4. Требования приказа Федеральной службы безопасности России от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
4.1 Требования к 4 уровню защищенности персональных данных.
4.1.1. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 (далее - Требования к защите персональных данных необходимо выполнение следующих требований:
4.1.1.1. Для организации режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - помещения), лиц, не имеющих права доступа в помещения, которое достигается путем:
- оснащения помещений входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода, а также опечатывания помещений по окончании рабочего дня или оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;
- утверждения правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
- утверждения перечня лиц, имеющих право доступа в помещения.
Одним из требований ко всем Операторам, использующим СКЗИ для защиты ПДн, начиная с самого низкого 4-го уровня защищенности, является необходимость опечатывания, либо оборудования иными приспособлениями, сигнализирующими об их несанкционированном вскрытии мест хранения носителей ПДн и дверей помещений, в которых расположены СКЗИ.
4.1.1.2. Для выполнения обеспечения сохранности носителей персональных данных, необходимо:
- осуществлять хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);
- осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.
4.1.1.3. Для утверждения руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей, необходимо:
- разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
4.1.1.4. Для использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем:
- получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак;
- формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ;
- использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.
4.2 Требования к 3 уровню защищенности персональных данных.
4.2.1. Для реализации требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 4 уровня защищенности ПДн, необходимо выполнение требования о назначении должностного лица (работника), ответственного за эксплуатацию СКЗИ.
4.2.2. Для использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз, необходимо вместо использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:
СКЗИ класса КВ и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;
СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.
4.3 Требования ко 2 уровню защищенности персональных данных.
4.3.1. Для реализации требований к защите персональных данных для обеспечения 2 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 4 и 3 уровня защищенности персональных данных, необходимо выполнение требования о том, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
4.3.2. Для реализации настоящего документа, необходимо:
а) утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;
б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;
в) обеспечение информационной системы автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;
г) обеспечение периодического контроля работоспособности указанных в подпунктах "б" и "в" настоящего пункта автоматизированных средств (не реже 1 раза в полгода).
4.3.3. Для использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз, необходимо использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:
СКЗИ класса КА в случаях, когда для информационной системы актуальны угрозы 1 типа;
СКЗИ класса КВ и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;
СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.
4. Порядок обращения с СКЗИ и ключевыми документами
4.1. Выдача СКЗИ, эксплуатационной и технической документации к ним производится органами криптографической защиты уполномоченным лицам, пользователям, на основании доверенности.
4.2. СКЗИ, эксплуатационная и техническая документация к ним доставляются при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки.
4.3. Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования. Если один и тот же ключевой носитель многократно используется для записи криптоключей, то его каждый раз следует регистрировать отдельно.
4.4. Поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним, ключевых документов ведется в соответствующих журналах.
4.5. Все полученные СКЗИ, эксплуатационная и техническая документация к ним должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, которые несут персональную ответственность за их сохранность.
4.6. Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего обучения. Обучение пользователей правилам работы с СКЗИ осуществляется специалистом ответственным за эксплуатацию СКЗИ. Учет проведения обучения пользователей СКЗИ ведется в соответствующем журнале.
4.7. Пользователи СКЗИ хранят ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
4.8. Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) аппаратных средств должно быть таким, чтобы его можно было визуально контролировать.
4.9. Уничтожение (удаление) СКЗИ с аппаратных средств производится специалистом ответственным за эксплуатацию СКЗИ по указанию органа криптографической защиты с составлением акта. Акт об уничтожении (удалении) СКЗИ представляется в орган криптографической защиты.
4.10. Ключевые документы уничтожаются специалистом ответственным за эксплуатацию СКЗИ не позднее 10 суток после вывода их из действия (окончания срока действия) с отметкой об уничтожении в соответствующем журнале.
4.11. Криптоключи, в отношении которых возникло подозрение в компрометации, немедленно выводятся из действия. О выводе криптоключей из действия сообщается в орган криптографической защиты по телефону. В это же день в орган криптографической защиты представляется письменное сообщение о компрометации криптоключей.
5. Размещение, специальное оборудование, охрана
и организация режима в помещениях, в которых установлены СКЗИ или хранятся ключевые документы.
5.1. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы (далее - спецпомещения), должны исключать возможность неконтролируемого доступа и использования СКЗИ посторонними лицами, а также просмотра посторонними лицами ведущихся там работ.
5.2. Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время.
5.3. Окна спецпомещений, расположенных на первых и последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, должны быть оборудованы металлическими решетками или охранной сигнализацией.
5.4. В спецпомещениях для хранения ключевых документов пользователям СКЗИ необходимо иметь надежно запираемые шкафы индивидуального пользования, оборудованные приспособлениями для опечатывания замочных скважин. Ключи от шкафов должны находиться у соответствующих Пользователей СКЗИ.
Опечатанные шкафы пользователей СКЗИ могут быть вскрыты только самими пользователями.
5.5. При обнаружении признаков, указывающих на возможное несанкционированное проникновение в индивидуальные шкафы пользователей СКЗИ посторонних лиц, о случившемся немедленно сообщается непосредственному руководителю и в орган криптографической защиты.
6. Контроль за организацией и обеспечением защиты информации
6.1. Государственный контроль за организацией и обеспечением защиты информации при ее передаче по каналам связи с использованием СКЗИ осуществляют органы Федеральной службы безопасности Российской Федерации.
6.2. Органы криптографической защиты контролируют выполнение пользователем условий использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ и Инструкцией ФАПСИ № 152 от 13 июня 2001 г. «Об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
6.3. При обнаружении недостатков в использовании СКЗИ пользователи обязаны принять безотлагательные меры к их устранению. Сообщения о принятых мерах должны быть представлены в установленные проверяющими сроки.
6.4. Если в использовании СКЗИ выявлены серьезные нарушения, из-за чего становится реальной утечка информации, безопасность которой обеспечивается с использованием СКЗИ, то органы государственного контроля и органы криптографической защиты вправе дать указание о немедленном прекращении использования СКЗИ до устранения причин выявленных нарушений.
7. Нормативные документы, которые проверяют контролирующие органы.
№
|
Проверяемые контролирующим органом требования
|
Перечень представляемых документов и справок
|
Нормативные правовые акты, требования которых подлежат проверке, в соответствии с которыми также ведется разработка организационно-правовой документации
|
1.
|
Организация системы организационных мер зашиты персональных данных:
|
- область применения средств криптографической зашиты информации (далее - СКЗИ) в
информационных системах персональных данных
|
Приказ о назначении ответственного за
эксплуатацию СКЗИ (приложение№2);
Должностная инструкция ответственного за эксплуатацию СКЗИ (приложение№3);
Правила обработки персональных данных;
|
приказ Федеральной службы безопасности России от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
|
- наличие ведомственных документов и приказов по организации криптографической зашиты информации
|
- выполнение рекомендаций и указаний ФСБ России (при их наличии) по вопросам организации связи с использованием криптосредств
|
2.
|
Организация системы криптографических мер защиты информации:
|
- наличие модели угроз нарушителя
|
Модель угроз, разработанная оператором (на каждую информационную систему).
Документы по поставке СКЗИ оператору (государственный контракт)
*
|
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, № 149/54-144
Пункты: 3.1, 3.2, 3.3, 3.4;
|
- соответствие модели угроз исходным данным
|
- соответствие требуемого уровня криптографической защиты полученной модели нарушителя
|
- соответствие используемых СКЗИ полученному уровню криптографической защиты
|
- наличие документов по поставке СКЗИ оператору
|
3.
|
Разрешительная и эксплуатационная документация:
|
- наличие необходимых лицензии для использования СКЗИ в информационных системах персональных данных
|
Лицензии и сертификаты на используемые СКЗИ. Эксплуатационная документация на СКЗИ.
|
- Приказ ФСБ России от 9 февраля 2005г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Раздел 5;
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации не содержащей сведений составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. №149/6/6-622. 2008г
Разделы: 2, 3, 4
|
- наличие сертификатов соответствия на используемые СКЗИ
|
- наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководств оператора и т.п.)
|
- порядок учета СКЗИ, эксплуатационной и технической документации к ним
|
- выявление не сертифицированных ФСБ России СКЗИ
(Запрещено использование не сертифицированных СКЗИ)
|
4.
|
Требования к обслуживающему персоналу:
|
- порядок учета лиц, допущенных к работе с СКЗИ предназначенными для обеспечения безопасности персональных данных в информационной системе
|
Утвержденный список лиц, допущенных к работе с СКЗИ. (Приложение №4)
Документы, подтверждающие функциональные обязанности сотрудников (инструкция пользователя СКЗИ) (Приложение№5). Журнал учета пользователей криптосредств.
(приложение №6)
Документы, подтверждающие прохождение обучения сотрудников по вопросам ЗИ. (приложение№7). *
|
- Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
Части: 2, 3, 4, 5;
- Приказ ФСБ России от 9 февраля 2005г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Раздел 5;
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации не содержащей сведений составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. №149/6/6-622. 2008г
Разделы: 2, 3, 4
|
- наличие функциональных обязанностей пользователей СКЗИ
|
- укомплектованность штатных должностей личным составом, а также достаточность имеющегося личного состава для решения задач по организации криптографической защиты информации
|
- организация процесса обучения лиц, использующих СКЗИ применяемых в информационных системах, правилам работы с ними и другим нормативным документам по организации работ (связи) с использование СКЗИ
|
5.
|
Оценка соответствия применяемых СКЗИ:
|
- соответствие программного обеспечения, реализующего криптографические алгоритмы используемых СКЗИ эталонным версиям, проходивших сертификацию в ФСБ России
|
Средства СКЗИ. Программное обеспечение СКЗИ (дистрибутив).
|
- Приказ ФСБ России от 9 февраля 2005г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Раздел 5;
|
- проведение (при необходимости) на местах осуществления проверки оперативных тематических исследований, используемых СКЗИ
|
6.
|
Эксплуатация СКЗИ:
|
- проверка правильности ввода СКЗИ в эксплуатацию и соответствие условий эксплуатации технических средств удостоверяющего центра (при наличии) требованиям эксплуатационной документации и сертификатов соответствия
|
Акты ввода СКЗИ в эксплуатацию (приложение №8)
Журнал поэкземплярного учета СКЗИ. (приложение №9)
Журнал учета и выдачи носителей с ключевой информацией. (приложение №10)
*
|
- Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
Части: 2, 3, 4, 5;
- Приказ ФСБ России от 9 февраля 2005г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Раздел 5;
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации не содержащей сведений составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. №149/6/6-622. 2008г
Разделы: 2, 3, 4
|
- оценка технического состояния СКЗИ, соблюдения сроков и полноты проведения технического обслуживания, а также проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним
|
7.
|
Организационные меры:
|
- выполнение требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, а также соответствие режима хранения СКЗИ и ключевой документации предъявляемым требованиям
|
Эксплуатационная документация на СКЗИ.
помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним. Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ.
(приложение №11) *
|
- Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
Части: 2, 3, 4, 5;
- Приказ ФСБ России от 9 февраля 2005г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Раздел 5;
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации не содержащей сведений составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. №149/6/6-622. 2008г
Разделы: 2, 3, 4
|
- оценка степени обеспечения оператора криптоключами и организации их доставки
|
- проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ
|
- порядок проведения разбирательств и составления заключений по фактам нарушения условий хранения носителей персональных данных или использования СКЗИ
| |
