СЗПДн. Анализ. Обеспечение безопасности при использовании СКЗИ



Думаю, что многие, кто использует сертифицированные СКЗИ сталкивались с инструкцией утвержденной приказом ФАПСИ от 13 июня 2001 г. №152 (далее - Инструкция) и её не совсем удобными требованиями по обеспечению безопасности помещений и хранилищ. Хотя большинство лиц, которые обязаны выполнять требования Инструкции ничего не знают о ней.
Даже есть не трогать ОКЗИ и взять только то что касается хранилищ и помещений пользователей:

“30.        Пользователи СКЗИ хранят инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Пользователи СКЗИ предусматривают также раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих криптоключей.
31.          Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей СКЗИ указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища.
51.          Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, должны обеспечивать сохранность конфиденциальной информации, СКЗИ, ключевых документов.
При оборудовании спецпомещений должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функционирующего с СКЗИ.
52.          Спецпомещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к СКЗИ. Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие спецпомещений в нерабочее время. Окна спецпомещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.
62.          Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в спецпомещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ.
На время отсутствия пользователей СКЗИ указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае пользователи СКЗИ по согласованию с органом криптографической защиты обязаны предусмотреть организационно-технические меры, исключающие возможность использования СКЗИ посторонними лицами в их отсутствие.
63.          Режим охраны спецпомещений пользователей СКЗИ, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает обладатель конфиденциальной информации по согласованию с соответствующим органом криптографической защиты. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Инструкции, специфику и условия работы конкретных пользователей СКЗИ.
64.          В спецпомещениях пользователей СКЗИ для хранения выданных им ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей необходимо иметь достаточное число надежно запираемых шкафов (ящиков, хранилищ) индивидуального пользования, оборудованных приспособлениями для опечатывания замочных скважин. Ключи от этих хранилищ должны находиться у соответствующих пользователей СКЗИ.
66.          В обычных условиях опечатанные хранилища пользователей СКЗИ могут быть вскрыты только самими пользователями.

В связи с тем, что в организации может быть достаточно большой процент пользователей СКЗИ и помещений в которых используются СКЗИ. Возьмём, например, медицинские учреждения – в соответствии с распоряжением правительства РФ № 2769-р весь медицинский персонал должен быть обеспечен средствами и сертификатами ЭП, а это большая часть персонала. В организациях других отраслей также возможно обширное применение СКЗИ (удаленный доступ к корпоративной сети, работа в распределенных ИСПДн / ГИС, взаимодействие удаленных объектов, значимый электронный документооборот, передача отчетности, взаимодействие с банками и т.п.)

При реализации требований Инструкции пользователи СКЗИ сталкиваются со следующими проблемами:
·         Опечатывание индивидуальных хранилищ и замочных скважин. А это значит, что придется массово работать с пластилином, а всем пользователям придется носить индивидуальные печати (а тут те же проблемы что и с средствами двухфакторной аутентификации – нежелание пользователей носить их, неудобный форм-фактор, потери, передача, оставленные на рабочем месте печати). Пользователи в настоящее время хотят работать “без пластилина”.  Есть хранилища с кодовыми замками. Есть многошкафчики с электронными замками. Они не вписываются в Инструкцию.
·         Прочные двери с замками. Современные реалии – открытые офисы, кабинеты со стеклянными или пластиковыми перегородками. Они тоже не вписываются в Инструкцию.

·         Решетки на окнах стеклянных зданий
Некоторые пользователи и эксперты ИБ пытаются хитрить – говорят себе: “я буду выполнять только требования, указанные в эксплуатационной документации на СКЗИ, это те же самые требования Инструкции, только адаптированные производителем. Они заменяют для меня требования Инструкции”.

Чтобы разобраться с этими проблемами и спорными моментами, я отправил вопрос в ФСБ России, в котором ссылался на эксплуатационную документацию на СКЗИ КриптоПро и С-терра Шлюз



и ниже представляю их ответ.

Если кратко:
·         нужно выполнять требования документации на СЗКИ + инструкцию ФАПСИ 152 + требования иных документов (например приказа №378 для ПДн)
·         можно использовать компенсирующие меры "адекватные" заменяемым

Что такое “адекватные”? В моем понимании, это меры, которые будут решать те же задачи. Например, “опечатывание” применяется для определения фактов открытия. Нам подойдет любая мера, решающая  задачу фиксации факта открытия.

 PS: компенсирующие меры - революция в подходах ФСБ России?

Комментарии

Zuz написал(а)…
Интереснее было бы спросить почему вообще инструкция, утверждённая 152 приказом, является действующим документом и его требования должны полноценно исполнятся учитывая, что она была разработана для исполнения ПКЗ-99 и действовавшего на тот момент порядка лицензирования. Не может же быть так, что документ не гармонизируется более десятка лет, структура его разработавшая уже не существует (ФАПСИ), нормативная база, для которой он был создан отменена (тот же ПКЗ-99 отменён приказом ФСБ), но требования этого документа до сих пор являются обязательными. Это выглядит не прозрачно и затрудняет выполнение требований в этой области. С позиции логики не может быть разумного объяснения такой ситуации, поэтому логично считать, что в момент отмены ПКЗ-99 данный документ утратил силу.

Касательно адекватности компенсирующих мер спасибо, будем такую формулировку использовать, т.к. такие меры приходится использовать, чтобы соблюдать предъявленные требования.
27 апреля 2017 г. в 00:48
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...