20.4.16

Ответ ФСБ по поводу необходимости применения сертифицированных СКЗИ для защиты ПДн

Чуть меньше года назад я уже публиковал свою презентацию с рассмотрением вопроса о необходимости применения сертифицированных СКЗИ при защите ПДн. И вот на днях мне переслали ответ 8-го Центра ФСБ по данному вопросу. Самое важное в этом ответе находится в первом абзаце - СКЗИ не являются обязательными.


В следующем абзаце говорится о том, что определение актуальных угроз осуществляется оператором ПДн (и никем иным). В последующих абзацах повторяется классическая фраза 8-го Центра, что СКЗИ надо применять, если определенные угрозы могут быть нейтрализованы только СКЗИ. К таким угрозам 8-й Центр относит только две ситуации:


Я по-прежнему придерживаюсь позиции, отраженной в презентации, - информацию в каналах связи можно защитить различными способами, а не только СКЗИ, что вытекает из 19-й статьи ФЗ-152.


Ну и по поводу сертификации - в ответе 8-го Центра нет ни слова про сертифицированные СКЗИ. От слова "вообще".

Вот как-то так...

20 коммент.:

Unknown комментирует...

Добрый день, Алексей!
А можно получить полный ответ?

С Уважением!

Unknown комментирует...

Алексей, добрый день!
В ответе 8-го Центра ничего не указано про необходимость использования именно сертифицированных СКЗИ. Но ведь есть "Методические рекомендации..." утвержденные руководством 8 Центра ФСБ России от 31.03.2015 №149/7/2/6-432, в которых есть во второй части такой абзац:

- для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru). Дополнительную информацию о конкретных средствах защиты информации рекомендуется получать непосредственно у разработчиков или производителей этих средств и, при необходимости, у специализированных организаций, проводивших тематические исследования этих средств;

Далее идет абзац, в котором говорится, что в случае отсутствия подходящего сертифицированного СКЗИ нужно разрабатывать средство в соответствии с ПКЗ-2005.

Чем это не требование использовать сертифицированные СКЗИ?

Есть приказ ФСБ России от 10.07.2014 №378, в котором в подпункте "г" пункта 5 указано: " использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз."

Немного сбивает с толку вот это "когда применение таких средств необходимо для нейтрализации актуальных угроз". Но вся эта необходимость должна быть описана в модели нарушителя.

Но в этом случае опять же в разделе 3 "Методических рекомендаций..." от 2015 года указано, что "При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
- описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
- выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы."

Я всё это к чему - да, нет необходимости использовать СКЗИ всегда и везде при обеспечении безопасности обработки ПДн. Но для этого нужно сформировать модель нарушителя, где всё это описать и доказать. Про два случая, когда нужно их использовать Вы писали. Но то, что для обеспечения безопасности обработки ПДн по открытым каналам связи, или если обработка этих ПДн выходит за границы контролируемой зоны, можно использовать несертифицированные СКЗИ - тут не всё так просто. И может так случиться, что проще использовать сертифицированные СКЗИ и соблюдать все требования при их эксплуатации и хранении, чем использовать несертифицированные средства и бодаться с регулятором, который видя такую ситуацию, будет очень стараться ткнуть носом.

Unknown комментирует...

Cлучай, когда применение таких средств необходимо для нейтрализации актуальных угроз: требование Приказа ФСТЭК России № 17 от 11 февраля 2013 г. (требования к государственными и муниц. ИСПДн),

пункт 11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».

Алексей Лукацкий комментирует...

Proximo: рекомендации ФСБ нелегитимны. 378-й приказ легитимен, но должен рассматриваться в контексте всего законодательства, а оно говорит, что особенности оценки соответствия устанавливаются Правительством или Президентом. Ни то, ни другой таких НПА не выпускали т

Алексей Лукацкий комментирует...

Антон: в госах требование сертификации установлено законом, 17-й приказ их просто повторяет. А мы про ПДн говорим

Unknown комментирует...

Алексей Лукацкий: №рекомендации ФСБ нелегитимны" Как нелегитимны? Я про документ от 19.05.2015 №149/7/2/6-432 (http://www.fsb.ru/fsb/science/single.htm!id%3D10437608%40fsbResearchart.html), но не про документ от 21.02.2008 №149/54-144.

Другой специалист также ранее делал запрос в ФСБ по похожей теме, и ему ответили, что "Методику..." и "Рекомендации..." ФСБ от 2008 года не нужно использовать, если Вы говорите про эти документы. Но опять же - официально эти документы не отменили. И легитимны эти документы или нет, полагаю, будут решать проверяющие от ФСБ уже на месте в ходе проверки.

Закон говорит, что нужно защищать ПДн. Подзаконные акты от Правительства, ФСБ, ФСТЭК определяют, как именно нужно их защищать. В НПА от ФСБ говорится: "Используйте сертифицированное. Если не хотите сертифицированное - докажите, что можете использовать такое. И будьте добры - приложите заключение на это от фирмы, у которой есть лицензия на право выдачи таких заключений". Как-то так...

Алексей Лукацкий комментирует...

1. Любая рекомендация - это рекомендация, а не обязательное к исполнению требование.
2. Методичка 2015-го года не имеет отношения к операторам ПДн - она относится к госам, которые пишут модели угроз для подведомственных учреждений (с учетом п.1).
3. ФСБ не имеет права проводить проверки коммерческим операторов ПДн, а для госов вопрос применения несертифицированных СКЗИ и не стоит - они обязаны применять сертифицированные решения, независимо от наличия ПДн - это требования ФЗ-149.
4. Подзаконные акты говорят как защищать и это нормально. А вот форму оценку средств защиты они определять не могут - это может сделать только НПА Правительства или Президента. ФСБ не уполномочено это делать

Unknown комментирует...

В соответствии с Постановлением 1119:

4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
13.г. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Каким образом обосновать не актуальность угрозы при передачи ПДн через каналы оператора связи?

Т.е. если не СКЗИ, то видимо,
- терминальный доступ и тонкие клиенты, но при этом данные СЗИ терминального
доступа должны быть сертифицированы.
- защиты каналов оператором связи, ответственность на оператора связи (провайдера).

Алексей Лукацкий комментирует...

Неактуальность определяет оператор и никто ему для этого не нужен

Андрей комментирует...

Интересно узнать позицию автора по применению Приказа ФСБ №378, в частности п.9 в), которая говорит, что даже для 4 уровня защищенности необходимо применение СКЗИ класса КС1 и выше.
То есть какие либо другие способы защиты персональных данных даже не рассматриваются, в том числе иностранная криптография.

Алексей Лукацкий комментирует...

Я уже высказывался много раз по поводу и 378-го приказа и вообще по криптографии для ПДн. Поищите в блоге

Unknown комментирует...

3. ФСБ не имеет права проводить проверки коммерческим операторов ПДн.

Добрый день, Алексей. Можно ссылку на данный документ? О том, что ФСБ не имеют права проверять коммерческие организации, в т.ч. Банки

Алексей Лукацкий комментирует...

Ст.19 ФЗ-152

Unknown комментирует...

Алексей, спасибо.
А как тогда трактовать/понимать ч.9. ст. 19 ФЗ-152? ФСБ и ФСТЭК решением Правительства РФ могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности ПДн?

Вот в этой же статье 19, п.3. ч.2. Применение прошедших в установленном порядке процедуру оценки соответствия СЗИ.
Что понимается под фразой "СЗИ, прошедшие процедуру оценки соответствия"? Это сертифицированные СЗИ или мы можем защитить любыми, выбранными нами, т.е. не имеющих сертификата ФСТЭК (либо вообще организационными и тех. мерами, аутентификация, разграничение прав доступа к ИС), а каналы связи между отделениями защитить СКЗИ, не имеющих сертификата ФСБ?????
Наша организация не является ГИС-ом.
Задавал данный вопрос во ФСТЭК. На что получил ответ "Оценка соответствия может быть добровольной, либо по решению оператора в соответствии с тех. заданием на создание системы защиты ИС с применением ПП № 330 от 15.05.2010г. "Об особенностях оценки соответствия продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, сост. ГТ".
НО, как мы можем применить в своей работе данное ПП, если оно имеет гриф ДСП, в свободном доступе нет, а мы не являемся лицензиатом ФСТЭК, соответственно получить его не можем.

И ещё вопрос, организация может проводить все работы по защите ПДн своими силами? Или для проектирования системы защиты нам необходима лицензия ФСТЭК или привлечение организации, имеющую лицензию на ТЗКИ? Исходя из п. д) ч.4 Положения о лицензировании деятельности по ТЗКИ утв. ПП РФ от 03.02.2012 № 79

Алексей Лукацкий комментирует...

На все эти вопросы я уже отвечал несколько лет назад :-) Надо в блоге смотреть

Unknown комментирует...

Алексей, если не затруднит, повторитесь пожалуйста, ну или хоть ссылочки на Ваши посты, касающихся моих вопросов, помогите Крымским начинающим безопасникам, т.к. голова от "чётких" законов просто пухнет :)

Алексей Лукацкий комментирует...

Надо по тегу "персональные данные" искать. Или через Google в блоге. Я уже не помню, когда конкретно я писал про это. Если эта тема для крымских безопасников нова, то все заметки про персданные будут полезны :-)

Unknown комментирует...

Тема как раз таки и не нова, а вот чётких определений хотелось бы увидеть от регуляторов.
Спасибо, что не отказали :)
будем искать

Unknown комментирует...

Жаль я своевременно не заметил ответа.

Алексей Лукацкий пишет...
"3. ФСБ не имеет права проводить проверки коммерческим операторов ПДн"

Алексей, ОЧЕНЬ странная мысль от Вас, заставляющая усомниться... Я работаю в коммерческой организации, в которой в конце 2016 года была проверка ФСБ как раз по вопросам применения СКЗИ при обеспечении безопасности обработки ПДн.
ФСБ имеют право проводить проверки где угодно. Странно, что Вы этого не знаете.

Алексей Лукацкий комментирует...

Сомнения свойственны любому здравомыслящему человеку, который не привык верить на слово. Поэтому образу ваше внимание на ст.19.8 и 19.9, где четко написано, что ФСБ и ФСТЭК имеют право проводить проверки только госов. Коммерческих операторов проверять можно только по отдельному постановлению Правительства, чего нет и не было.