четверг, 19 января 2017 г.

Почему нужна аттестация автоматизированной системы для получения лицензии ФСБ на работу с криптографией?

О практическом требовании наличия автоматизированной системы, аттестованной по требованиям безопасности информации, многие соискатели лицензий знают.
Разберемся, из каких именно нормативно-правовых актов это требование вытекает?



Обязанность соискателя лицензии ФСБ на работу с криптографией по подтверждению наличия условий для соблюдения конфиденциальности информации в соответствии с Федеральным законом от 27.07.2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (статья 9 - соблюдение конфиденциальности информации с ограниченным доступом) устанавливается в подпункте (в) пункта 6 постановления Правительства от 16.04.2012 года № 313 и подпункте (и) пункта 7 того же постановления Правительства № 313.

Соискатели лицензий ФСБ на криптографию обычно подтверждают наличие таких условий при получении/продлении лицензий в соответствии с требованиями постановления Правительства № 313. Логично отнести указанные требования только к тем информационным системам, которые используются для выполнения работ/оказания услуг в соответствии cперечнем, приведенным в приложении к постановлению Правительства № 313.

Проще всего наличие вышеуказанных условий подтвердить аттестатом соответствия автоматизированной системы по требованиям безопасности информации (нормативно-методический документ ФСТЭК под названием СТР-К). Помимо аттестации указанные требования можно выполнить и за счет введения режима коммерческой тайны,  осуществления организационных мер и т.п.

Таком образом, необходимость в аттестации автоматизированной системы может возникает у соискателя при получении или продлении лицензии ФСБ и будет доказывать наличие условий для соблюдения конфиденциальности информации в указанной автоматизированной системе в соответствии с требованиями Федерального закона от 27.07.2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" за счет предъявления регулятору аттестата соответствия, а не за счет соблюдения организационных мер.

Эти требования относятся ко всем автоматизированным системам, в которых хранится информация, доступ к которой ограничен Федеральными законами. А если эти автоматизированные системы используются для выполнения работ или оказания услуг в соответствии c перечнем, приведенным в приложении к ПП № 313, то аттестаты соответствия на такие автоматизированные системы проверит регулятор при выдаче или продлении лицензии ФСБ на работу с криптографией.

Обновление от 01.06.2018:

В ходе плановой проверки у одного крупного лицензиата ФСБ регулятор изучил требования эксплуатационной документации и обнаружил: ПЭВМ, на которых используются средства визуализации и СКЗИ, должны быть допущены для обработки конфиденциальной информации по действующим требованиям по защите информации от утечки по техническим каналам, в том числе, по каналу связи (например, СТР-К), с учетом модели угроз в информационной системе заказчика, которым должно противостоять СКЗИ.

Для справки: СТР-К - Специальные требования и рекомендации по технической защите конфиденциальной информации. Утверждены приказом Гостехкомиссии России от 02.03.2001 № 282

После тщательного изучения документации на другие СКЗИ оказалось, что аналогичное требование в том или ином виде есть почти у всех.

Выходов из ситуации два: если нет модели угроз - аттестовать все АРМ с СКЗИ лицензиата по требованиям СТР-К или предоставить проверяющим модель угроз с выводом о неактуальности угрозы утечки конфиденциальной информации по техническим каналам.

Благо, у лицензиата такая модель угроз была разработана ранее, ее нашли и предоставили проверяющим - вопрос был снят.

А у вас есть модель угроз с выводом о неактуальности угрозы утечки конфиденциальной информации по техническим каналам? Или все АРМ с СКЗИ аттестованы лицензиатом ФСТЭК?

Материалы по теме:

Обзоры судебной практики по статье 13.13. КоАП "Незаконная деятельность в области защиты информации": Часть 1  Часть 2

Вопросы, комментарии и ссылки на собственный опыт приветствуются!

Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях! 

2 комментария:

  1. Узнал запись из правил пользования :)
    Очень похоже на Jinn.

    Думаю, всяко проще предоставить модель угроз, она же нужна не только тут.
    Но вообще про думать про СКЗИ при составлении МУ надо - факт.
    Строгость проверок усиливается.

    ОтветитьУдалить
    Ответы
    1. Павел, спасибо за комментарий!
      А это был и не Jinn:) Тоже замечаем, что проверки лицензиатов ФСБ становятся все менее формальными. Иногда проверяющие настаивают на наличии лицевых счетов пользователей СКЗИ, актов о допуске пользователей к работе с СКЗИ, требуют сертифицированный антивирус.

      Удалить