов открытия. Нам подойдет любая мера, решающая  задачу фиксации факта открытия.

PS: компенсирующие меры - революция в подходах ФСБ России?

1 комментарий:

Zuz комментирует...

Интереснее было бы спросить почему вообще инструкция, утверждённая 152 приказом, является действующим документом и его требования должны полноценно исполнятся учитывая, что она была разработана для исполнения ПКЗ-99 и действовавшего на тот момент порядка лицензирования. Не может же быть так, что документ не гармонизируется более десятка лет, структура его разработавшая уже не существует (ФАПСИ), нормативная база, для которой он был создан отменена (тот же ПКЗ-99 отменён приказом ФСБ), но требования этого документа до сих пор являются обязательными. Это выглядит не прозрачно и затрудняет выполнение требований в этой области. С позиции логики не может быть разумного объяснения такой ситуации, поэтому логично считать, что в момент отмены ПКЗ-99 данный документ утратил силу.

Касательно адекватности компенсирующих мер спасибо, будем такую формулировку использовать, т.к. такие меры приходится использовать, чтобы соблюдать предъявленные требования.