Необходимость использования сертифицированных средств

Довольно часто у заказчиков возникает вопрос — использовать сертифицированные средства защиты информации или обойтись несертифицированными. Выбор несертифицированных гораздо больше, соответственно, есть варианты с довольном скромным прайс-листом. Сертифицированных средств меньше, они дороже, но в некоторых случаях их использование обязательно. В заметке рассмотрим один из таких случаев подробнее.
Цепочки нормативной документации начинаются с Федеральных законов, Постановлений правительства, а заканчиваются приказами регуляторов.
Регуляторами в сфере информационной безопасности являются Федеральная Служба Безопасности (ФСБ) России и Федеральной службы по техническому и экспортному контролю (ФСТЭК) России. ФСБ курирует вопросы, связанные с криптографической защитой информации, ФСТЭК — все остальные.

Рассмотрим цепочку для персональных данных:

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015)

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом 

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. 

<…>

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

<…> 

2. Обеспечение безопасности персональных данных достигается, в частности:

<…> 

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

<…>

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

Обязанность возложена на оператора, указание на использование средств защиты, прошедших процедуру оценки соответствия и ссылки на нормативные документы регуляторов.

Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»
<…>
4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

<…>
13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
<…>
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
<…>

Для 3, 2 и 1 уровней требования — «не ниже», т.е. «оценка соответствия» тоже необходима.

ФСБ РФ

Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва

5. <…> для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
<…>

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
<…>

9. Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее — атака), которое достигается путем:
<…>

в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.

<…>
10. СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих:
<…>
11. СКЗИ класса КС2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пункте 10 настоящего документа и не менее одной из следующих дополнительных возможностей
<…>
12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей:
<…>
13. СКЗИ класса KB применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 — 12 настоящего документа и не менее одной из следующих дополнительных возможностей:
<…>
14. СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 — 13 настоящего документа и не менее одной из следующих дополнительных возможностей:
<…>

Для уровней — аналогично постановлению правительства. Произошел переход от оценки соответствия к классам сертификации СКЗИ.

ФСТЭК РФ 

Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 г. Москва «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн» 

Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных

ФСТЭК придерживается формулировки «оценка соответствия».

Еще один полезный документ ФСБ — Методические рекомендации по защите ПДн

Они носят рекомендательный характер для федеральных органов исполнительной власти, в документе явно прописана необходимость сертификации:

для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. 

Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru).

Также существуют отраслевые требования, в частности для банковской сферы:

Банк России 

СТО БР ИББС 

7.7.3. СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2.

Нормативная база постоянно меняется. Приведенная информация актуальна на 01.08.2016 и могла устареть/изменится. О значительных изменениях законодательства будут отдельные заметки.

Поделиться:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *