четверг, 8 июня 2017 г.

СКЗИ. НПА. Некоторые вопросы применения криптографии

Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".

А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).   А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ.

С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных”, утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622. Но после выхода ПП РФ №1119, данный документ потерял актуальность и ФСБ России сообщила что необходимо руководствоваться именно Инструкцией.

В рамках гос. контроля именно по выполнению положений данной Инструкции находится большое количество нарушений.


По применению Инструкции есть много вопросов, ведь писалась она в те времена, когда сертифицированные СКЗИ применялись в редких организациях в единичных экземплярах. Сейчас же, когда серт. криптография становится повсеместной, вызывает сложности дословное выполнение Инструкции.

Сразу же хочу обратить внимание на тот факт, что Инструкция в связке с 99-ФЗ дают однозначные результаты о необходимости получения лицензии ФСБ России или заключения договора с лицензиатом:

Ст.12 99-ФЗ:  “1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:
1) … выполнение работ … в области шифрования информации,             техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);”

Постановление правительства РФ №313. Приложение к положению: “ПЕРЕЧЕНЬ ВЫПОЛНЯЕМЫХ РАБОТ И ОКАЗЫВАЕМЫХ УСЛУГ, СОСТАВЛЯЮЩИХ ЛИЦЕНЗИРУЕМУЮ ДЕЯТЕЛЬНОСТЬ, В ОТНОШЕНИИ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.”

Как видно, из 99-ФЗ и ПП РФ 313, лицензия нужна для всех случаев (инсталляция, настройка, изготовление ключей), кроме текущего обслуживания уже установленных и настроенных СКЗИ для собственных нужд (про которые можно спорить отдельно). Примеры судебных дел можно посмотреть тут и тут.
Но Инструкция содержит более строгие требования.

Инструкция ФАПСИ №152:4. Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ, лицензиаты ФАПСИ организуют и обеспечивают ... на основании договоров на оказание услуг по криптографической защите конфиденциальной информации.
6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты…”

Основной вывод следующий: организация без лицензии ФСБ не может самостоятельно организовать работы по правильной эксплуатации СКЗИ. Для этого организации обязательно нужно обратится к лицензиату, заключить с ним договор на обслуживание. У лицензиата ФСБ в структуре выделяется ОКЗИ, который организует работы по обеспечению безопасности в организации-заказчике и контролирует их выполнение (а иногда и сам выполняет).

PS: По применению отдельных пунктов Инструкции у меня также было много вопросов, самые интересные я задавал регулятору и в следующей статье поделюсь наиболее интересной информацией…

Также интересно увидеть какие у Вас, коллеги, были сложности или наоборот положительный опыт применения Инструкции.


9 комментариев:

Proximo комментирует...

Сложности, в основном, как раз возникают в понимании того самого указания о "личных нуждах", указанных в 99-ФЗ, и однозначном понимании в Инструкции ФАПСИ того, что всё сводится к тому, что на предприятии для организации всего необходимого комплекса мер связанных с организацией хранения и эксплуатации СКЗИ (обучения персонала, налаживания учёта СКЗИ и т.д.) необходимо создавать орган криптозащиты. Который, соответственно, невозможно создать без наличия соответствующей лицензии ФСБ.
Вот, например, у одной компании эксплуатируется сеть ViPNet (принадлежащая ей же) на базе координаторов HW. Эта компания, для организации защищенного электронного документооборота, устанавливает в нескольких других компаниях координаторы HW из своей сети. Но не берёт за это оплаты, а использует это всё для "собственных нужд", чтобы обеспечивать безопасность передачи ПДн между этими компаниями. Нужно ли в этом случае компании владельцу ViPNet-сети получать лицензию ФСБ на деятельность в сфере криптозащиты?


Сергей Борисов комментирует...

Я специально процитировал приложение к ПП 313, из которого видно что под исключение (собственные нужны) попадает только текущее обслуживание. Работы по установке, настройке и выпуску ключей идут отдельными пунктами и на них исключение не распространяется.
При администрировании VipNet сети придется делать как минимум перевыпуск ключений и изменение настроек. Чаще всего, ещё и переустановку. Так что без лицензии не обойтись.

На счет именно фразы "собственные нужды" однозначно ответить не могу.
В примере с VipNet, если бы у каждой организации была своя vipnet сеть, между которыми устанавливается межсетевое взаимодействие, и каждый эксплуатирует только свою часть, то это подходит под "собственные нужны". Если много организаций в одной сети, то это уже не собственные нужны, а нужны нескольких лиц.

Задавал вопрос ФСБ устно, сказали что если даже на безвозмездной основе, но для нужд других организаций - то это подпадает под необходимость лицензии. Письменно отказались 99-ФЗ комментировать, сказали что ФЗ - это не их документ.




Артем Дудник комментирует...

Сейчас ЛЮБАЯ организация передает данные в ФНС, ПФР, ФСС.
А еще работает с сайтом закупок, используя криптографию (КриптоПРО CSP,ViPNet CSP).
Государственные организации работают с Казначейством своего региона.
И для всего этого нужна лицензия ФСБ?

Сергей Борисов комментирует...

Получается что либо нужна лицензия ФСБ России, либо нужно привлечение лицензиата для поставки, установки, настройки СКЗИ и для постоянного обслуживания в качестве ОКЗИ.
Для новых установок и поставок - это понятно.

А вот с различными СКЗИ получаемыми от других организаций - беда. Надо как-то выходить на эти организации (а они тоже должны обладать лицензиями ФСБ России иначе не могли бы распространять), просить их выступить в качестве ОКЗИ. Если не получится, передавать и эти СКЗИ на обслуживание лицензиату.

Proximo комментирует...

Извините, много текста получилось...

Сергей, в первую очередь я хочу сказать, что с Вами согласен по поводу общего понимая требований нормативных документов. Но вот эта фраза "для собственных нужд" вносит очень большое непонимание. Нет однозначного трактования. А именно в споре с коллегой я говорю, что "для собственных нужд" - это когда одна, какая-то конкретная компания/фирма/предприятие/организация использует СКЗИ только в внутри себя. Самый распространенный пример - в компании (даже с филиалами) поднята ViPNet-сеть с "Деловой почтой" для передачи конфиденциальной информации между работниками ОДНОЙ И ТОЙ ЖЕ копании. Специально обученный специалист выпускает ключи только для работников именно этой компании и ни для какой другой. Коллега же утверждает, что даже если компания пускает в свою ViPNet-сеть совершенно другую фирму (выпускает ключи для работников совершенно другого юридического лица, производит установку ПО ViPNet-клиент, осуществляет сопровождение этого АРМ) для организации защищенного конфиденциального документооборота (например, для передачи ПДн), то это всё равно всё "для собственных нужд", так как фирма владелец ViPNet-сети предоставляет рабочее место ViPNet-клиента другому юр. лицу именно безвозмездно и для нужд, необходимых именно этой фирме. Например, фирма владелец ViPNet-сети выступает инициатором именно такого способа передачи ПДн и обеспечения их безопасности, и в связи с этим безвозмездно оказывает услуги по выпуску и установке СКЗИ. И вот эта неоднозначность в законе как раз и не даёт чёткого понимания. Ни в ФЗ "О лицензируемых видах деятельности", ни в других нормативных документах ФАПСИ/ФСБ нет однозначного трактования: "выпускаешь СКЗИ исключительно для себя - можно. Передал кому-то другому даже безвозмездно - нельзя, нарушаешь!". Как доказать это всё?

В устном разговоре представители регулятора говорят, что лицензия на работы с СКЗИ нужна в любом случае - не важно, для своих нужд, или не для своих. Отчасти, наверно, скорее так, чем нет, так как в соответствии с инструкцией ФАПСИ - ОКЗИ может создавать только лицензиат. Другое дело - можно отдать это на аутсорс. Но с другой стороны 99-ФЗ говорит, что "не лицензируется для собственных нужд"...

Надо как-то выходить на эти организации (а они тоже должны обладать лицензиями ФСБ России иначе не могли бы распространять), просить их выступить в качестве ОКЗИ.
Не получается - другие организации категорически отказываются выстапь в качестве СКЗИ. Скажу более - есть в Инструкции администратора безопасности КриптоПро такой раздел, в котором говорится, что админ центра регистрации должен каждому своему пользователю выдавать "Карточку компрометации ключа", в которой указаны контакты УЦ для, соответственно, экстренной компрометации. Так вот многие УЦ нашего города в глаза этого не видели. А когда, в ходе проверки ФСБ, проверяющие на это указали, и были написаны соответствующие письма по этому поводу, эти УЦ начали такие глупости писать в ответ, лишь бы как-то откреститься от того, чего от них требуют. Отсюда, кстати, возникает закономерный вопрос: как эти УЦ получили лицензию на работу с СКЗИ, если они не выполняют требования по эксплуатации разработчика этих СКЗИ? А требования эти, в свою очередь, регламентированы в пунке 46 ПКЗ-2005...

Zig Zag комментирует...

Не правильный подход, не нужно самому загонять себя в угол. Лицензируются услуги, т.е. если оказываешь услуги другим, то нужна лицензия, если нет, то не нужна. Много лет касаюсь темы лицензирования ФСБ и знаю о чем говорю.

Сергей Борисов комментирует...

Proximo: я уже несколько раз упомянул что исключение "собственные нужды" применяется только для одного из 30 видов работ с СКЗИ, а именно для текущей эксплуатации СКЗИ.
Даже не вижу смыла обсуждать его значение, если для остальных работ, такое исключение всё равно не применяется.




Сергей Борисов комментирует...

Zig Zag: исходная статья была про приказ ФАПСИ 152. Подбросил дров в топку, начиная с самых жарких. Так как с одной стороны ФСБ требует выполнения этого приказа. С другой стороны приказ требует наличия лицензии или договора с лицензиатом на все СКЗИ, что в 90% компаний не выполняется.
С этим должно быть что-то сделано: либо обновление приказа, либо его отмена, либо подтверждение что всё так и должно быть...

Proximo комментирует...

Zig Zag: "Оказываешь услуги", хорошо... Но ведь можно оказывать услуги на сторонним организациям и на безвозмездной основе. Как тогда в этом случае это делать без лицензии?