Статьи

Порядок применения криптографии в России

26.02.2014

/

Практически каждый знает, что все самое ценное надо хранить и оберегать. Относится это не только к материальным ценностям, но и к информации. Существуют различные способы защиты информации: организационные, технические, криптографические. Не во всех случаях сам обладатель информации определяет необходимость и достаточность мер по защите. В данной статье речь пойдет об особенностях применения криптографических средств защиты информации.

Все знают, что криптография – это хорошо: это безопасно (при условии использования надежных алгоритмов шифрования и их реализаций), не очень трудно (при использовании соответствующих решений) и популярно (тут и так все понятно). При использовании средств криптографической защиты информации реализуется возможность безопасного хранения и организации защищенного канала связи при передаче информации ограниченного доступа. В случае, когда мы сами определяем конфиденциальность какой-либо информации, которой мы обладаем, то меры и средства (в т.ч. криптографические) по ее защите (в случае коммерческой тайны, например), мы можем использовать любые. Но когда государство определяет конфиденциальность какой-либо информации, мы обязаны применять сертифицированные средства и строго регламентированные меры.

К информации, конфиденциальность которой определяет государство, в частности, относятся персональные данные. Порядок работы с персональными данными определен Федеральным законом от 8.07.2006 г. №152-ФЗ «О персональных данных». В соответствии с указанным ФЗ вводится понятие оператора персональных данных. Оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (далее по тексту – Оператор). Оператор должен обеспечивать безопасность обработки и хранения персональных данных в соответствии со ст. 19 ФЗ № 152 с применением технических мер, одной из которых является использование криптографических средств.

Порядок организации и обеспечения функционирования шифровальных (криптографических) средств (далее – криптосредств), предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных определяется «Типовыми требованиями» от 21.02.2008 г. №149/6/6-622 утвержденными ФСБ России (далее – Требования). Государство четко определяет, что при передаче персональных данных по каналам связи мы должны применять сертифицированные ФСБ России и ФСТЭК России средства криптографической защиты информации.

При использовании сертифицированных средств криптографической защиты информации (далее – СКЗИ) мы, помимо основных нормативных документов, регламентирующих защиту персональных данных, должны руководствоваться приказом ФАПСИ РФ от 13.06.2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну». Этот приказ, как следует из названия, вводит «Инструкцию об …» (далее по тексту – Инструкция). Приведенные выше документы указывают, что обеспечивать безопасность хранения и обработки конфиденциальной информации с использованием СКЗИ может как сама организация, владеющая данной информацией, так и сторонняя организация, имеющая лицензии ФСТЭК России и ФСБ России на деятельность по обеспечению защиты информации (далее – Лицензиат), на основании договора.

Для того, чтобы принять решение о том, какие именно сертифицированные СКЗИ применять, Оператор должен разработать модели угроз безопасности персональных данных. Модели угроз разрабатываются с применением соответствующих методик, утвержденных ФСТЭК России и ФСБ России.

Теперь рассмотрим подробнее – какие организационные и технические меры должен принимать оператор для того, чтобы оставаться в рамках закона при эксплуатации СКЗИ. Сразу отметим, что для осуществления ряда мероприятий, Оператор в обязательном порядке должен быть либо Лицензиатом, либо привлекать для их проведения стороннюю организацию Лицензиата. Так, для того чтобы Оператор имел право эксплуатировать СКЗИ, он должен иметь заключение о возможности эксплуатации СКЗИ и заключения о возможности самостоятельной работы с СКЗИ на каждого пользователя СКЗИ. Для того чтобы получить эти документы, Оператору нужно либо самому быть Лицензиатом либо, обратится на договорной основе к сторонней организации Лицензиату. Кроме того, для того чтобы СКЗИ могли осуществлять свои функции, необходимо для каждого экземпляра СКЗИ получить комплект ключевой документации. И тут позиция государства также однозначна – выпуском ключевой документации для СКЗИ, ее рассылкой и распределением между пользователями СКЗИ может заниматься только Лицензиат.

А что же может делать Оператор самостоятельно, не являясь Лицензиатом и не привлекая Лицензиата? А может и должен он делать следующее:

  • определить внутренним приказом Оператора, ответственного пользователя СКЗИ (именно на него Оператор возлагает организацию и проведение всех описанных ниже мероприятий);
  • разработать инструкции по использованию СКЗИ согласно эксплуатационной и технической документации к ним;
  • утвердить перечень пользователей СКЗИ;
  • разработать (запланировать) перечень мероприятий, направленных на обеспечение штатного функционирования и безопасности использования СКЗИ;
  • разработать и осуществлять ведение журналы поэкземплярного учета СКЗИ, технической и эксплуатационной документации на эти СКЗИ, ключевых носителей;
  • осуществлять учет пользователей, допущенных к работе с СКЗИ;
  • вести лицевой счет на каждого пользователя, в котором указываются числящиеся за ним СКЗИ, эксплуатационная и техническая документация к ним, ключевые носители;
  • оборудовать аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно - программные СКЗИ средствами контроля за их вскрытием (опечатать, опломбировать).

Отметим, что согласно Требованиям допускается возложение функций ответственного пользователя СКЗИ на одного из пользователей СКЗИ, либо на структурное подразделение или должностное лицо (работника), ответственных за обеспечение безопасности персональных данных, назначаемых оператором, либо на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства (при наличие последнего).

Также, нормативные документы определяют ряд требований к помещениям, в которых функционируют СКЗИ, и к правилам хранения инсталлирующих СКЗИ носителей, эксплуатационной и технической документации к СКЗИ, ключевых документов, а также устанавливают правила вывода из обращения и уничтожения этих носителей и документов. Помимо чисто технических требований (надежные входные двери и замки, охранная сигнализация, защита окон, размещение аппаратных средств, наличие индивидуальных хранилищ и пр., наличие бумагорезательных машин) присутствуют и организационные: необходимость создания и ведения журналов (учет хранилищ и ключей, учет носителей и ключевой документации, учет проверок охранной сигнализации, технические (аппаратные) журналы), разработку и применение шаблонов актов уничтожения выведенных из работы ключевых документов, инсталлирующих СКЗИ носителей, эксплуатационной и технической документации к СКЗИ.

Подводя итоги, можно сказать следующее: применение Оператором сертифицированных средств криптографической защиты информации для обеспечения безопасности конфиденциальной информации накладывает на Оператора ряд обязательств. И одно из этих обязательств – проведение комплекса организационных мероприятий, разработка и поддержание в актуальном состоянии комплекта внутренних организационно-распорядительных документов, регулирующих вопросы применения СКЗИ. Необходимый комплект документов является достаточно объемным при этом ни законодательная база, ни нормативные документы регуляторов практически не дают формализованных шаблонов, на основе которых можно разработать этот комплект. В нормативной базе представлены только шаблоны некоторых журналов учета.

Справиться с выполнением жестких установленных регуляторами требований по документальному обеспечению деятельности организации при работе с СКЗИ поможет онлайн-сервис DocShell, разработанный компанией "РосИнтеграция". Онлайн сервис DocShell предоставляет универсальный набор автоматически заполняемых проектов документов, позволяющих организовать соответствующую требованиям законодательства работу с СКЗИ, обработку и защиту персональных данных и служит для упрощения разработки проектов организационно-распорядительных документов, сокращения временных затрат и непрерывного поддержания организационно-распорядительных документов в актуальном виде.