среда, 27 июля 2016 г.

Необходимость использования сертифицированных средств

Довольно часто у заказчиков возникает вопрос - использовать сертифицированные средства защиты информации или обойтись несертифицированными. Выбор несертифицированных гораздо больше, соответственно, есть варианты с довольном скромным прайс-листом. Сертифицированных средств меньше, они дороже, но в некоторых случаях их использование обязательно. В заметке рассмотрим один из таких случаев подробнее.

Цепочки нормативной документации начинаются с Федеральных законов, Постановлений правительства, а заканчиваются приказами регуляторов.

Регуляторами в сфере информационной безопасности являются Федеральная Служба Безопасности (ФСБ) России и Федеральной службы по техническому и экспортному контролю (ФСТЭК) России. ФСБ курирует вопросы, связанные с криптографической защитой информации, ФСТЭК - все остальные.

Рассмотрим цепочку для персональных данных:

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015)
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом 
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. 
<...>
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
<...> 
2. Обеспечение безопасности персональных данных достигается, в частности:
<...> 
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
<...>
4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
Обязанность возложена на оператора, указание на использование средств защиты, прошедших процедуру оценки соответствия и ссылки на нормативные документы регуляторов.

Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных"
<...>
4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
<...>
13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
<...>
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
<...>
Для 3, 2 и 1 уровней требования - "не ниже", т.е. "оценка соответствия" тоже необходима.

ФСБ РФ
Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва
5. <...> для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
<...>
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
<...>
9. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:
<...>
в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.
<...>
10. СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих:
<...>
11. СКЗИ класса КС2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пункте 10 настоящего документа и не менее одной из следующих дополнительных возможностей
<...>
12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:
<...>
13. СКЗИ класса KB применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 - 12 настоящего документа и не менее одной из следующих дополнительных возможностей:
<...>
14. СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 - 13 настоящего документа и не менее одной из следующих дополнительных возможностей:
<...>
Для уровней - аналогично постановлению правительства. Произошел переход от оценки соответствия к классам сертификации СКЗИ.

ФСТЭК РФ 
Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 г. Москва "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн" 
Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных
ФСТЭК придерживается формулировки "оценка соответствия".



Еще один полезный документ ФСБ - Методические рекомендации по защите ПДн
Они носят рекомендательный характер для федеральных органов исполнительной власти, в документе явно прописана необходимость сертификации:
для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. 
Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru).

Также существуют отраслевые требования, в частности для банковской сферы:

Банк России 
СТО БР ИББС 
7.7.3. СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2.


Нормативная база постоянно меняется. Приведенная информация актуальна на 01.08.2016 и могла устареть/изменится. О значительных изменениях законодательства будут отдельные заметки.

Комментариев нет:

Отправить комментарий