Как И Где Использовать Скзи – Точка Зрения Фсб

В 8-м Центре ФСБ опубликовали довольно неожиданную информацию.

документ .

В документе описаны рекомендации по разработке нормативных актов в области защиты персональных данных.

Но этот же документ рекомендуется использовать операторам ИСПД при разработке частных моделей угроз.

Что думает ФСБ о том, как и где следует использовать СКЗИ?

Документ носит полное название: «Методические рекомендации по разработке нормативных правовых актов, выявляющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности».

Документ был одобрен руководством 8-го Центра ФСБ России 31 марта 2015 года.

Весьма важно, что этот документ опубликован только на сайте ФСБ, не зарегистрирован в Минюсте и не имеет чьей-либо подписи – то есть его юридическое значение и обязательность применения под вопросом.

В преамбуле документа определено, что рекомендации «федеральным органам исполнительной власти.

иным государственным органам.

которые.

принимают нормативные правовые акты, определяющие угрозы безопасности персональных данных, актуальные при обработке персональных данных в сведениях персональных данных».

системы (далее - ИСПД), эксплуатируемые при осуществлении соответствующих видов деятельности».

«Такими же стандартами целесообразно руководствоваться и при разработке моделей частных угроз для операторов информационных систем персональных данных, принявших решение использовать криптографические средства защиты информации (далее – криптографическая защита информации) для обеспечения безопасности персональных данных.

» Когда необходимо использовать СКЗИ?

Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:

• если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
• при наличии в информационной системе угроз, нейтрализовать которые можно только с помощью СКЗИ.

Но когда нейтрализовать угрозы можно только с помощью СКМЗ?

• передача персональных данных по каналам связи, не защищенным от перехвата злоумышленником передаваемой через них информации или от несанкционированного воздействия на эту информацию (например, при передаче персональных данных по общедоступным информационным и телекоммуникационным сетям);
• хранение персональных данных на носителях информации, несанкционированный доступ к которым нарушителя не может быть исключен некриптографическими способами и способами.

Дело в том, что согласно действующей редакции закона «О персональных данных», имя, фамилия и отчество уже являются персональными данными.

Соответственно, любая переписка или регистрация на сайте (с учетом того, какой объем данных сейчас требуется при регистрации) формально подпадает под это определение.

Но, как говорится, не бывает правил без исключений.

В конце документа есть две таблицы.

Приводим лишь одну строку Приложения № 1. Текущая угроза:

1.1. проведение нападения, находясь в контролируемой зоне.

• сотрудники, являющиеся пользователями ИСПД, но не являющиеся пользователями СКЗИ, доводятся до сведения правил работы в ИСПД и ответственности за несоблюдение правил информационной безопасности;
• Пользователи СКЗИ информируются о правилах работы в ISDN, правилах работы с СКЗИ и ответственности за несоблюдение правил информационной безопасности;
• помещения, в которых расположена система криптографической защиты информации, оборудованы входными дверями с замками, обеспечивающими постоянное запирание дверей помещений и открытие их только для санкционированного прохода;
• утверждены правила доступа в помещения, где расположены системы криптографической защиты информации, в рабочее и нерабочее время, а также в чрезвычайных ситуациях;
• утвержден перечень лиц, имеющих право доступа в помещения, где расположены системы криптографической защиты информации;
• осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;
• осуществляется регистрация и учет действий пользователей с персональными данными;
• на рабочих станциях и серверах, на которых установлен СКЗИ:
  • используются сертифицированные средства защиты информации от несанкционированного доступа;
  • Используются сертифицированные продукты антивирусной защиты.

Блажен, кто верует. В документе даже не говорится о необходимости контроля за соблюдением правил.

Что еще интересного в документе?

• Для обеспечения безопасности персональных данных при их обработке в ИСПД необходимо использовать СКЗИ, прошедший процедуру подтверждения соответствия в установленном порядке.

Не раз говорилось, что оценка соответствия – это не сертификация.

• в случае отсутствия прошедших процедуру оценки соответствия СКЗИ в установленном порядке.

  на стадии эскизного проекта или эскизного (технического) проекта разработчик информационной системы с участием оператора (уполномоченное лицо) и предполагаемый разработчик СКЗИ, готовит обоснование возможности разработки нового типа СКЗИ и определяет требования к его функциональным свойствам.

Часто клиенты используют новейшие операционные системы, которые не поддерживаются сертифицированной версией.

В соответствии с этим документом клиенты могут использовать продукцию, находящуюся в процессе сертификации.

В документе говорится, что:

При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищенной информации и (или) в которых невозможно осуществлять несанкционированное воздействие на эту информацию, в общем описании информационных систем необходимо указывать:

• описание методов и средств защиты этих каналов от несанкционированного доступа к ним;
• выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой через них защищенной информации организацией, имеющей право на проведение таких исследований, со ссылкой на документ, содержащий эти выводы.

Не указано, какие организации имеют право выдавать подобные заключения.

Документ содержит перечень сведений, которые необходимо указывать при описании информационных систем.

Например:

• характеристики безопасности (конфиденциальность, целостность, доступность, подлинность), которые должны быть обеспечены для обрабатываемых персональных данных;
• каналы (линии) связи, используемые в каждой подсистеме или в информационной системе в целом, включая кабельные системы, и меры по ограничению несанкционированного доступа к защищаемой информации, передаваемой по этим каналам (линиям) связи, с указанием каналов (линий) связи, в которых она осуществляется.
  
  

  невозможность несанкционированного доступа к передаваемой через них защищенной информации и меры, принимаемые для обеспечения этого качества;

• носители защищаемой информации, используемые в каждой подсистеме информационной системы или в информационной системе в целом (за исключением каналов (линий) связи).

Согласование с ФСБ России частных моделей угроз операторов, подготовленных в соответствии с настоящими методическими рекомендациями, не требуется.

• Все, Что Вам Нужно Знать О Делах Лиан Ли

  19 Dec, 24

• Вконтакте Перевел Всех Пользователей На Новый Дизайн

  19 Dec, 24

• Ягуар

  19 Dec, 24

• Знак Честности Проверки Datamatrix — Почему Это Важно

  19 Dec, 24

• Новый Интерфейс Для Ubuntu Netbook Edition.

  19 Dec, 24

• Обзор Типов Индексов Oracle, Mysql, Postgresql, Ms Sql

  19 Dec, 24

• Экономика Совместного Потребления: Тенденции И Перспективы. Часть 1

  19 Dec, 24

• Кризисный Ребрендинг

  19 Dec, 24

• В Сети Bittorrent Появился Фильм В Формате Hd Dvd

  19 Dec, 24

• Наше Будущее В Наших Руках. Вторая Степень.

  19 Dec, 24