Сертифицированные средства криптографической защиты информации (скзи). назначение и области применения скзи

Валерий Конявский
Научный руководитель ВНИИПВТИ,
научный консультант ОКБ САПР

Любая операция со случайным числом даст случайное число. Случайная последовательность, сложенная с открытым текстом, даст случайный криптотекст. Чем лучше качество гаммы, тем меньше шансов расшифровать криптотекст. Если гамма действительно случайная, то расшифровать криптотекст нельзя.

Шифр Вернама

Средства криптографической защиты информации (СКЗИ) можно разделить на средства шифрования и средства электронной подписи (СЭП).

Передавать гамму в виде громадных катушек перфолент было не очень удобно и довольно дорого. Поэтому иногда и возникали проблемы с ее повторным использованием и, следовательно, с утечками важной информации.

Чтобы не передавать по дорогим каналам катушки перфолент, придумали способы генерации длинной гаммы из случайного, но короткого ключа. В то время передать короткий случайный ключ было проще, чем длинный.

Сертифицированные СКЗИ

С появлением современных носителей информации ситуация разительно изменилась, и теперь нет проблемы изготовить и передать гигабайты гаммы – лишь бы ДСЧ был хорошим. Программные генераторы псевдослучайной последовательности (ПСП) здесь применять можно только от отчаяния, что хорошего физического генератора нет.

Криптографические стандарты определяют последовательности операций, позволяющих на основе хорошего ключа получать надежно зашифрованный открытый текст. При этом все же ключи должны изготавливаться на хороших датчиках.

Регулятор устанавливает правила, испытательные лаборатории проверяют, выполняются ли требования к операциям, ключам и отсутствию влияния на эти процессы других процессов – вот так и появляются сертифицированные СКЗИ.

Шифрование и электронная подпись

Гамма должна обладать следующими свойствами:

• быть действительно случайной, то есть формироваться за счет физических, аналоговых, а не цифровых процессов;
• совпадать по размеру с заданным открытым текстом или превышать его;
• применяться для каждого сообщения только один раз, и затем уничтожаться.

Такой шифр называется шифром Вернама – и это единственный шифр, который обладает абсолютной криптографической стойкостью. Доказывать сейчас его стойкость нет необходимости, так как это сделал К. Шеннон еще в 1945 г. Большая длина гаммы, формирование ее на основе физических процессов и гарантированное уничтожение – вот условия стойкости шифра.

Шифрование необходимо для того, чтобы доступ к информации имели только те, кому можно. ЭП применяется для того, чтобы зафиксировать волеизъявление человека. И если СКЗИ должны правильно в проверенной среде выполнять криптографические преобразования, то для электронной подписи этого недостаточно. Нужно принять все меры, обеспечивающие фиксацию именно свободного волеизъявления человека . На это направлен ФЗ-63, именно поэтому одним из важнейших его требований является требование правильности визуализации того документа, который подписывает человек. Таким образом, в отличие от СКЗИ для квалифицированных СЭП добавляются проверки средств визуализации. Конечно, выполняются и все необходимые проверки криптографических алгоритмов.

Анализируя ту или иную схему ЭП, обычно ставят вопрос так: "Можно ли быстро подобрать два различных (осмысленных) сообщения, которые будут иметь одинаковые ЭП". Ответ здесь обычно отрицательный. Если используется хорошая хэш-функция, для которой не найден эффективный механизм поиска коллизий, такая атака практически всегда обречена на провал. Михаил Грунтович (см. стр. 48) поставил вопрос по-другому: "Можно ли, имея два сообщения, подобрать ключи подписи так, чтобы ЭП совпадали?". И оказалось, что сделать это чрезвычайно просто!

Атака Грунтовича

Конкретные условия реализации указанной атаки рассмотрим (в весьма упрощенном варианте) на примере подписи по схеме Эль-Гамаля. Вера в стойкость этой схемы основана на (гипотетической) сложности задачи дискретного логарифмирования, но здесь атаке подвергается вовсе не задача дискретной математики.

СКЗИ должны быть аппаратными. Они должны содержать физический ДСЧ нужного качества и обеспечивать неизвлекаемость не только ключа подписи, но и других криптографических элементов, влияющих на стойкость алгоритмов.

Введем следующие обозначения:

• H – криптографическая хэш-функция;
  Zn – множество чисел {0,1, …, n - 1}, n – натуральное число;
  a (mod p) – остаток от деления целого числа a на натуральное число p.

Для схемы формирования подписи Эль-Гамаля:

• фиксируется простое число p достаточной разрядности и g – примитивный элемент mod p;
• личным ключом подписи является любое число x из Zp.

Вычисление подписи сообщения m:

• вычисляется хэш-код h = H(m);
• выбирается случайное число k, взаимно простое с p - 1: 1 < k < p - 1;
• вычисляется r = g k (mod p);
• вычисляется s = k -1 (h - xr) (mod p - 1);
• подписью является пара c = (r, s).

Теперь рассмотрим, что нужно делать злоумышленнику для реализации атаки. Он должен сгенерировать хэш-коды:

• h 1 = H(m 1), h 2 = H(m 2)

и совпадающие подписи с одинаковым случайным числом k:

• s = k -1 (h 1 - x 1 r)(mod p - 1) и
  s = k -1 (h 2 - x 2 r)(mod p - 1).

А это значит, что:

h 1 - x 1 r (mod p - 1) = h 2 - x 2 r(mod p - 1).

Некоторые особенности, на которые следует обращать внимание при применении СКЗИ.
1. Если в документации на СКЗИ указано, в какой ОС оно может использоваться, то использовать его в этой системе и нужно. Иначе даже если СКЗИ будет работать, то вам придется еще провести исследования на правильность встраивания известной СКЗИ в новую среду. Это несложно (относительно) для аппаратных СКЗИ, но довольно сложно для программных.
2. Если в аппаратном СКЗИ отсутствует проверенный ДСЧ и отсутствуют проверенные средства самотестирования (а иначе и не может быть в СКЗИ, выполненных на универсальных смарт-карточных микросхемах), то обратите внимание на документы по встраиванию и эксплуатации. Так как энтропия откуда-то должна добавляться, а тестирование должно производиться, может оказаться, что это СКЗИ можно использовать автономно совсем недолго, например два-три дня. Это не всегда удобно.
3. Если вам предлагают любой токен и говорят, что он сертифицирован по классу КС2 и выше, – не верьте. Скорее всего, в документации есть требование использовать этот токен в среде, защищенной электронным замком. Без этого класс не будет выше КС1.

Как видно, при выборе ключей x 1 и x 2 , таких, что выполняется вышеприведенное условие, подписи совпадают, несмотря на то что подписываемые сообщения разные! Заметим, что для расчета x 2 по известному x 1 требуемые вычисления минимальны по сравнению с субэкспоненциальной задачей дискретного логарифмирования.

Тем не менее не все так страшно. Дело в том, что полученные результаты никак не дискредитируют собственно криптостойкость ЭП . Они показывают возможную уязвимость при неправильном применении механизмов ЭП.

Этот пример наглядно демонстрирует уязвимости, возникающие при неправильной реализации СКЗИ. Описанная атака возможна в том случае, если пользователь знает свой ключ подписи и может узнать случайное число.

Существует радикальный способ борьбы с атаками такого рода – для этого всего лишь необходимо иметь устройство, в котором:

• генерируется ключ подписи;
• вычисляется ключ проверки подписи;
• открытый ключ экспортируется, в том числе для сертификации в удостоверяющем центре;
• ключ подписи применяется для выработки ЭП только внутри устройства, его экспорт невозможен! В последнее время такие устройства называют устройствами с неизвлекаемым ключом;
• случайное число никогда не появляется в среде компьютера, оно генерируется и уничтожается после применения внутри устройства.

Вот отсюда понятно, что более надежным является вариант СЭП и СКЗИ, выполненных в виде аппаратуры. В этом случае может быть обеспечено достаточное качество ДСЧ и надежность хранения ключа подписи.

Шифрование

Вернемся теперь к шифрованию и поговорим о том, когда и зачем его нужно применять как физическим лицам, так и юридическим.

Выделим для начала основные типы шифрования, а это абонентское и канальное. Как следует из названий, в случае абонентского шифрования абонент сначала шифрует информацию (файл, документ), а потом уже в закрытом виде передает ее в канал. При канальном шифровании криптографическими методами защищается собственно канал, и абонент не должен заботиться о том, чтобы зашифровать информацию перед ее передачей по каналу. Если канал – это связь "точка-точка", то применяются канальные шифраторы. Если канал – это не провода, а активная структура типа Интернета, то шифровать нужно не все, а только данные. Адреса искажать нельзя, иначе пакеты просто не попадут к адресату. Здесь применяются механизмы виртуальных частных сетей (VPN). Наиболее известные протоколы – IPsec и SSL. Практически все имеющиеся на рынке средства VPN реализуют один из этих протоколов.

VPN

Для того чтобы осознанно выбрать то или иное средство, нужно понять, чем же они различаются и с какими трудностями придется столкнуться на этапе эксплуатации этих средств. Вот что как минимум нужно иметь в виду:

• криптографическую защиту каналов следует использовать в том случае, если есть угроза того, что передаваемые вами данные настолько интересны для нарушителя, что он присоединится к каналу и станет "слушать" весь ваш обмен. Конечно, начинать защищать каналы нужно после того, как будет надежно защищена внутренняя сеть, так как инсайдер обычно обходится дешевле, чем атака на канал; 1 оба протокола – эти протоколы предназначены для взаимодействия не клиентов, а сетей, поэтому они настраиваются с трудом. Таким образом, важнейшее значение имеют средства управления безопасностью сети – их и нужно выбирать в первую очередь;
• в стеке протоколов TCP/IP IPsec работает на уровне IP, а SSL – на уровне TCP. То есть если IPsec обеспечивает защиту скорее на системном уровне, то SSL – на прикладном. Так как IPsec функционирует значительно "ниже", то он тем самым "инкапсулирует" в область защиты значительно большее число протоколов, чем SSL, что, конечно, лучше;
• при эксплуатации VPN ваша основная задача – это управление ключами. Ключи нужно своевременно выдавать, менять – одним словом, ими нужно управлять. Каждая СКЗИ имеет свою систему генерации и управления ключами. Если у вас уже используется какая-нибудь ключевая система, продолжайте ее использовать. Не заводите "зоопарк" – сложным является сопровождение даже одной системы, а уж нескольких – практически неподъемная задача;
• если ваша задача связана с обеспечением деятельности многих распределенных в пространстве объектов информатизации, то применяйте VPN. Это относится лишь к тем объектам, между которыми осуществляется интенсивное информационное взаимодействие защищаемыми данными, которые могут быть интересны нарушителю настолько, что он готов "слушать" каналы. Если все не так запущено – попробуйте ограничиться абонентскими СКЗИ.

Абонентские СКЗИ

Они характеризуются не алгоритмами (определены стандартами), а утилитами, позволяющими эти СКЗИ применять, и условиями, которые необходимо выполнить. Желательно, чтобы применять эти средства было удобно.

И главное – помните о достаточности средств защиты. Нет необходимости применять дорогостоящие СКЗИ там, где можно обойтись без них.

И еще: СКЗИ и СЭП, которые удовлетворяют всем требованиям, которые мы обсуждали, – есть. Вплоть до класса КВ2. Не называю их только для того, чтобы статья не стала рекламной.

Литература

1. Конявский В.А. Компьютерная преступность. Т. II. – М., 2008.
2. Ященко В.В. Введение в криптографию. Новые математические дисциплины. – М., 2001.

Комментирует...

Алексей, добрый день!
В ответе 8-го Центра ничего не указано про необходимость использования именно сертифицированных СКЗИ. Но ведь есть "Методические рекомендации..." утвержденные руководством 8 Центра ФСБ России от 31.03.2015 №149/7/2/6-432, в которых есть во второй части такой абзац:

Для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru). Дополнительную информацию о конкретных средствах защиты информации рекомендуется получать непосредственно у разработчиков или производителей этих средств и, при необходимости, у специализированных организаций, проводивших тематические исследования этих средств;

Чем это не требование использовать сертифицированные СКЗИ?

Есть приказ ФСБ России от 10.07.2014 №378, в котором в подпункте "г" пункта 5 указано: " использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз."

Немного сбивает с толку вот это "когда применение таких средств необходимо для нейтрализации актуальных угроз". Но вся эта необходимость должна быть описана в модели нарушителя.

Но в этом случае опять же в разделе 3 "Методических рекомендаций..." от 2015 года указано, что "При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:
- описание методов и способов защиты этих каналов от несанкционированного доступа к ним;
- выводы по результатам исследований защищенности этих каналов (линий) связи от несанкционированного доступа к передаваемой по ним защищенной информации организацией, имеющей право проводить такие исследования, со ссылкой на документ, в котором содержатся эти выводы."

Я всё это к чему - да, нет необходимости использовать СКЗИ всегда и везде при обеспечении безопасности обработки ПДн. Но для этого нужно сформировать модель нарушителя, где всё это описать и доказать. Про два случая, когда нужно их использовать Вы писали. Но то, что для обеспечения безопасности обработки ПДн по открытым каналам связи, или если обработка этих ПДн выходит за границы контролируемой зоны, можно использовать несертифицированные СКЗИ - тут не всё так просто. И может так случиться, что проще использовать сертифицированные СКЗИ и соблюдать все требования при их эксплуатации и хранении, чем использовать несертифицированные средства и бодаться с регулятором, который видя такую ситуацию, будет очень стараться ткнуть носом.

Unknown комментирует...

Cлучай, когда применение таких средств необходимо для нейтрализации актуальных угроз: требование Приказа ФСТЭК России № 17 от 11 февраля 2013 г. (требования к государственными и муниц. ИСПДн),

пункт 11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».

Алексей Лукацкий комментирует...

Proximo: рекомендации ФСБ нелегитимны. 378-й приказ легитимен, но должен рассматриваться в контексте всего законодательства, а оно говорит, что особенности оценки соответствия устанавливаются Правительством или Президентом. Ни то, ни другой таких НПА не выпускали т

Алексей Лукацкий комментирует...

Антон: в госах требование сертификации установлено законом, 17-й приказ их просто повторяет. А мы про ПДн говорим

Unknown комментирует...

Алексей Лукацкий: №рекомендации ФСБ нелегитимны" Как нелегитимны? Я про документ от 19.05.2015 №149/7/2/6-432 (http://www.fsb.ru/fsb/science/single.htm!id%3D10437608%40fsbResearchart.html), но не про документ от 21.02.2008 №149/54-144.

Другой специалист также ранее делал запрос в ФСБ по похожей теме, и ему ответили, что "Методику..." и "Рекомендации..." ФСБ от 2008 года не нужно использовать, если Вы говорите про эти документы. Но опять же - официально эти документы не отменили. И легитимны эти документы или нет, полагаю, будут решать проверяющие от ФСБ уже на месте в ходе проверки.

Закон говорит, что нужно защищать ПДн. Подзаконные акты от Правительства, ФСБ, ФСТЭК определяют, как именно нужно их защищать. В НПА от ФСБ говорится: "Используйте сертифицированное. Если не хотите сертифицированное - докажите, что можете использовать такое. И будьте добры - приложите заключение на это от фирмы, у которой есть лицензия на право выдачи таких заключений". Как-то так...

Алексей Лукацкий комментирует...

1. Любая рекомендация - это рекомендация, а не обязательное к исполнению требование.
2. Методичка 2015-го года не имеет отношения к операторам ПДн - она относится к госам, которые пишут модели угроз для подведомственных учреждений (с учетом п.1).
3. ФСБ не имеет права проводить проверки коммерческим операторов ПДн, а для госов вопрос применения несертифицированных СКЗИ и не стоит - они обязаны применять сертифицированные решения, независимо от наличия ПДн - это требования ФЗ-149.
4. Подзаконные акты говорят как защищать и это нормально. А вот форму оценку средств защиты они определять не могут - это может сделать только НПА Правительства или Президента. ФСБ не уполномочено это делать

Unknown комментирует...

В соответствии с Постановлением 1119:

4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
13.г. Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Каким образом обосновать не актуальность угрозы при передачи ПДн через каналы оператора связи?

Т.е. если не СКЗИ, то видимо,
- терминальный доступ и тонкие клиенты, но при этом данные СЗИ терминального
доступа должны быть сертифицированы.
- защиты каналов оператором связи, ответственность на оператора связи (провайдера).

Алексей Лукацкий комментирует...

Неактуальность определяет оператор и никто ему для этого не нужен

Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ".

А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ). А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ.

С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных”, утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622. Но после выхода ПП РФ №1119, данный документ потерял актуальность и ФСБ России сообщила что необходимо руководствоваться именно Инструкцией.

В рамках гос. контроля именно по выполнению положений данной Инструкции находится большое количество нарушений.

По применению Инструкции есть много вопросов, ведь писалась она в те времена, когда сертифицированные СКЗИ применялись в редких организациях в единичных экземплярах. Сейчас же, когда серт. криптография становится повсеместной, вызывает сложности дословное выполнение Инструкции.

Сразу же хочу обратить внимание на тот факт, что Инструкция в связке с 99-ФЗ дают однозначные результаты о необходимости получения лицензии ФСБ России или заключения договора с лицензиатом:

Ст.12 99-ФЗ: “1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

1) … выполнение работ … в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);”

Постановление правительства РФ №313. Приложение к положению: “ПЕРЕЧЕНЬ ВЫПОЛНЯЕМЫХ РАБОТ И ОКАЗЫВАЕМЫХ УСЛУГ, СОСТАВЛЯЮЩИХ ЛИЦЕНЗИРУЕМУЮ ДЕЯТЕЛЬНОСТЬ, В ОТНОШЕНИИ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ

12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.

13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.

14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.

15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.

20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая , если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.”

Но Инструкция содержит более строгие требования.

Инструкция ФАПСИ №152:“ 4. Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ, лицензиаты ФАПСИ организуют и обеспечивают... на основании договоров на оказание услуг по криптографической защите конфиденциальной информации.

6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты…”

Основной вывод следующий: организация без лицензии ФСБ не может самостоятельно организовать работы по правильной эксплуатации СКЗИ. Для этого организации обязательно нужно обратится к лицензиату, заключить с ним договор на обслуживание. У лицензиата ФСБ в структуре выделяется ОКЗИ, который организует работы по обеспечению безопасности в организации-заказчике и контролирует их выполнение (а иногда и сам выполняет).

PS : По применению отдельных пунктов Инструкции у меня также было много вопросов, самые интересные я задавал регулятору и в следующей статье поделюсь наиболее интересной информацией…

Также интересно увидеть какие у Вас, коллеги, были сложности или наоборот положительный опыт применения Инструкции.

Регистрационный N 33620

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" 1 приказываю:

утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

Директор А. Бортников

1 Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. I), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. I), ст. 4038.

Приложение

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности

I. Общие положения

1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационная система) с использованием средств криптографической защиты информации (далее - СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

2. Настоящий документ предназначен для операторов, использующих СКЗИ для обеспечения безопасности персональных данных при их обработке в информационных системах.

3. Применение организационных и технических мер, определенных в настоящем документе, обеспечивает оператор с учетом требований эксплуатационных документов на СКЗИ, используемые для обеспечения безопасности персональных данных при их обработке в информационных системах.

4. Эксплуатация СКЗИ должна осуществляться в соответствии с документацией на СКЗИ и требованиями, установленными в настоящем документе, а также в соответствии с иными нормативными правовыми актами, регулирующими отношения в соответствующей области.

II. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 4 уровня защищенности

5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119 1 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

6. Для выполнения требования, указанного в подпункте "а" пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем:

а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;

б) утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях;

в) утверждения перечня лиц, имеющих право доступа в Помещения.

7. Для выполнения требования, указанного в подпункте "б" пункта 5 настоящего документа, необходимо:

а) осуществлять хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);

б) осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.

8. Для выполнения требования, указанного в подпункте "в" пункта 5 настоящего документа, необходимо:

а) разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

б) поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

9. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:

а) получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак;

б) формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ;

в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.

10. СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих:

а) создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ;

б) создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ 2 ;

в) проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее контролируемая зона) 3 ;

г) проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:

внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программых средств, совместно с которыми штатнофункционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;

внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ;

д) проведение атак на этапе эксплуатации СКЗИ на:

персональные данные;

ключевую, аутентифицирующую и парольную информацию СКЗИ;

программные компоненты СКЗИ;

аппаратные компоненты СКЗИ;

программные компоненты СФ, включая программное обеспечение BIOS;

аппаратные компоненты СФ;

данные, передаваемые по каналам связи;

иные объекты, которые установлены при формировании совокупности предложений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее - АС) и программного обеспечения (далее - ПО);

е) получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:

общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);

сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ;

общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;

сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее - канал связи);

все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами;

сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;

сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;

сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ;

ж) применение:

находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;

специально разработанных АС и ПО;

з) использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:

каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;

каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ;

и) проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети;

к) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства).

11. СКЗИ класса КС2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пункте 10 настоящего документа и не менее одной из следующих дополнительных возможностей:

а) проведение атаки при нахождении в пределах контролируемой зоны;

б) проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

документацию на СКЗИ и компоненты СФ.

Помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ;

в) получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;

сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;

сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;

г) использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:

а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ;

б) возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

13. СКЗИ класса KB применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 - 12 настоящего документа и не менее одной из следующих дополнительных возможностей:

а) создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО;

б) проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;

в) проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.

14. СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 - 13 настоящего документа и не менее одной из следующих дополнительных возможностей:

а) создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО;

б) возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ;

в) возможность располагать всеми аппаратными компонентами СКЗИ и СФ.

15. В процессе формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, дополнительные возможности, не входящие в число перечисленных в пунктах 10 - 14 настоящего документа, не влияют на порядок определения требуемого класса СКЗИ.

III. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 3 уровня защищенности

16. В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.

18. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо меры, предусмотренной подпунктом "в" пункта 9 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:

IV. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 2 уровня защищенности

19. В соответствии с пунктом 15 Требований к защите персональных данных для обеспечения 2 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктами 5 и 16 настоящего документа, необходимо выполнение требования о том, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

20. Для выполнения требования, указанного в пункте 19 настоящего документа, необходимо:

а) утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;

б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;

в) обеспечение информационной системы автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;

г) обеспечение периодического контроля работоспособности указанных в подпунктах "б" и "в" настоящего пункта автоматизированных средств (не реже 1 раза в полгода).

21. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом "в" пункта 9 и пунктом 18 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:

СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;

СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.

V. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 1 уровня защищенности

22. В соответствии с пунктом 16 Требований к защите персональных данных для обеспечения 1 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктами 5, 16 и 19 настоящего документа, необходимо выполнение следующих требований:

а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) создание отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение его функций на одно из существующих структурных подразделений.

23. Для выполнения требования, указанного в подпункте "а" пункта 22 настоящего документа, необходимо:

а) обеспечение информационной системы автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) отражение в электронном журнале безопасности полномочий сотрудников оператора персональных данных по доступу к персональным данным, содержащимся в информационной системе. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;

в) назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям (не реже 1 раза в месяц).

24. Для выполнения требования, указанного в подпункте "б" пункта 22 настоящего документа, необходимо:

а) провести анализ целесообразности создания отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе;

б) создать отдельное структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возложить его функции на одно из существующих структурных подразделений.

25. Для выполнения требования, указанного в подпункте "а" пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо:

а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;

б) оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.

26. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом "в" пункта 9, пунктами 18 и 21 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:

СКЗИ класса КА в случаях, когда для информационной системы актуальны угрозы 1 типа;

СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа.

1 Собрание законодательства Российской Федерации, 2012, N 45, 6257.

2 К этапам жизненного цикла СКЗИ относятся разработка (модернизация) указанных средств, их производство, хранение, транспортировка, ввод в эксплуатацию (пусконаладочные работы), эксплуатация.

3 Границей контролируемой зоны могут быть периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.