Тематические исследования программного обеспечения фсб когда проводятся

Обновлено: 30.06.2024

Многие будут пытаться обмануть биометрические алгоритмы. Насколько они надежны? Как быть уверенными в том, что кто-то не идентифицируется по биометрии другого человека?

Биометрические алгоритмы обмануть намного сложнее, чем человека. Сегодня мошенник может прийти в банк и открыть счет по сворованному паспорту. Обмануть биометрический алгоритм намного сложнее. Единая биометрическая система имеет точность распознавания 10 -7 . Это значит, что она пропустит только 1 человека на 10 млн. При том, что мы используем дополнительную связку с логином и паролем от Госуслуг – это становится практически невозможным. Мошеннику гораздо проще и дешевле прийти в банк и выдать себя за другого человека операционисту.

Если кто-то взломает систему, то он получит все персональные данные о гражданине, включая фотографию и голос?

Любые, даже самые продвинутые биометрические алгоритмы на основе нейросетей, имеют свои недостатки. Именно поэтому было принято решение о разработке биометрической платформы, которая работает не с каким-то одним алгоритмом, а с множеством, реализуя мультивендорный подход. Взлом даже одного такого алгоритма – сложный и дорогостоящий процесс, злоумышленнику придется изучить десятки алгоритмов, которые постоянно меняются.

Все биометрические образцы проверяет специальный модуль системы. Схема проверки выглядит следующим образом: сначала образец видео, направленного гражданином при идентификации в системе, обрабатывается алгоритмами двух вендоров - отдельно изображение лица и голос.

Такой подход позволяет, с одной стороны, быстро проводить операцию биометрической идентификации, а с другой стороны, в течение нескольких секунд блокировать мошенника. Кроме того, это позволяет оператору системы постоянно тестировать алгоритмы различных вендоров, выявлять их недостатки, обучать модуль выявления аномалий и как результат – усиливать антифрод-системы банков, использующих Единую биометрическую систему.

Единая биометрическая система имеет точность распознавания выше 99,99%. Учитывая необходимость предварительной проверки по логину и паролю от Госуслуг, система определяет человека гораздо точнее, чем другие существующие методы.

Но при этом биометрия – не единственный фактор, по которому банки принимают решение об открытии счета тому или иному клиенту. Единая биометрическая система отправляет банку процент схожести между биометрией обращающегося за услугой человек с его шаблоном.

Помимо биометрии, банк использует процедуры скоринга, KYC и др., принимая решение на основе совокупности всех факторов. Таким образом, ответственность за принятие решения ложится на банк.

Проведение тематических исследований требуется для всех криптографических операций, использующих HSM класса КВ2. К ним относятся подписание биометрических образцов при регистрации, взаимодействие с ЕСИА и Единой биометрической системой с использованием OpenID Connect, проверки результатов соответствия при удаленной верификации.

HSM должен располагаться в пределах контролируемой зоны банка. При использовании облачного типового решения по информационной безопасности оператора Единой биометрической системы, HSM располагается в пределах контролируемой зоны оператора Единой биометрической системы.

Нужно ли организовывать выделенный защищенный канал до СМЭВ при использовании облачного типового решения по ИБ оператора Единой биометрической системы?

Нет, не нужно. Все взаимодействие происходит через защищенную отечественными криптографическими средствами соответствующего класса сеть оператора Единой биометрической системы.

Да, можно. Оборудование должно быть сертифицировано по классу КВ2 и выделено для целей подписания только биометрических данных.

Аттестация обязательна для новых и не аттестованных ранее рабочих мест в соответствии с №152-ФЗ от 27.07.2006 и Приказу ФСТЭК №21 от 18.02.2013.

Нужно ли проводить аттестацию физических и виртуальных серверов, обрабатывающих биометрические шаблоны, используя решение АРМ Биометрия от Ростелекома?

Требование является рекомендательным.

Обязательно ли использовать двухфакторную аутентификацию для защиты рабочих мест оператора и сбора биомтерии?

Да, обязательно, в соответствии с Приказом Минкомсвязи №321 от 25.06.2018. Выбор этапа аутентификации (на ОС или приложение) остается за организацией.

КС3 защищает данные, передаваемые по сети – защита конфиденциальности. По КС3 надо защитить каналы между отделением и головным офисом, а также между головным офисом и СМЭВ. Чтобы обеспечить контроль целостности при сборе биометрии и передаче авторизационных токенов в рамках удаленной идентификации, необходимо использовать оборудование класса КВ2.

Если у вас уже есть взаимодействие со СМЭВ и защищенный канал, то вы можете переиспользовать это оборудование для подключения к Единой биометрической системе.

Планируется ли выпуск еще какой-либо нормативной документации, касающейся ИБ при работе с Единой биометрической системой?

Вся необходимая нормативная документация уже выпущена. Могут появиться рекомендации по встраиванию и реализации существующих требований.

Если вы используете программную защиту каналов связи класса КС2, то на каждом рабочем месте оператора ставится средства защиты информации от несанкционированного доступа класса КС2, антивирус, а также модуль доверенной загрузки. Ставить СКЗИ на рабочие места сбора биометрии не нужно, если используется программно-аппаратный модуль построения канала связи класса КС3.

Никаких требований к виртуализации или использованию банком аппаратных решений нет.

Нет, не нужно, требований аттестовывать ИСПДн как ГИС нет.

АРМ оператора находится в отделении банка, за ним работает оператор, который взаимодействует с клиентом. А АРМ сбора биометрии собирает эти данные с АРМ операторов и отправляет их в СМЭВ.

Да, можно, но посмотрите на документацию СКЗИ, где указываются дополнительные меры защиты для рабочей станции.

Это делается на стороне АРМ регистрации биометрии, он должен обеспечить защиту данных до подписи в центральном офисе. Этот вопрос к разработчикам АРМ биометрии, который установлен в вашем банке.

При использовании типового или облачного решения по информационной безопасности «оператора Единой биометрической системы возможно гео-резервирование в различных исполнениях.

При использовании TLS-шлюза КС3 в рамках типового решения на стороне АРМ отделений и АРМ операторов можно поставить программное обеспечение, которое будет работать с этим TLS-шлюзом. Так можно сэкономить на размещении крипто-шлюза, который работает с отделениями.

Возможна ли интеграция решения Ростелекома (HSM + СПО, защита сети и пр.) с решением другого вендора по снятию и передачи БПДн?

Да, возможна. Наше решение будет представлять необходимые интерфейсы для взаимодействия с другими АРМ биометрии. Мы не ограничиваем использование других средств сбора.

Если между головным офисом и филиалом установлен VPN-канал от провайдера уровня L2, то можно отказаться от требования к КС-3?

Нет, тематические исследования - это анализ кода при работе с HSM класса КС2.

Встраивание осуществляется либо самим банком, либо интегратором вместе с разработчиком программного решения по сбору биометрии.

Нет, не требуется. Взаимодействие с точки зрения верификации идет между четырьмя точками: организацией, ЕСИА, Единой биометрической системой и браузером или мобильным приложением пользователя. СМЭВ при таком взаимодействии не используется.

Возможно ли для обеспечения КС3 между местом оператора и сервером использовать ГОСТ TLS, построенный на SPR3.0 исполнение клиент? Т.е. прикладное шифрование, а не сетевое.

Если TLS на базе КС3, то можно, это не принципиально - TLS использовать или VPN. Главное, чтобы было выполнено требование по защите устройств с двух сторон.

Тематические исследования проводятся только в отношении кода, который взаимодействует с HSM.

Нет, это технически невозможно, так как запрос на получение ключа формируется на вашем HSM, который будет развернут в вашем банке.

Да, обязателен при необходимости предоставления удаленной идентификации.

Какой подписью операторы сбора биометрических данных должны подписывать образцы при использовании облачного типового решения по информационной безопасности оператора Единой биометрической системы?

Согласно методическим рекомендациям по нейтрализации угроз при работе с биометрией № 4-МР от 14.02.2019, для подписания образцов используется усиленная квалифицированная электронная подпись класса КС2 при наличии дополнительных средств защиты, либо КС3 в иных случаях на местах операторов, КВ2 подпись используется для обеспечения целостности передаваемых в Единую биометрическую систему образцов.

Должны ли операторы сбора биометрических данных подписывать образцы квалифицированной электронной подписью?

Да, должны, так как это обеспечит целостность передаваемых биометрических образцов при использовании подписи организации и персональную ответственность оператора при использовании его квалифицированной электронной подписи.

Оператор Единой биометрической системы разработал мобильное приложение, с которым интегрируется банк для удаленной идентификации. Поэтому банку не нужно проводить тематические исследования мобильного приложения банка или TLS-шлюза на своей стороне. Мобильное приложение осуществляет защиту каналов связи.

HSM можно будет использовать для иных целей кроме Единой биометрической системы? Не снизит ли это класс СКЗИ?

В случае использования типового решения по ИБ от Ростелекома — нельзя. Возможно при проведении работ по встраиванию HSM и последующими тематическими исследованиями банком самостоятельно.

Возможно-ли взаимодействие АРМ сбора биометрии с головным офисом посредством сменных носителей (т.е. оффлайн - без каналов связи)?

СОИБ. Проектирование. Сертифицированный защищенный удаленный доступ (Remote VPN) часть 2

Получить ссылку
Facebook
Twitter
Pinterest
Электронная почта
Другие приложения

В этот раз рассмотрим самый простой вариант Remote VPN КС1 и сравниваем – на сколько он сложнее чем вообще не сертифицированный Remote VPN

1. Операционные системы (смотреть таблицы в Приложении 1). Если мы посмотрим на статистику использования ОС и мобильных ОС можно сделать следующие вывод - примерно 13% наших пользователей с ноутбуками (с операционными системами Windows 8, OS X , Linux ) останутся без Remote VPN . С мобильными устройствами совсем беда – есть решение только у одного вендора и только для i OS . То есть за бортом остается ощутимая часть сотрудников.

2. В зависимости от решения по разному могут быть предъявлены требования к защите от влияния аппаратных компонентов технических средств на функционирование СКЗИ при защите ПДн.

Например, в варианте С-терра VPN Client (Приложение 2 - 9) для этого требуется проводить тематические исследования BIOS . Стоимость таких работ на порядок больше чем стоимость самого решения.

В варианте Stonegate VPN Client (Приложение 2 - 12) рекомендуется проводить исследования BIOS ещё и на технических средствах субъектов ПДн, данные которых обрабатываются у нас!! : O (кто мог такое придумать, это ж работа для исследователей BIOS на годы вперед обеспечена)

3. При подключении технического средства с СКЗИ к сетям связи общего доступа (а Remote VPN и предназначен для работы через такие подключения) требуется использовать сертифицированные средства межсетевого экранирования (Приложение 2 – 13 и Приложение 2 – 15). То есть либо использовать Remote VPN со встроенным МЭ либо применять дополнительный.

4. Для защиты среды в которой работает сертифицированное СКЗИ должны использоваться сертифицированные ФСТЭК и ФСБ средства антивирусной защиты из перечня (Касперский, Nod 32, Dr . Web ) (Приложение 2 – 16). Есть вероятность что придется менять наш любимый антивирус. Ещё и перечень ОС, под которыми работают сертифицированные антивирусы ограничен (см. соответствующие формуляры на антивирусы) и не позволяет нам использовать их на экзотических ОС (определенные Linux , Mac OS , iOS ,)

5. При использовании для аутентификации пользователей Remote VPN сертификатов PKI (а именно такой вариант более надежен, по сравнению с паролями) необходимо использование Удостоверяющего центра, сертифицированного по классу криптографической защиты, не меньшему чем решение Remote VPN (Приложение 2 - 1) при этом для некоторых решений явно разрешено использование предопределенных ключей pre - shared key (Приложение 2 - 11)

6. Разворачивание в организации сертифицированного удостоверяющего центра, помимо приобретения лицензий, серверов, АРМ оператора, средств защиты от НСД, влечет за собой в том числе установку МЭ, сертифицированного ФСБ (Приложение 2 - 8).

Использование внешнего сертифицированного УЦ увеличит стоимость решения примерно на 2000 руб. на пользователя ежегодно.

Использование собственного сертифицированного УЦ увеличит стоимость решения примерно на 2000 руб. на пользователя.

Использование имеющихся в организации несертифицированных УЦ (таких как Microsoft Active Directory Certificate Cervices ) нелегитимно.

7. При использовании сертифицированного Remote VPN мы ограничены при определении срока действия сертификата пользователя. Мы обязаны менять его раз в год, а максимальный срок жизни не может превышать 1 год и 3 месяца. (Приложение 2 – 3 и Приложение 2 - 10). В случае с несертифицированным мы можем выбирать срок в соответствии с корпоративной политикой – например 3 года и соответственно уменьшить трудозатраты на эксплуатацию решения.

8. При хранении закрытых ключей или сертификатов пользователя на локальном диске или реестре (случай когда не применяются eToken ) мы обязаны для технических средств (ноутбуков) принимать меры, аналогичные ключевым носителям (Приложение 2 - 3). А меры по защите ключевых носителей требуются немаленькие (смотреть содержание нормативных актов из Части 0), в том числе регистрировать их как носители, регистрировать помещения в которых на них работаем, обеспечивать отсутствие к ним доступа посторонних лиц, убирать во внерабочее время в сейф и т.п.

9. При использовании сертифицированных Remote VPN заброшено использование беспроводных каналов связи (Приложение 2-4 и Приложение 2-7). Скажите “нет” WiFi , 3 G , 4 G , bluetooth , NFC . Что остается мобильному пользователю с ноутбуком?

10. При использовании сертифицированного Remote VPN потребуется внедрить обязательные организационные меры, разработать и поддерживать порядка 17 документов (Приложение 3)

Выводы: использование сертифицированного Remote VPN может потребовать приобретение дополнительных продуктов в несколько раз увеличивающих стоимость поставки, потребует проведение дополнительных работ, которые могут на порядок превосходить работы по внедрение самого технического решения Remote VPN и пользователям придется учитывать все приведенные выше ограничения сертифицированного решения.

Организациям, внедряющим полностью легитимный сертифицированный Remote VPN надо учитывать, что его стоимость будет в разы превосходить стоимость несертифицированного аналога и использовать это при выборе контрмер и определении необходимости сертифицированного ФСБ Р решения.

Производителям хочу посоветовать внимательно подходить к разработке документов на ваши СКЗИ. Любая лишняя фраза может привести к миллионам дополнительных затрат у пользователей, а то и вовсе к невозможности использования сертифицированного решения.

PS : Наверное вам интересно, почему в названии статьи Remote VPN а не просто VPN ? Ведь большинство пунктов справедливо для любого сертифицированного VPN решения.

Отвечу: при использовании криптошлюзов и Site - to - Site VPN , их количество на порядок меньше чем пользователей и соответственно добавленные расходы на сертифицированный VPN не так сильно выделяются на общем фоне проекта, а ограничения к ОС и условиям работы почти не сказываются, потому что на криптошлюзы (в отличает от ноутбуков, планшетов и смарт-фонов) приобретаются в рамках самого проекта и уже содержат необходимую ОС и преднастроены для соблюдения ограничений.

Наиболее интересные ограничения и условия (прошу внимательно прочитать и проверить что у вас они соблюдаются):

“1.2 Эксплуатация СКЗИ ЖТЯИ.00050-03 должна проводиться в соответствии с эксплуатационной документацией, предусмотренной настоящим Формуляром

1.4 При эксплуатации СКЗИ ЖТЯИ.00050-03 должны использоваться сертификаты открытых ключей, выпущенные Удостоверяющим центром, сертифицированным по классу защиты не ниже класса защиты используемого СКЗИ.”

“1.5 При встраивании СКЗИ ЖТЯИ.00050-03 в прикладные системы необходимо проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований:

1) если информация, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации;

2) при организации защиты информации, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;”

“7.8 При эксплуатации СКЗИ ЖТЯИ.00050-03 должны соблюдаться следующие сроки использования пользовательских закрытых ключей и сертификатов: максимальный срок действия закрытого ключа ЭП (ключа ЭП) - 1 год 3 месяца;

Допускается хранение закрытых ключей на HDD ПЭВМ (в реестре ОС Windows, в разделе HDD при работе под управлением других ОС) при условии распространения на HDD или на ПЭВМ с HDD требований по обращению с ключевыми носителями.”

“17. При функционировании исполнения 2 СКЗИ в программно-аппаратных средах Windows XP/2003 , ОС Solaris 9/10 (sparc, ia32, x64) инициализация ПДСЧ должна производиться с использованием внешней гаммы.”

6. Криптопро CSP 3.6.1 Руководство администратора безопасности. Использование СКЗИ под управлением ОС iOS. ЖТЯИ.00050-03 90 02-07

“2. Для операционной системы iOS КриптоПро CSP не поставляется в виде конечного приложения. КриптоПро CSP для iOS представляет собой фреймворк для разработки, который содержит в себе объектный файл, реализующий функции CSP, ресурсы и заголовочные файлы. Фреймворк не имеет механизма самостоятельной установки в операционную систему. Установка осуществляется в составе прикладной программы, разработанной на основе фреймворка теми средствами, которые предлагает разработчик прикладной программы.

7. Криптопро CSP 3.6.1 Руководство администратора безопасности. Использование СКЗИ под управлением ОС iOS. ЖТЯИ.00050-03 90 02-07

“3. Межсетевой экран должен быть сертифицирован ФСБ России на соответствие требованиям к устройствам типа межсетевой экран по 4 классу защищенности. Не входит в комплект поставки, поставляется по согласованию с заказчиком.”

“4.5…. Для всех исполнений СКЗИ для исключения возможности влияния аппаратных компонентов СФК на функционирование СКЗИ должны быть выполнены следующие требования:

в случае обработки информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, необходимо проводить исследования ПО BIOS СВТ, на котором установлен ПК "CSP VPN Gate", на соответствие требованиям "Временных методических рекомендаций к проведению исследований программного обеспечения BIOS по документированным возможностям"

“6. …. Аутентификация пользователей при обращении к шлюзу StoneGate Firewall/VPN возможна с использованием метода аутентификации на основе сертификатов. Возможна комбинация методов аутентификации по сертификатам c другими методами для предоставления пользователю доступа к функциям системы.

Аутентификация абонентов при взаимодействии шлюза StoneGate Firewall/VPN с другими шлюзами возможна с использованием методов аутентификации на основе сертификатов и на основе предварительно распределяемых ключей. При использовании метода аутентификации на основе предварительно распределяемых ключей каждая пара шлюзов должна иметь уникальный ключ длиной 256 бит (при использовании для генерирования и распределения ключей для шлюзов StoneGate Firewall/VPN функций системы управления SMC это требование выполняется автоматически)

- при использовании СКЗИ на ПЭВМ, подключенных к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей должны использоваться дополнительные методы и средства защиты (межсетевые экраны). При этом возможно задействовать функции разграничения сетевого доступа шлюза StoneGate Firewall/VPN (данный функционал имеет сертификат ФСТЭК);”

“15. при использовании СКЗИ на ПЭВМ, подключенных к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например: установка межсетевых экранов, организация VPN сетей и т.п.). При этом предпочтение должно отдаваться средствам защиты, имеющим сертификат уполномоченного органа по сертификации.”

В настоящее время производитель устанавливает на МАРШ! только Linux. Идет тестирование Windows Embeded. Если МАРШ! будет поставляться в составе с Windows, то условия формуляра позволяют использовать такой вариант для класса КС2

…4. СКЗИ должно использоваться со средствами антивирусной защиты. Класс антивирусных средств защиты определяется условиями эксплуатации СКЗИ в автоматизированных системах”

“13….Программное обеспечение СКЗИ ЖТЯИ.00050-03 должно использоваться со средствами антивирусной защиты, сертифицированными ФСТЭК и ФСБ России:

Типовой комплект документов при использовании сертифицированных СКЗИ для защиты ПДн (ссылки на пункты типовых требований149/6/6-622 ФСБ России по защите ПДн, которые в свою очередь скопированы из приказа 152 ФАПСИ):

· приказ о назначении лиц (пользователей криптосредств), допущенных к работе с криптосредствами (п. 2.3);

· документ, устанавливающего порядок организации контроля за соблюдением условий использования криптосредств (п. 2.3);

· документ, устанавливающий требования к режимным помещениям, в которых эксплуатируются криптосредства (п. 4.1);

При установке тахографов мастерские столкнулись с необходимостью разбираться в вопросах, связанных с использованием средств криптографической защиты информации (СКЗИ). Дополнительная информация стала тем более актуальной, так как с 1 июля 2016 года официально запрещены аналоговые тахографы, которые теперь необходимо менять на тахографы с блоком СКЗИ.

Один из основных - необходимость взаимодействия с регулятором в этой области, ФСБ России. Навипорт обратился к экспертам в сфере защиты информации, чтобы они на основе практического опыта разъяснили наиболее важные аспекты эксплуатации и оборота СКЗИ мастерскими. Чаще всего сервисные центры интересуют вопросы, связанные с проверками, проводимыми ФСБ России в рамках выполнения своих функций контроля требований, оборота и эксплуатации СКЗИ.

Что могут проверить у мастерской?

Учет и хранение средств шифрования, допуски к СКЗИ, регламент их использования должны проводиться в строгом соответствии с требованиями законодательства.

Ниже приведен перечень предметов проверки:

1. Лицензионные требования в области использования СКЗИ.

наличие необходимой лицензий ФСБ России;
соблюдение лицензионных требований мастерскими, в т.ч. обеспечение необходимым квалифицированным составом специалистов в области информационной безопасности.

2. Разрешительная и эксплуатационная документация:

наличие необходимых лицензий для использования СКЗИ в информационных системах;
наличие сертификатов соответствия на используемые СКЗИ;
наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководств оператора и т.п.);
порядок учета СКЗИ, эксплуатационной и технической документации к ним;
выявление несертифицированных ФСБ России (ФАПСИ) СКЗИ.

3. Требования к обслуживающему персоналу:

порядок учета лиц, допущенных к работе с СКЗИ;
наличие функциональных обязанностей ответственных пользователей СКЗИ;
укомплектованность штатных должностей личным составом, а также достаточность имеющегося личного состава для решения задач по организации криптографической защиты информации;
организация процесса обучения лиц, использующих СКЗИ, применяемых в информационных системах, правилам работы с ними и другим нормативным документам по организации работ (связи) с использованием СКЗИ.

4. Эксплуатация СКЗИ:

проверка правильности ввода СКЗИ в эксплуатацию и соответствие условий эксплуатации технических средств удостоверяющего центра (при наличии) требованиям эксплуатационной документации и сертификатов соответствия;
оценка технического состояния СКЗИ, соблюдения сроков и полноты проведения технического обслуживания, а также проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним.

5. Оценка соответствия применяемых СКЗИ:

соответствие программного обеспечения, реализующего криптографические алгоритмы используемых СКЗИ, эталонным версиям, проходившим сертификацию в ФСБ России;
проведение (при необходимости) на местах осуществления проверки оперативных тематических исследований используемых СКЗИ.

6. Организационные меры:

выполнения требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, а также соответствия режима хранения СКЗИ и ключевой документации предъявляемым требованиям;
оценка степени обеспечения мастерской криптоключами и организации их доставки.
проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ.
порядок проведения разбирательств и составления заключений по фактам нарушения условий хранения носителей персональных данных или использования СКЗИ.

7. Обеспечение системы организационных и технических мер защиты персональных данных:

область применения средств криптографической защиты информации (далее - СКЗИ) в информационных системах персональных данных;
наличие ведомственных документов и приказов по организации криптографической защиты информации;
выполнение рекомендаций и указаний ФСБ России (при их наличии) по вопросам организации связи с использованием криптосредств;
наличие аттестованных на соответствие требованиям по информационной безопасности автоматизированных систем;
наличие оценок эффективности систем защиты персональных данных;
наличие системы защиты персональных данных в целом.

8. Организация системы криптографических мер защиты персональных данных:

наличие модели угроз безопасности персональных данных;
соответствие модели угроз исходным данным;
соответствие требуемого уровня криптографической защиты частной модели угроз безопасности персональных данных;
соответствие используемых СКЗИ требуемому уровню криптографической защиты;
наличие документов по поставке СКЗИ мастерской.

Как оформляются результаты проверки?

По результатам проверки должностными лицами ФСБ России составляется акт в двух экземплярах. Один из них с копиями приложений вручается руководству мастерской или уполномоченному лицу под расписку об ознакомлении или отказе в ознакомлении с актом проверки.

В журнале учета проверок сотрудники ФСБ России записывают информацию о проверке, где указывают время ее начала и окончания, правовых основаниях, целях, задачах и предмете проверки, выявленных нарушениях и выданных предписаниях, а также указывают фамилии, имена, отчества и должности должностного лица или должностных лиц, проводящих проверку. При отсутствии журнала учета проверок в акте проверки делается соответствующая запись.

Нарушение мастерской правил в области использования СКЗИ, согласно статьям 13.6; 13.12; 13.13; 14.1. Кодекса Российской Федерации об административных правонарушениях, может повлечь санкции:

— штрафы до 300 тыс. руб. для должностных лиц и организации,

— конфискация средств криптозащиты.

В итоге, при выявлении серьезных нарушений, мастерская может лишиться права оказывать услуги в области СКЗИ, или ее работа может быть блокирована в системе обмена данными. Кроме того, за осуществление деятельности без лицензии предусматривается уже уголовная ответственность по ст. 171 Уголовного кодекса Российской Федерации.

Для того чтобы подготовиться к проверке ФСБ, необходимо провести ряд организационных и технических мер, разработать и утвердить документы, связанные с работой с СКЗИ. В следующей статье эксперты по защите информации расскажут, какие типичные нарушения выявляются при проверках, и что делать, если в вашей мастерской обнаружили нарушения.

Богданов Андрей Петрович Эксперт

Эксперт по защите информации

Здравствуйте! Ни в одном нормативном акте регулятора не идёт речи об отмене аналоговых контрольных устройств, устанавливаемых на транспортные средства. В приказе Минтранса России № 273 идёт речь о том, что транспортные средства должны быть оснащены техническими устройствами, обеспечивающими регистрацию на карты ЕСТР или на карты тахографа, использующие СКЗИ для защиты информации. Так что, используйте "аналоговый тахограф" на здоровье. Но для контроля режимов труда и отдыха водителя, будьте любезны использовать техническое устройство в соответствии с требованиями приказа Минтранса России № 273. Более того, транспортные средства, осуществляющие международные перевозки, могут эксплуатироваться с аналоговыми контрольными устройствами, в соответствии с договорённостями, изложенными в ЕСТР с дополнениями. Слова о запрете можно услышать и прочесть в различных комментариях, но не в нормативных, а, тем более, законодательных актах. Однако, при этом, эксплуатация аналоговых контрольных устройств, если транспортное средство не осуществляет международные перевозки, стала не актуальна. Для выполнения контрольно надзорных функций по контролю режимов труда и отдыха водителей информация соответствующими органами будет получаться с технических устройств, обеспечивающих регистрацию на карты ЕСТР или на карты тахографа, использующие СКЗИ для защиты информации. Такой экспертный комментарий мы получили, чем и хотим поделиться. Возможно наши специалисты не достаточно компетентны, но у нас бытует устойчивое мнение, что аналоговые контрольные устройства вообще не могут обеспечить регистрацию ни на какую карту, в том числе и, так называемую, по 720 постановлению. В данной ситуации, по нашему мнению, если при проверке контролёром на транспортном средстве будет установлено аналоговое контрольное устройство, но не будет цифрового контрольного устройства, то организация, эксплуатирующая такое транспортное средство, будет подвергнута административному наказанию. Но, это не касается транспортного средства, осуществляющего международные перевозки. Т.е., имеющего специальное разрешение.

Достаточно важно, что данный документ опубликован только на сайте ФСБ, не имеет регистрации в Минюсте и не несет ничьей подписи — то есть его юридическая значимость и обязательность применения находятся под вопросом.

Когда же необходимо использовать СКЗИ?

если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.

Это логично. Но когда угрозы могут быть нейтрализованы только с помощью СКЗИ"?

передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.

Но, как говорится, нет правил без исключения. В конце документа есть две таблицы. Приведем лишь одну строку Приложения № 1.

Обоснование отсутствия (список немного сокращен):

сотрудники, являющиеся пользователями ИСПДн, но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;
пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;
помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;
утверждены правила доступа в помещения, где располагаются СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;
осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;
осуществляется регистрация и учет действий пользователей с ПДн;
на АРМ и серверах, на которых установлены СКЗИ:
- используются сертифицированные средства защиты информации от несанкционированного доступа;
- используются сертифицированные средства антивирусной защиты.
То есть, если пользователи проинформированы о правилах и ответственности, а двери запираются, то беспокоиться не о чем. Блажен, кто верует. О необходимости контроля за соблюдением правил речь в документе даже не идет.

Что еще интересного есть в документе?
- для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия.
Правда чуть ниже говорится, что список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. Про то, что оценка соответствия не есть сертификация, говорилось неоднократно.
- в случае отсутствия прошедших в установленном порядке процедуру оценки соответствия СКЗИ… на этапе аванпроекта или эскизного (эскизно-технического) проекта разработчиком информационной системы с участием оператора (уполномоченного лица) и предполагаемого разработчика СКЗИ готовится обоснование целесообразности разработки нового типа СКЗИ и определяются требования к его функциональным свойствам.
Очень приятный пункт. Дело в том, что сертификация процесс очень длительный — до полугода и больше (скажем, в случае нашей компании предыдущая сертификация заняла у нас 8 месяцев). Зачастую клиенты используют новейшие ОС, не поддерживаемые сертифицированной версией. В соответствии с этим документом клиенты могут использовать продукты, находящиеся в процессе сертификации.

В документе указывается, что:

При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
- описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
- выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы.
Соответственно необходимо иметь документ, анализирующий защищенность канала. При этом не указывается, какие организации имеют право выдавать такие заключения.

Документ содержит перечень сведений, которые необходимо указывать при описании информационных систем. Например:
- характеристики безопасности (конфиденциальность, целостность, доступность, подлинность), которые необходимо обеспечивать для обрабатываемых персональных данных;
- используемые в каждой подсистеме или в информационной системе в целом каналы (линии) связи, включая кабельные системы, и меры по ограничению несанкционированного доступа к защищаемой информации, передаваемой по этим каналам (линиям) связи, с указанием каналов (линий) связи, в которых невозможен несанкционированный доступ к передаваемой по ним защищаемой информации, и реализуемые для обеспечения этого качества меры;
- носители защищаемой информации, используемые в каждой подсистеме информационной системы или в информационной системе в целом (за исключением каналов (линий) связи).
Ну и в заключение скажем, что:

Согласование с ФСБ России частных моделей угроз операторов, подготовленных в соответствии с настоящими методическими рекомендациями, не требуется.

Читайте также: