8-й Центр ФСБ выложил достаточно неожиданный документ. Документ описывает рекомендации в области разработки нормативно-правовых актов в области защиты ПДн. Но этим же документом рекомендуется пользоваться операторам ИСПДн при разработке частных моделей угроз.
Что же думает ФСБ о том, как и где нужно применять СКЗИ?
Документ носит полное название: «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности». Утвержден документ руководством 8 Центра ФСБ России 31 марта 2015 года.
Достаточно важно, что данный документ опубликован только на сайте ФСБ, не имеет регистрации в Минюсте и не несет ничьей подписи — то есть его юридическая значимость и обязательность применения находятся под вопросом.
В преамбуле документа определяется, что рекомендации «для федеральных органов исполнительной власти… иных государственных органов… которые… принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее – ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности».
Этими же нормами «целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных».
Когда же необходимо использовать СКЗИ?
Это логично. Но когда угрозы могут быть нейтрализованы только с помощью СКЗИ"?
Если второй пункт так же достаточно логичен, то вот первый не столь ясен. Дело в том, что согласно текущей редакции закона «О персональных данных» имя, фамилия и отчество уже являются персональными данными. Соответственно любая переписка или регистрация на сайте (с учетом того, сколько данных сейчас требуют при регистрации) попадают формально под это определение.
Но, как говорится, нет правил без исключения. В конце документа есть две таблицы. Приведем лишь одну строку Приложения № 1.
Актуальная угроза:
Обоснование отсутствия (список немного сокращен):
То есть, если пользователи проинформированы о правилах и ответственности, а двери запираются, то беспокоиться не о чем. Блажен, кто верует. О необходимости контроля за соблюдением правил речь в документе даже не идет.
Что еще интересного есть в документе?
Правда чуть ниже говорится, что список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. Про то, что оценка соответствия не есть сертификация, говорилось неоднократно.
Очень приятный пункт. Дело в том, что сертификация процесс очень длительный — до полугода и больше (скажем, в случае нашей компании предыдущая сертификация заняла у нас 8 месяцев). Зачастую клиенты используют новейшие ОС, не поддерживаемые сертифицированной версией. В соответствии с этим документом клиенты могут использовать продукты, находящиеся в процессе сертификации.
В документе указывается, что:
Соответственно необходимо иметь документ, анализирующий защищенность канала. При этом не указывается, какие организации имеют право выдавать такие заключения.
Документ содержит перечень сведений, которые необходимо указывать при описании информационных систем. Например:
Ну и в заключение скажем, что:
Что же думает ФСБ о том, как и где нужно применять СКЗИ?
Документ носит полное название: «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности». Утвержден документ руководством 8 Центра ФСБ России 31 марта 2015 года.
Достаточно важно, что данный документ опубликован только на сайте ФСБ, не имеет регистрации в Минюсте и не несет ничьей подписи — то есть его юридическая значимость и обязательность применения находятся под вопросом.
В преамбуле документа определяется, что рекомендации «для федеральных органов исполнительной власти… иных государственных органов… которые… принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных (далее – ИСПДн), эксплуатируемых при осуществлении соответствующих видов деятельности».
Этими же нормами «целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных».
Когда же необходимо использовать СКЗИ?
Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
- если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
- если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
Это логично. Но когда угрозы могут быть нейтрализованы только с помощью СКЗИ"?
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
- хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.
Если второй пункт так же достаточно логичен, то вот первый не столь ясен. Дело в том, что согласно текущей редакции закона «О персональных данных» имя, фамилия и отчество уже являются персональными данными. Соответственно любая переписка или регистрация на сайте (с учетом того, сколько данных сейчас требуют при регистрации) попадают формально под это определение.
Но, как говорится, нет правил без исключения. В конце документа есть две таблицы. Приведем лишь одну строку Приложения № 1.
Актуальная угроза:
1.1. проведение атаки при нахождении в пределах контролируемой зоны.
Обоснование отсутствия (список немного сокращен):
- сотрудники, являющиеся пользователями ИСПДн, но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;
- пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;
- помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;
- утверждены правила доступа в помещения, где располагаются СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
- утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;
- осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;
- осуществляется регистрация и учет действий пользователей с ПДн;
- на АРМ и серверах, на которых установлены СКЗИ:
- используются сертифицированные средства защиты информации от несанкционированного доступа;
- используются сертифицированные средства антивирусной защиты.
То есть, если пользователи проинформированы о правилах и ответственности, а двери запираются, то беспокоиться не о чем. Блажен, кто верует. О необходимости контроля за соблюдением правил речь в документе даже не идет.
Что еще интересного есть в документе?
- для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия.
Правда чуть ниже говорится, что список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. Про то, что оценка соответствия не есть сертификация, говорилось неоднократно.
- в случае отсутствия прошедших в установленном порядке процедуру оценки соответствия СКЗИ… на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной системы с участием оператора (уполномоченного лица) и предполагаемого разработчика СКЗИ готовится обоснование целесообразности разработки нового типа СКЗИ и определяются требования к его функциональным свойствам.
Очень приятный пункт. Дело в том, что сертификация процесс очень длительный — до полугода и больше (скажем, в случае нашей компании предыдущая сертификация заняла у нас 8 месяцев). Зачастую клиенты используют новейшие ОС, не поддерживаемые сертифицированной версией. В соответствии с этим документом клиенты могут использовать продукты, находящиеся в процессе сертификации.
В документе указывается, что:
При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
- описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
- выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы.
Соответственно необходимо иметь документ, анализирующий защищенность канала. При этом не указывается, какие организации имеют право выдавать такие заключения.
Документ содержит перечень сведений, которые необходимо указывать при описании информационных систем. Например:
- характеристики безопасности (конфиденциальность, целостность, доступность, подлинность), которые необходимо обеспечивать для обрабатываемых персональных данных;
- используемые в каждой подсистеме или в информационной системе в целом каналы (линии) связи, включая кабельные системы, и меры по ограничению несанкционированного доступа к защищаемой информации, передаваемой по этим каналам (линиям) связи, с указанием каналов (линий) связи, в которых невозможен несанкционированный доступ к передаваемой по ним защищаемой информации, и реализуемые для обеспечения этого качества меры;
- носители защищаемой информации, используемые в каждой подсистеме информационной системы или в информационной системе в целом (за исключением каналов (линий) связи).
Ну и в заключение скажем, что:
Согласование с ФСБ России частных моделей угроз операторов, подготовленных в соответствии с настоящими методическими рекомендациями, не требуется.