Страницы

Если вы поставили ViPNet..

Допустим, для связи с ПФР/Налоговой/Казначейством/удалённым офисом вы поставили ViPNet/Континент.. 
Что же вам нужно сделать, чтобы использовать это СКЗИ для пересылки перс.данных в соответствие с требованиями ФСБ?

1. Теперь у вас есть (еще одна) ИСПДн. Вам нужно ее классифицировать, разработать модель угроз с учетом требований ФСБ;
2. На установленный випнет необходимо сформировать заключение о возможности эксплуатации СКЗИ. В котором перечислить тип СКЗИ и серийный номер, серийники ПК, указать результаты тестов работоспособности СКЗИ и т.д.;
3. Опечатать системный блок, где установлен випнет. Номера печати внести в Заключение;
4. Назначить приказом ответственных за обслуживание СКЗИ, а так же допущенных к работе с випнетом;
5. Описать функциональные обязанности ответственных;
6. Разработать инструкции, регламентирующие процессы подготовки, ввода, обработки, хранения и передачи защищаемой информации и согласовать их с лицензиатом ФСБ;
7. Ознакомить всех ответственных со всеми документами под роспись;
8. Организовать орган криптографической защиты;
9. Организовать комиссию по обучению лиц, допущенных к работе с СКЗИ. Разработать программу зачётов. Организовать обучение и устроить зачёты. Составить на каждого пользователя заключение.
10. Завести технический (аппаратный) журнал, в котором учесть все СКЗИ, материальные носители, ключевые носители и документацию на СКЗИ;
11. Выдавать СКЗИ, ключи, документацию и мат.носители под роспись в журнале;
12. Завести на каждого пользователя лицевой счёт, в котором фиксировать выданные СКЗИ, ключи, документацию и мат.носители;
13. Каждому пользователю организовать индивидуальное хранилище для хранения СКЗИ, ключей и документации. А так же отдельное хранилище для хранения резервных копий (хранить их требуется отдельно от рабочих). Сделать дубликаты ключей от хранилищ и надежно их хранить;
14. Помещения, где стоит випнет (или хранятся ключи), оснастить охранной сигнализацией. Периодически проверять ее работоспособность;
15. Расположить мониторы так, чтобы исключить просмотр содержимого экрана посторонними. Защитить окна от подглядываний;
16. Пронумеровать, учесть и выдать под расписку ключи от помещений пользователям. Сделать дубликаты и хранить отдельно в сейфе;
17. Помещение, где стоит випнет, должно постоянно замыкаться на ключ и может открываться только для "санкционированного прохода пользователей";
18. В конце дня все индивидуальные хранилища опечатывать, помещения закрывать на ключ. Ключи сдавать под расписку ответственному (личные печати для опечатывания хранилищ и помещений пользователи уносят с собой);
19. В моменты смены криптоключей - удалять из помещения всех не допущенных к СКЗИ лиц;
20. Описать принятые организационные и технические меры защиты.

Все вышеуказанные требования обязательны (правда проверяют пока что только гос.организации). Прецеденты с наказаниями имеются.

Создано по 152 приказу ФАПСИ и Типовым требованиям по использованию СКЗИ для защиты ПДн ФСБ (было лень вставлять ссылки на конкретные пункты требований).

Маты из комментариев будут удаляться :)...

[UPDATE] Забыл еще указать, что випнет с ключиком должны передаваться спец.связью или лично раздельно в разных опечатанных конвертиках с сопроводительным письмом!... а то не дай Бог....
[UPDATE2] Регламент проверок ФСБ с удобной табличкой http://www.fsb.ru/fsb/science/single.htm%21id%3D10435396%40fsbResearchart.html

37 комментариев:

  1. Чем дальше в лес, тем толще партизаны! Получается, что поставили тебе криптографию - отгреб проблем!
    а по сути, ФСБ нашло хорошую лазейку нагибать за использование СКЗИ, теперь куда к госам не прийди, везде встретишь подобную картину, весело!

    ОтветитьУдалить
  2. дак это для лицензиатов фсб требования.
    обычным людям для связи с налоговой/пфр почти ничего из этого не требуется.

    ОтветитьУдалить
  3. это требования именно для обычных людей, которые захотели сдавать отчетность в пфр через интернет.

    ОтветитьУдалить
  4. А на основе чего сделан вывод что это всё распространяется на обычных людей?
    Можно цитаты из документов?

    Надо учитывать что обычная организация не является оператором ПДн в части передачи данных в ПФР. Потому что цели и условия такой обработки определяет не организация а ПФР. Обязанность передачи данных устанавливается ФЗ и регламентируется подзаконными актами.
    Так что очевидный оператор тут - ПФР. А в организации (обработчики ПД) - являются пользователи системы ПФР и должны выполнять только требования ПФР.

    ОтветитьУдалить
  5. а как связано понятие "оператор" и обязанность защиты пдн? защищать пдн обязаны все.

    Обработчик обязан выполнять требования законодательства И требования оператора (см п.3 ст.6 152-ФЗ).

    ОтветитьУдалить
  6. и к вопросу об ИСПДн ли ПК на котором стоит випнет для отправки отчетности в ПФР.
    ПФР, кроме регламента подключения, никаких документов своим контрагентам не выдает. Ни акт классификации, ни модель угроз. Стребовать с них всего этого не выйдет, а при проверке предъявить придётся даже если ты не оператор.

    + как правило на АРМ, который передаёт сведения в ПФР, эти самые сведения могут просто мирно лежать в папочке - например эксель-файлики с сотрудниками. Вот этот процесс (лежание в папочке) и образует ИСПДн, оператором которой уже является хозяин АРМ.

    ОтветитьУдалить
    Ответы
    1. #ЛежаниеВпапочке - ваще подлый вопрос! Ведь мамочка может быть удалённой (не в смысле физического удаления)... И где тогда ИСПДн: на сервере, у админа или у юзверя?)
      Совсем западло, когда ИСПДн вместе с дампами 1С лежат в неприметных Temp'ах...

      Удалить
  7. На счет разницы оператора и обработчика я подробно писал тут http://sborisov.blogspot.com/2011/12/2.html.

    Требования законодательства обязаны выполнять все. Но требования для всех разные. Акты, модели - это всё не входит в обязанность обработчика. Если только Оператор не поручит ему (Если ПФР в регламенте подключения не предъявит такие требования).
    Но это всё в общем. А теперь конкретика.

    В документе ФСБ "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных"

    В область действия типовых требований входят все. Но в документе специально выделены разделы требований для оператора и для пользователей СКЗИ. Эти требования различаются. И обработчик как раз попадает в пользователи СКЗИ (только если оператором ему не поручены дополнительные обязанности).

    Артем, прошу ещё раз проанализировать требования для пользователей СКЗИ - возможно в твоем перечне произойдут изменения.

    А на счет наличия других ИСПДн в организации можешь не беспокоится.
    Это разные ИСПДн. Разные ИСПДн даже могут с друг другом взаимодействовать. Этот вариант предусмотрен подзаконными актами регуляторов.

    ОтветитьУдалить
  8. Модель угроз должна быть. Если ее не сделал оператор - то обработчик делает её самостоятельно.

    Акт классификации тоже нужен, т.к. класс ИСПДн определяет вместе с МУ требования к технической защите ИСПДн. Поэтому если оператор поручил но не классифицировал (как ПФР), то классифицирует обработчик.

    Будет большой ошибкой считать обработчика просто пользователем СКЗИ. В том же доке обязанности и оператора и обработчика совпадают (см. п.2.3 "Типовых требований") и включают в себя все описанные мною процедуры.

    Пользователь СКЗИ - это сотрудник оператора. Поэтому никаких изменений в перечне не произойдет.

    На счет ИСПДн все-таки беспокоюсь :).. ибо грань тут очень тонка. Когда я захожу на сайт вконтакте я ведь не создаю у себя ИСПДн (или создаю, т.к. мой браузер кэширует страницы?). Но это уже совсем другая тема разговора...

    ОтветитьУдалить
  9. Артем, чтобы не быть голословным и расставить все точки надо i прошу привести цитаты требований обязываающие обработчика провести классификацию и разработать моджель угроз?
    Я таких требований в обязаностях обработчика из 152-ФЗ не вижу.

    На счет Типовых требований ФСБ цитирую их:
    "2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:"

    Определения уполномоченного в данном документе нет. Смотрив в словарях. http://slovari.yandex.ru/~книги/Экономический%20словарь/Уполномоченное%20лицо/

    УПОЛНОМОЧЕННОЕ ЛИЦО — лицо, наделенное официальными полномочиями управления, совершения определенных действий.

    То есть если при подключении к Оператору нас наделили необходимыми полномочиями - на выполнение всех мероприятий, то конечно будь добр выполнить.

    Но посмотрим что же от нас требует ПФР на самом деле:
    http://www.kontur-extern.ru/files/picfiles/reglament_obespechenija.doc
    Там нет большинства мероприятий которые вы вменяете бедным людям.

    Так я всётаки хочу знать - НА КАКОМ ОСНОВАНИИ???

    ОтветитьУдалить
  10. Ну я ж уже отвечал на этот вопрос :)
    ч.3 ст.6 152-ФЗ:
    Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.... а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
    ч.4 ст.19 152-ФЗ:
    Состав и содержание... требований к защите персональных данных..., организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ) ...

    Т.е. обработчик должен выполнять все требования закона и подзаконных нормативных актов И требования оператора.

    теперь, чтобы понять что такое "уполномоченное лицо" смотрим "Типовые требования ФСБ" п. 1.3.

    1.3. Настоящие Требования:
    - являются обязательными для оператора, осуществляющего обработку персональных данных, а также лица, которому на основании договора оператор поручает обработку персональных данных и (или) лица, которому на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности защиты персональных данных при их обработке в информационной системе с использованием криптосредств. При этом существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе в случаях, предусмотренных действующим законодательством;

    т.о. из пункта видно, что наше "уполномоченное лицо" и есть обработчик.

    Далее смотрим снова п.2.3 "Типовых требований":

    2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:
    - разработку для каждой информационной системы персональных данных модели угроз безопасности персональных данных при их обработке;
    ...

    т.е. либо модель угроз разрабатывает оператор, либо обработчик.

    Что и требовалось доказать.

    ОтветитьУдалить
  11. Артем, вот скажем купила моя организация крипто про. И что теперь соблюдать все вышепречисленные требования? Не заметил, чтобы другиекомпании их соблюдали. К слову, что ждет коммерческую организацию за несоблюдение вышеперечисленых требований, и были ли прецеденты?

    ОтветитьУдалить
    Ответы
    1. Соблюдать точно, если Вы работаете в госорганизации. Если в коммерческой - то шанс проверки ФСБ минимален.

      Прецеденты были. До наказаний не доходило, быстро всё исправляли.

      Удалить
  12. Анонимный пишет...
    Спасибо за ответ. Наконец, последний вопрос, чтобы прояснить. Кто ответственный в случае прихода ФСБ к Нам. Продавец Крипто Про или мы, покупатель?
    Можно ли сослаться что продавец главный - он не проследил и т.п.))?

    ОтветитьУдалить
    Ответы
    1. Это ничего не даст. Всю ответственность несёте вы.

      Удалить
  13. Артем, а можно ли e-token с ключевыми документами отдавать пользователям на хранение (например, дома), или они обязаны хранить их в сейфах.

    ОтветитьУдалить
  14. Артем добрый день ! По поводу полемики ПФР и.т.д. - вы мнение самих регуляторов то спрашивали по этому поводу, или это основано на опыте общения с регуляторами по этому вопросу, или это все таки ваша трактовка нормативных актов ?
    Мне кажется, если необходимо, нагнут в любом случае , но до маразма в чтении законов тоже доходить не стоит :)))

    ОтветитьУдалить
    Ответы
    1. Некоторые вещи проверены на практике при проверке гос.организаций ФСБ.
      Степень маразма в посту, конечно, максимально возможная.

      Удалить
  15. Артем, а вот например такой случай.
    Человеку надо защитить данные ПДн, он залил их в криптоконтейнер, доступ на контейнер по паролю.Далее обычно файлик посылается по почте. А пароль по смс.

    По данной инструкции. Пароль выходит это же ключевая информация?
    А доставка пароля только с помощью "фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными"?

    ОтветитьУдалить
    Ответы
    1. Жуть, там и распространение СКЗИ допускается только спецсвязью и почтой с поэкземплярным учетом, а у нас инфотекс и криптопро просто выкладывают дистрибутивы в интернет.
      Может пора лишать их лицензии за столь вопиющие нарушения? :)

      Удалить
    2. В свое время выяснял этот вопрос. Оказалось, что у них в паспорте-формуляре (или где-то ещё) был согласованный с ФСБ способ распространения дистрибутива - через Интернет.
      Так что не подкопаешься :)

      Удалить
  16. Интересно, ну а вот если взять какихнить типичных муниципалов. Там-же везде Office стоит, а в офисе можно пароль ставить на документы, причем 128 AES в 2010 ворде, это уже серьезно.
    Что сделает ФСБ при проверке? Заставит учитывать все копии офиса? Конфискует весь офис как несертифицированное СКЗИ, да еще не реализующее гостовские криптоалгоритмы?

    ОтветитьУдалить
    Ответы
    1. Есть разница между "можно" и "нужно". Можно применять любые СКЗИ, какие сочтете нужными, ровно до того момента, когда применять их станет "нужно".
      Вот тогда нужно использовать только сертифицированные СКЗИ (причём можно применять сколько угодно СКЗИ, главное чтобы хотя бы одно из них было нужным образом сертифицировано).

      То есть офис не СКЗИ, пока вы не начнете применять его как СКЗИ для той информации, где применять сертифицированное СКЗИ вы обязаны.

      Удалить
  17. Этот комментарий был удален автором.

    ОтветитьУдалить
  18. Артем, добрый день!
    Скажите пожалуйста, подходит ли для организации защищенной передачи персональных данных между удаленными офисами одной компании только организация защиты самих каналов связи, которые проходят между этими офисами, например, с применением маршрутизаторов Cisco с NME-RVPN модулями от С-Терра, или ViPNet HW1000? Т.е. чтобы не городить огород с ViPNet "Деловой почтой", устанавливая её на каждое рабочее место работников, с которого отправляются/принимаются персональные данные.

    ОтветитьУдалить
    Ответы
    1. Подходит. У Инфотекса так же есть решения "без деловой почты".

      Удалить
    2. Вы говорите про HW100A или B? Если да, то их мощности не хватит - офисы большие, почты ходит между работниками много. К тому же запущен электронный документооборот и другие плюшки в 1С, и всё это также ходит между этими удаленными офисами.

      Если не трудно - расскажите подробнее о технологии от ИнфоТеКСа.

      Удалить
    3. И у Инфотекса и у S-terra в портфеле решений есть и высокопроизводительные устройства.

      Наверное, Вам стоит обратится к какому-нибудь интегратору. Там всё объяснят и ответят на вопросы. В комментариях развернутый ответ не дашь )

      Удалить
  19. Здравствуйте, Артем.

    "17. Помещение, где стоит випнет, должно постоянно замыкаться на ключ и может открываться только для "санкционированного прохода пользователей";"
    Вот немного не согласен.

    Приказ ФАПСИ № 152,
    "55. Двери спецпомещений органов криптографической защиты должны быть постоянно закрыты на замок и могут открываться только для санкционированного прохода сотрудников и посетителей.".
    Именно помещения органа криптозащиты.

    ОтветитьУдалить
    Ответы
    1. Приказ ФСБ 378

      6. Для выполнения требования, указанного в подпункте "а" пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем:
      а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;
      б) утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
      в) утверждения перечня лиц, имеющих право доступа в Помещения.

      Удалить
  20. А можно Инструкцию ФАПСИ № 152 рассмотреть подробно? Она ужасно не понятная...

    ОтветитьУдалить
    Ответы
    1. Согласен :). Вы можете использовать список мер из статьи выше. Это выжимка основного.

      Удалить
  21. Артем, здравствуйте. Очень полезная статья. Можно вопрос по ведению журнала СКЗИ? В теротделе казначейства гворят, что я обязан регистрировать полученные сертификаты. Как я понимаю, я должен регистрировать ключевой документ - это физический носитель (Рутокен в моем случае) с ключевой информацией на нем. Это верно? Или я должен указать какая инфа на нем? Запутался немного.

    ОтветитьУдалить
  22. "Помещение, где стоит випнет, должно постоянно замыкаться на ключ и может открываться только для "санкционированного прохода пользователей".
    Является ли санкционированным проход в такое помещение посетителей организации в установленные часы приема

    ОтветитьУдалить
  23. Здравствуйте!
    Когда же, наконец, ФСБ отменит свой, точнее фаписишный 152 приказ? Ну ведь не дураки там работают - должны понимать, что в условиях массового распространения электронной подписи - 99% требований - чудовищный абсурд.

    P.S.
    п. 10. - не технический (аппаратный) журнал. а журнал поэкземпляорного учета....

    ОтветитьУдалить