20.04.2016

Ответ ФСБ по поводу необходимости применения сертифицированных СКЗИ для защиты ПДн

Чуть меньше года назад я уже публиковал свою презентацию с рассмотрением вопроса о необходимости применения сертифицированных СКЗИ при защите ПДн. И вот на днях мне переслали ответ 8-го Центра ФСБ по данному вопросу. Самое важное в этом ответе находится в первом абзаце - СКЗИ не являются обязательными.


В следующем абзаце говорится о том, что определение актуальных угроз осуществляется оператором ПДн (и никем иным). В последующих абзацах повторяется классическая фраза 8-го Центра, что СКЗИ надо применять, если определенные угрозы могут быть нейтрализованы только СКЗИ. К таким угрозам 8-й Центр относит только две ситуации:


Я по-прежнему придерживаюсь позиции, отраженной в презентации, - информацию в каналах связи можно защитить различными способами, а не только СКЗИ, что вытекает из 19-й статьи ФЗ-152.


Ну и по поводу сертификации - в ответе 8-го Центра нет ни слова про сертифицированные СКЗИ. От слова "вообще".

Вот как-то так...

11 коммент.:

Roman Stoyanov комментирует...

Добрый день, Алексей!
А можно получить полный ответ?

С Уважением!

Proximo комментирует...

Алексей, добрый день!
В ответе 8-го Центра ничего не указано про необходимость использования именно сертифицированных СКЗИ. Но ведь есть "Методические рекомендации..." утвержденные руководством 8 Центра ФСБ России от 31.03.2015 №149/7/2/6-432, в которых есть во второй части такой абзац:

- для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru). Дополнительную информацию о конкретных средствах защиты информации рекомендуется получать непосредственно у разработчиков или производителей этих средств и, при необходимости, у специализированных организаций, проводивших тематические исследования этих средств;

Далее идет абзац, в котором говорится, что в случае отсутствия подходящего сертифицированного СКЗИ нужно разрабатывать средство в соответствии с ПКЗ-2005.

Чем это не требование использовать сертифицированные СКЗИ?

Есть приказ ФСБ России от 10.07.2014 №378, в котором в подпункте "г" пункта 5 указано: " использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз."

Немного сбивает с толку вот это "когда применение таких средств необходимо для нейтрализации актуальных угроз". Но вся эта необходимость должна быть описана в модели нарушителя.

Но в этом случае опять же в разделе 3 "Методических рекомендаций..." от 2015 года указано, что "При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
- описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
- выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы."

Я всё это к чему - да, нет необходимости использовать СКЗИ всегда и везде при обеспечении безопасности обработки ПДн. Но для этого нужно сформировать модель нарушителя, где всё это описать и доказать. Про два случая, когда нужно их использовать Вы писали. Но то, что для обеспечения безопасности обработки ПДн по открытым каналам связи, или если обработка этих ПДн выходит за границы контролируемой зоны, можно использовать несертифицированные СКЗИ - тут не всё так просто. И может так случиться, что проще использовать сертифицированные СКЗИ и соблюдать все требования при их эксплуатации и хранении, чем использовать несертифицированные средства и бодаться с регулятором, который видя такую ситуацию, будет очень стараться ткнуть носом.

Антон Липин комментирует...

Cлучай, когда применение таких средств необходимо для нейтрализации актуальных угроз: требование Приказа ФСТЭК России № 17 от 11 февраля 2013 г. (требования к государственными и муниц. ИСПДн),

пункт 11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».

Алексей Лукацкий комментирует...

Proximo: рекомендации ФСБ нелегитимны. 378-й приказ легитимен, но должен рассматриваться в контексте всего законодательства, а оно говорит, что особенности оценки соответствия устанавливаются Правительством или Президентом. Ни то, ни другой таких НПА не выпускали т

Алексей Лукацкий комментирует...

Антон: в госах требование сертификации установлено законом, 17-й приказ их просто повторяет. А мы про ПДн говорим

Proximo комментирует...

Алексей Лукацкий: №рекомендации ФСБ нелегитимны" Как нелегитимны? Я про документ от 19.05.2015 №149/7/2/6-432 (http://www.fsb.ru/fsb/science/single.htm!id%3D10437608%40fsbResearchart.html), но не про документ от 21.02.2008 №149/54-144.

Другой специалист также ранее делал запрос в ФСБ по похожей теме, и ему ответили, что "Методику..." и "Рекомендации..." ФСБ от 2008 года не нужно использовать, если Вы говорите про эти документы. Но опять же - официально эти документы не отменили. И легитимны эти документы или нет, полагаю, будут решать проверяющие от ФСБ уже на месте в ходе проверки.

Закон говорит, что нужно защищать ПДн. Подзаконные акты от Правительства, ФСБ, ФСТЭК определяют, как именно нужно их защищать. В НПА от ФСБ говорится: "Используйте сертифицированное. Если не хотите сертифицированное - докажите, что можете использовать такое. И будьте добры - приложите заключение на это от фирмы, у которой есть лицензия на право выдачи таких заключений". Как-то так...

Алексей Лукацкий комментирует...

1. Любая рекомендация - это рекомендация, а не обязательное к исполнению требование.
2. Методичка 2015-го года не имеет отношения к операторам ПДн - она относится к госам, которые пишут модели угроз для подведомственных учреждений (с учетом п.1).
3. ФСБ не имеет права проводить проверки коммерческим операторов ПДн, а для госов вопрос применения несертифицированных СКЗИ и не стоит - они обязаны применять сертифицированные решения, независимо от наличия ПДн - это требования ФЗ-149.
4. Подзаконные акты говорят как защищать и это нормально. А вот форму оценку средств защиты они определять не могут - это может сделать только НПА Правительства или Президента. ФСБ не уполномочено это делать

Александр Капустин комментирует...

В соответствии с Постановлением 1119:

4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
13.г. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Каким образом обосновать не актуальность угрозы при передачи ПДн через каналы оператора связи?

Т.е. если не СКЗИ, то видимо,
- терминальный доступ и тонкие клиенты, но при этом данные СЗИ терминального
доступа должны быть сертифицированы.
- защиты каналов оператором связи, ответственность на оператора связи (провайдера).

Алексей Лукацкий комментирует...

Неактуальность определяет оператор и никто ему для этого не нужен

Андрей комментирует...

Интересно узнать позицию автора по применению Приказа ФСБ №378, в частности п.9 в), которая говорит, что даже для 4 уровня защищенности необходимо применение СКЗИ класса КС1 и выше.
То есть какие либо другие способы защиты персональных данных даже не рассматриваются, в том числе иностранная криптография.

Алексей Лукацкий комментирует...

Я уже высказывался много раз по поводу и 378-го приказа и вообще по криптографии для ПДн. Поищите в блоге