Допустим, для связи с ПФР/Налоговой/Казначейством/удалённым офисом вы поставили ViPNet/Континент..
Что же вам нужно сделать, чтобы использовать это СКЗИ для пересылки перс.данных в соответствие с требованиями ФСБ?
1. Теперь у вас есть (еще одна) ИСПДн. Вам нужно ее классифицировать, разработать модель угроз с учетом требований ФСБ;
2. На установленный випнет необходимо сформировать заключение о возможности эксплуатации СКЗИ. В котором перечислить тип СКЗИ и серийный номер, серийники ПК, указать результаты тестов работоспособности СКЗИ и т.д.;
3. Опечатать системный блок, где установлен випнет. Номера печати внести в Заключение;
4. Назначить приказом ответственных за обслуживание СКЗИ, а так же допущенных к работе с випнетом;
5. Описать функциональные обязанности ответственных;
6. Разработать инструкции, регламентирующие процессы подготовки, ввода, обработки, хранения и передачи защищаемой информации и согласовать их с лицензиатом ФСБ;
7. Ознакомить всех ответственных со всеми документами под роспись;
8. Организовать орган криптографической защиты;
9. Организовать комиссию по обучению лиц, допущенных к работе с СКЗИ. Разработать программу зачётов. Организовать обучение и устроить зачёты. Составить на каждого пользователя заключение.
10. Завести технический (аппаратный) журнал, в котором учесть все СКЗИ, материальные носители, ключевые носители и документацию на СКЗИ;
11. Выдавать СКЗИ, ключи, документацию и мат.носители под роспись в журнале;
12. Завести на каждого пользователя лицевой счёт, в котором фиксировать выданные СКЗИ, ключи, документацию и мат.носители;
13. Каждому пользователю организовать индивидуальное хранилище для хранения СКЗИ, ключей и документации. А так же отдельное хранилище для хранения резервных копий (хранить их требуется отдельно от рабочих). Сделать дубликаты ключей от хранилищ и надежно их хранить;
14. Помещения, где стоит випнет (или хранятся ключи), оснастить охранной сигнализацией. Периодически проверять ее работоспособность;
15. Расположить мониторы так, чтобы исключить просмотр содержимого экрана посторонними. Защитить окна от подглядываний;
16. Пронумеровать, учесть и выдать под расписку ключи от помещений пользователям. Сделать дубликаты и хранить отдельно в сейфе;
17. Помещение, где стоит випнет, должно постоянно замыкаться на ключ и может открываться только для "санкционированного прохода пользователей";
18. В конце дня все индивидуальные хранилища опечатывать, помещения закрывать на ключ. Ключи сдавать под расписку ответственному (личные печати для опечатывания хранилищ и помещений пользователи уносят с собой);
19. В моменты смены криптоключей - удалять из помещения всех не допущенных к СКЗИ лиц;
20. Описать принятые организационные и технические меры защиты.
Все вышеуказанные требования обязательны (правда проверяют пока что только гос.организации). Прецеденты с наказаниями имеются.
Создано по 152 приказу ФАПСИ и Типовым требованиям по использованию СКЗИ для защиты ПДн ФСБ (было лень вставлять ссылки на конкретные пункты требований).
Маты из комментариев будут удаляться :)...
[UPDATE] Забыл еще указать, что випнет с ключиком должны передаваться спец.связью или лично раздельно в разных опечатанных конвертиках с сопроводительным письмом!... а то не дай Бог....
[UPDATE2] Регламент проверок ФСБ с удобной табличкой http://www.fsb.ru/fsb/science/single.htm%21id%3D10435396%40fsbResearchart.html
2. На установленный випнет необходимо сформировать заключение о возможности эксплуатации СКЗИ. В котором перечислить тип СКЗИ и серийный номер, серийники ПК, указать результаты тестов работоспособности СКЗИ и т.д.;
3. Опечатать системный блок, где установлен випнет. Номера печати внести в Заключение;
4. Назначить приказом ответственных за обслуживание СКЗИ, а так же допущенных к работе с випнетом;
5. Описать функциональные обязанности ответственных;
6. Разработать инструкции, регламентирующие процессы подготовки, ввода, обработки, хранения и передачи защищаемой информации и согласовать их с лицензиатом ФСБ;
7. Ознакомить всех ответственных со всеми документами под роспись;
8. Организовать орган криптографической защиты;
9. Организовать комиссию по обучению лиц, допущенных к работе с СКЗИ. Разработать программу зачётов. Организовать обучение и устроить зачёты. Составить на каждого пользователя заключение.
10. Завести технический (аппаратный) журнал, в котором учесть все СКЗИ, материальные носители, ключевые носители и документацию на СКЗИ;
11. Выдавать СКЗИ, ключи, документацию и мат.носители под роспись в журнале;
12. Завести на каждого пользователя лицевой счёт, в котором фиксировать выданные СКЗИ, ключи, документацию и мат.носители;
13. Каждому пользователю организовать индивидуальное хранилище для хранения СКЗИ, ключей и документации. А так же отдельное хранилище для хранения резервных копий (хранить их требуется отдельно от рабочих). Сделать дубликаты ключей от хранилищ и надежно их хранить;
14. Помещения, где стоит випнет (или хранятся ключи), оснастить охранной сигнализацией. Периодически проверять ее работоспособность;
15. Расположить мониторы так, чтобы исключить просмотр содержимого экрана посторонними. Защитить окна от подглядываний;
16. Пронумеровать, учесть и выдать под расписку ключи от помещений пользователям. Сделать дубликаты и хранить отдельно в сейфе;
17. Помещение, где стоит випнет, должно постоянно замыкаться на ключ и может открываться только для "санкционированного прохода пользователей";
18. В конце дня все индивидуальные хранилища опечатывать, помещения закрывать на ключ. Ключи сдавать под расписку ответственному (личные печати для опечатывания хранилищ и помещений пользователи уносят с собой);
19. В моменты смены криптоключей - удалять из помещения всех не допущенных к СКЗИ лиц;
20. Описать принятые организационные и технические меры защиты.
Все вышеуказанные требования обязательны (правда проверяют пока что только гос.организации). Прецеденты с наказаниями имеются.
Создано по 152 приказу ФАПСИ и Типовым требованиям по использованию СКЗИ для защиты ПДн ФСБ (было лень вставлять ссылки на конкретные пункты требований).
Маты из комментариев будут удаляться :)...
[UPDATE] Забыл еще указать, что випнет с ключиком должны передаваться спец.связью или лично раздельно в разных опечатанных конвертиках с сопроводительным письмом!... а то не дай Бог....
[UPDATE2] Регламент проверок ФСБ с удобной табличкой http://www.fsb.ru/fsb/science/single.htm%21id%3D10435396%40fsbResearchart.html
Чем дальше в лес, тем толще партизаны! Получается, что поставили тебе криптографию - отгреб проблем!
ОтветитьУдалитьа по сути, ФСБ нашло хорошую лазейку нагибать за использование СКЗИ, теперь куда к госам не прийди, везде встретишь подобную картину, весело!
дак это для лицензиатов фсб требования.
ОтветитьУдалитьобычным людям для связи с налоговой/пфр почти ничего из этого не требуется.
это требования именно для обычных людей, которые захотели сдавать отчетность в пфр через интернет.
ОтветитьУдалитьА на основе чего сделан вывод что это всё распространяется на обычных людей?
ОтветитьУдалитьМожно цитаты из документов?
Надо учитывать что обычная организация не является оператором ПДн в части передачи данных в ПФР. Потому что цели и условия такой обработки определяет не организация а ПФР. Обязанность передачи данных устанавливается ФЗ и регламентируется подзаконными актами.
Так что очевидный оператор тут - ПФР. А в организации (обработчики ПД) - являются пользователи системы ПФР и должны выполнять только требования ПФР.
а как связано понятие "оператор" и обязанность защиты пдн? защищать пдн обязаны все.
ОтветитьУдалитьОбработчик обязан выполнять требования законодательства И требования оператора (см п.3 ст.6 152-ФЗ).
и к вопросу об ИСПДн ли ПК на котором стоит випнет для отправки отчетности в ПФР.
ОтветитьУдалитьПФР, кроме регламента подключения, никаких документов своим контрагентам не выдает. Ни акт классификации, ни модель угроз. Стребовать с них всего этого не выйдет, а при проверке предъявить придётся даже если ты не оператор.
+ как правило на АРМ, который передаёт сведения в ПФР, эти самые сведения могут просто мирно лежать в папочке - например эксель-файлики с сотрудниками. Вот этот процесс (лежание в папочке) и образует ИСПДн, оператором которой уже является хозяин АРМ.
#ЛежаниеВпапочке - ваще подлый вопрос! Ведь мамочка может быть удалённой (не в смысле физического удаления)... И где тогда ИСПДн: на сервере, у админа или у юзверя?)
УдалитьСовсем западло, когда ИСПДн вместе с дампами 1С лежат в неприметных Temp'ах...
На счет разницы оператора и обработчика я подробно писал тут http://sborisov.blogspot.com/2011/12/2.html.
ОтветитьУдалитьТребования законодательства обязаны выполнять все. Но требования для всех разные. Акты, модели - это всё не входит в обязанность обработчика. Если только Оператор не поручит ему (Если ПФР в регламенте подключения не предъявит такие требования).
Но это всё в общем. А теперь конкретика.
В документе ФСБ "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных"
В область действия типовых требований входят все. Но в документе специально выделены разделы требований для оператора и для пользователей СКЗИ. Эти требования различаются. И обработчик как раз попадает в пользователи СКЗИ (только если оператором ему не поручены дополнительные обязанности).
Артем, прошу ещё раз проанализировать требования для пользователей СКЗИ - возможно в твоем перечне произойдут изменения.
А на счет наличия других ИСПДн в организации можешь не беспокоится.
Это разные ИСПДн. Разные ИСПДн даже могут с друг другом взаимодействовать. Этот вариант предусмотрен подзаконными актами регуляторов.
Модель угроз должна быть. Если ее не сделал оператор - то обработчик делает её самостоятельно.
ОтветитьУдалитьАкт классификации тоже нужен, т.к. класс ИСПДн определяет вместе с МУ требования к технической защите ИСПДн. Поэтому если оператор поручил но не классифицировал (как ПФР), то классифицирует обработчик.
Будет большой ошибкой считать обработчика просто пользователем СКЗИ. В том же доке обязанности и оператора и обработчика совпадают (см. п.2.3 "Типовых требований") и включают в себя все описанные мною процедуры.
Пользователь СКЗИ - это сотрудник оператора. Поэтому никаких изменений в перечне не произойдет.
На счет ИСПДн все-таки беспокоюсь :).. ибо грань тут очень тонка. Когда я захожу на сайт вконтакте я ведь не создаю у себя ИСПДн (или создаю, т.к. мой браузер кэширует страницы?). Но это уже совсем другая тема разговора...
Артем, чтобы не быть голословным и расставить все точки надо i прошу привести цитаты требований обязываающие обработчика провести классификацию и разработать моджель угроз?
ОтветитьУдалитьЯ таких требований в обязаностях обработчика из 152-ФЗ не вижу.
На счет Типовых требований ФСБ цитирую их:
"2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:"
Определения уполномоченного в данном документе нет. Смотрив в словарях. http://slovari.yandex.ru/~книги/Экономический%20словарь/Уполномоченное%20лицо/
УПОЛНОМОЧЕННОЕ ЛИЦО — лицо, наделенное официальными полномочиями управления, совершения определенных действий.
То есть если при подключении к Оператору нас наделили необходимыми полномочиями - на выполнение всех мероприятий, то конечно будь добр выполнить.
Но посмотрим что же от нас требует ПФР на самом деле:
http://www.kontur-extern.ru/files/picfiles/reglament_obespechenija.doc
Там нет большинства мероприятий которые вы вменяете бедным людям.
Так я всётаки хочу знать - НА КАКОМ ОСНОВАНИИ???
Ну я ж уже отвечал на этот вопрос :)
ОтветитьУдалитьч.3 ст.6 152-ФЗ:
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.... а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
ч.4 ст.19 152-ФЗ:
Состав и содержание... требований к защите персональных данных..., организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ) ...
Т.е. обработчик должен выполнять все требования закона и подзаконных нормативных актов И требования оператора.
теперь, чтобы понять что такое "уполномоченное лицо" смотрим "Типовые требования ФСБ" п. 1.3.
1.3. Настоящие Требования:
- являются обязательными для оператора, осуществляющего обработку персональных данных, а также лица, которому на основании договора оператор поручает обработку персональных данных и (или) лица, которому на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности защиты персональных данных при их обработке в информационной системе с использованием криптосредств. При этом существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе в случаях, предусмотренных действующим законодательством;
т.о. из пункта видно, что наше "уполномоченное лицо" и есть обработчик.
Далее смотрим снова п.2.3 "Типовых требований":
2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:
- разработку для каждой информационной системы персональных данных модели угроз безопасности персональных данных при их обработке;
...
т.е. либо модель угроз разрабатывает оператор, либо обработчик.
Что и требовалось доказать.
Артем, вот скажем купила моя организация крипто про. И что теперь соблюдать все вышепречисленные требования? Не заметил, чтобы другиекомпании их соблюдали. К слову, что ждет коммерческую организацию за несоблюдение вышеперечисленых требований, и были ли прецеденты?
ОтветитьУдалитьСоблюдать точно, если Вы работаете в госорганизации. Если в коммерческой - то шанс проверки ФСБ минимален.
УдалитьПрецеденты были. До наказаний не доходило, быстро всё исправляли.
Анонимный пишет...
ОтветитьУдалитьСпасибо за ответ. Наконец, последний вопрос, чтобы прояснить. Кто ответственный в случае прихода ФСБ к Нам. Продавец Крипто Про или мы, покупатель?
Можно ли сослаться что продавец главный - он не проследил и т.п.))?
Это ничего не даст. Всю ответственность несёте вы.
УдалитьАртем, а можно ли e-token с ключевыми документами отдавать пользователям на хранение (например, дома), или они обязаны хранить их в сейфах.
ОтветитьУдалитьМожет. Только пусть в журнале распишется.
УдалитьАртем добрый день ! По поводу полемики ПФР и.т.д. - вы мнение самих регуляторов то спрашивали по этому поводу, или это основано на опыте общения с регуляторами по этому вопросу, или это все таки ваша трактовка нормативных актов ?
ОтветитьУдалитьМне кажется, если необходимо, нагнут в любом случае , но до маразма в чтении законов тоже доходить не стоит :)))
Некоторые вещи проверены на практике при проверке гос.организаций ФСБ.
УдалитьСтепень маразма в посту, конечно, максимально возможная.
Артем, а вот например такой случай.
ОтветитьУдалитьЧеловеку надо защитить данные ПДн, он залил их в криптоконтейнер, доступ на контейнер по паролю.Далее обычно файлик посылается по почте. А пароль по смс.
По данной инструкции. Пароль выходит это же ключевая информация?
А доставка пароля только с помощью "фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными"?
Ну как то так, да.
УдалитьЖуть, там и распространение СКЗИ допускается только спецсвязью и почтой с поэкземплярным учетом, а у нас инфотекс и криптопро просто выкладывают дистрибутивы в интернет.
УдалитьМожет пора лишать их лицензии за столь вопиющие нарушения? :)
В свое время выяснял этот вопрос. Оказалось, что у них в паспорте-формуляре (или где-то ещё) был согласованный с ФСБ способ распространения дистрибутива - через Интернет.
УдалитьТак что не подкопаешься :)
Интересно, ну а вот если взять какихнить типичных муниципалов. Там-же везде Office стоит, а в офисе можно пароль ставить на документы, причем 128 AES в 2010 ворде, это уже серьезно.
ОтветитьУдалитьЧто сделает ФСБ при проверке? Заставит учитывать все копии офиса? Конфискует весь офис как несертифицированное СКЗИ, да еще не реализующее гостовские криптоалгоритмы?
Есть разница между "можно" и "нужно". Можно применять любые СКЗИ, какие сочтете нужными, ровно до того момента, когда применять их станет "нужно".
УдалитьВот тогда нужно использовать только сертифицированные СКЗИ (причём можно применять сколько угодно СКЗИ, главное чтобы хотя бы одно из них было нужным образом сертифицировано).
То есть офис не СКЗИ, пока вы не начнете применять его как СКЗИ для той информации, где применять сертифицированное СКЗИ вы обязаны.
Этот комментарий был удален автором.
ОтветитьУдалитьАртем, добрый день!
ОтветитьУдалитьСкажите пожалуйста, подходит ли для организации защищенной передачи персональных данных между удаленными офисами одной компании только организация защиты самих каналов связи, которые проходят между этими офисами, например, с применением маршрутизаторов Cisco с NME-RVPN модулями от С-Терра, или ViPNet HW1000? Т.е. чтобы не городить огород с ViPNet "Деловой почтой", устанавливая её на каждое рабочее место работников, с которого отправляются/принимаются персональные данные.
Подходит. У Инфотекса так же есть решения "без деловой почты".
УдалитьВы говорите про HW100A или B? Если да, то их мощности не хватит - офисы большие, почты ходит между работниками много. К тому же запущен электронный документооборот и другие плюшки в 1С, и всё это также ходит между этими удаленными офисами.
УдалитьЕсли не трудно - расскажите подробнее о технологии от ИнфоТеКСа.
И у Инфотекса и у S-terra в портфеле решений есть и высокопроизводительные устройства.
УдалитьНаверное, Вам стоит обратится к какому-нибудь интегратору. Там всё объяснят и ответят на вопросы. В комментариях развернутый ответ не дашь )
Здравствуйте, Артем.
ОтветитьУдалить"17. Помещение, где стоит випнет, должно постоянно замыкаться на ключ и может открываться только для "санкционированного прохода пользователей";"
Вот немного не согласен.
Приказ ФАПСИ № 152,
"55. Двери спецпомещений органов криптографической защиты должны быть постоянно закрыты на замок и могут открываться только для санкционированного прохода сотрудников и посетителей.".
Именно помещения органа криптозащиты.
Приказ ФСБ 378
Удалить6. Для выполнения требования, указанного в подпункте "а" пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем:
а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;
б) утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
в) утверждения перечня лиц, имеющих право доступа в Помещения.
А можно Инструкцию ФАПСИ № 152 рассмотреть подробно? Она ужасно не понятная...
ОтветитьУдалитьСогласен :). Вы можете использовать список мер из статьи выше. Это выжимка основного.
УдалитьАртем, здравствуйте. Очень полезная статья. Можно вопрос по ведению журнала СКЗИ? В теротделе казначейства гворят, что я обязан регистрировать полученные сертификаты. Как я понимаю, я должен регистрировать ключевой документ - это физический носитель (Рутокен в моем случае) с ключевой информацией на нем. Это верно? Или я должен указать какая инфа на нем? Запутался немного.
ОтветитьУдалить"Помещение, где стоит випнет, должно постоянно замыкаться на ключ и может открываться только для "санкционированного прохода пользователей".
ОтветитьУдалитьЯвляется ли санкционированным проход в такое помещение посетителей организации в установленные часы приема
Здравствуйте!
ОтветитьУдалитьКогда же, наконец, ФСБ отменит свой, точнее фаписишный 152 приказ? Ну ведь не дураки там работают - должны понимать, что в условиях массового распространения электронной подписи - 99% требований - чудовищный абсурд.
P.S.
п. 10. - не технический (аппаратный) журнал. а журнал поэкземпляорного учета....