Лекции / Epishkina_Naromativnoe_regulirovanie_v_oblasti_zashchity_informatsii_2021
.pdf8)расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению уровня защиты конфиденциальной информации;
9)разработка и принятие мер по предотвращению возможных опасных последствий нарушений условий использования СКЗИ;
10)разработка схемы организации криптографической защиты конфиденциальной информации.
При определении обязанностей сотрудников органов криптографической защиты лицензиаты ФСБ должны принимать во внимание, что безопасность хранения, обработки и передачи по каналам связи конфиденциальной информации с использованием СКЗИ обеспечивается:
1)соблюдением сотрудниками органов криптографической защиты режима конфиденциальности защищаемой информации, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых СКЗИ и о ключевых документах к ним;
2)точным выполнением сотрудниками органов криптографической защиты требований по обеспечению безопасности конфиденциальной информации;
3)надежным хранением сотрудниками органов криптографической защиты СКЗИ, эксплуатационной и технической документации к ним, ключевых документов и носителей конфиденциальной информации;
4)своевременным выявлением сотрудниками органов криптографической защиты попыток посторонних лиц получить сведения
озащищаемой конфиденциальной информации, об используемых СКЗИ или ключевых документах к ним;
5)немедленным принятием сотрудниками органов криптографической защиты мер по предупреждению разглашения защищаемой конфиденциальной информации, а также возможной ее утечки при выявлении фактов утраты или недостачи СКЗИ, ключевых документов к ним, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов, личных печатей и т.п.
60
Лекция 6. Лицензирование разработки и производства средств криптографической защиты информации
Ключевые слова: лицензирование; лицензия; лицензирующий орган; разработка СКЗИ; производство СКЗИ; распространение СКЗИ; лицензируемая деятельность; лицензионные требования.
Введение. Лицензирование необходимо для признания права за организацией, отвечающей необходимым требованиям, вести определенную деятельность и регулируется государством.
В настоящей лекции описывается процесс получения лицензии на виды деятельности, связанные с разработкой, производством и распространением СКЗИ, уточняются виды лицензионной деятельности и лицензионные требования. Особое внимание уделено требованиям, предъявляемым к штатным сотрудникам соискателя лицензии.
6.1. Лицензируемая деятельность
Вопросы лицензирования разработки, производства, распространения СКЗИ регламентируются Положением о лицензировании.
Лицензируемая деятельность включает в себя следующие виды деятельности, осуществляемой юридическими лицами и индивидуальными предпринимателями:
1)разработку, производство и распространение СКЗИ;
2)разработку, производство и распространение средств, информационных и телекоммуникационных систем, защищенных с использованием СКЗИ;
3)выполнение работ, оказание услуг в области шифрования информации, технического обслуживания СКЗИ, информационных
ителекоммуникационных систем, защищенных с использованием СКЗИ (за исключением случая, если техническое обслуживание осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
Лицензирование разработки и производства СКЗИ, защищенных с использованием СКЗИ информационных и телекоммуникацион-
61
ных систем, осуществляется ФСБ, которая в данном случае является лицензирующим органом.
6.2. Лицензионные требования
Для получения лицензии на разработки и производство СКЗИ, защищенных с использованием СКЗИ информационных и телекоммуникационных систем, должны быть выполнены следующие лицензионные требования и условия:
1)законное владение (или использование) соискателем лицензии (лицензиатом) помещениями, сооружениями, технологическим, испытательным, контрольно-измерительным оборудованием, необходимым для осуществления лицензируемой деятельности;
2)выполнение лицензиатом требований по обеспечению информационной безопасности, устанавливаемых в соответствии с Федеральным законом «О Федеральной службе безопасности»;
3)наличие у лицензиата условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями Федерального закона «Об информации, информационных технологиях и о защите информации»;
4)наличие у лицензиата допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну, при выполнении определенных работ из перечня, установленного Положением о лицензировании;
5)наличие в штате у лицензиата квалифицированного персонала, удовлетворяющего требованиям, детализированным в Положении о лицензировании;
6)наличие у лицензиата приборов и оборудования, необходимых для выполнения определенных работ из перечня, установленного Положением о лицензировании, прошедших поверку и калибровку в соответствии с Федеральным законом «Об обеспечении единства измерений»;
7)представление лицензиатом в лицензирующий орган перечня СКЗИ, в том числе иностранного производства, не имеющих сертификата ФСБ;
8)использование лицензиатом принадлежащих ему программного обеспечения и баз данных, предназначенных для осуществления лицензируемой деятельности.
62
6.3. Требования к сотрудникам соискателя лицензии
Для получения лицензии у соискателя лицензии в штате по основному месту работы должны быть следующие сотрудники:
1)руководитель лицензируемой деятельности, имеющий высшее профессиональное образование по направлению подготовки «Информационная безопасность» и (или) прошедший переподготовку по одной из специальностей этого направления в объеме свыше 1000 аудиторных часов, а также имеющий стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 5 лет (для некоторых видов деятельности переподготовка в объеме свыше 500 часов и стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет; если лицензируется деятельность, связанная только с передачей СКЗИ, информационных систем и средств изготовления ключевых документов, то требуется только переподготовка в объеме свыше 100 часов);
2)инженерно-технические работники (минимум два человека), имеющие высшее профессиональное образование по направлению подготовки «Информационная безопасность» и (или) прошедшие переподготовку по одной из специальностей этого направления в объеме свыше 1000 аудиторных часов, а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 5 лет (для некоторых видов лицензируемой деятельности один научно-технический работник, прошедший переподготовку в объеме свыше 500 аудиторных часов и имеющий стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет; если лицензируется деятельность, связанная только с передачей СКЗИ, информационных систем и средств изготовления ключевых документов, то требуется один инженерно-технический работник, имеющий высшее или среднее профессиональное образование по направлению подготовки «Информационная безопасность».
6.4.Процесс получения лицензии
Приведем общую схему процесса получения лицензии на указанные виды деятельности (рис. 6.1).
63
Соискатель лицензии |
Лицензирующий орган |
Пакет документов Реестр
лицензий
Подтверждение соответствия лицензионным требованиям и условиям Контроль
за выполнением лицензионных требований и условий
Решение о предоставлении
лицензии
ИЛИ мотивированный отказ
Рис. 6.1. Общая схема процесса получения лицензии
Для получения лицензии соискатель представляет в лицензирующий орган следующий пакет документов:
1)заявление о предоставлении лицензии с указанием лицензируемой деятельности;
2)копии правоустанавливающих документов на помещения, здания, сооружения и иные объекты по месту осуществления лицензируемой деятельности;
3)копии внутренних распорядительных документов, подтверждающих наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения требуемых работ;
4)копии документов, подтверждающих нахождение в штате соискателя лицензии на основной работе сотрудников, обладающих необходимой квалификацией;
5)копии трудовых книжек, должностных инструкций и документов государственного образца об образовании, о переподготовке, повышении квалификации по направлению «Информационная безопасность» указанных сотрудников;
64
6)копии документов, подтверждающих наличие у соискателя лицензии приборов и оборудования, необходимых для выполнения лицензируемой деятельности;
7)сведения о документе, подтверждающем наличие условий для соблюдения конфиденциальности информации, необходимых для ведения лицензируемой деятельности;
8)сведения о документе, подтверждающем наличие допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну, если это требуется для выбранного вида лицензируемой деятельности.
Лицензирующий орган вправе запрашивать у соискателя лицензии подтверждение соответствия лицензируемой деятельности лицензионным требованиям и условиям.
В течение 60 дней со дня поступления пакета документов лицензирующий орган по результатам проверки достоверности представленных сведений и соответствия соискателя лицензии лицензионным требованиям и условиям принимает решение о предоставлении или об отказе в предоставлении лицензии и направляет соискателю лицензии соответствующее уведомление.
Лицензия выдается на 5 лет, срок действия лицензии по его окончании может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии.
Помимо выдачи лицензий и проведения соответствующих проверок лицензирующий орган выполняет следующие работы:
1)ведет реестр лицензий;
2)осуществляет контроль за выполнением лицензиатом лицензионных требований и условий, который проводится в форме проверок в порядке, определяемом руководителем лицензирующего органа.
Принятие решений о предоставлении, переоформлении, приостановлении действия, аннулировании лицензии, а также взимание лицензионных сборов осуществляются в порядке, установленном Федеральным законом «О лицензировании отдельных видов деятельности».
65
Лекция 7. Особенности применения средств криптографической защиты информации для защиты персональных данных
Ключевые слова: персональные данные; оператор персональных данных; модель нарушителя; модель угроз; средство криптографической защиты информации.
Введение. С вопросами обработки персональных данных в настоящее время сталкивается практически любая организация, а обработка персональных данных не возможна без обеспечения их безопасности.
В данной лекции рассматриваются способы обеспечения безопасности персональных данных с использованием криптографических средств защиты информации, анализируются уровни защиты персональных данных, отдельное внимание уделяется функционированию оператора персональных данных.
7.1. Основы обработки персональных данных
Безопасность обработки персональных данных с использованием СКЗИ организуют и обеспечивают операторы персональных данных, а также лица, которым на основании договора оператор поручает обработку персональных данных и (или) лица, которым на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности обработки персональных данных в информационной системе с использованием СКЗИ.
Перечислим основные документы, в соответствии с которыми должны проводиться работы по обеспечению с помощью СКЗИ безопасности персональных данных при их обработке в ИСПД с использованием средств автоматизации:
1)Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
2)Федеральный закон № 152-ФЗ «О персональных данных»;
3)Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных № 781;
66
4)Порядок проведения классификации информационных систем персональных данных;
5)Положение ПКЗ-2005;
6)Типовые требования;
7)Методические рекомендации.
Заметим, что размещение СКЗИ в режимных помещениях, т.е. помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, специальное оборудование, охрана и организация режима должны обеспечивать сохранность персональных данных, СКЗИ и ключевых документов к ним. При оборудовании режимных помещений должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функционирующего с СКЗИ, а также должна быть исключена возможность неконтролируемого проникновения или пребывания в них посторонних лиц и просмотра посторонними лицами ведущихся там работ.
7.2. Операторы персональных данных
Ответственность за соответствие проводимых ими мероприятий по организации обработки персональных данных с использованием СКЗИ лицензионным требованиям и условиям, эксплуатационной и технической документации к СКЗИ, а также Типовым требованиям возлагается на операторов персональных данных. При этом операторы должны обеспечивать комплексную защиту персональных данных, в том числе посредством применения некриптографических средств защиты информации.
Обязанностями оператора персональных данных являются:
1)разработка для каждой ИСПД модели угроз безопасности персональных данных при их обработке;
2)разработка на основе модели угроз системы безопасности персональных данных, обеспечивающей нейтрализацию всех перечисленных в модели угроз;
3)определение необходимости использования СКЗИ для обеспечения безопасности персональных данных и, в случае положительного решения, определение на основе модели угроз цели использования СКЗИ для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения,
67
блокирования, копирования, распространения персональных данных и (или) иных неправомерных действий при их обработке;
4)установка и ввод в эксплуатацию СКЗИ в соответствии с эксплуатационной и технической документацией к ним;
5)проверка готовности СКЗИ к использованию с составлением заключений о возможности их эксплуатации;
6)обучение лиц, использующих СКЗИ, работе с ними;
7)поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним, носителей персональных данных;
8)учет лиц, допущенных к работе с СКЗИ, предназначенными для обеспечения безопасности персональных данных;
9)контроль за соблюдением условий использования СКЗИ, предусмотренных эксплуатационной и технической документацией
кним;
10)разбирательство и составление заключений по фактам нарушения условий хранения носителей персональных данных, использования СКЗИ, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
11)разработка и принятие мер по предотвращению возможных опасных последствий указанных видов нарушений;
12)описание организационных и технических мер, которые оператор персональных данных обязуется осуществлять при обеспечении безопасности персональных данных с использованием СКЗИ.
Пользователи СКЗИ допускаются к работе с ними по решению, утверждаемому оператором персональных данных. При наличии двух и более пользователей СКЗИ обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность СКЗИ, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.
Текущий контроль за организацией и обеспечением функционирования СКЗИ возлагается на оператора персональных данных и ответственного пользователя СКЗИ в пределах их служебных полномочий. Контроль за организацией, обеспечением функционирования и безопасности СКЗИ, предназначенных для защиты персо-
68
нальных данных при их обработке в ИСПД, осуществляется в соответствии с действующим законодательством Российской Федерации.
7.3. Модель угроз безопасности персональных данных
Необходимым условием разработки системы защиты персональных данных является формирование оператором персональных данных модели угроз безопасности персональных данных (далее – модель угроз), которая также необходима для определения класса специальной информационной системы. Если в информационной системе используются СКЗИ, к формированию модели угроз могут привлекаться лицензиаты ФСБ, являющиеся разработчиками СКЗИ или специализированными организациями, проводящими тематические исследования СКЗИ.
Принципы формирования модели угроз:
1.Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных.
2.Необходимо учитывать как угрозы, осуществление которых нарушает безопасность персональных данных, т.е. прямые угрозы, так и угрозы, создающие условия для появления прямых угроз, т.е. косвенные угрозы.
3.Персональные данные обрабатываются и хранятся в информационной системе с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации.
4.СКЗИ штатно функционируют совместно с техническими и программными средствами, способными повлиять на выполнение предъявляемых к СКЗИ требований и образующими среду функционирования СКЗИ.
5.Система защиты персональных данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, СКЗИ не может обеспечить защиту информации от раскрытия лицами, имеющими право на доступ к этой информации).
69