СКЗИ. НПА. Некоторые вопросы применения криптографии
Как показывает практика, немногие
организации помнят и руководствуются приказом ФАПСИ (правопреемником которой
является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".
А ведь Инструкция является обязательной при
использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного
доступа (подлежащей защите в соответствии с законодательством РФ). А это
ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ.
С 2008 по 2012 год для ПДн
действовало послабление в виде “Типовые требования по организации и обеспечению
функционирования шифровальных (криптографических) средств, предназначенных для
защиты информации, не содержащей сведений, составляющих государственную тайну в
случае их использования для обеспечения безопасности персональных данных при их
обработке в информационных системах персональных данных”, утвержденных
руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622. Но после
выхода ПП РФ №1119, данный документ потерял актуальность и ФСБ России сообщила что необходимо руководствоваться именно Инструкцией.
В рамках гос. контроля именно по
выполнению положений данной Инструкции находится большое количество нарушений.
По применению Инструкции есть
много вопросов, ведь писалась она в те времена, когда сертифицированные СКЗИ
применялись в редких организациях в единичных экземплярах. Сейчас же, когда серт.
криптография становится повсеместной, вызывает сложности дословное выполнение Инструкции.
Сразу же хочу обратить внимание
на тот факт, что Инструкция в связке с 99-ФЗ дают однозначные результаты о
необходимости получения лицензии ФСБ России или заключения договора с
лицензиатом:
Ст.12 99-ФЗ: “1. В
соответствии с настоящим Федеральным законом лицензированию подлежат следующие
виды деятельности:
1) … выполнение работ …
в области шифрования информации, техническое обслуживание шифровальных
(криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с использованием шифровальных (криптографических) средств
(за исключением случая, если техническое обслуживание шифровальных (криптографических)
средств, информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств, осуществляется для
обеспечения собственных нужд юридического лица или индивидуального
предпринимателя);”
Постановление
правительства РФ №313. Приложение к
положению: “ПЕРЕЧЕНЬ ВЫПОЛНЯЕМЫХ РАБОТ И ОКАЗЫВАЕМЫХ УСЛУГ, СОСТАВЛЯЮЩИХ ЛИЦЕНЗИРУЕМУЮ
ДЕЯТЕЛЬНОСТЬ, В ОТНОШЕНИИ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ
12. Монтаж, установка
(инсталляция), наладка шифровальных (криптографических) средств, за исключением
шифровальных (криптографических) средств защиты фискальных данных,
разработанных для применения в составе контрольно-кассовой техники,
сертифицированных Федеральной службой безопасности Российской Федерации.
13. Монтаж, установка
(инсталляция), наладка защищенных с использованием шифровальных
(криптографических) средств информационных систем.
14. Монтаж, установка
(инсталляция), наладка защищенных с использованием шифровальных
(криптографических) средств телекоммуникационных систем.
15. Монтаж, установка
(инсталляция), наладка средств изготовления ключевых документов.
20. Работы по
обслуживанию шифровальных (криптографических) средств, предусмотренные
технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные
работы проводятся для обеспечения собственных
нужд юридического лица или индивидуального предпринимателя).
28. Изготовление и
распределение ключевых документов и (или) исходной ключевой информации для
выработки ключевых документов с использованием аппаратных, программных и
программно-аппаратных средств, систем и комплексов изготовления и распределения
ключевых документов для шифровальных (криптографических) средств.”
Как видно, из 99-ФЗ и ПП РФ 313,
лицензия нужна для всех случаев (инсталляция, настройка, изготовление ключей),
кроме текущего обслуживания уже установленных и настроенных СКЗИ для
собственных нужд (про которые можно спорить отдельно). Примеры судебных дел можно посмотреть тут и тут.
Но Инструкция содержит более
строгие требования.
Инструкция ФАПСИ №152:“4.
Безопасность хранения, обработки и передачи по каналам связи с использованием
СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ,
лицензиаты ФАПСИ организуют и обеспечивают ... на основании договоров на
оказание услуг по криптографической защите конфиденциальной информации.
6. Для разработки и
осуществления мероприятий по организации и обеспечению безопасности хранения,
обработки и передачи с использованием СКЗИ конфиденциальной информации
лицензиат ФАПСИ создает один или несколько органов криптографической защиты…”
Основной вывод следующий: организация без лицензии ФСБ не может
самостоятельно организовать работы по правильной эксплуатации СКЗИ. Для этого
организации обязательно нужно обратится к лицензиату, заключить с ним договор
на обслуживание. У лицензиата ФСБ в структуре выделяется ОКЗИ, который
организует работы по обеспечению безопасности в организации-заказчике и
контролирует их выполнение (а иногда и сам выполняет).
PS: По применению отдельных пунктов Инструкции
у меня также было много вопросов, самые интересные я задавал регулятору и в
следующей статье поделюсь наиболее интересной информацией…
Также интересно увидеть какие у
Вас, коллеги, были сложности или наоборот положительный опыт применения
Инструкции.
Комментарии
Вот, например, у одной компании эксплуатируется сеть ViPNet (принадлежащая ей же) на базе координаторов HW. Эта компания, для организации защищенного электронного документооборота, устанавливает в нескольких других компаниях координаторы HW из своей сети. Но не берёт за это оплаты, а использует это всё для "собственных нужд", чтобы обеспечивать безопасность передачи ПДн между этими компаниями. Нужно ли в этом случае компании владельцу ViPNet-сети получать лицензию ФСБ на деятельность в сфере криптозащиты?
При администрировании VipNet сети придется делать как минимум перевыпуск ключений и изменение настроек. Чаще всего, ещё и переустановку. Так что без лицензии не обойтись.
На счет именно фразы "собственные нужды" однозначно ответить не могу.
В примере с VipNet, если бы у каждой организации была своя vipnet сеть, между которыми устанавливается межсетевое взаимодействие, и каждый эксплуатирует только свою часть, то это подходит под "собственные нужны". Если много организаций в одной сети, то это уже не собственные нужны, а нужны нескольких лиц.
Задавал вопрос ФСБ устно, сказали что если даже на безвозмездной основе, но для нужд других организаций - то это подпадает под необходимость лицензии. Письменно отказались 99-ФЗ комментировать, сказали что ФЗ - это не их документ.
А еще работает с сайтом закупок, используя криптографию (КриптоПРО CSP,ViPNet CSP).
Государственные организации работают с Казначейством своего региона.
И для всего этого нужна лицензия ФСБ?
Для новых установок и поставок - это понятно.
А вот с различными СКЗИ получаемыми от других организаций - беда. Надо как-то выходить на эти организации (а они тоже должны обладать лицензиями ФСБ России иначе не могли бы распространять), просить их выступить в качестве ОКЗИ. Если не получится, передавать и эти СКЗИ на обслуживание лицензиату.
Сергей, в первую очередь я хочу сказать, что с Вами согласен по поводу общего понимая требований нормативных документов. Но вот эта фраза "для собственных нужд" вносит очень большое непонимание. Нет однозначного трактования. А именно в споре с коллегой я говорю, что "для собственных нужд" - это когда одна, какая-то конкретная компания/фирма/предприятие/организация использует СКЗИ только в внутри себя. Самый распространенный пример - в компании (даже с филиалами) поднята ViPNet-сеть с "Деловой почтой" для передачи конфиденциальной информации между работниками ОДНОЙ И ТОЙ ЖЕ копании. Специально обученный специалист выпускает ключи только для работников именно этой компании и ни для какой другой. Коллега же утверждает, что даже если компания пускает в свою ViPNet-сеть совершенно другую фирму (выпускает ключи для работников совершенно другого юридического лица, производит установку ПО ViPNet-клиент, осуществляет сопровождение этого АРМ) для организации защищенного конфиденциального документооборота (например, для передачи ПДн), то это всё равно всё "для собственных нужд", так как фирма владелец ViPNet-сети предоставляет рабочее место ViPNet-клиента другому юр. лицу именно безвозмездно и для нужд, необходимых именно этой фирме. Например, фирма владелец ViPNet-сети выступает инициатором именно такого способа передачи ПДн и обеспечения их безопасности, и в связи с этим безвозмездно оказывает услуги по выпуску и установке СКЗИ. И вот эта неоднозначность в законе как раз и не даёт чёткого понимания. Ни в ФЗ "О лицензируемых видах деятельности", ни в других нормативных документах ФАПСИ/ФСБ нет однозначного трактования: "выпускаешь СКЗИ исключительно для себя - можно. Передал кому-то другому даже безвозмездно - нельзя, нарушаешь!". Как доказать это всё?
В устном разговоре представители регулятора говорят, что лицензия на работы с СКЗИ нужна в любом случае - не важно, для своих нужд, или не для своих. Отчасти, наверно, скорее так, чем нет, так как в соответствии с инструкцией ФАПСИ - ОКЗИ может создавать только лицензиат. Другое дело - можно отдать это на аутсорс. Но с другой стороны 99-ФЗ говорит, что "не лицензируется для собственных нужд"...
Надо как-то выходить на эти организации (а они тоже должны обладать лицензиями ФСБ России иначе не могли бы распространять), просить их выступить в качестве ОКЗИ.
Не получается - другие организации категорически отказываются выстапь в качестве СКЗИ. Скажу более - есть в Инструкции администратора безопасности КриптоПро такой раздел, в котором говорится, что админ центра регистрации должен каждому своему пользователю выдавать "Карточку компрометации ключа", в которой указаны контакты УЦ для, соответственно, экстренной компрометации. Так вот многие УЦ нашего города в глаза этого не видели. А когда, в ходе проверки ФСБ, проверяющие на это указали, и были написаны соответствующие письма по этому поводу, эти УЦ начали такие глупости писать в ответ, лишь бы как-то откреститься от того, чего от них требуют. Отсюда, кстати, возникает закономерный вопрос: как эти УЦ получили лицензию на работу с СКЗИ, если они не выполняют требования по эксплуатации разработчика этих СКЗИ? А требования эти, в свою очередь, регламентированы в пунке 46 ПКЗ-2005...
Даже не вижу смыла обсуждать его значение, если для остальных работ, такое исключение всё равно не применяется.
С этим должно быть что-то сделано: либо обновление приказа, либо его отмена, либо подтверждение что всё так и должно быть...