Главная » Блоги Экспертов И ИТ-Компаний » СЗПДн. Анализ. Обеспечение безопасности при использовании СКЗИ

СЗПДн. Анализ. Обеспечение безопасности при использовании СКЗИ

Думаю, что многие, кто использует сертифицированные СКЗИ сталкивались с инструкцией утвержденной приказом ФАПСИ от 13 июня 2001 г. №152 (далее - Инструкция) и её не совсем удобными требованиями по обеспечению безопасности помещений и хранилищ. Хотя большинство лиц, которые обязаны выполнять требования Инструкции ничего не знают о ней.
Даже есть не трогать ОКЗИ и взять только то что касается хранилищ и помещений пользователей:
“30.        Пользователи СКЗИ хранят инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

Пользователи СКЗИ предусматривают также раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих криптоключей.

31.          Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей СКЗИ указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища.

51.          Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, должны обеспечивать сохранность конфиденциальной информации, СКЗИ, ключевых документов.

При оборудовании спецпомещений должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функционирующего с СКЗИ.

52.          Спецпомещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к СКЗИ. Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие спецпомещений в нерабочее время. Окна спецпомещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.

62.          Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в спецпомещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ.

На время отсутствия пользователей СКЗИ указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае пользователи СКЗИ по согласованию с органом криптографической защиты обязаны предусмотреть организационно-технические меры, исключающие возможность использования СКЗИ посторонними лицами в их отсутствие.

63.          Режим охраны спецпомещений пользователей СКЗИ, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает обладатель конфиденциальной информации по согласованию с соответствующим органом криптографической защиты. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Инструкции, специфику и условия работы конкретных пользователей СКЗИ.

64.          В спецпомещениях пользователей СКЗИ для хранения выданных им ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей необходимо иметь достаточное число надежно запираемых шкафов (ящиков, хранилищ) индивидуального пользования, оборудованных приспособлениями для опечатывания замочных скважин. Ключи от этих хранилищ должны находиться у соответствующих пользователей СКЗИ.

66.          В обычных условиях опечатанные хранилища пользователей СКЗИ могут быть вскрыты только самими пользователями.

В связи с тем, что в организации может быть достаточно большой процент пользователей СКЗИ и помещений в которых используются СКЗИ. Возьмём, например, медицинские учреждения – в соответствии с распоряжением правительства РФ № 2769-р весь медицинский персонал должен быть обеспечен средствами и сертификатами ЭП, а это большая часть персонала. В организациях других отраслей также возможно обширное применение СКЗИ (удаленный доступ к корпоративной сети, работа в распределенных ИСПДн / ГИС, взаимодействие удаленных объектов, значимый электронный документооборот, передача отчетности, взаимодействие с банками и т.п.)
При реализации требований Инструкции пользователи СКЗИ сталкиваются со следующими проблемами:
·         Опечатывание индивидуальных хранилищ и замочных скважин. А это значит, что придется массово работать с пластилином, а всем пользователям придется носить индивидуальные печати (а тут те же проблемы что и с средствами двухфакторной аутентификации – нежелание пользователей носить их, неудобный форм-фактор, потери, передача, оставленные на рабочем месте печати). Пользователи в настоящее время хотят работать “без пластилина”.  Есть хранилища с кодовыми замками. Есть многошкафчики с электронными замками. Они не вписываются в Инструкцию.
cabin1.jpg
·         Прочные двери с замками. Современные реалии – открытые офисы, кабинеты со стеклянными или пластиковыми перегородками. Они тоже не вписываются в Инструкцию.
open%2Bspace.jpg
·         Решетки на окнах стеклянных зданий
Некоторые пользователи и эксперты ИБ пытаются хитрить – говорят себе: “я буду выполнять только требования, указанные в эксплуатационной документации на СКЗИ, это те же самые требования Инструкции, только адаптированные производителем. Они заменяют для меня требования Инструкции”.
Чтобы разобраться с этими проблемами и спорными моментами, я отправил вопрос в ФСБ России, в котором ссылался на эксплуатационную документацию на СКЗИ КриптоПро и С-терра Шлюз
%25D0%259F%25D1%2580%25D0%25B8%25D0%25BB%25D0%25BE%25D0%25B6%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25B5%2B2.%2Bsterra.png
%25D0%259F%25D1%2580%25D0%25B8%25D0%25BB%25D0%25BE%25D0%25B6%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25B5%2B1.%2B%25D0%25BA%25D1%2580%25D0%25B8%25D0%25BF%25D1%2582%25D0%25BE-%25D0%25BF%25D1%2580%25D0%25BE.png
и ниже представляю их ответ.
%25D0%25BE%25D1%2582%25D0%25B2%25D0%25B5%25D1%2582%2B%25D0%25A4%25D0%25A1%25D0%2591.png
Если кратко:
·         нужно выполнять требования документации на СЗКИ + инструкцию ФАПСИ 152 + требования иных документов (например приказа №378 для ПДн)
·         можно использовать компенсирующие меры "адекватные" заменяемым
Что такое “адекватные”? В моем понимании, это меры, которые будут решать те же задачи. Например, “опечатывание” применяется для определения фактов открытия. Нам подойдет любая мера, решающая  задачу фиксации факта открытия.PS: компенсирующие меры - революция в подходах ФСБ России?


Источник: http://sborisov.blogspot.com/2016/12/blog-post 27.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Работал в области ТЭК, нескольких банках, последние 5 лет в системной интеграции по ИБ. В данный момент работаю в интеграторе "РосИнтеграция". Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых продуктов - docshell, bughunt и других

Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).


Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>