Необходимо ли вести учет тахографов без блока СКЗИ?
Богданов Андрей Петрович Эксперт
Эксперт по защите информации
Согласно Приказу ФАПСИ № 152, учету подлежат устройства, в которых размещены или к которым подключены СКЗИ. Прямых указаний на необходимость учитывать устройство (тахограф) до размещения в нем блока СКЗИ отсутствуют. Но учитывая, что в тахографе однозначно в дальнейшем будет использоваться блок СКЗИ и карта водителя с персональными данными, следует вести учет такого тахографа (без блока СКЗИ). Необходимость учета продиктована, в том числе:
- приказом ФСБ от 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
- «Методическими рекомендациями по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденными руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015);
Учет таких тахографов (без блока СКЗИ) необходим с целью исключения внесения несанкционированных изменений в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее — СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований.
Учет СФ является составной частью общей задачи обеспечения безопасности информации в системе, в состав которой входит СКЗИ.
Опираясь на вышеизложенное, считаем целесообразным ставить на учет оборудование, к которому предполагается дальнейшее подключение СКЗИ и функциональное применение которого без СКЗИ не осуществляется.
Богданов Андрей Петрович Эксперт
Эксперт по защите информации
Комментарии