Как проверяет ФСБ или правила правильной эксплуатации СКЗИ для защиты персональных данных

КС1

Создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ

Создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ

Проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона)

Проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:

• внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;
• внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ.

Проведение атак на этапе эксплуатации СКЗИ на:

• персональные данные;
• ключевую, аутентифицирующую и парольную информацию СКЗИ;
• программные компоненты СКЗИ;
• аппаратные компоненты СКЗИ;
• программные компоненты СФ, включая программное обеспечение BIOS;
• аппаратные компоненты СФ;
• данные, передаваемые по каналам связи;
• иные объекты, которые установлены при формировании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее - АС) и программного обеспечения (далее - ПО).

Получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:

• общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);
• сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ;
• содержание конструкторской документации на СКЗИ;
• содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;
• общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
• сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее - канал связи);
• все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами;
• сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;
• сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;
• сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ.

Применение:

• находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;
• специально разработанных АС и ПО.

Использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:

• каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;
• каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ.

Проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети.

Использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства).

КС2

Проведение атаки при нахождении в пределах контролируемой зоны.

Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

• документацию на СКЗИ и компоненты СФ;
• помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ.

Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

• сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;
• сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;
• сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ.

Использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

КС3

Физический доступ к СВТ, на которых реализованы СКЗИ и СФ.

Возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

КВ

Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО.

Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.

КА

Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО.

Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.

Возможность располагать всеми аппаратными компонентами СКЗИ и СФ.

1.          

Организация системы организационных мер защиты персональных данных.

Приказы:

• о назначении ответственного пользователя СКЗИ;
• о перечне лиц, допущенных к работе с СКЗИ;
• об утверждении инструкций;
• иные.

Другие:

• модель нарушителя ИСПДн, содержащая возможности нарушителей в соответствии с приказом ФСБ №378.

Смысл данного приказа заключается в обосновании выбора класса СКЗИ.

2.          

Организация системы криптографических мер защиты информации.

• Модель угроз на каждую ИСПДн.
• Документы по поставке СКЗИ оператору.

3.          

Разрешительная и эксплуатационная документация на СКЗИ.

• Лицензии на СКЗИ.
• Сертификаты соответствия на СКЗИ.
• Формуляры на СКЗИ.

Следует предоставлять в печатном виде.

4.          

Требования к обслуживающему персоналу (требование к лицам, допущенным к работе).

• Утвержденный список лиц, допущенных к работе с СКЗИ.
• Документы, подтверждающие функциональные обязанности сотрудников.
• Журнал учета пользователей криптосредств.
• Документы, подтверждающие прохождение обучения сотрудников.

Инструкции:

• ответственного за эксплуатацию средств криптографической защиты информации;
• по обращению со средствами криптографической защиты информации;
• пользователя и администратора СКЗИ.

5.          

Эксплуатация СКЗИ

Акты:

• ввода СКЗИ в эксплуатацию;
• приема-передачи средств криптографической защиты;
• установления уровня защищенности ПДн, обрабатываемых в информационных системах персональных данных.

В процессе изучения актов проверяющими будут интервьюироваться сотрудники, работающие с данными информационными системами. Тут уже важно то, насколько уместно и корректно они будут отвечать на задаваемые им вопросы.

• установки средств защиты информации на все рабочие станции.

Следует опечатать рабочие станции

Журналы:

• поэкземплярного учета СКЗИ;
• учета и выдачи носителей с ключевой информацией.

6.          

Оценка соответствия применяемых СКЗИ

• Средства СКЗИ.
• Программное обеспечение СКЗИ (дистрибутив).

7.          

Организационные меры

• Эксплуатационная документация на СКЗИ.
• Помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним.
• Инструкции, регламентирующие правила и процедуры доступа в помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним.
• Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ.

Необходимо иметь сигнализацию и сейфы во всех помещениях, где установлены средства криптографической защиты.