О практическом требовании наличия автоматизированной системы, аттестованной по требованиям безопасности информации, многие соискатели лицензий знают.
Разберемся, из каких именно нормативно-правовых актов это требование вытекает?
Обязанность соискателя лицензии ФСБ на работу с криптографией по подтверждению наличия условий для соблюдения конфиденциальности информации в соответствии с Федеральным законом от 27.07.2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (статья 9 - соблюдение конфиденциальности информации с ограниченным доступом) устанавливается в подпункте (в) пункта 6 постановления Правительства от 16.04.2012 года № 313 и подпункте (и) пункта 7 того же постановления Правительства № 313.
Соискатели лицензий ФСБ на криптографию обычно подтверждают наличие таких условий при получении/продлении лицензий в соответствии с требованиями постановления Правительства № 313. Логично отнести указанные требования только к тем информационным системам, которые используются для выполнения работ/оказания услуг в соответствии cперечнем, приведенным в приложении к постановлению Правительства № 313.
Проще всего наличие вышеуказанных условий подтвердить аттестатом соответствия автоматизированной системы по требованиям безопасности информации (нормативно-методический документ ФСТЭК под названием СТР-К). Помимо аттестации указанные требования можно выполнить и за счет введения режима коммерческой тайны, осуществления организационных мер и т.п.
Таком образом, необходимость в аттестации автоматизированной системы может возникает у соискателя при получении или продлении лицензии ФСБ и будет доказывать наличие условий для соблюдения конфиденциальности информации в указанной автоматизированной системе в соответствии с требованиями Федерального закона от 27.07.2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" за счет предъявления регулятору аттестата соответствия, а не за счет соблюдения организационных мер.
Эти требования относятся ко всем автоматизированным системам, в которых хранится информация, доступ к которой ограничен Федеральными законами. А если эти автоматизированные системы используются для выполнения работ или оказания услуг в соответствии c перечнем, приведенным в приложении к ПП № 313, то аттестаты соответствия на такие автоматизированные системы проверит регулятор при выдаче или продлении лицензии ФСБ на работу с криптографией.
Обновление от 01.06.2018:
В ходе плановой проверки у одного крупного лицензиата ФСБ регулятор изучил требования эксплуатационной документации и обнаружил: ПЭВМ, на которых используются средства
визуализации и СКЗИ, должны быть допущены для обработки конфиденциальной информации по действующим требованиям по защите информации от утечки по техническим каналам, в
том числе, по каналу связи (например, СТР-К), с учетом модели угроз в информационной
системе заказчика, которым должно противостоять СКЗИ.
Для справки: СТР-К - Специальные требования и рекомендации по технической защите конфиденциальной информации. Утверждены приказом Гостехкомиссии России от 02.03.2001 № 282
Для справки: СТР-К - Специальные требования и рекомендации по технической защите конфиденциальной информации. Утверждены приказом Гостехкомиссии России от 02.03.2001 № 282
После тщательного изучения документации на другие СКЗИ оказалось, что аналогичное требование в том или ином виде есть почти у всех.
Выходов из ситуации два: если нет модели угроз - аттестовать все АРМ с СКЗИ лицензиата по требованиям СТР-К или предоставить проверяющим модель угроз с выводом о неактуальности угрозы утечки конфиденциальной информации по техническим каналам.
Благо, у лицензиата такая модель угроз была разработана ранее, ее нашли и предоставили проверяющим - вопрос был снят.
А у вас есть модель угроз с выводом о неактуальности угрозы утечки конфиденциальной информации по техническим каналам? Или все АРМ с СКЗИ аттестованы лицензиатом ФСТЭК?
Материалы по теме:
Обзоры судебной практики по статье 13.13. КоАП "Незаконная деятельность в области защиты информации": Часть 1 Часть 2
Вопросы, комментарии и ссылки на собственный опыт приветствуются!
Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях!
Узнал запись из правил пользования :)
ОтветитьУдалитьОчень похоже на Jinn.
Думаю, всяко проще предоставить модель угроз, она же нужна не только тут.
Но вообще про думать про СКЗИ при составлении МУ надо - факт.
Строгость проверок усиливается.
Павел, спасибо за комментарий!
УдалитьА это был и не Jinn:) Тоже замечаем, что проверки лицензиатов ФСБ становятся все менее формальными. Иногда проверяющие настаивают на наличии лицевых счетов пользователей СКЗИ, актов о допуске пользователей к работе с СКЗИ, требуют сертифицированный антивирус.