Как ФСБ проверяет мастерские

Богданов Андрей Петрович Эксперт

Эксперт по защите информации

0
3012
При установке тахографов мастерские столкнулись с необходимостью разбираться в вопросах, связанных с использованием средств криптографической защиты информации (СКЗИ). Дополнительная информация стала тем более актуальной, так как с 1 июля 2016 года официально запрещены аналоговые тахографы, которые теперь необходимо менять на тахографы с блоком СКЗИ.
Как ФСБ проверяет мастерские

Еще недавно вопрос эксплуатации и оборота СКЗИ был прерогативой специализированных организаций, занимающихся обеспечением информационной безопасности. Поэтому любые действия в области криптографической защиты информации для непосвященных людей выглядят как «танцы у огня» и вызывают много вопросов.

Один из основных - необходимость взаимодействия с регулятором в этой области, ФСБ России. Навипорт обратился к экспертам в сфере защиты информации, чтобы они на основе практического опыта разъяснили наиболее важные аспекты эксплуатации и оборота СКЗИ мастерскими. Чаще всего сервисные центры интересуют вопросы, связанные с проверками, проводимыми ФСБ России в рамках выполнения своих функций контроля требований, оборота и эксплуатации СКЗИ.

Что могут проверить у мастерской?

ФСБ России интересуют средства криптографической защиты и все, что «вертится» вокруг них. Здесь кроется масса нюансов: наличие лицензии на деятельность, связанную с СКЗИ, соблюдение лицензионных требований мастерскими, выполнение требований технической документации на СКЗИ.

Учет и хранение средств шифрования, допуски к СКЗИ, регламент их использования должны проводиться в строгом соответствии с требованиями законодательства.

Ниже приведен перечень предметов проверки:

1. Лицензионные требования в области использования СКЗИ.

  • наличие необходимой лицензий ФСБ России;
  • соблюдение лицензионных требований мастерскими, в т.ч. обеспечение необходимым квалифицированным составом специалистов в области информационной безопасности.

2. Разрешительная и эксплуатационная документация:

  • наличие необходимых лицензий для использования СКЗИ в информационных системах;
  • наличие сертификатов соответствия на используемые СКЗИ;
  • наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководств оператора и т.п.);
  • порядок учета СКЗИ, эксплуатационной и технической документации к ним;
  • выявление несертифицированных ФСБ России (ФАПСИ) СКЗИ.

3. Требования к обслуживающему персоналу:

  • порядок учета лиц, допущенных к работе с СКЗИ;
  • наличие функциональных обязанностей ответственных пользователей СКЗИ;
  • укомплектованность штатных должностей личным составом, а также достаточность имеющегося личного состава для решения задач по организации криптографической защиты информации;
  • организация процесса обучения лиц, использующих СКЗИ, применяемых в информационных системах, правилам работы с ними и другим нормативным документам по организации работ (связи) с использованием СКЗИ.

4. Эксплуатация СКЗИ:

  • проверка правильности ввода СКЗИ в эксплуатацию и соответствие условий эксплуатации технических средств удостоверяющего центра (при наличии) требованиям эксплуатационной документации и сертификатов соответствия;
  • оценка технического состояния СКЗИ, соблюдения сроков и полноты проведения технического обслуживания, а также проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним.

5. Оценка соответствия применяемых СКЗИ:

  • соответствие программного обеспечения, реализующего криптографические алгоритмы используемых СКЗИ, эталонным версиям, проходившим сертификацию в ФСБ России;
  • проведение (при необходимости) на местах осуществления проверки оперативных тематических исследований используемых СКЗИ.

6. Организационные меры:

  • выполнения требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, а также соответствия режима хранения СКЗИ и ключевой документации предъявляемым требованиям;
  • оценка степени обеспечения мастерской криптоключами и организации их доставки.
  • проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ.
  • порядок проведения разбирательств и составления заключений по фактам нарушения условий хранения носителей персональных данных или использования СКЗИ.

7. Обеспечение системы организационных и технических мер защиты персональных данных:

  • область применения средств криптографической защиты информации (далее - СКЗИ) в информационных системах персональных данных;
  • наличие ведомственных документов и приказов по организации криптографической защиты информации;
  • выполнение рекомендаций и указаний ФСБ России (при их наличии) по вопросам организации связи с использованием криптосредств;
  • наличие аттестованных на соответствие требованиям по информационной безопасности автоматизированных систем;
  • наличие оценок эффективности систем защиты персональных данных;
  • наличие системы защиты персональных данных в целом.

8. Организация системы криптографических мер защиты персональных данных:

  • наличие модели угроз безопасности персональных данных;
  • соответствие модели угроз исходным данным;
  • соответствие требуемого уровня криптографической защиты частной модели угроз безопасности персональных данных;
  • соответствие используемых СКЗИ требуемому уровню криптографической защиты;
  • наличие документов по поставке СКЗИ мастерской.

Как оформляются результаты проверки?

По результатам проверки должностными лицами ФСБ России составляется акт в двух экземплярах. Один из них с копиями приложений вручается руководству мастерской или уполномоченному лицу под расписку об ознакомлении или отказе в ознакомлении с актом проверки.

В журнале учета проверок сотрудники ФСБ России записывают информацию о проверке, где указывают время ее начала и окончания, правовых основаниях, целях, задачах и предмете проверки, выявленных нарушениях и выданных предписаниях, а также указывают фамилии, имена, отчества и должности должностного лица или должностных лиц, проводящих проверку. При отсутствии журнала учета проверок в акте проверки делается соответствующая запись.

Нарушение мастерской правил в области использования СКЗИ, согласно статьям 13.6; 13.12; 13.13; 14.1. Кодекса Российской Федерации об административных правонарушениях, может повлечь санкции:

— аннулирование лицензии,

— штрафы до 300 тыс. руб. для должностных лиц и организации,

— конфискация средств криптозащиты.

В итоге, при выявлении серьезных нарушений, мастерская может лишиться права оказывать услуги в области СКЗИ, или ее работа может быть блокирована в системе обмена данными. Кроме того, за осуществление деятельности без лицензии предусматривается уже уголовная ответственность по ст. 171 Уголовного кодекса Российской Федерации.

Для того чтобы подготовиться к проверке ФСБ, необходимо провести ряд организационных и технических мер, разработать и утвердить документы, связанные с работой с СКЗИ. В следующей статье эксперты по защите информации расскажут, какие типичные нарушения выявляются при проверках, и что делать, если в вашей мастерской обнаружили нарушения.

Богданов Андрей Петрович Эксперт

Эксперт по защите информации

Комментарии

  • с 1 июля 2016 года официально запрещены аналоговые тахографы, которые теперь необходимо менять на тахографы с блоком СКЗИ. Вопрос к эксперту в тахографии< Кем запрещены официально?
  • Здравствуйте. Аналоговые тахографы отменены на внутренних перевозках России на основании Приказа Минтранса РФ от 02.12.2015 № 348 (http://naviport.info/info/docs/348/), это также подтверждено судебной практикой на основании решения Верховного суда (http://naviport.info/upload/files/resh_verh_sud_analog.pdf).
  • Здравствуйте! Ни в одном нормативном акте регулятора не идёт речи об отмене аналоговых контрольных устройств, устанавливаемых на транспортные средства. В приказе Минтранса России № 273 идёт речь о том, что транспортные средства должны быть оснащены техническими устройствами, обеспечивающими регистрацию на карты ЕСТР или на карты тахографа, использующие СКЗИ для защиты информации. Так что, используйте "аналоговый тахограф" на здоровье. Но для контроля режимов труда и отдыха водителя, будьте любезны использовать техническое устройство в соответствии с требованиями приказа Минтранса России № 273. Более того, транспортные средства, осуществляющие международные перевозки, могут эксплуатироваться с аналоговыми контрольными устройствами, в соответствии с договорённостями, изложенными в ЕСТР с дополнениями. Слова о запрете можно услышать и прочесть в различных комментариях, но не в нормативных, а, тем более, законодательных актах. Однако, при этом, эксплуатация аналоговых контрольных устройств, если транспортное средство не осуществляет международные перевозки, стала не актуальна. Для выполнения контрольно надзорных функций по контролю режимов труда и отдыха водителей информация соответствующими органами будет получаться с технических устройств, обеспечивающих регистрацию на карты ЕСТР или на карты тахографа, использующие СКЗИ для защиты информации. Такой экспертный комментарий мы получили, чем и хотим поделиться. Возможно наши специалисты не достаточно компетентны, но у нас бытует устойчивое мнение, что аналоговые контрольные устройства вообще не могут обеспечить регистрацию ни на какую карту, в том числе и, так называемую, по 720 постановлению. В данной ситуации, по нашему мнению, если при проверке контролёром на транспортном средстве будет установлено аналоговое контрольное устройство, но не будет цифрового контрольного устройства, то организация, эксплуатирующая такое транспортное средство, будет подвергнута административному наказанию. Но, это не касается транспортного средства, осуществляющего международные перевозки. Т.е., имеющего специальное разрешение.
  • Здравствуйте! После вступления в силу приказа Минтранса России № 36 от 13.02.13, экспертами в области информационной безопасности высказывались мнения о необходимости выполнения требований ФСБ России мастерскими, как полноценными участниками рынка оборота и эксплуатации СКЗИ, без «скидок» на специфику работы мастерской. Мало кто из соискателей задумывался над тем, что и, главное, каким образом, они должны выполнять в рамках лицензированного вида деятельности. По истечении времени, но уже тогда, когда сотрудники ФСБ России стали проводить плановые и неплановые проверки мастерских, в результате чего появились первые штрафы, а более того, и уголовные дела, руководители мастерских стали обращаться к экспертам в области информационной безопасности для получения квалифицированных консультаций в части выполнения лицензионных требований. Однако, большинство мастерских до настоящего времени не задумывается о том, что невыполнение лицензионных требований влечёт привлечение, как минимум, к административной ответственности. После ознакомления с материалом экспертов ЭОЧУ ЮТК, касающимся проверок в мастерских выполнения лицензированного вида деятельности соответствующими подразделениями ФСБ России, мы посчитали необходимым задать ряд вопросов, для более детального раскрытия вопросов, связанных с проверками. Тем более, что руководству мастерских по этому поводу поступает достаточно противоречивая информация от разных, якобы экспертов, отстаивающих, в основном, исключительно собственные коммерческие интересы. Деятельность таких экспертов никогда, до 2013 года, не была связана со средствами криптозащиты. А, если и была у некоторых связана, то только с вопросами получения лицензий при помощи привлечённых специалистов, но в меньшей мере с выполнением лицензионных требований в полной мере, как того требует регулятор. Ниже приводим, сформулированные нами вопросы и просим экспертов ЭОЧУ ЮТК, с учётом специфики деятельности мастерской, осуществляющей деятельность по установке, проверке, техническому обслуживанию и ремонту тахографов, подробно ответить на наши вопросы. 1. После получения лицензии работники соответствующей квалификации, которые, на момент получения лицензии числились в штате соискателя по основному месту работы, переведены на работу по совместительству. Нарушены ли при этом лицензионные требования, наказуемо ли это со стороны контролирующего органа и каким образом? 2. После получения лицензии мастерской, работники соответствующей квалификации, числящиеся в штате мастерской на момент получения лицензии, уволены. Их функционал возложен на работников организации, которые имеют опыт работы у лицензиата по совместительству в течение полутора лет, при этом они либо проходят, либо уже прошли переподготовку в учебном центре по направлению «Информационная безопасность» по программе 520 – ти часов. Нарушены ли при этом лицензионные требования, наказуемо ли это со стороны контролирующего органа и каким образом? 3. Какие СКЗИ (типы, виды, категории) используют в своей деятельности мастерские, осуществляющие деятельность по установке, проверке, техническому обслуживанию и ремонту тахографов? 4. Где мастерская может получить сертификат соответствия на используемые СКЗИ и чем это регламентировано? 5. Где мастерская может получить эксплуатационную документацию на СКЗИ (формуляры, правила работы, руководство оператора и т.п.) и чем это регламентировано? 6. Должны ли документы, рассмотренные в вопросах 4 и 5 иметь признаки утверждения соответствующим органом сертификации или лицензирования и какие? Чем это регламентировано? 7. Каким образом мастерская может выявлять несертифицированные ФСБ России СКЗИ? Какие у неё для этого полномочия? Какие действия должна предпринять мастерская при выявлении несертифицированных ФСБ России СКЗИ? 8. Достаточно ли мастерской иметь в штате, по основному месту работы, руководителя и инженера подразделения информационной безопасности, соответствующей квалификации, и ряд сотрудников в подразделении, прошедших внутренний инструктаж, связанный с работой СКЗИ, для полноценного выполнения лицензионных требований? 9. Какой функционал может быть возложен на ответственного пользователя СКЗИ и пользователя СКЗИ, применительно к мастерской, в части работ с тахографами и, в части работ с картами тахографов? 10. Применительно к деятельности мастерской, осуществляющей деятельность по установке, проверке, техническому обслуживанию и ремонту тахографов, что такое ключевые документы, как они выглядят? 11. Приказ ФАПСИ № 152 и типовые требования, утверждённые руководством 8-го управления ФСБ России, требуют, чтобы криптосредства и ключевые документы доставлялись фельдъегерской (в том числе ведомственной) связью или со специально выделенными оператором ответственными пользователями криптосредств и сотрудниками при соблюдении мер, исключающих бесконтрольный доступ к криптосредствам и ключевым документам во время доставки. Штат фельдъегерей имеется только у ФГУП «ГЦСС». Возможна ли доставка СКЗИ и ключевых документов посредством привлечения организаций, оказывающих услуги курьерской и почтовой доставки, но не имеющих в своем штате фельдъегерей? Если нет, то каким образом выявляются такие нарушения лицензионных требований и каково наказание за подобные нарушения? 12. Каким образом разграничены вопросы выполнения работ и оказания услуг по лицензированным видам деятельности? 13. После получения лицензии ФСБ России мастерская, реально, не выполняет работы и не оказывает услуги по лицензированным видам деятельности. Необходимо ли, при этом, мастерской выполнять лицензионные требования? Какие последствия могут быть для мастерской, при условии невыполнения нею обязанностей по лицензированным видам деятельности? 14. Может ли мастерская продавать СКЗИ организации, не имеющей лицензии ФСБ России? Если да, то какие условия должны быть соблюдены для этого? Появляется ли, при этом, у организации, не имеющей соответствующей лицензии ФСБ России, обязанность учёта средств криптозащиты? 15. Карта тахографа является СКЗИ. Водитель, получивший карту тахографа на своё имя, является пользователем СКЗИ. Считается ли утеря карты тахографа утерей ключевых документов, способствующих компрометации действующих ключей к СКЗИ? Какая ответственность, при этом, возложена на пользователя СКЗИ и на ответственного пользователя СКЗИ? Кто, при этом, является ответственным пользователем СКЗИ? 16. В каком случае мастерская выполняет работы, а в каком оказывает услуги в рамках реализации вопросов тахографии? Данный перечень вопросов далеко не полон. Квалифицированные ответы на данные вопросы помогут мастерским глубже вникнуть в вопросы выполнения лицензионных требований. В тоже время, ознакомление с ответами на данные вопросы, наверняка, вызовут у мастерских новые вопросы к экспертам. Считаем, что их не нужно стесняться задавать, чтобы иметь первичную информацию для грамотного выстраивания работы мастерской в рамках выполнения лицензионных требований. Ждем ответы экспертов ЭОЧУ ЮТК на поставленные вопросы. Благодарим за внимание!

Самое читаемое

К списку новостей

Записаться на трансляцию

Регистрация на мероприятие

Записаться на обучение