СКЗИ. НПА. Ещё больше вопросов по применению криптографии

В рамках предыдущей статьи мы определили, что в обеспечении безопасности информации ограниченного доступа с использованием СКЗИ участвуют как минимум 2 лица: ОКЗИ лицензиата ФСБ России и обладатель информации (если он не лицензиат).

При этом ОКЗИ организует и контролирует работы с СКЗИ (но может и реализовывать), а обладатели информации выполняют указания ОКЗИ по всем вопросам организации и обеспечения безопасности информации с использованием СКЗИ. То есть, имеем коллективные усилия и ответственность в эксплуатации СКЗИ.

Естественно, что, когда 2 лица задействованы в одном процессе, хорошо бы распределить их зоны и регламентировать взаимодействие. Для этого и применяется инструкция ФАПСИ №152. В некотором приближении все мероприятия в Инструкции можно разделить на 3 блока:

·         внутренние требования к ОКЗИ (требования, которые лицензиат должен выполнить на своей стороне – помещения, персонал, свои документы)

·         требования, к мерам, которые ОКЗИ должны принять совместно с обладателем КИ на объектах обладателя КИ

·         требования к пользователям СКЗИ

Рекомендую всем ознакомится с Инструкцией и составить свое мнение. Но нам всё-таки показались недостаточно четко расписанными взаимоотношения ОКЗИ и обладателя информации, в связи с чем были написаны вопросы в ФСБ, отправлены по частям, получены ответы, которыми я и хочу поделиться далее. Скорее всего будут полезны для ОКЗИ, но и обладателям информации будет не лишним ознакомится.

Вопросы к ФСБ, ответы, комментарии:

1. Одно из проблемных мест – зачастую Лицензиату приходится продавать СКЗИ заказчикам у которых нет ОКЗИ, откуда можно сделать вывод, что СКЗИ у них будет эксплуатироваться с нарушениями. Не является ли такая продажа СКЗИ нарушением? Должен ли продавец спрашивать у заказчика подтверждение наличия ОКЗИ до момента продажи СКЗИ? Может ли ФСБ при лицензионном контроле наказать за такие продажи?

Вопрос к ФСБ: В случае, если организация не обладающая лицензией ФСБ России (далее - Покупатель) обращается за приобретением средств криптографической защиты информации (далее - СКЗИ) к организации обладающей лицензию ФСБ России (далее - Продавец), должен ли Продавец проверять, имеется ли у Покупателя договор на услуги Органа криптографической защиты информации (далее - ОКЗИ) от какого-либо лицензиата ФСБ России?

Возможна ли продажа СКЗИ Продавцом Покупателю, если у Покупателя отсутствует договор на ОКЗИ?

Ответ от ФСБ: Необходимость проверки продавцом наличия у покупателя СКЗИ договора на услуги ОКЗИ нормативными правовыми актами не предусмотрена. Соответственно, продажа СКЗИ покупателю, не имеющему ОКЗИ возможна.

2. Ещё одна из проблем, с которой мы часто сталкивались – изначально ОКЗИ обслуживает только одно СКЗИ, следует ли из этого автоматически что ОКЗИ отвечает за все СКЗИ у Заказчика? В приказе ФАПСИ 152 недостаточно четко описан этот момент – создается впечатление что как только Лицензиат назначает ОКЗИ для заказчика, ОКЗИ автоматом отвечаем за всё и все СКЗИ. Что не очень логично

Вопрос к ФСБ: В случае если у Покупателя используются различные СКЗИ, например, КриптоПро CSP, АПКШ Континент и Покупатель дополнительно приобретает СКЗИ VipNet HW 1000, может ли ОКЗИ лицензиата ФСБ России обслуживать только часть СКЗИ Покупателя, например только защищенную сеть VipNet и не контролировать иные СКЗИ?

Как следствие, может ли у Покупателя быть одновременно несколько ОКЗИ для разных СКЗИ?

Ответ от ФСБ: Количество ОКЗИ для организации не регламентировано. У покупателя может быть несколько ОКЗИ для разных СКЗИ.   

3. Много раз мы сталкивались с ситуацией, когда изначально были подготовлены корректные документы по ОКЗИ, вся необходимая информация учтена в журналах, пломбы, хранилища, помещения – всё как положено. Но через месяц у заказчика все поменялось, часть документов стали неактуальны, часть мер перестали выполняться. Но каждый день выходить к Заказчику и контролировать чтобы он чего-то не поменял, ОКЗИ не может (либо это обойдется слишком дорого). Лучше раз в квартал, а то и раз в год. Из приказа ФАПСИ 152 непонятно, возможна ли периодическая работа ОКЗИ. Периодичность в приказе нигде не упоминается.

Вопрос к ФСБ: Приказом ФАПСИ №152 требуется контроль соблюдения правил эксплуатации СКЗИ со стороны ОКЗИ. В связи с тем, что представители ОКЗИ не могут постоянно находится на территории Заказчика и не могут контролировать пользователей Заказчика и актуальность документации непрерывно, допускается ли проведение такого контроля с определенной периодичностью, например, раз в неделю, месяц, квартал, год?

Ответ от ФСБ: Периодичность контроля соблюдения Заказчиком правил эксплуатации СКЗИ может устанавливаться ОКЗИ самостоятельно.

4. Опять же частая ситуация – в организации происходят отклонения от выполнения требований. Владелец информации ограниченного доступа самостоятельно нарушения не устраняет. В приказе ФАПСИ написано, что ОКЗИ также несет ответственность за эксплуатацию СКЗИ в соответствии с требованиями. Какие меры может принимать ОКЗИ в данном случае.

Вопрос к ФСБ России: Какие действия необходимо применять ОКЗИ в случае выявления у Заказчика нарушений правил эксплуатации СКЗИ? Какие действия необходимо принимать в случае если Заказчик не устраняет (отказывается устранять) выявленные нарушения?

Ответ от ФСБ: В случае нарушения пользователем правил эксплуатации СКЗИ следуем руководствоваться разделом 5 Инструкции ФАПСИ, в соответствии с которым ОКЗИ осуществляет разработку и принятие мер по предотвращению возможных опасных последствий выявленных нарушений и несет ответственность за принятие зависящих от него мер.

Приведенному ответу соответствует, например, следующая стратегия – ОКЗИ проводит периодический контроль, в случае выявления нарушений сообщает заказчику любым способом; если нет реакции пишет официальное письмо заказчику о необходимости устранения нарушений и ответа в определенный срок; в случае отсутствия ответа ОКЗИ пишет в ФСБ о том, что СКЗИ обрабатываются с нарушением и нет возможности обеспечить безопасность информации.

5. Ещё одна проблема, которая нас беспокоила – на сколько Лицензиат рискует, заключая договора на услуги ОКЗИ? Кто будет виноват если в рамках проверки ФСБ России будет обнаружено нарушение эксплуатации СКЗИ?

Вопрос в ФСБ России: В случае проведения государственного контроля организации со стороны ФСБ России и выявлении нарушений в правил эксплуатации СКЗИ, кто несет ответственность за данные нарушения: Заказчик или ОКЗИ Исполнителя?

Ответ от ФСБ: Ответственность за нарушения правил эксплуатации СКЗИ определяется, исходя из роли и полномочий Лицензиатов ФСБ России и ОКЗИ в соответствии с рассматриваемой Инструкцией, а также договором, заключенным между заинтересованными сторонами в защите информации (Лицензиат ФСБ России, ОКЗИ, Заказчик) сторонами.

В случае, если подлежащая защите информация содержит персональные данные, то ответственность за нарушения правил эксплуатации СКЗИ несет оператор персональных данных (Заказчик).

ИТОГО учитывая все предыдущие пункты: помимо Инструкции необходимо ещё ориентироваться на договор между ОКЗИ и заказчиком, в котором должна быть прописана ответственность и обязанности каждой из сторон, в том числе периодичность контроля ОКЗИ, перечень работ, которые ОКЗИ выполняет самостоятельно, перечень мероприятий, и объем информации которые предоставляем обладатель информации, регулярность с которой он информирует ОКЗИ об изменениях и т.п.

PS: Кстати, кроме Инструкции, много вопросов вызывают также и обязанность по выполнению требований формуляра и эксплуатационной документации на СКЗИ.