четверг, 22 июня 2017 г.

ИБ. НПА. Изменения в 17 приказе по защите ГИС и согласования



Недавние изменения в 17 приказ ФСТЭК России, были небольшими, но породили множество вопросов. По самым важным я задал вопросы органу гос. контроля. Обещали подобную информацию, разместить в информационном письме на сайте ФСТЭК России, но для самых нетерпеливых привожу ответы здесь …

1. В соответствии с пунктом Требований 17.6 в случае, если информационная система создается на базе центра обработки данных уполномоченного лица, такой центр обработки данных должен быть аттестован по классу защищенности не ниже класса защищенности, установленного для создаваемой информационной системы.
Приходилось сталкиваться с ситуацией, когда создается центр обработки данных (далее - ЦОД), в котором в дальнейшем предполагается размещения компонентов информационных систем, но на момент создания и аттестации ЦОД, в нем не размещается каких-либо ГИС.
На момент проведения испытаний ЦОД, в нем может быть развернута система защиты общей инфраструктуры ЦОД, но отсутствует система защиты информации ГИС. Например, могут быть развернуты средства межсетевого экранирования и обнаружения вторжений, но отсутствовать средства защиты от НСД и средства антивирусной защиты, так как отсутствуют серверы информационных систем, на которые устанавливаются такие средства защиты.
 На соответствие каким требованиям необходимо проводить аттестацию такого ЦОД и какие испытания, из перечня, приведенного в пункте 17.2 Требований, необходимо проводить во время такой аттестации?



2. В соответствии с пунктом Требований 17 проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается.
Допускается ли проведение аттестационных испытаний в случае если внедрением системы защиты информации и аттестацией информационной системы занимаются различные подразделения одного лицензиата ФСТЭК России (разные физические лица, одно юридическое лицо)?


3. В соответствии с ч. 5 ст. 19 Федерального Закона от 27 июля 2006 г. "О персональных данных" №152-ФЗ (далее - 152-ФЗ) Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки (т. е. Модели угроз).
В соответствии с ч. 7 ст. 19 152-ФЗ проекты нормативных правовых актов (моделей угроз), указанных в ч. 5 ст. 19 152-ФЗ подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, т.е. с ФСТЭК России.
Прошу уточнить, необходимо ли согласование с ФСТЭК России моделей угроз, разрабатываемых Департаментом информационных технологий, Министерством здравоохранения или иными гос. органами субъектов Российской Федерации и пояснить порядок такого согласования.

В дополнение к 3-ему ответу, сегодня на конференции Будни информационной безопасности в г. Кургане представитель управления ФСТЭК России по УФО анонсировал новый приказ ФСТЭК России №105 от 05 июня 2017 г. в котором определен порядок рассмотрения и согласования моделей угроз и технических заданий на создание ГИС, в частности указывающий отправлять документы по федеральным ГИС в московский ФСТЭК, документы по региональным ГИС и МИС в управления ФСТЭК по федеральным округам.



Устно представитель ФТСЭК рекомендовал следующий оптимальный порядок согласования: после подготовки документа созвонится с управлением по УФО, устно сообщить о желании согласовать, далее выслать документы по электронной почте на предварительное согласование, получить замечания или подтверждение что все ок и только после этого везти документы в бумажной форме на подпись. Такой вариант будет наиболее быстрым и позволит не возить бумагу много раз. 

пятница, 16 июня 2017 г.

СКЗИ. НПА. Ещё больше вопросов по применению криптографии

В рамках предыдущей статьи мы определили, что в обеспечении безопасности информации ограниченного доступа с использованием СКЗИ участвуют как минимум 2 лица: ОКЗИ лицензиата ФСБ России и обладатель информации (если он не лицензиат).


При этом ОКЗИ организует и контролирует работы с СКЗИ (но может и реализовывать), а обладатели информации выполняют указания ОКЗИ по всем вопросам организации и обеспечения безопасности информации с использованием СКЗИ. То есть, имеем коллективные усилия и ответственность в эксплуатации СКЗИ.

Естественно, что, когда 2 лица задействованы в одном процессе, хорошо бы распределить их зоны и регламентировать взаимодействие. Для этого и применяется инструкция ФАПСИ №152. В некотором приближении все мероприятия в Инструкции можно разделить на 3 блока:
·         внутренние требования к ОКЗИ (требования, которые лицензиат должен выполнить на своей стороне – помещения, персонал, свои документы)
·         требования, к мерам, которые ОКЗИ должны принять совместно с обладателем КИ на объектах обладателя КИ
·         требования к пользователям СКЗИ

Рекомендую всем ознакомится с Инструкцией и составить свое мнение. Но нам всё-таки показались недостаточно четко расписанными взаимоотношения ОКЗИ и обладателя информации, в связи с чем были написаны вопросы в ФСБ, отправлены по частям, получены ответы, которыми я и хочу поделиться далее. Скорее всего будут полезны для ОКЗИ, но и обладателям информации будет не лишним ознакомится.

Вопросы к ФСБответы, комментарии:
1. Одно из проблемных мест – зачастую Лицензиату приходится продавать СКЗИ заказчикам у которых нет ОКЗИ, откуда можно сделать вывод, что СКЗИ у них будет эксплуатироваться с нарушениями. Не является ли такая продажа СКЗИ нарушением? Должен ли продавец спрашивать у заказчика подтверждение наличия ОКЗИ до момента продажи СКЗИ? Может ли ФСБ при лицензионном контроле наказать за такие продажи?
Вопрос к ФСБ: В случае, если организация не обладающая лицензией ФСБ России (далее - Покупатель) обращается за приобретением средств криптографической защиты информации (далее - СКЗИ) к организации обладающей лицензию ФСБ России (далее - Продавец), должен ли Продавец проверять, имеется ли у Покупателя договор на услуги Органа криптографической защиты информации (далее - ОКЗИ) от какого-либо лицензиата ФСБ России?
Возможна ли продажа СКЗИ Продавцом Покупателю, если у Покупателя отсутствует договор на ОКЗИ?
Ответ от ФСБ: Необходимость проверки продавцом наличия у покупателя СКЗИ договора на услуги ОКЗИ нормативными правовыми актами не предусмотрена. Соответственно, продажа СКЗИ покупателю, не имеющему ОКЗИ возможна.

2. Ещё одна из проблем, с которой мы часто сталкивались – изначально ОКЗИ обслуживает только одно СКЗИ, следует ли из этого автоматически что ОКЗИ отвечает за все СКЗИ у Заказчика? В приказе ФАПСИ 152 недостаточно четко описан этот момент – создается впечатление что как только Лицензиат назначает ОКЗИ для заказчика, ОКЗИ автоматом отвечаем за всё и все СКЗИ. Что не очень логично
Вопрос к ФСБ: В случае если у Покупателя используются различные СКЗИ, например, КриптоПро CSP, АПКШ Континент и Покупатель дополнительно приобретает СКЗИ VipNet HW 1000, может ли ОКЗИ лицензиата ФСБ России обслуживать только часть СКЗИ Покупателя, например только защищенную сеть VipNet и не контролировать иные СКЗИ?
Как следствие, может ли у Покупателя быть одновременно несколько ОКЗИ для разных СКЗИ?
Ответ от ФСБ: Количество ОКЗИ для организации не регламентировано. У покупателя может быть несколько ОКЗИ для разных СКЗИ.   

3. Много раз мы сталкивались с ситуацией, когда изначально были подготовлены корректные документы по ОКЗИ, вся необходимая информация учтена в журналах, пломбы, хранилища, помещения – всё как положено. Но через месяц у заказчика все поменялось, часть документов стали неактуальны, часть мер перестали выполняться. Но каждый день выходить к Заказчику и контролировать чтобы он чего-то не поменял, ОКЗИ не может (либо это обойдется слишком дорого). Лучше раз в квартал, а то и раз в год. Из приказа ФАПСИ 152 непонятно, возможна ли периодическая работа ОКЗИ. Периодичность в приказе нигде не упоминается.
Вопрос к ФСБ: Приказом ФАПСИ №152 требуется контроль соблюдения правил эксплуатации СКЗИ со стороны ОКЗИ. В связи с тем, что представители ОКЗИ не могут постоянно находится на территории Заказчика и не могут контролировать пользователей Заказчика и актуальность документации непрерывно, допускается ли проведение такого контроля с определенной периодичностью, например, раз в неделю, месяц, квартал, год?
Ответ от ФСБ: Периодичность контроля соблюдения Заказчиком правил эксплуатации СКЗИ может устанавливаться ОКЗИ самостоятельно.

4. Опять же частая ситуация – в организации происходят отклонения от выполнения требований. Владелец информации ограниченного доступа самостоятельно нарушения не устраняет. В приказе ФАПСИ написано, что ОКЗИ также несет ответственность за эксплуатацию СКЗИ в соответствии с требованиями. Какие меры может принимать ОКЗИ в данном случае.
Вопрос к ФСБ России: Какие действия необходимо применять ОКЗИ в случае выявления у Заказчика нарушений правил эксплуатации СКЗИ? Какие действия необходимо принимать в случае если Заказчик не устраняет (отказывается устранять) выявленные нарушения?
Ответ от ФСБ: В случае нарушения пользователем правил эксплуатации СКЗИ следуем руководствоваться разделом 5 Инструкции ФАПСИ, в соответствии с которым ОКЗИ осуществляет разработку и принятие мер по предотвращению возможных опасных последствий выявленных нарушений и несет ответственность за принятие зависящих от него мер.
Приведенному ответу соответствует, например, следующая стратегия – ОКЗИ проводит периодический контроль, в случае выявления нарушений сообщает заказчику любым способом; если нет реакции пишет официальное письмо заказчику о необходимости устранения нарушений и ответа в определенный срок; в случае отсутствия ответа ОКЗИ пишет в ФСБ о том, что СКЗИ обрабатываются с нарушением и нет возможности обеспечить безопасность информации.

5. Ещё одна проблема, которая нас беспокоила – на сколько Лицензиат рискует, заключая договора на услуги ОКЗИ? Кто будет виноват если в рамках проверки ФСБ России будет обнаружено нарушение эксплуатации СКЗИ?
Вопрос в ФСБ России: В случае проведения государственного контроля организации со стороны ФСБ России и выявлении нарушений в правил эксплуатации СКЗИ, кто несет ответственность за данные нарушения: Заказчик или ОКЗИ Исполнителя?
Ответ от ФСБ: Ответственность за нарушения правил эксплуатации СКЗИ определяется, исходя из роли и полномочий Лицензиатов ФСБ России и ОКЗИ в соответствии с рассматриваемой Инструкцией, а также договором, заключенным между заинтересованными сторонами в защите информации (Лицензиат ФСБ России, ОКЗИ, Заказчик) сторонами.
В случае, если подлежащая защите информация содержит персональные данные, то ответственность за нарушения правил эксплуатации СКЗИ несет оператор персональных данных (Заказчик).
ИТОГО учитывая все предыдущие пункты: помимо Инструкции необходимо ещё ориентироваться на договор между ОКЗИ и заказчиком, в котором должна быть прописана ответственность и обязанности каждой из сторон, в том числе периодичность контроля ОКЗИ, перечень работ, которые ОКЗИ выполняет самостоятельно, перечень мероприятий, и объем информации которые предоставляем обладатель информации, регулярность с которой он информирует ОКЗИ об изменениях и т.п.


PS: Кстати, кроме Инструкции, много вопросов вызывают также и обязанность по выполнению требований формуляра и эксплуатационной документации на СКЗИ.

пятница, 9 июня 2017 г.

ПДн. Общее. Что полезного мог бы сделать Минкомсвязи (Роскомнадзор) для безопасности обработки ПДн

В Евросоюзе (с которым у нас много общего в части законодательства о персональных данных) есть такой орган European Data Protection Supervisor (EDPS). Задачи его во много схожи с задачами Минкомсвязи (Роскомнадзор) в части ПДн: контроль обработки ПДн в организациях, мониторинг того что соблюдаются права граждан и безопасность данных.
Но кроме схожих задач EDPS делает ещё некоторые полезные активности, которые хорошо было бы перенять Минкомсвязи или Роскомнадзору:
·         Организация активного сообщества лиц ответственных за организацию обработки и защиты данных (Data Protection Officers, DPO) в гос. органах. Они хорошо друг друга знают, тесно общаются, проводят встречи 2 раза в год с полезными тренингами без воды и продаж (уже 41-ая встреча по плану). Ну и граждане знают своих героев.  

·         Разрабатывают руководства, инструкции, некоторые шаблоны документов, которые необходимо применять в гос. органах, но могут применяться и в других компаниях.

Из недавнего: Руководство по обеспечению безопасности персональных данных получаемых при запросах гос. органами; Руководство по обеспечению безопасности персональных данных при их обработке на web сайтах или в мобильных приложениях; Типовое положение об ответственном за организацию обработки и защиты данных (DPO).   

Рекомендую почитать, хотя некоторые нормы законодательства у нас расходятся, поэтому полезно было бы увидеть подобные рекомендации от российских регуляторов.

·         Для Data Protection Officers есть отдельный раздел, где для них четко и понятно, с инструкциями и шаблонами, объясняется с чего им начинать и что необходимо делать.

·         Помимо основных проверок в рамках гос. контроля, EDPS проводит также дополнительный анализ и консультации (без наказаний):
-          при получении уведомления о начале обработки данных, EPDS может сразу запросить дополнительную информацию и проверить законность обработки. Операторы данных перед запуском каких-то критичных сервисов по обработке данных должны предварительно согласовать с EPDS (Opinions Prior Check, Opinions Non Prior Check)
-          организация может обратиться за консультацией к EDPS, задать вопрос, отправить на согласование политики безопасности данных (Consultations, Administrative Measures).

При этом многие ответы, которые имеют общественное значение – публикуются на сайте.

Not all of our replies to consultations are made public; those that we believe are useful for other institutions and the persons affected are published on this website.

В результате имеется хорошая база, в которой многие операторы могут найти интересующий их ответ или пример, не обращаясь за помощью к консультантам или регулятору (что в итоге повышает эффективность)

Несколько недавних примеров:
-          Office for Infrastructure and Logistics in Brussels проинформировали что обрабатывают данные в системе 360° tool - feedback and leadership competencies, указав меры и политики. EDPS дали рекомендации что ещё необходимо предпринять и просили в течении 3х месяцев сообщить о принятых мерах.
-          European Ombudsman отправил на согласование свежую политику обработки данных. EDPS рекомендовали лучше адаптировать политику к конкретным условиям обработки данных (была не учтена одна из ИС – CMS, просили более подробно описать принципы защиты и права субъектов, принципы взаимодействия с субъектом и т.п.) и предоставить свидетельства выполнения в течении 3х месяцев
-          EDPS спросили, законно ли обрабатываются данные чиновников на портале EU Whoiswho Directory (публичный телефонный справочник), какие права есть у субъектов и какие меры защиты должны быть приняты. Тут просто дали публичный ответ.

В целом, среди этой информации можно найти достаточно много полезной и для российских операторов, но лучше накапливать локальные практики и регулятору не стесняться публично доносить свою позицию по тем или иным вопросам обработки ПДн.

PS: Про другие практики из Евросоюза: NIS Directive




четверг, 8 июня 2017 г.

СКЗИ. НПА. Некоторые вопросы применения криптографии

Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".

А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).   А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ.

С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных”, утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622. Но после выхода ПП РФ №1119, данный документ потерял актуальность и ФСБ России сообщила что необходимо руководствоваться именно Инструкцией.

В рамках гос. контроля именно по выполнению положений данной Инструкции находится большое количество нарушений.


По применению Инструкции есть много вопросов, ведь писалась она в те времена, когда сертифицированные СКЗИ применялись в редких организациях в единичных экземплярах. Сейчас же, когда серт. криптография становится повсеместной, вызывает сложности дословное выполнение Инструкции.

Сразу же хочу обратить внимание на тот факт, что Инструкция в связке с 99-ФЗ дают однозначные результаты о необходимости получения лицензии ФСБ России или заключения договора с лицензиатом:

Ст.12 99-ФЗ:  “1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:
1) … выполнение работ … в области шифрования информации,             техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);”

Постановление правительства РФ №313. Приложение к положению: “ПЕРЕЧЕНЬ ВЫПОЛНЯЕМЫХ РАБОТ И ОКАЗЫВАЕМЫХ УСЛУГ, СОСТАВЛЯЮЩИХ ЛИЦЕНЗИРУЕМУЮ ДЕЯТЕЛЬНОСТЬ, В ОТНОШЕНИИ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.”

Как видно, из 99-ФЗ и ПП РФ 313, лицензия нужна для всех случаев (инсталляция, настройка, изготовление ключей), кроме текущего обслуживания уже установленных и настроенных СКЗИ для собственных нужд (про которые можно спорить отдельно). Примеры судебных дел можно посмотреть тут и тут.
Но Инструкция содержит более строгие требования.

Инструкция ФАПСИ №152:4. Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ, лицензиаты ФАПСИ организуют и обеспечивают ... на основании договоров на оказание услуг по криптографической защите конфиденциальной информации.
6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты…”

Основной вывод следующий: организация без лицензии ФСБ не может самостоятельно организовать работы по правильной эксплуатации СКЗИ. Для этого организации обязательно нужно обратится к лицензиату, заключить с ним договор на обслуживание. У лицензиата ФСБ в структуре выделяется ОКЗИ, который организует работы по обеспечению безопасности в организации-заказчике и контролирует их выполнение (а иногда и сам выполняет).

PS: По применению отдельных пунктов Инструкции у меня также было много вопросов, самые интересные я задавал регулятору и в следующей статье поделюсь наиболее интересной информацией…

Также интересно увидеть какие у Вас, коллеги, были сложности или наоборот положительный опыт применения Инструкции.