Как ФСБ проверяет мастерские
Богданов Андрей Петрович Эксперт
Эксперт по защите информации
При установке тахографов мастерские столкнулись с необходимостью разбираться в вопросах, связанных с использованием средств криптографической защиты информации (СКЗИ). Дополнительная информация стала тем более актуальной, так как с 1 июля 2016 года официально запрещены аналоговые тахографы, которые теперь необходимо менять на тахографы с блоком СКЗИ.
Еще недавно вопрос эксплуатации и оборота СКЗИ был прерогативой специализированных организаций, занимающихся обеспечением информационной безопасности. Поэтому любые действия в области криптографической защиты информации для непосвященных людей выглядят как «танцы у огня» и вызывают много вопросов.
Один из основных - необходимость взаимодействия с регулятором в этой области, ФСБ России. Навипорт обратился к экспертам в сфере защиты информации, чтобы они на основе практического опыта разъяснили наиболее важные аспекты эксплуатации и оборота СКЗИ мастерскими. Чаще всего сервисные центры интересуют вопросы, связанные с проверками, проводимыми ФСБ России в рамках выполнения своих функций контроля требований, оборота и эксплуатации СКЗИ.
Что могут проверить у мастерской?
ФСБ России интересуют средства криптографической защиты и все, что «вертится» вокруг них. Здесь кроется масса нюансов: наличие лицензии на деятельность, связанную с СКЗИ, соблюдение лицензионных требований мастерскими, выполнение требований технической документации на СКЗИ.
Учет и хранение средств шифрования, допуски к СКЗИ, регламент их использования должны проводиться в строгом соответствии с требованиями законодательства.
Ниже приведен перечень предметов проверки:1. Лицензионные требования в области использования СКЗИ.
- наличие необходимой лицензий ФСБ России;
- соблюдение лицензионных требований мастерскими, в т.ч. обеспечение необходимым квалифицированным составом специалистов в области информационной безопасности.
2. Разрешительная и эксплуатационная документация:
- наличие необходимых лицензий для использования СКЗИ в информационных системах;
- наличие сертификатов соответствия на используемые СКЗИ;
- наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководств оператора и т.п.);
- порядок учета СКЗИ, эксплуатационной и технической документации к ним;
- выявление несертифицированных ФСБ России (ФАПСИ) СКЗИ.
3. Требования к обслуживающему персоналу:
- порядок учета лиц, допущенных к работе с СКЗИ;
- наличие функциональных обязанностей ответственных пользователей СКЗИ;
- укомплектованность штатных должностей личным составом, а также достаточность имеющегося личного состава для решения задач по организации криптографической защиты информации;
- организация процесса обучения лиц, использующих СКЗИ, применяемых в информационных системах, правилам работы с ними и другим нормативным документам по организации работ (связи) с использованием СКЗИ.
4. Эксплуатация СКЗИ:
- проверка правильности ввода СКЗИ в эксплуатацию и соответствие условий эксплуатации технических средств удостоверяющего центра (при наличии) требованиям эксплуатационной документации и сертификатов соответствия;
- оценка технического состояния СКЗИ, соблюдения сроков и полноты проведения технического обслуживания, а также проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним.
5. Оценка соответствия применяемых СКЗИ:
- соответствие программного обеспечения, реализующего криптографические алгоритмы используемых СКЗИ, эталонным версиям, проходившим сертификацию в ФСБ России;
- проведение (при необходимости) на местах осуществления проверки оперативных тематических исследований используемых СКЗИ.
6. Организационные меры:
- выполнения требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, а также соответствия режима хранения СКЗИ и ключевой документации предъявляемым требованиям;
- оценка степени обеспечения мастерской криптоключами и организации их доставки.
- проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ.
- порядок проведения разбирательств и составления заключений по фактам нарушения условий хранения носителей персональных данных или использования СКЗИ.
7. Обеспечение системы организационных и технических мер защиты персональных данных:
- область применения средств криптографической защиты информации (далее - СКЗИ) в информационных системах персональных данных;
- наличие ведомственных документов и приказов по организации криптографической защиты информации;
- выполнение рекомендаций и указаний ФСБ России (при их наличии) по вопросам организации связи с использованием криптосредств;
- наличие аттестованных на соответствие требованиям по информационной безопасности автоматизированных систем;
- наличие оценок эффективности систем защиты персональных данных;
- наличие системы защиты персональных данных в целом.
8. Организация системы криптографических мер защиты персональных данных:
- наличие модели угроз безопасности персональных данных;
- соответствие модели угроз исходным данным;
- соответствие требуемого уровня криптографической защиты частной модели угроз безопасности персональных данных;
- соответствие используемых СКЗИ требуемому уровню криптографической защиты;
- наличие документов по поставке СКЗИ мастерской.
Как оформляются результаты проверки?
По результатам проверки должностными лицами ФСБ России составляется акт в двух экземплярах. Один из них с копиями приложений вручается руководству мастерской или уполномоченному лицу под расписку об ознакомлении или отказе в ознакомлении с актом проверки.
В журнале учета проверок сотрудники ФСБ России записывают информацию о проверке, где указывают время ее начала и окончания, правовых основаниях, целях, задачах и предмете проверки, выявленных нарушениях и выданных предписаниях, а также указывают фамилии, имена, отчества и должности должностного лица или должностных лиц, проводящих проверку. При отсутствии журнала учета проверок в акте проверки делается соответствующая запись.
Нарушение мастерской правил в области использования СКЗИ, согласно статьям 13.6; 13.12; 13.13; 14.1. Кодекса Российской Федерации об административных правонарушениях, может повлечь санкции:
— аннулирование лицензии,
— штрафы до 300 тыс. руб. для должностных лиц и организации,
— конфискация средств криптозащиты.
В итоге, при выявлении серьезных нарушений, мастерская может лишиться права оказывать услуги в области СКЗИ, или ее работа может быть блокирована в системе обмена данными. Кроме того, за осуществление деятельности без лицензии предусматривается уже уголовная ответственность по ст. 171 Уголовного кодекса Российской Федерации.
Для того чтобы подготовиться к проверке ФСБ, необходимо провести ряд организационных и технических мер, разработать и утвердить документы, связанные с работой с СКЗИ. В следующей статье эксперты по защите информации расскажут, какие типичные нарушения выявляются при проверках, и что делать, если в вашей мастерской обнаружили нарушения.
Богданов Андрей Петрович Эксперт
Эксперт по защите информации
Комментарии