Уже много лет на разных площадках периодически возникает вопрос - когда проведение оценки влияния (корректность встраивания) среды функционирования СКЗИ (т.е. прикладного ПО) на выполнение предъявляемых к СКЗИ требований ФСБ является обязательным, а когда нет?
Данным постом выскажу свое частное мнение по этому вопросу. Заранее благодарен за отзывы и комментарии. Вместе, надеюсь, найдем истину.
Необходимость провдения такой оценки регулируется двумя основными документами:
1. Приказ
ФСБ №66 от 9 февраля 2005 г., под названием ПКЗ-2005 (Об утверждении положения о разработке, производстве, реализации и
эксплуатации шифровальных (криптографических) средств защиты информации
(Положение ПКЗ-2005))
2. Формуляр
на СКЗИ (рассмотрим на примере СКЗИ КриптоПро CSP
5.0 R2).
- п.35: «Оценка влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований осуществляется разработчиком СКЗИ совместно со специализированной организацией».
- п.46: «СКЗИ эксплуатируются в соответствии с правилами пользования ими»
«Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:
- если
информация конфиденциального характера подлежит защите в соответствии с
законодательством РФ;
- при
организации криптозащиты информации конфиденциального характера в ФОИВ, ОИВ
субъектов РФ (далее - государственные органы);
- при
организации криптографической защиты информации конфиденциального характера в
организациях независимо от их организационно-правовой формы и формы
собственности при выполнении ими заказов на поставку товаров, выполнение работ
или оказание услуг для государственных нужд (далее - организации, выполняющие
государственные заказы);
- если
обязательность защиты информации конфиденциального характера возлагается
законодательством РФ на лиц, имеющих доступ к этой информации или наделенных
полномочиями по распоряжению сведениями, содержащимися в данной информации;
- при
обрабатывании информации конфиденциального характера, обладателем которой
являются государственные органы или организации, выполняющие государственные
заказы, в случае принятия ими мер по охране ее конфиденциальности путем
использования средств криптографической защиты;
- при
обрабатывании информации конфиденциального характера в государственных органах
и в организациях, выполняющих государственные заказы, обладатель которой
принимает меры к охране ее конфиденциальности путем установления необходимости
криптографической защиты данной информации.»
Формуляр
на СКЗИ КриптоПро CSP 5.0 R2
При встраивании СКЗИ в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях:
- если
информация конфиденциального характера подлежит защите в соответствии с
законодательством РФ;
- при
организации защиты конфиденциальной информации, обрабатываемой СКЗИ, в ФОИВ,
ОИВ субъектов РФ;
- при
организации криптозащиты конфиденциальной информации, обрабатываемой СКЗИ, в
организациях независимо от их организационно-правовой формы и формы
собственности при выполнении ими заказов на поставку товаров, выполнение работ
или оказание услуг для гос.нужд;
- если
обязательность защиты информации конфиденциального характера возлагается
законодательством РФ на лиц, имеющих доступ к этой информации или наделенных
полномочиями по распоряжению сведениями, содержащимися в данной информации;
- при
обрабатывании информации конфиденциального характера, обладателем которой
являются гос.органы или организации, выполняющие гос.заказы, в случае принятия
ими мер по охране ее конфиденциальности путем использования СКЗИ;
- при
обрабатывании информации конфиденциального характера в гос.органах и в
организациях, выполняющих гос.заказы, обладатель которой принимает меры к
охране ее конфиденциальности путем установления необходимости криптозащиты
данной информации.
Выводы
Таким образом, оценка влияния является обязательной
в следующих случаях:
- Если СКЗИ применяются в ИС для криптозащиты ПДн (т.к. ПДн подлежат защите в соответствии со 152-ФЗ «О персональных данных» с использованием прошедших в установленном порядке процедуру оценки соответствия средств защиты информации);
- Если СКЗИ используются для организации криптозащиты информации конфиденциального характера в ФОИВ, ОИВ субъектов РФ и в иных организациях при выполнении ими заказов на поставку товаров, выполнении работ или оказании услуг для государственных нужд.
При этом важно отметить, что оценка влияния в указанных выше случаях не является обязательной, если на
СКЗИ не возлагается задача по обеспечению конфиденциальности и/или целостности информации,
например, когда СКЗИ используется как средство электронной подписи только для обеспечения юридической значимости
электронного документа, а конфиденциальность и целостность ПДн обеспечивается
другими средствами защиты, например, средствами VPN.
Однако, для случая, указанного в п.2 выше, оценка влияния, как показывает
практика, в любом случае проводится.
В последнем абзаце, достаточно неоднозначное заявление, что на средство усиленной ЭП не возлагается задача по обеспечению целостности.))
ОтветитьУдалитьВозможно имело бы смысл обратить внимание на комент ФСБ на эту же тему (статьи) - http://www.fsb.ru/fsb/science/single.htm%21id%3D10437494%40fsbResearchart.html