Класс скзи как определить для роскомнадзора

Класс скзи как определить для роскомнадзора

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Программа разработана совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Обзор документа

Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 10 ноября 2022 г. № 08-99909 “О рассмотрении обращения”

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций рассмотрела Ваше обращение от 14.10.2022 N 02-11-38775 и сообщает, что проверка средств защиты информации осуществляется при проведении плановых и внеплановых контрольных (надзорных) мероприятий в отношении оператора в соответствии с постановлением Правительства Российской Федерации от 29.06.2021 N 1046, а также Федерального закона от 31.07.2020 N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" и не относятся к компетенции Роскомнадзора.

В части подачи уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее — Уведомление), сообщаем, что согласно п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — Закон о персональных данных) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

На основании ч. 1 ст. 22 Закона обработка персональных данных должна осуществляться с уведомлением уполномоченного органа о таком намерении, за исключением случаев, предусмотренных ч. 2 ст. 22 настоящего Закона.

На основании изложенного полагаем, что обязанность по направлению уведомления об обработке (намерении осуществлять обработку) персональных данных (далее — Уведомление) возлагается, в том числе на физическое лицо — инициатора общего собрания не зависимо от формы проведения общего собрания и при условии, что обработка персональных данных не подпадает под исключения, предусмотренные ч. 2 ст. 22 Закона о персональных данных.

В части заполнения Уведомления сообщаем, что согласно п. 3.1.7. Методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (далее — Методические рекомендации) Уведомление предполагает указание описания мер, предусмотренных статьями 18.1 и 19 Закона о персональных данных.

Описание мер предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.

В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, представляются следующие сведения:

а) наименование используемых криптографических средств;

б) класс средств криптографической защиты информации (СКЗИ).

Данную информацию рекомендуется представлять на основании приказа ФСБ России от 10.07.2014 N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

Согласно п. 3.1.12. Методических рекомендаций в Уведомлении указываются сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации (далее — база данных).

Таким образом в графе "Сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации" необходимо указать сведения о наименование стран размещения базы данных, а также конкретные адреса местонахождения базы данных.

В части отнесения обработки персональных данных к автоматизированной обработке сообщаем, что согласно ст. 3 Закона о персональных данных автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Таким образом, в рассматриваемом случае обработка персональных данных в системе программ "Excel" и "Word" признаётся осуществляемой с использованием средств автоматизации.

Начальник Управления по защите прав субъектов персональных данных

Ю.Е. Контемиров

Обзор документа

Направить уведомление об обработке (намерении осуществлять обработку) персональных данных обязано физлицо — инициатор общего собрания независимо от формы проведения общего собрания и при условии, что обработка не подпадает под исключения, предусмотренные Законом о персональных данных.

Относительно заполнения уведомления Роскомнадзор разъяснил следующее. В графе "Сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации" необходимо указать сведения о странах размещения базы данных, а также конкретные адреса местонахождения базы данных.

Обработка персональных данных в системе программ "Excel" и "Word" признается осуществляемой с использованием средств автоматизации.

Определение уровня защиты персональных данных с помощью СКЗИ

Эта статья для тех, кто любит перестраховаться, и все информационные системы, в которых производится обработка персональных данных, категорировать по максимальному уровню защищенности, т.е. УЗ-1. Конечно же, бывают случаи, когда действительно у информационной системы должен быть УЗ-1, но чаще все же этот уровень защищенности выводят на всякий случай, чтобы точно не придрались.

Иногда нужно применять средства криптографической защиты информации (СКЗИ) для защиты каналов связи, баз данных, съемных носителей, некоторые хотят и виртуальные машины шифровать в облаке и т.д. Кстати, непосредственно в облаке бывают только СКЗИ класса КС1, остальные потребуют обязательно использовать программно-аппаратный комплекс (КС2, КС3, КВ и КА), так что если вы уже в облаке или собираетесь туда мигрировать свои системы, вам точно стоит разобраться во всем или прочитать статью далее.

Так вот, есть открытый реестр сертифицированых по требованиям ФСБ России СЗИ: http://clsz.fsb.ru/clsz/certification.htm (сам реестр больше, это выписка, свободно доступная). В этом реестре только отечественные СКЗИ, в которых реализованы российские алгоритмы шифрования, такие как ГОСТ 34.10-2018 (электронная цифровая подпись), ГОСТ 34.11-2018 (хеш-функция), ГОСТ 34.12-2018 (блочные шифры, Кузнечик и Магма).

Из реестра нас интересуют только СКЗИ, поэтому средства антивирусной защиты, операционные системы, различные фильтры, межсетевые экраны и прочее не будем учитывать. Для персданных по этим классам СЗИ нужно брать реестр ФСТЭК России. Берем из реестра ФСБ именно СКЗИ классов КС1, КС2, КС3, КВ и КА, которые применяются для защиты сведений конфиденциального характера (но не гостайны) и смотрим, сколько каких вообще есть.

Количество СКЗИ в реестре: 430 шт.

Как видите, не так уж много СКЗИ, сертифицированных по требованиям ФСБ России, особенно КА и КВ.

Поясню по классам СКЗИ (КС1, КС2, КС3, КВ, КА) – их применение зависит от предполагаемого нарушителя. Если все сильно упростить, то можно сказать так:

• КС1 можно использовать, если потенциальный нарушитель не имеет доступа в помещения, где размещаются СКЗИ (например, нарушитель = хакер)
• КС2 нужно использовать, если потенциальный нарушитель может находиться в помещении, где размещены СКЗИ (нарушитель = подрядчик или всеми «любимая» завербованная уборщица).
• КС3 нужно использовать, если потенциальный нарушитель может получить непосредственный доступ к СКЗИ (нарушители = администраторы, имеющие доступ к стойке, подрядчики и т.д.).
• КВ нужно использовать, если потенциальный нарушитель может перехватить трафик и исследовать его, т.е. привлечь криптоаналитиков (а это, скорее всего, уже спецслужбы = нарушители).
• КА нужно использовать, если потенциальный нарушитель мог внедрить закладки в СКЗИ, не декларированные возможности (т.е. опять же спецслужбы, либо подлый разраб из вендора СКЗИ подразумевается под потенциальным нарушителем).

Грубо говоря, КС1 – это самый низкий класс СКЗИ, предполагающий, что вокруг СКЗИ создано много преград для нарушителя и защищаемая информация не очень интересна спецслужбам. А класс КА, наоборот, предполагает, что в СКЗИ реализована защита от многих угроз, и посредством КА можно защищать весьма значимые сведения конфиденциального характера.

Когда разговор заходит о персданных (они относятся к сведениям конфиденциального характера), то все обычно вспоминают про 152-ФЗ, ПП-1119, 21 Приказ ФСТЭК, но есть еще и Приказ ФСБ России № 378 от 10.07.2014 г., которым тоже нужно руководствоваться, если речь идет о защите персональных данных. Консалтеры не очень любят вспоминать про СКЗИ, потому что они больше юристы, чем реальные безопасники. Обратите на 378 Приказ ФСБ внимание, если вдруг у вас идет консалтинговый проект по защите персданных.

В 378 Приказе ФСБ России есть привязка, какие СКЗИ нужно использовать для каких уровней защищенности персданных:

Таким образом, если Оператор персданных счёл для себя актуальными угрозы первого или второго типа (и соответственно вывел УЗ-1 или УЗ-2), то ему придется покупать СКЗИ классов КВ или КА. Их весьма немного в реестре ФСБ России, но что еще хуже, даже имеющиеся в реестре образцы не очень производительны. Для понимания – в КВ и КА речь не про Гб/с, а про Мб/с.

Напомню типы угроз по отношению к информационной системе персональных данных, которые определены в Постановлении Правительства № 1119 от 01.11.2012 г.:

• Угрозы 1-го типа – если актуальны закладки (недекларированные возможности) в системном программном обеспечении (например: ОС, СУБД, гипервизоры).
• Угрозы 2-го типа – если актуальны закладки (недекларированные возможности) в прикладном программном обеспечении (например: офисные пакеты, браузеры, ERP и т.д.).
• Угрозы 3-го типа – если закладки в основном и прикладном ПО не актуальны для вас.

Оператор персданных сам решает, какие типы угроз по 1119-ПП для него актуальны, а значит вполне возможно сказать, что в информационной системе коммерческой организации актуальны угрозы 3-го типа, не связанные с закладками в ПО. Таким образом, и на СКЗИ вы сможете сэкономить и обеспечить нормальную производительность шифрования, ведь чем выше класс СКЗИ, тем дороже. Все последние публичные утечки персданных связаны с наличием уязвимостей, неправильными настройками, публикацией наружу того, чего не нужно было публиковать, но не с тем, что в какой-либо ОС или браузере вендор оставил для спецслужб тайный ход, и они им воспользовались.

Лучше купите средства защиты и настройте их (это, увы, тоже не все делают), чтобы утечки не случились, чем внедрять в коммерческой организации СКЗИ классов КВ или КА. Кстати, и ключи шифрования для КВ и КА генерируются не в самих СКЗИ этих классов. Придется еще и к вендору, а возможно, и в ФСБ обращаться.

Если вы определили для себя необходимость применения КС2, КС3, КВ, КА, и решили разместить систему в облаке, стоит ориентироваться на облачных провайдеров, являющихся заодно и ЦОДами с услугой Colocation, так как начиная с КС2 и выше все СКЗИ будут программно-аппаратными, а значит стоит искать стойку (КС3, КВ, КА) или юнит (КС2).

Если же все упростить, то коммерческая компания может для себя определить актуальными угрозы 3-го типа по 1119-ПП. А значит выбрать, если это вообще необходимо, СКЗИ класса КС1, которые в свою очередь могут быть виртуальными (например, С-Терра виртуальный шлюз, ViPNet Coordinator VA) и спокойно разместить их в облаке, соответствующем 152-ФЗ, и с реальными мерами защиты, нейтрализующими всех возможных нарушителей.

Квалифицированные сертификаты для работы с СКЗИ КС2 и КС3: где их использовать и как получить

Средства электронной подписи – это средства криптографической защиты информации (далее – СКЗИ), используемые для реализации как минимум одной из следующих функций: создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП.

В зависимости от способности противостоять атакам с использованием аппаратных и (или) программных средств для получения доступа к защищаемой средствами ЭП информации или данным они подразделяются на различные классы, которые и определяют уровни криптографической защиты информации.

Сведения о классе средства электронной подписи (далее — средства ЭП) владельца квалифицированного сертификата ключа проверки электронной подписи указываются в самом квалифицированном сертификате в соответствии с классом средств ЭП, используемом владельцем сертификата для подписания электронных документов. Помимо класса защиты средств ЭП, в сертификате электронной подписи указываются и сведения о самом средстве ЭП.

Согласно Приказу ФСБ РФ от 27 декабря 2011 г. N 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра» существует шесть классов средств электронной подписи, из которых участниками информационного взаимодействия с использованием электронной подписи во всех известных случаях используются средства электронной подписи классов КС1, КС2, КС3.

Участники информационного взаимодействия самостоятельно определяют, средства электронной подписи какого класса защиты они должны использовать при подписании электронных документов в процессе информационного взаимодействия. При этом необходимость использования того или иного класса средств электронной подписи определяется, исходя из возможных угроз, представляющих собой целенаправленные действия нарушителя с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемой средством электронной подписи информации.

Чем определяется класс средства электронной подписи

Класс средства электронной подписи определяется классом СКЗИ, используемым для реализации функций средства ЭП.

СКЗИ класса КС1 является базовой программой или устройством. В соответствии с правилами использования, для средства ЭП класса КС1 применение дополнительных средств контроля и защиты не требуется.

Для СКЗИ класса КС2 должны быть выполнены следующие условия:

1. Установлено и использоваться само СКЗИ.
2. На АРМ пользователя должен быть установлен сертифицированный аппаратно-программный модуль доверенной загрузки (АПМДЗ) типа «электронный замок».

Для СКЗИ класса КС3 должны выполняться следующие условия:

1. Должно быть установлено и использоваться само СКЗИ.
2. На АРМ пользователя должен быть установлен сертифицированный аппаратно-программный модуль доверенной загрузки (АПМДЗ) типа «электронный замок».
3. Должно быть установлено специализированное программное обеспечение, контролирующее целостность и неизменность установленного СКЗИ и программного окружения и обеспечивающее контроль замкнутой программной среды. Обычно данное программное обеспечение входит в комплект поставки СКЗИ класса КС3.

Класс защиты СКЗИ, используемый на АРМ пользователя, подтверждают:

• сертификат соответствия ФСБ России на СКЗИ;
• сертификат соответствия ФСБ России на аппаратно-программный модуль доверенной загрузки (АПМДЗ).

Для чего необходимы сертификаты для работы со средствами электронной подписи классов КС2 и КС3

При информационном взаимодействии с отдельными информационными системами, передающими конфиденциальную информацию и персональные данные пользователей, требуется использование средств ЭП классов КС2 и КС3. К примеру, для работы с системами ГИС ЖКХ (Государственная информационная система жилищно-коммунального хозяйства) необходимо использовать средство ЭП класса КС2, сведения о котором должны быть отражены в квалифицированном сертификате.

Работать в системе ГИС ЖКХ могут поставщики услуг, управляющие организации, ТСЖ (товарищества собственников жилья), ЖСК (жилищно-строительные кооперативы), ЖК (жилищные кооперативы), фонды капремонта, ресурсоснабжающие организации.

Для входа в личный кабинет на портале ГИС ЖКХ достаточно квалифицированного сертификата для работы со средствами ЭП класса защиты КС1. Но передавать данные из ИС поставщика информации в ГИС ЖКХ необходимо с применением сертификата электронной подписи для работы со средствами ЭП класса защиты КС2.

При работе и передаче персональных данных в определённые информационные системы по требованиям ИС (информационных систем) или ГИС (государственных информационных систем) потребуются квалифицированные сертификаты для работы с СКЗИ класса защиты КС3. Такие сертификаты электронной подписи понадобятся организациям из банковской сферы в соответствии с требованиями организации передачи биометрических персональных данных в Единую биометрическую систему, а также организациям, работающим с конфиденциальной информацией.

Как получить сертификат для работы с СКЗИ класса КС2, КС3

Компания «Инфотекс Интернет Траст» предоставляет возможность получения квалифицированных сертификатов, содержащих в числе прочего сведения о классе используемых владельцем сертификата средствах ЭП. В квалифицированных сертификатах, выдаваемых аккредитованным удостоверяющим центром «Инфотекс Интернет Траст», могут быть указаны следующие классы средств криптографической защиты информации: КС1, КС2, КС3.

Чтобы получить необходимый вам сертификат, оставьте заявку на сайте. С вами свяжется специалист для уточнения деталей, после чего вам необходимо будет пройти идентификацию личности и оплатить услугу. Изготовление сертификата займёт не более двух рабочих дней.

Класс скзи как определить для роскомнадзора

II. Правила определения класса СКЗИ

7. Класс СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, определяется для каждого сегмента ГИС, предназначенной для решения задач ГИС в пределах определенной территории или объекта (объектов).

В случае если ГИС не содержит сегментов ГИС, то класс СКЗИ, необходимый для защиты содержащейся в ней информации, определяется для ГИС в целом.

8. Определение класса СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, осуществляется в зависимости от уровня значимости обрабатываемой в ГИС информации и масштаба ГИС в соответствии с таблицей, приведенной в приложении к настоящим Требованиям, с учетом особенностей, предусмотренных пунктами 10 — 18 настоящих Требований.

Уровень значимости информации, содержащейся в ГИС, определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации (далее — свойства безопасности информации).

Информация имеет высокий уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации не могут выполнять возложенные на них функции.

Информация имеет средний уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации не могут выполнять хотя бы одну из возложенных на них функций.

Информация имеет низкий уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

9. В случае если ГИС состоит из двух и более сегментов ГИС, то уровень значимости информации и масштаб определяются для каждого сегмента ГИС отдельно.

10. Класс СКЗИ, подлежащих использованию для защиты информации в ГИС (сегменте ГИС), при ее взаимодействии с другими ГИС и (или) сегментами других ГИС определяется по более высокому классу СКЗИ, используемому для защиты информации во взаимодействующих ГИС и (или) сегментах ГИС.

11. Класс СКЗИ, подлежащих использованию для защиты информации во взаимодействующих между собой сегментах одной ГИС, определяется не ниже наименьшего класса СКЗИ, используемого для защиты информации в таких сегментах ГИС.

12. Класс СКЗИ, используемых для взаимодействия граждан (физических лиц) с ГИС (сегментом ГИС), определяется с учетом актуальных угроз безопасности информации и может быть ниже класса СКЗИ, определенного для ГИС (сегмента ГИС) в соответствии с настоящими Требованиями.

13. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак самостоятельно осуществлять создание способов атак, подготовку и проведение атак только вне пределов контролируемой зоны, то для защиты информации в ГИС (сегменте ГИС), в том числе при взаимодействии граждан (физических лиц) с ГИС (сегментом ГИС), необходимо использовать СКЗИ класса КС1.

14. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования, то для защиты информации в ГИС (сегменте ГИС), в том числе при взаимодействии граждан (физических лиц) с ГИС (сегментом ГИС), необходимо использовать СКЗИ класса КС2.

Правило, указанное в абзаце первом настоящего пункта, применяется, если для защиты информации, содержащейся в ГИС (сегменте ГИС), в соответствии с таблицей, приведенной в приложении к настоящим Требованиям, необходимо использовать СКЗИ класса КС1.

15. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования, то для защиты информации в ГИС (сегменте ГИС), в том числе при взаимодействии граждан (физических лиц) с ГИС (сегментом ГИС), необходимо использовать СКЗИ класса КС3.

Правило, указанное в абзаце первом настоящего пункта, применяется, если для защиты информации, содержащейся в ГИС (сегменте ГИС), в соответствии с таблицей, приведенной в приложении к настоящим Требованиям, необходимо использовать СКЗИ класса КС1 или КС2.

16. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак привлекать специалистов, имеющих опыт разработки и анализа СКЗИ, включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ и специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения, то для защиты информации в ГИС (сегменте ГИС), в том числе при взаимодействии граждан (физических лиц) с ГИС (сегментом ГИС), необходимо использовать СКЗИ класса КВ.

Правило, указанное в абзаце первом настоящего пункта, применяется, если для защиты информации, содержащейся в ГИС (сегменте ГИС), в соответствии с таблицей, приведенной в приложении к настоящим Требованиям, необходимо использовать СКЗИ класса КС1, КС2 или КС3.

17. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак привлекать специалистов, имеющих опыт разработки и анализа СКЗИ, включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ, то для защиты информации в ГИС (сегменте ГИС), в том числе при взаимодействии граждан (физических лиц) с ГИС (сегментом ГИС), необходимо использовать СКЗИ класса КА.

18. В случае если иными нормативными правовыми актами, устанавливающими требования о защите информации с использованием СКЗИ, предусмотрена необходимость использовать для защиты информации СКЗИ более высокого класса, чем класс СКЗИ, определенный в соответствии с настоящими Требованиями, то класс СКЗИ, подлежащих использованию в ГИС (сегменте ГИС), определяется в соответствии с такими нормативными правовыми актами.