Menú
Está libre
registro
hogar  /  Problemas/ ¿Cómo prepararse para una verificación FSB programada de datos personales? El uso de skzi certificado - el punto de vista del FSB Medios de protección criptográfica de la información FSB.

¿Cómo prepararse para una verificación FSB programada de datos personales? El uso de skzi certificado - el punto de vista del FSB Medios de protección criptográfica de la información FSB.

Usar medios criptográficos El tema de la protección (SKZI) es muy controvertido y resbaladizo. Además, el Operador de PD tiene el derecho, en caso de amenazas urgentes, de utilizar herramientas de protección de la información criptográfica para garantizar la protección. Sin embargo, no siempre está claro cómo utilizar este derecho. Y ahora el FSB hace la vida más fácil, se ha publicado un documento de recomendaciones metodológicas que es aplicable tanto para los SI estatales como para todos los demás Operadores de DP. Echemos un vistazo más de cerca a este documento.

Y así sucedió, el 8o Centro FSB publicó describiendo recomendaciones en el desarrollo de actos legales regulatorios para la protección de datos personales. Al mismo tiempo, se recomienda que los operadores de ISPD utilicen el mismo documento al desarrollar modelos de amenazas privados.


Entonces, ¿qué piensa el FSB sobre cómo y dónde debería aplicarse el sistema de protección de la información criptográfica?


Es lo suficientemente importante que este documento publicado únicamente en el sitio web del FSB,no tiene registroen el Ministerio de Justicia yno lleva la firma de nadiey- es decir, su importancia jurídica y vinculante permanece solo en el marco de las recomendaciones... Es importante recordar esto.


Echemos un vistazo al interior, el preámbulo del documento establece que las recomendaciones “Para los órganos ejecutivos federales ... otros órganos estatales ... que ... adoptan actos legales normativos que definen amenazas a la seguridad de los datos personales que son relevantes al procesar datos personales en sistemas de información ah datos personales (en adelante - ISPDN), explotados en la implementación de las actividades relevantes "... Aquellos. Se da explícitamente una referencia a los sistemas de información del gobierno.



Sin embargo, al mismo tiempo, estas mismas normas “también es recomendable guiarse en el desarrollo de modelos de amenazas privadas operadores de sistemas de información de datos personales que han tomado una decisión sobre el uso de fondos protección criptográfica de la información(en adelante, CIPF) para garantizar la seguridad de los datos personales ”. Aquellos. el documento en este caso se vuelve universal para todos los usuarios.



¿Cuándo es necesario utilizar CIPF?


El uso de herramientas de protección de la información criptográfica para garantizar la seguridad de los datos personales es necesario en los siguientes casos:

  1. si los datos personales están sujetos a protección criptográfica de acuerdo con la ley Federación Rusa;
  2. si existen amenazas en el sistema de información que solo pueden neutralizarse con la ayuda de herramientas de protección de información criptográfica.
    3.

  1. la transferencia de datos personales a través de canales de comunicación que no estén protegidos de la interceptación de la información transmitida a través de ellos por el infractor o de influencias no autorizadas sobre esta información (por ejemplo, al transferir datos personales a través de redes de información pública y telecomunicaciones);
  2. almacenamiento de datos personales en medios de almacenamiento, Acceso no autorizado a lo que por parte del infractor no se puede excluir utilizando métodos y métodos no criptográficos.

Y aquí es donde llegamos. Si el segundo punto también es lo suficientemente lógico, entonces el primero no es tan obvio. El caso es que según la versión actual de la Ley "Sobre Datos Personales" nombre, apellido y patronímico ya son datos personales. En consecuencia, cualquier correspondencia o registro en el sitio (teniendo en cuenta cuántos datos se requieren ahora para el registro) se incluye formalmente en esta definición.



Pero como dicen, no hay reglas sin excepción. Hay dos tablas al final del documento. Aquí hay solo una línea Apéndice No. 1.



Amenaza actual:

1.1. realizar un ataque estando dentro del área controlada.

Justificación de la ausencia (la lista está ligeramente abreviada):

  1. los empleados que son usuarios de ISPD, pero no son usuarios de ISPD, son informados sobre las reglas para trabajar en ISPD y la responsabilidad por el incumplimiento de las reglas para garantizar la seguridad de la información;
  2. Los usuarios de CIPF están informados sobre las reglas para trabajar en ISPD, las reglas para trabajar con CIPF y la responsabilidad por el incumplimiento de las reglas de seguridad de la información;
  3. los locales en los que se encuentran los SKZI están equipados con puertas de entrada con cerraduras, lo que garantiza que las puertas del local estén cerradas permanentemente y abiertas solo para el paso autorizado;
  4. se aprobaron las reglas de acceso a los locales donde se ubica el CIPF en horario laboral y no laboral, así como en situaciones de emergencia;
  5. se aprobó la lista de personas que tienen derecho a acceder al local donde se encuentra el sistema de protección de la información criptográfica;
  6. se realiza la delimitación y control del acceso de los usuarios a los recursos protegidos;
  7. se lleva a cabo el registro y contabilidad de las acciones del usuario con PD;

  8. en AWP y servidores en los que están instaladas las herramientas de protección de información criptográfica:

    se utilizan medios certificados para proteger la información del acceso no autorizado;
  9. se utilizan medios de protección antivirus certificados.

Es decir, si los usuarios están informados sobre las reglas y responsabilidades, y se aplican medidas de protección, resulta que no hay nada de qué preocuparse.



  • Para garantizar la seguridad de los datos personales durante su procesamiento en ISPD, se deben utilizar herramientas de protección de la información criptográfica que hayan pasado el procedimiento de evaluación de la conformidad de la manera prescrita.

Es cierto que justo debajo dice que se puede encontrar una lista de dispositivos de protección criptográfica certificados en el sitio web del FSB CLSP. Se ha dicho más de una vez que la evaluación de la conformidad no es una certificación.


  • en ausencia del procedimiento para evaluar el cumplimiento del sistema de protección de la información criptográfica en la forma prescrita ... en la etapa del diseño preliminar o borrador del proyecto (croquis técnico), el desarrollador del sistema de información con la participación del El operador (persona autorizada) y el posible desarrollador del sistema de protección de la información criptográfica prepara una justificación de la viabilidad de desarrollar un nuevo tipo de sistema de protección de la información criptográfica y determina los requisitos para sus propiedades funcionales.

Esta es una muy buena noticia. El hecho es que Certificación el proceso es muy largo, hasta seis meses o más. Los clientes suelen utilizar los últimos sistemas operativos que no son compatibles con la versión certificada. De acuerdo con este documento, los clientes pueden utilizar productos que se encuentran en proceso de certificación.



El documento establece que:

Cuando se utilicen canales (líneas) de comunicación desde los que sea imposible interceptar la información protegida transmitida a través de ellos y (o) en los que sea imposible realizar influencias no autorizadas sobre esta información, en la descripción general de los sistemas de información, es necesario indicar:

  1. una descripción de los métodos y formas de proteger estos canales del acceso no autorizado a ellos;
  2. conclusiones basadas en los resultados de los estudios de seguridad de estos canales (líneas) de comunicación frente al acceso no autorizado a la información protegida transmitida a través de ellos por una organización habilitada para realizar dichos estudios, con referencia al documento que contiene estas conclusiones.
    3.


  • características de seguridad (confidencialidad, integridad, disponibilidad, autenticidad) que deben garantizarse para los datos personales tratados;
  • canales de comunicación (líneas) utilizados en cada subsistema o en el sistema de información en su conjunto, incluyendo sistemas de cable y medidas para restringir el acceso no autorizado a la información protegida transmitida a través de estos canales de comunicación (líneas), indicando los canales de comunicación (líneas) en los que el acceso no autorizado a la información protegida transmitida a través de ellos es imposible, y las medidas implementadas para asegurar esta calidad;
  • los portadores de la información protegida utilizados en cada subsistema del sistema de información o en el sistema de información en su conjunto (con excepción de los canales de comunicación (líneas)).

    • Comentarios ...

    Alexey, buenas tardes!
    En la respuesta del Octavo Centro, no se indica nada sobre la necesidad de utilizar dispositivos certificados de protección de información criptográfica. Pero hay "Recomendaciones metodológicas ..." aprobadas por el liderazgo del 8 ° Centro del FSB de Rusia con fecha 31/03/2015 No. 149/7/2 / 6-432, en el que hay un párrafo de este tipo en el segunda parte:

    Para garantizar la seguridad de los datos personales durante su procesamiento en ISPD, se deben utilizar herramientas de protección de la información criptográfica que hayan pasado el procedimiento de evaluación de la conformidad de la manera prescrita. La lista de CIPF certificados por el FSB de Rusia se publica en el sitio web oficial del Centro de Licencias, Certificación y Protección de Secretos de Estado del FSB de Rusia (www.clsz.fsb.ru). Información adicional Se recomienda obtener información sobre herramientas específicas de protección de la información directamente de los desarrolladores o fabricantes de estas herramientas y, si es necesario, de organizaciones especializadas que hayan realizado estudios de caso de estas herramientas;

    ¿Por qué no es un requisito utilizar herramientas de protección de información criptográfica certificadas?

    Existe una orden del FSB de Rusia de fecha 10 de julio de 2014 No. 378, en la cual el subpárrafo "d" del párrafo 5 establece: "el uso de protección de información significa que ha pasado el procedimiento para evaluar el cumplimiento de los requisitos de la legislación de la Federación de Rusia en el campo de la seguridad de la información, en el caso de que el uso de tales medios sea necesario para neutralizar las amenazas actuales ".

    Un poco confuso es esto "cuando el uso de tales medios es necesario para neutralizar amenazas urgentes". Pero toda esta necesidad debe describirse en el modelo del intruso.

    Pero en este caso, nuevamente en el apartado 3 de las "Recomendaciones Metodológicas ..." de 2015, se establece que "Cuando se utilicen canales (líneas) de comunicación desde los cuales sea imposible interceptar la información protegida transmitida a través de ellos y (o) en los que sea imposible realizar acciones no autorizadas para esta información, en la descripción general de los sistemas de información, es necesario indicar:
    - una descripción de los métodos y formas de proteger estos canales del acceso no autorizado a ellos;
    - conclusiones basadas en los resultados de los estudios de seguridad de estos canales (líneas) de comunicación frente al acceso no autorizado a la información protegida transmitida a través de ellos por una organización habilitada para realizar dichos estudios, con referencia al documento que contiene estas conclusiones ".

    Me refiero a todo esto: sí, no es necesario utilizar herramientas de protección de datos criptográficos siempre y en todas partes mientras se garantiza la seguridad del procesamiento de DP. Pero para esto, debe formar un modelo del delincuente, donde todo esto se describe y se prueba. Escribiste sobre dos casos en los que necesitas usarlos. Pero el hecho de que para garantizar la seguridad del procesamiento de DP a través de canales de comunicación abiertos, o si el procesamiento de estos DP va más allá de los límites del área controlada, puede utilizar herramientas de protección de información criptográfica no certificadas, no es tan simple. Y puede suceder que sea más fácil utilizar herramientas de protección de información criptográfica certificadas y cumplir con todos los requisitos para su funcionamiento y almacenamiento, que utilizar herramientas no certificadas y a tope con un regulador que, ante tal situación, se esforzará mucho en pinchar. Su nariz.

    Comentarios desconocidos ...

    El caso en el que el uso de tales medios es necesario para neutralizar las amenazas actuales: el requisito de la Orden de la FSTEC de Rusia No. 17 del 11 de febrero de 2013 (requisitos para el estado y los municipios. ISPDN),

    Cláusula 11. Para garantizar la protección de la información contenida en el sistema de información, se utilizan herramientas de seguridad de la información que han pasado la evaluación de conformidad en forma de certificación obligatoria para el cumplimiento de los requisitos de seguridad de la información de acuerdo con el artículo 5 de la Ley Federal del 27 de diciembre. , 2002 No. 184-FZ "Sobre reglamento técnico".

    Alexey Lukatsky comenta ...

    Proximo: Las recomendaciones del FSB son ilegítimas. La Orden 378 es legítima, pero debe considerarse en el contexto de toda la legislación, y dice que los detalles de la evaluación de la conformidad los establece el Gobierno o el Presidente. Ni uno ni otro tal NPA emitió t

    Alexey Lukatsky comenta ...

    Anton: en el estado, el requisito de certificación está establecido por ley, la orden 17 simplemente los repite. Y estamos hablando de PD

    Comentarios desconocidos ...

    Alexei Lukatsky: Las recomendaciones del FSB son ilegítimas. % 3D10437608% 40fsbResearchart.html), pero no sobre el documento de fecha 21/02/2008 No. 149 / 54-144.

    Otro especialista también hizo previamente una solicitud al FSB sobre un tema similar, y le dijeron que la "Metodología ..." y las "Recomendaciones ..." del FSB de 2008 no deben usarse si se está hablando de estos documentos. . Pero nuevamente, estos documentos no han sido cancelados oficialmente. Y si estos documentos son legítimos o no, creo, lo decidirán los inspectores del FSB que ya están en el lugar durante la inspección.

    La ley dice que es necesario proteger los datos personales. Los estatutos del Gobierno, FSB, FSTEC determinan exactamente cómo protegerlos. La NSA del FSB dice: "Use uno certificado. Si no quiere uno certificado, demuestre que puede usarlo. Y adjunte una opinión sobre esto de una empresa que tenga licencia para emitir tales conclusiones". Algo como esto...

    Alexey Lukatsky comenta ...

    1. Cualquier recomendación es una recomendación, no un requisito obligatorio.
    2. El manual de 2015 no tiene nada que ver con los operadores de DP; se refiere a los estados que redactan modelos de amenazas para las instituciones subordinadas (teniendo en cuenta la cláusula 1).
    3. El FSB no tiene derecho a realizar controles a los operadores comerciales de DP, y para los estados, el tema de usar herramientas de protección de información criptográfica no certificada no vale la pena, están obligados a aplicar soluciones certificadas, independientemente de la presencia. de PD: estos son los requisitos de FZ-149.
    4. Los estatutos dicen cómo proteger y eso está bien. Pero no pueden determinar la forma de evaluar los medios de protección; esto solo puede hacerlo el RLA del Gobierno o el Presidente. FSB no está autorizado para hacer esto

    Comentarios desconocidos ...

    Según el Reglamento 1119:

    4. La elección de los medios de protección de la información para el sistema de protección de datos personales la realiza el operador de conformidad con los actos legales reglamentarios adoptados. Servicio Federal seguridad de la Federación de Rusia y el Servicio Federal de Control Técnico y de Exportación de conformidad con la Parte 4 del Artículo 19 de la Ley Federal "Sobre Datos Personales".
    13.y. Uso de herramientas de protección de la información que hayan pasado el procedimiento para evaluar el cumplimiento de los requisitos de la legislación de la Federación de Rusia en el campo de la seguridad de la información, en el caso de que el uso de tales herramientas sea necesario para neutralizar las amenazas actuales.

    ¿Cómo justificar la no relevancia de la amenaza al transmitir datos personales a través de los canales del operador de telecomunicaciones?

    Aquellos. si no es SKZI, entonces aparentemente,
    - acceso a la terminal y clientes delgados, pero al mismo tiempo, los datos del sistema de seguridad de la información del terminal
    el acceso debe estar certificado.
    - protección de canales por parte del operador de telecomunicaciones, responsabilidad del operador de telecomunicaciones (proveedor).

    Alexey Lukatsky comenta ...

    El operador define la irrelevancia y no se necesita a nadie para esto.

    Registro N 33620

    De acuerdo con la parte 4 del artículo 19 de la Ley Federal de 27 de julio de 2006 N 152-FZ "Sobre Datos Personales" 1 Ordeno:

    Aprobar la Composición y contenido adjunto de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en sistemas de información de datos personales utilizando herramientas de protección de información criptográfica necesarias para cumplir con los requisitos establecidos por el Gobierno de la Federación de Rusia para la protección de datos personales para cada uno de los niveles de seguridad.

    Director A. Bortnikov

    1 Legislación recopilada de la Federación de Rusia, 2006, N 31 (Parte I), Art. 3451; 2009, N 48, art. 5716; Núm. 52 (parte I), art. 6439; 2010, N 27, art. 3407; 31, art. 4173, art. 4196; 49, art. 6409; Núm. 52 (parte I), art. 6974; 2011, N 23, art. 3263; 31, art. 4701; 2013, N 14, art. 1651; 30 (parte I), art. 4038.

    Solicitud

    La composición y contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en sistemas de información de datos personales utilizando medios de protección criptográfica de la información necesaria para cumplir con los requisitos establecidos por el Gobierno de la Federación de Rusia para la protección de datos personales. para cada uno de los niveles de seguridad

    I. Disposiciones generales

    1. Este documento define la composición y el contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales (en adelante, el sistema de información) utilizando medios de protección de la información criptográfica (en adelante, CIPF). ) necesarios para cumplir con los requisitos establecidos por el Gobierno de la Federación de Rusia para la protección de datos personales para cada uno de los niveles de seguridad.

    2. Este documento está destinado a los operadores que utilizan herramientas de protección de la información criptográfica para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información.

    3. La aplicación de las medidas organizativas y técnicas definidas en este documento es proporcionada por el operador, teniendo en cuenta los requisitos de los documentos operativos para los dispositivos de protección de información criptográfica, utilizados para garantizar la seguridad de los datos personales al procesarlos en los sistemas de información.

    4. El funcionamiento del CIPF debe realizarse de acuerdo con la documentación del CIPF y los requisitos establecidos en este documento, así como de acuerdo con otros actos legales reglamentarios que regulen las relaciones en el ámbito correspondiente.

    II. La composición y contenido de las medidas organizativas y técnicas necesarias para cumplir con los requisitos establecidos por el Gobierno de la Federación de Rusia. a la protección de datos personales para 4 niveles de seguridad

    5. De acuerdo con la cláusula 13 de los Requisitos para la protección de datos personales durante su procesamiento en sistemas de información de datos personales, aprobado por el Gobierno de la Federación de Rusia el 1 de noviembre de 2012 N1119 1 (en adelante - Requisitos para la protección de datos personales ), para garantizar 4 niveles de protección de las personas Al procesar datos en sistemas de información, se deben cumplir los siguientes requisitos:

    a) organización de un régimen para garantizar la seguridad de los locales en los que se ubica el sistema de información, evitando la posibilidad de ingreso o permanencia incontrolada en estos locales de personas que no tienen derecho de acceso a estos locales;

    b) garantizar la seguridad de los portadores de datos personales;

    c) aprobación por parte del titular del operador del documento que define la lista de personas cuyo acceso a los datos personales procesados ​​en el sistema de información es necesario para el desempeño de sus funciones oficiales (laborales);

    d) el uso de herramientas de seguridad de la información que hayan pasado el procedimiento para evaluar el cumplimiento de los requisitos de la legislación de la Federación de Rusia en el campo de la seguridad de la información, en el caso de que el uso de dichos medios sea necesario para neutralizar las amenazas actuales.

    6. Para cumplir con el requisito especificado en el inciso "a" del párrafo 5 de este documento, es necesario asegurar un régimen que impida la posibilidad de penetración incontrolada o permanencia en los locales donde se ubican las herramientas criptográficas de protección de información utilizadas, la herramientas de protección de datos y (o) portadores de información clave, de autenticación y de contraseña de la herramienta de protección de información criptográfica (en adelante, el Local), personas que no tienen derecho a acceder al Local, lo cual se logra mediante:

    a) equipar las instalaciones con puertas de entrada con cerraduras, asegurando que las puertas de las instalaciones estén permanentemente cerradas y abiertas solo para el acceso autorizado, así como sellar las instalaciones al final de la jornada laboral o equipar las instalaciones con los dispositivos técnicos señalización sobre apertura no autorizada de las instalaciones;

    b) aprobación de las reglas de acceso al Local en horario laboral y no laboral, así como en situaciones de emergencia;

    c) aprobación de la lista de personas habilitadas para acceder al Local.

    7. Para cumplir con el requisito especificado en el subpárrafo "b" del párrafo 5 de este documento, es necesario:

    a) almacenar los soportes de datos personales de las máquinas extraíbles en cajas fuertes (armarios metálicos) equipadas con cerraduras internas con dos o más llaves duplicadas y dispositivos para sellar las cerraduras, o cerraduras de combinación... Si solo se almacenan datos personales en un medio de almacenamiento informático extraíble en una forma cifrada utilizando el sistema de protección de datos criptográficos, se permite almacenar dichos medios fuera de las cajas fuertes (armarios metálicos);

    b) llevar a cabo una contabilidad detallada de los portadores de datos personales de las máquinas, que se logra mediante el mantenimiento de un registro de los portadores de datos personales utilizando números de registro (de serie).

    8. Para cumplir con el requisito especificado en el inciso "c" del párrafo 5 de este documento, es necesario:

    a) desarrollar y aprobar un documento que defina la lista de personas cuyo acceso a los datos personales procesados ​​en el sistema de información es necesario para el desempeño de sus funciones oficiales (laborales);

    b) mantener actualizado un documento que defina la relación de personas cuyo acceso a los datos personales tratados en el sistema de información es necesario para el desempeño de sus funciones oficiales (laborales).

    9. Para cumplir con el requisito especificado en el inciso "d" del párrafo 5 de este documento, es necesario que cada uno de los niveles de protección de datos personales utilice un sistema de protección criptográfica de la clase adecuada, que permita asegurar la seguridad de los datos personales al implementar acciones específicas utilizando hardware y (o) herramientas de software con el objetivo de vulnerar la seguridad del sistema de protección de la información criptográfica protegida de datos personales o crear condiciones para ello (en adelante, un ataque), lo que se consigue mediante:

    a) obtención de datos iniciales para la formación de un conjunto de supuestos sobre las posibilidades que se pueden utilizar a la hora de crear métodos, preparar y realizar ataques;

    b) la formación y aprobación por parte del titular del operador de un conjunto de supuestos sobre las posibilidades que se pueden utilizar a la hora de crear métodos, preparar y ejecutar ataques, y determinar sobre esta base y teniendo en cuenta el tipo de amenazas reales del clase requerida de herramientas de protección de información criptográfica;

    c) utilizar para garantizar el nivel requerido de seguridad de los datos personales durante su procesamiento en el sistema de información del sistema de protección de datos criptográficos de clase KC1 y superior.

    10. Los dispositivos de protección criptográfica de la clase KS1 se utilizan para neutralizar los ataques, al crear métodos, prepararlos y llevarlos a cabo, se aprovechan las siguientes oportunidades:

    a) creación de métodos, preparación y ejecución de ataques sin la participación de especialistas en el desarrollo y análisis de herramientas de protección de información criptográfica;

    b) creación de métodos, preparación y ejecución de ataques en diversas etapas del ciclo de vida de CIPF 2;

    c) realizar un ataque desde el exterior del espacio dentro del cual se lleva a cabo el control de la estancia y actuación de personas y (o) vehículos (en adelante el área controlada) 3;

    d) realizar los siguientes ataques en las etapas de desarrollo (modernización), producción, almacenamiento, transporte del sistema de protección criptográfica y la etapa de puesta en funcionamiento del sistema de protección criptográfica (puesta en servicio):

    realizar cambios no autorizados en el sistema de protección de la información criptográfica y (o) en los componentes de hardware y software, junto con los cuales el sistema de protección de la información criptográfica funciona normalmente y en conjunto representando el entorno operativo del sistema de protección de la información criptográfica (en lo sucesivo, SF ), que puede afectar el cumplimiento de los requisitos del sistema de protección de la información criptográfica, incluido el uso de programas maliciosos;

    introducción de cambios no autorizados en la documentación de los dispositivos y componentes de protección criptográfica del SF;

    e) realizar ataques en la etapa de funcionamiento de los dispositivos de protección de información criptográfica sobre:

    Informacion personal;

    información de clave, autenticación y contraseña del sistema de protección de información criptográfica;

    componentes de software CIPF;

    Componentes de hardware SKZI;

    Componentes de software SF, incluido el software BIOS;

    Componentes de hardware SF;

    datos transmitidos a través de canales de comunicación;

    otros objetos que se instalan al conformar un conjunto de propuestas sobre oportunidades que se pueden aprovechar al momento de crear métodos, preparar y realizar ataques, tomando en cuenta las tecnologías de la información, hardware (en adelante - AS) utilizado en el sistema de información, y software(en lo sucesivo, software);

    f) obtener de fuentes de libre acceso (incluidas las redes de información y telecomunicaciones, cuyo acceso no se limita a un determinado círculo de personas, incluida la red de información y telecomunicaciones "Internet") información sobre el sistema de información en el que se encuentra el sistema de protección de la información criptográfica usó. En este caso, se puede obtener la siguiente información:

    información general sobre el sistema de información en el que se utiliza el CIPF (finalidad, composición, operador, objetos en los que se ubican los recursos del sistema de información);

    Información sobre tecnologías de la información, bases de datos, AS, software utilizado en el sistema de información junto con el CIPF, con excepción de la información contenida únicamente en la documentación de diseño para tecnologías de la información, bases de datos, AS, software utilizado en el sistema de información junto con el CIPF;

    información general sobre la información protegida utilizada durante el funcionamiento del sistema de protección de información criptográfica;

    información sobre los canales de comunicación a través de los cuales se transmiten los datos personales protegidos de CIPF (en adelante, el canal de comunicación);

    todos los datos posibles transmitidos a forma abierta a través de canales de comunicación no protegidos del acceso no autorizado a la información por medidas organizativas y técnicas;

    información sobre todas las medidas organizativas y técnicas que aparecen en los canales de comunicación que no están protegidos del acceso no autorizado a la información, violaciones de las reglas de operación del sistema de protección de información criptográfica y el SF;

    información sobre todas las medidas organizativas y técnicas que aparecen en los canales de comunicación no protegidos del acceso no autorizado a la información por medidas organizativas y técnicas, mal funcionamiento y fallas de los componentes hardware del sistema de protección criptográfica y del SF;

    información obtenida como resultado del análisis de cualquier señal de los componentes de hardware del CIPF y SF;

    g) aplicación:

    AS y software que estén disponibles libremente o se utilicen fuera del área controlada, incluidos los componentes de hardware y software de CIPF y SF;

    altavoces y software especialmente diseñados;

    h) el uso en la etapa de operación como medio para transferir de sujeto a objeto (de objeto a sujeto) de un ataque de acciones llevadas a cabo durante la preparación y (o) realización de un ataque:

    canales de comunicación no protegidos del acceso no autorizado a la información por medidas organizativas y técnicas;

    canales de distribución de señales que acompañan al funcionamiento del CIP y del SF;

    i) realizar un ataque en la etapa operativa desde las redes de información y telecomunicaciones, cuyo acceso no se limita a un determinado círculo de personas, si los sistemas de información en los que se utiliza el sistema de protección de la información criptográfica tienen acceso a estas redes;

    j) uso en la etapa de operación de la central nuclear y software fuera del área controlada de las herramientas del sistema de información utilizadas en los sitios de operación del CIP (en adelante, herramientas estándar).

    11. Los CIPF de clase KS2 se utilizan para neutralizar ataques, al crear métodos, prepararlos y ejecutarlos, se utilizan las capacidades enumeradas en el párrafo 10 de este documento y al menos una de las siguientes capacidades adicionales:

    a) realizar un ataque estando dentro del área controlada;

    b) realizar ataques en la etapa de operación del sistema de protección de información criptográfica sobre los siguientes objetos:

    documentación para dispositivos y componentes de protección criptográfica del SF.

    Instalaciones que contienen un conjunto de software y elementos tecnicos sistemas de procesamiento de datos capaces de funcionar de forma independiente o como parte de otros sistemas (en lo sucesivo, SVT), en los que se implementan CIP y SF;

    c) obtener, en el marco de las facultades otorgadas, así como como resultado de observaciones, la siguiente información:

    información sobre las medidas de protección física de los objetos en los que se ubican los recursos del sistema de información;

    información sobre medidas para asegurar el área controlada de objetos en la que se encuentran los recursos del sistema de información;

    información sobre medidas para delimitar el acceso a las Instalaciones en las que se ubican las SVT, en las que se implementan las SKZI y SF;

    d) uso recursos de personal limitado por las medidas implementadas en el sistema de información en el que se utiliza el sistema de protección de la información criptográfica, y encaminadas a prevenir y reprimir acciones no autorizadas.

    12. Los dispositivos de protección criptográfica de la clase KC3 se utilizan para neutralizar ataques, al crear métodos, prepararlos y llevarlos a cabo, se utilizan las capacidades enumeradas en las cláusulas 10 y 11 de este documento y al menos una de las siguientes capacidades adicionales:

    a) acceso físico a SVT, en el que se implementan herramientas de protección de información criptográfica y SF;

    b) la capacidad de contar con componentes hardware del sistema de protección de información criptográfica y del SF, limitados por las medidas implementadas en el sistema de información en el que se utiliza la herramienta de protección de información criptográfica, y orientadas a prevenir y reprimir acciones no autorizadas.

    13. Las herramientas de protección criptográfica de clase KB se utilizan para neutralizar ataques, al crear métodos, preparar y ejecutar los cuales, se utilizan las capacidades del número enumerado en las cláusulas 10-12 de este documento y al menos una de las siguientes capacidades adicionales:

    a) creación de métodos, preparación y ejecución de ataques con la participación de especialistas en el campo del análisis de señales que acompañan al funcionamiento de dispositivos de protección criptográfica y sistemas de seguridad, y en el campo del uso de capacidades no documentadas (no declaradas) de software aplicado para la implementación de ataques;

    b) realizar estudios de laboratorio de los dispositivos de protección de la información criptográfica utilizados fuera del área controlada, limitados por las medidas implementadas en el sistema de información en el que se utiliza el sistema de protección de la información criptográfica, y orientadas a prevenir y reprimir acciones no autorizadas;

    c) realizar trabajos de creación de métodos y medios de ataque en centros de investigación especializados en el desarrollo y análisis de herramientas de protección de información criptográfica y sistemas financieros, incluyendo el uso de los códigos fuente del software aplicado incluido en la federación federación, que utiliza directamente llamadas a las funciones de software del sistema de protección de información criptográfica.

    14. Los dispositivos de protección criptográfica de la clase de naves espaciales se utilizan para neutralizar los ataques, al crear métodos, prepararlos y llevarlos a cabo, se utilizan las capacidades enumeradas en las cláusulas 10-13 de este documento y al menos una de las siguientes capacidades adicionales:

    a) creación de métodos, preparación y ejecución de ataques con la participación de especialistas en el campo del uso de capacidades no documentadas (no declaradas) del software del sistema para la implementación de ataques;

    b) la capacidad de tener la información contenida en la documentación de diseño para los componentes de hardware y software del Consejo de la Federación;

    c) la capacidad de tener todos los componentes de hardware del CIPF y SF.

    15. En el proceso de formar un conjunto de supuestos sobre las posibilidades que se pueden utilizar para crear métodos, preparar y realizar ataques, características adicionales que no se enumeran en las cláusulas 10 a 14 de este documento no afectan el procedimiento para determinar la clase requerida de herramientas de protección de información criptográfica.

    III. La composición y contenido de las medidas organizativas y técnicas necesarias para cumplir con los requisitos establecidos por el Gobierno de la Federación de Rusia. a la protección de datos personales para seguridad de nivel 3

    16. De acuerdo con la cláusula 14 de los Requisitos para la protección de datos personales, con el fin de asegurar 3 niveles de protección de los datos personales al procesarlos en los sistemas de información, además de cumplir con los requisitos previstos en la cláusula 5 de este documento, es necesario cumplir con el requisito de designar un funcionario (empleado) responsable de garantizar la seguridad de los datos personales en el sistema de información.

    17. Para cumplir con el requisito especificado en el párrafo 16 de este documento, es necesario designar un operador oficial (empleado) con habilidades suficientes para ser responsable de garantizar la seguridad de los datos personales en el sistema de información.

    18. Para cumplir con el requisito especificado en el inciso "d" del párrafo 5 de este documento, en lugar de la medida prevista en el inciso "c" del párrafo 9 de este documento, es necesario utilizar para garantizar el nivel de seguridad requerido de datos personales durante su tratamiento en el sistema de información:

    IV. La composición y contenido de las medidas organizativas y técnicas necesarias para cumplir con los requisitos establecidos por el Gobierno de la Federación de Rusia. a la protección de datos personales para seguridad de nivel 2

    19. De acuerdo con la cláusula 15 de los Requisitos para la protección de datos personales, con el fin de asegurar el 2º nivel de protección de los datos personales durante su tratamiento en los sistemas de información, además de cumplir con los requisitos previstos en las cláusulas 5 y 16 del Este documento, es necesario cumplir con el requisito de que el acceso al contenido del registro de mensajes electrónicos fue posible solo para los funcionarios (empleados) del operador o una persona autorizada que necesite la información contenida en el registro especificado para realizar su trabajo oficial (trabajo ) deberes.

    20. Para cumplir con el requisito especificado en la cláusula 19 de este documento, es necesario:

    a) aprobación por parte del jefe del operador de la lista de personas admitidas al contenido del registro electrónico de mensajes, y mantenimiento de la lista especificada actualizada;

    b) dotar al sistema de información de medios automatizados que registren las solicitudes de los usuarios del sistema de información para la obtención de datos personales, así como los hechos de proporcionar datos personales para estas solicitudes en el registro electrónico de mensajes;

    c) dotación del sistema de información con medios automatizados que excluyan el acceso al contenido del registro de mensajes electrónicos de personas que no estén indicadas en la lista de personas aprobadas por el jefe del operador que estén admitidas al contenido del registro de mensajes electrónicos ;

    d) Asegurar el monitoreo periódico de la operatividad de los medios automatizados especificados en los subpárrafos "b" y "c" de este párrafo (al menos una vez cada seis meses).

    21. Para cumplir con el requisito especificado en el subpárrafo "d" del párrafo 5 de este documento, en lugar de las medidas previstas en el subpárrafo "c" del párrafo 9 y el párrafo 18 de este documento, es necesario utilizar para asegurar el nivel requerido de seguridad de los datos personales durante su tratamiento en el sistema de información:

    CIPF de clase KB y superior en los casos en que las amenazas de tipo 2 sean relevantes para el sistema de información;

    CIPF de clase КС1 y superior en los casos en que las amenazas de 3 tipos son reales para el sistema de información.

    V. Composición y contenido de las medidas organizativas y técnicas necesarias para cumplir con los requisitos establecidos por el Gobierno de la Federación de Rusia a la protección de datos personales para 1 nivel de seguridad

    22. De acuerdo con la cláusula 16 de los Requisitos para la protección de datos personales, con el fin de asegurar el 1er nivel de protección de los datos personales durante su procesamiento en los sistemas de información, además de cumplir con los requisitos previstos en las cláusulas 5, 16 y 19 de este documento, se deben cumplir los siguientes requisitos:

    a) registro automático en el registro de seguridad electrónico de los cambios en la autoridad del empleado del operador para acceder a los datos personales contenidos en el sistema de información;

    b) la creación de una unidad estructural independiente responsable de garantizar la seguridad de los datos personales en el sistema de información, o la asignación de sus funciones a una de las unidades estructurales existentes.

    23. Para cumplir con el requisito especificado en el inciso "a" del párrafo 22 de este documento, es necesario:

    a) dotar al sistema de información de medios automatizados que permitan registrar automáticamente en el registro de seguridad electrónico los cambios en la autoridad del empleado del operador para acceder a los datos personales contenidos en el sistema de información;

    b) Reflejo en el registro de seguridad electrónico de las facultades de los empleados del operador de datos personales para acceder a los datos personales contenidos en el sistema de información. Los poderes especificados deben corresponder a los deberes oficiales de los empleados del operador;

    c) designación por parte del operador de una persona responsable de monitorear periódicamente el mantenimiento de un diario de seguridad electrónico y el cumplimiento de las competencias de los empleados del operador reflejados en él con sus funciones oficiales (al menos una vez al mes).

    24. Para cumplir con el requisito especificado en el inciso "b" del párrafo 22 de este documento, es necesario:

    a) analizar la viabilidad de crear una unidad estructural separada responsable de garantizar la seguridad de los datos personales en el sistema de información;

    b) crear una unidad estructural independiente responsable de garantizar la seguridad de los datos personales en el sistema de información, o asignar sus funciones a una de las unidades estructurales existentes.

    25. Para cumplir con el requisito especificado en el inciso "a" del párrafo 5 de este documento, para garantizar el 1er nivel de seguridad, es necesario:

    a) equipar las ventanas de las Instalaciones ubicadas en el primer y (o) último piso de los edificios, así como las ventanas de las Instalaciones ubicadas cerca de las escaleras de incendios y otros lugares desde donde personas no autorizadas puedan ingresar a las Instalaciones, con rejas o contraventanas metálicas , alarmas antirrobo u otros medios que impidan la penetración incontrolada de personas no autorizadas en las instalaciones;

    b) equipar las ventanas y puertas del Local en que se ubiquen los servidores del sistema de información, con rejas metálicas, alarmas antirrobo u otros medios que impidan el ingreso incontrolado de personas no autorizadas al local.

    26. Para cumplir con el requisito especificado en el inciso "d" del párrafo 5 de este documento, en lugar de las medidas previstas en el inciso "c" del párrafo 9, los párrafos 18 y 21 de este documento, es necesario utilizar para asegurar la nivel requerido de protección de los datos personales al procesarlos en el sistema de información:

    SCZI de la clase de naves espaciales en los casos en que las amenazas del primer tipo son reales para el sistema de información;

    CIPF de clase KB y superior en los casos en que las amenazas de tipo 2 sean relevantes para el sistema de información.

    1 Legislación recopilada de la Federación de Rusia, 2012, N 45, 6257.

    2 Las etapas del ciclo de vida de CIPF incluyen el desarrollo (modernización) de los medios especificados, su producción, almacenamiento, transporte, puesta en servicio (comisionamiento), operación.

    3 El límite del área controlada puede ser el perímetro del territorio protegido de la empresa (institución), las estructuras circundantes del edificio protegido, la parte protegida del edificio, las instalaciones asignadas.

    Las principales tareas de protección de la información durante su almacenamiento, procesamiento y transmisión a través de canales de comunicación y en diversos medios, resueltas con la ayuda de herramientas de protección de información criptográfica, son: 1.

    Asegurar el secreto (confidencialidad) de la información. 2.

    Asegurar la integridad de la información. 3.

    Confirmación de la autenticidad de la información (documentos). Para solucionar estos problemas, es necesario implementar lo siguiente

    procesos: 1.

    Implementación de las funciones reales de protección de la información, que incluyen:

    cifrado / descifrado; Creación / verificación de EDS; creación / verificación de un inserto de imitación. 2.

    Supervisión del estado y gestión del funcionamiento del KZI (en el sistema):

    control estatal: detección y registro de casos de mal funcionamiento de las instalaciones KZZ, intentos de acceso no autorizado, casos de claves comprometidas;

    gestión de la operación: tomar medidas en caso de las desviaciones enumeradas del funcionamiento normal de las instalaciones de KZZ. 3.

    Mantenimiento de las instalaciones de KZZ: implementación de la gestión de claves;

    implementación de procedimientos relacionados con la conexión de nuevos abonados a la red y / o la exclusión de abonados caídos; eliminación de las deficiencias identificadas del CIPF; introducción de nuevas versiones del software de protección de información criptográfica;

    modernización y sustitución medios tecnicos CIPF para fondos más avanzados y / o de reemplazo, cuyo recurso está agotado.

    La gestión de claves es una de las funciones más importantes de la protección de la información criptográfica y consiste en la implementación de las siguientes funciones principales:

    generación de claves: define un mecanismo para generar claves o pares de claves con garantía de sus cualidades criptográficas;

    distribución de claves: define el mecanismo mediante el cual las claves se entregan de forma fiable y segura a los suscriptores;

    almacenamiento de claves: define el mecanismo mediante el cual las claves se almacenan de forma segura para su uso futuro;

    recuperación de clave: define el mecanismo para recuperar una de las claves (reemplazo con una nueva clave);

    destrucción de claves: define el mecanismo mediante el cual las claves obsoletas se destruyen de forma fiable;

    archivo de claves: un mecanismo mediante el cual las claves se pueden almacenar de forma segura para su posterior recuperación ante notario en situaciones de conflicto.

    En general, para la implementación de las funciones enumeradas de protección criptográfica de la información, es necesario crear un sistema de protección criptográfica de la información, combinando los medios reales de KZI, personal de servicio, instalaciones, equipos de oficina, documentación diversa (técnica, reglamentaria y administrativo), etc.

    Como ya se señaló, para obtener garantías de protección de la información, es necesario utilizar herramientas KZZ certificadas.

    Actualmente, el tema más extendido es la protección de la información confidencial. Para resolver este problema, bajo el auspicio de la FAPSI, se ha desarrollado un complejo funcionalmente completo de protección criptográfica de información confidencial, que permite resolver las tareas enumeradas de protección de información para una amplia variedad de aplicaciones y condiciones de uso.

    Este complejo se basa en los núcleos criptográficos "Verba" (sistema de claves asimétricas) y "Verba-O" (sistema de claves simétricas). Estos criptokernels proporcionan procedimientos de cifrado de datos de acuerdo con los requisitos de GOST 28147-89 "Sistemas de procesamiento de información.

    Protección de firmas criptográficas "y digitales de acuerdo con los requisitos de GOST R34.10-94" Tecnología de la información. Protección de la información criptográfica. Procedimientos para la Generación y Verificación de una Firma Digital Electrónica Basada en un Algoritmo Criptográfico Asimétrico ".

    Los medios incluidos en el complejo CIPF permiten proteger documentos electrónicos y flujos de información utilizando mecanismos de cifrado certificados y firma electronica prácticamente en todas las tecnologías de la información modernas, incluida la posibilidad de realizar: uso de herramientas de protección de información criptográfica en modo fuera de línea;

    intercambio seguro de información en modo fuera de línea; intercambio seguro de información en modo en línea; protegido heterogéneo, es decir intercambio de información mixto.

    Resolver problemas sistémicos del uso de dispositivos de protección de información criptográfica bajo el liderazgo de D.A. en el proceso de creación de un documento, cuando el documento en sí está protegido. Además, dentro de tecnología general"Vityaz" proporciona una tecnología simplificada a la que los usuarios pueden acceder fácilmente para incorporar herramientas de protección de información criptográfica con licencia en varios sistemas aplicados, que hace un uso muy amplio de estos CIPF.

    La siguiente es una descripción de los medios y métodos de protección para cada uno de los modos enumerados.

    El uso de herramientas de protección de información criptográfica en modo fuera de línea.

    Durante el trabajo autónomo con herramientas de protección de datos criptográficos, se pueden implementar los siguientes tipos de protección de información criptográfica: creación de un documento seguro; protección de archivos;

    creando un seguro sistema de archivos; creando un seguro unidad lógica... A petición del usuario, se pueden implementar los siguientes tipos de protección criptográfica de documentos (archivos):

    cifrado de un documento (archivo), que hace que su contenido sea inaccesible tanto durante el almacenamiento del documento (archivo) como durante su transmisión a través de canales de comunicación o por mensajería;

    desarrollo de un inserto de imitación, que asegura el control de la integridad del documento (archivo);

    formación de un EDS, que asegura el control de la integridad del documento (archivo) y la autenticación de la persona que firmó el documento (archivo).

    Como resultado, el documento (archivo) protegido se convierte en un archivo cifrado que contiene, si es necesario, un EDS. EDS, dependiendo de la organización del proceso de procesamiento de la información, puede presentarse como un archivo separado del documento firmado. Además, este archivo puede mostrarse en un disquete u otro medio, para su entrega por mensajería o enviarse a cualquier sitio disponible. Email, por ejemplo en Internet.

    En consecuencia, al recibir un archivo cifrado por correo electrónico o en un medio particular, las acciones realizadas para la protección criptográfica se realizan en orden inverso (descifrado, verificación del inserto de imitación, verificación del EDS).

    Para implementar trabajo autónomo Los siguientes medios certificados se pueden utilizar con herramientas de protección de información criptográfica:

    el editor de texto "Leksikon-Verba", implementado sobre la base del CIPF "Verba-O" y el CIPF "Verba";

    el complejo de software del CIPF "Autonomous work place", implementado sobre la base del CIPF "Verba" y "Verba-O" para el sistema operativo Windows 95/98 / NT;

    Controlador de disco criptográfico PTS "DiskGuard".

    Procesador de texto protegido "Lexicon-Verba".

    El sistema "Lexicon-Verba" es un editor de texto con todas las funciones que admite el cifrado de documentos y las firmas digitales electrónicas. Para la protección de documentos, utiliza los sistemas criptográficos "Verba" y "Verba-O". La singularidad de este producto radica en el hecho de que las funciones de cifrado y firma de texto simplemente se incluyen en las funciones de los modernos editor de texto... En este caso, el cifrado y la firma de un documento pasan de procesos especiales a acciones estándar cuando se trabaja con un documento.

    En este caso, el sistema "Lexicon-Verba" parece un editor de texto normal. Las capacidades de formato de texto incluyen personalización completa fuentes y párrafos del documento; tablas y listas; encabezados y pies de página, notas al pie, barras laterales; uso de estilos y muchas otras funciones de un editor de texto responsable requisitos modernos... "Lexicon-Verba" le permite crear y editar documentos en los formatos Lexicon, RTF, MS Word 6/95/97, MS Write.

    Lugar de trabajo autónomo.

    El CIPF "Lugar de trabajo autónomo" se implementa sobre la base de CIPF "Verba" y "Verba-O" para Windows 95/98 / NT y permite al usuario realizar las siguientes funciones en un modo interactivo:

    cifrado / descifrado de archivos en claves; cifrado / descifrado de archivos con contraseña; colocar / eliminar / verificar firmas digitales electrónicas (EDS) debajo de los archivos;

    escaneo de archivos encriptados;

    Fijación EDS + cifrado (en una sola acción) de archivos; descifrado + eliminación de EDS (en una acción) debajo de los archivos;

    calcular un archivo hash.

    Es recomendable utilizar CIPF "Lugar de trabajo autónomo" para el trabajo diario de los empleados que necesitan proporcionar:

    transferencia de información confidencial a en formato electrónico por mensajería o mensajería;

    envío de información confidencial a través de la red pública, incluido Internet;

    protección contra el acceso no autorizado a información confidencial en Computadoras personales empleados.

    Como muestra la práctica, pocas organizaciones recuerdan y se guían por la orden de la FAPSI (cuyo sucesor legal es el FSB de Rusia) del 13 de junio de 2001 N 152 "acceso limitado, que no contiene información que constituya un secreto de estado".

    Pero la Instrucción es obligatoria cuando se utilizan herramientas certificadas de protección de información criptográfica para garantizar la seguridad de la información. acceso limitado(sujeto a protección de acuerdo con la legislación de la Federación de Rusia).Y esto es PD, todo tipo de secretos, GIS, NPC, futura CII.

    De 2008 a 2012, una relajación en forma de "Requisitos típicos para la organización y operación de cifrado (criptográfico) significa diseñado para proteger la información que no contiene información que constituye un secreto de estado si se utiliza para garantizar la seguridad de los datos personales durante su procesamiento en sistemas de información de datos personales ”, aprobado por la dirección del 8º Centro del FSB de Rusia el 21 de febrero de 2008 No. 149/6 / 6-622. Pero después de la publicación de la Ley RF No. 1119, este documento perdió su relevancia y el FSB de Rusia anunció que era necesario guiarse por la Instrucción.


    En el marco del estado. El control sobre la implementación de las disposiciones de esta Instrucción es una gran cantidad de violaciones.


    Hay muchas preguntas sobre la aplicación de la Instrucción, porque fue escrita en aquellos días cuando las herramientas de protección de información criptográfica certificada se usaban en organizaciones raras en copias únicas. Ahora, cuando sert. la criptografía se está volviendo omnipresente, lo que dificulta seguir las instrucciones al pie de la letra.

    Inmediatamente quiero llamar su atención sobre el hecho de que la Instrucción junto con 99-FZ da resultados inequívocos sobre la necesidad de obtener una licencia del FSB de Rusia o concluir un acuerdo con el licenciatario:

    Artículo 12 99-FZ: "1. De acuerdo con esta Ley Federal, los siguientes tipos de actividades están sujetos a licencia:

    1) ... desempeño del trabajo ... en el campo del cifrado de información, Mantenimiento medios de encriptación (criptográficos), sistemas de información y sistemas de telecomunicaciones protegidos mediante medios de encriptación (criptográficos) (excepto en el caso de que se lleve a cabo el mantenimiento de medios de encriptación (criptográficos), sistemas de información y sistemas de telecomunicaciones protegidos mediante medios de encriptación (criptográficos) para cumplir con sus propias necesidades entidad legal o un empresario individual); "

    Resolución del Gobierno de RF N ° 313. Anexo al reglamento: “LISTA DE TRABAJOS REALIZADOS Y SERVICIOS PRESTADOS QUE CONSTITUYEN ACTIVIDADES LICENCIADAS EN RELACIÓN CON MEDIOS DE ENCRIPTACIÓN (CRIPTOGRÁFICOS)

    12. Instalación, instalación (instalación), ajuste de medios de encriptación (criptográficos), con la excepción de medios de encriptación (criptográficos) para proteger datos fiscales, desarrollados para su uso como parte de equipo de caja registradora certificado por el Servicio Federal de Seguridad de la Federación de Rusia.

    13. Instalación, instalación (instalación), ajuste de sistemas de información protegidos mediante medios de encriptación (criptográficos).

    14. Instalación, instalación (instalación), ajuste de sistemas de telecomunicaciones protegidos con el uso de medios de encriptación (criptográficos).

    15. Montaje, instalación (instalación), ajuste de los medios para la producción de documentos clave.

    20. Trabajos de mantenimiento de medios de encriptación (criptográficos), previstos en la documentación técnica y operativa de estos medios ( excepto por el caso, si el trabajo especificado se lleva a cabo para garantizar propias necesidades persona jurídica o empresario individual).

    28. Producción y distribución de documentos clave y (o) información clave inicial para el desarrollo de documentos clave utilizando hardware, software y software y hardware, sistemas y complejos para la producción y distribución de documentos clave por medios de cifrado (criptográfico) ".

    Pero la Instrucción contiene requisitos más estrictos.

    Instrucción FAPSI No. 152: 4. Seguridad del almacenamiento, procesamiento y transmisión de información confidencial a través de canales de comunicación utilizando herramientas de protección de información criptográfica, cuyos titulares no cuentan con licencias FAPSI, los licenciatarios FAPSI organizan y aseguran ... sobre la base de contratos para la prestación de servicios para la protección criptográfica de información confidencial.

    6. Para el desarrollo e implementación de medidas para organizar y garantizar la seguridad del almacenamiento, procesamiento y transmisión de información confidencial utilizando el CIPF, el licenciatario FAPSI crea uno o más organismos de protección criptográfica ... "

    La principal conclusión siguiente: una organización sin una licencia FSB no puede organizar de forma independiente el trabajo sobre el funcionamiento correcto del sistema de protección de la información criptográfica. Para hacer esto, la organización definitivamente debe comunicarse con el licenciatario y celebrar un contrato de servicio con él. El licenciatario FSB tiene un OKZI en la estructura, que organiza el trabajo para garantizar la seguridad en la organización del cliente y monitorea su implementación (y en ocasiones lo hace él mismo).

    PD: También tuve muchas preguntas con respecto a la aplicación de puntos individuales de la Instrucción, la más interesante le pregunté al regulador y en el próximo artículo compartiré la información más interesante ...

    También es interesante ver qué dificultades tuvieron ustedes, colegas, o, por el contrario, tuvieron una experiencia positiva al usar la Instrucción.