- приложение. положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз-2005) | гарант
- 6. Дополнительные требования по безопасности конфиденциальных данных в терминалах
- 9. Положения по обновлению ПО СФ СКЗИ
- Контроль и проверка использования скзи
приложение. положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз-2005) | гарант
Положение
о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Настоящее Положение разработано во исполнение Федерального закона от 3 апреля 1995 года N 40-ФЗ “О федеральной службе безопасности”*(1) и Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 года N 960*(2).
I. Общие положения
1. Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее – информация конфиденциального характера).
2. Шифровальные (криптографические) средства защиты информации конфиденциального характера в настоящем Положении именуются средствами криптографической защиты информации (далее – СКЗИ). К СКЗИ относятся*(3):
а) средства шифрования – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
б) средства имитозащиты – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
в) средства электронной цифровой подписи – аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
г) средства кодирования – средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);
е) ключевые документы (независимо от вида носителя ключевой информации).
3. Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:
если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации (далее – государственные органы);
при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее – организации, выполняющие государственные заказы);
если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;
при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.
4. Требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации:
средств криптографической защиты информации, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем) или уполномоченных ими лицами, не являющихся государственными органами или организациями, выполняющими государственные заказы;
средств криптографической защиты информации открытых и общедоступных государственных информационных ресурсов Российской Федерации;
средств электронной цифровой подписи, предназначаемых для использования в электронном документообороте, информация которого не относится к информации конфиденциального характера;
информационно-телекоммуникационных систем, реализующих функции криптографической защиты информации, не относящейся к информации конфиденциального характера.
5. Настоящее Положение не регулирует отношения, связанные с экспортом и импортом СКЗИ, и не распространяется на использование шифровальных (криптографических) средств иностранного производства.
6. Режим защиты информации путем использования СКЗИ устанавливается обладателем информации конфиденциального характера, собственником (владельцем) информационных ресурсов (информационных систем) или уполномоченными ими лицами на основании законодательства Российской Федерации.
7. При организации обмена информацией конфиденциального характера, участниками которого являются государственные органы и организации, выполняющие государственные заказы, необходимость криптографической защиты информации и выбор применяемых СКЗИ определяются государственными органами или организациями, выполняющими государственные заказы.
8. При организации обмена информацией, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем), не являющихся организациями, выполняющими государственные заказы, или уполномоченными ими лицами (за исключением информации, содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ), необходимость ее криптографической защиты и выбор применяемых СКЗИ определяются соглашениями между участниками обмена.
9. Необходимость криптографической защиты информации конфиденциального характера при ее обработке и хранении без передачи по каналам связи, а также выбор применяемых СКЗИ определяются обладателем или пользователем (потребителем) данной информации.
10. СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом Федеральным законом от 27 декабря 2002 года N 184-ФЗ “О техническом регулировании”*(4).
11. Качество криптографической защиты информации конфиденциального характера, осуществляемой СКЗИ, обеспечивается реализацией требований по безопасности информации, предъявляемых к СКЗИ, ключевой системе СКЗИ, а также к сетям связи (системам), используемым СКЗИ с целью защиты информации при ее передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении (далее – сети (системы) конфиденциальной связи) и условиям размещения СКЗИ при их использовании (далее – требования по безопасности информации).
II. Порядок разработки СКЗИ
13. Задание разработки СКЗИ для федеральных государственных нужд осуществляется государственным заказчиком по согласованию с ФСБ России.
14. Разработка СКЗИ в интересах негосударственных организаций может осуществляться по заказу конкретного потребителя информации конфиденциального характера или по инициативе разработчика СКЗИ. При этом в качестве заказчика СКЗИ может выступать любое лицо.
15. Разработка СКЗИ осуществляется путем постановки и проведения необходимых научно-исследовательских работ (далее – НИР) по исследованию возможности создания нового образца СКЗИ и опытно-конструкторских работ (далее – ОКР) по созданию нового образца СКЗИ или модернизации действующего образца СКЗИ.
17. В ТТЗ или ТЗ на проведение НИР рекомендуется дополнительно включать сведения:
о заказчике СКЗИ (для юридического лица – наименование юридического лица с указанием номера лицензии на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, при ее наличии, и срока ее действия, адрес юридического лица, телефон; для индивидуального предпринимателя – фамилия, имя, отчество, данные документа, удостоверяющего личность, номер лицензии на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, при ее наличии, срок ее действия, адрес индивидуального предпринимателя и телефон);
о предполагаемой области применения планируемого к разработке нового образца СКЗИ (указывается система связи, в составе которой планируется использование создаваемого образца СКЗИ, ее основные технические характеристики, в том числе требования по безопасности информации, а также вид защищаемой информации (речевая, данные и т.д.);
о предполагаемом исполнителе НИР (приводятся данные о предполагаемом исполнителе (наименование юридического лица, его адрес, телефон) и соисполнителе (при его наличии) с указанием номеров лицензий на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, и сроков их действия (при их наличии).
19. ТТЗ (ТЗ) на проведение НИР (составной части НИР), согласованное с ФСБ России, утверждается заказчиком СКЗИ. Экземпляр утвержденного ТТЗ (ТЗ) на проведение НИР (составной части НИР) направляется заказчиком СКЗИ в ФСБ России.
21. ОКР (составная часть ОКР) по созданию нового образца СКЗИ или модернизации действующего образца СКЗИ проводится в соответствии с ТТЗ (ТЗ), разработанным на основе действующих стандартов на проведение ОКР (составной части ОКР).
22. Разработка ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) может осуществляться без предварительного выполнения НИР.
23. В ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) должны указываться следующие дополнительные сведения:
по криптографической защите информации – цель криптографической защиты информации с описанием предполагаемой модели нарушителя, определяющей возможные угрозы, которым должно противостоять разрабатываемое (модернизируемое) СКЗИ;
по условиям использования СКЗИ – требования, предъявляемые к условиям использования создаваемого нового образца СКЗИ или модернизируемого действующего образца СКЗИ в типовой схеме организации конфиденциальной связи, или исходные данные по сети (системе) конфиденциальной связи, в составе которой планируется использование создаваемого нового образца СКЗИ или модернизируемого действующего образца СКЗИ (типы каналов связи, скорость передачи информации, предполагаемое количество пользователей сети (системы) конфиденциальной связи, планируемая интенсивность информационного обмена, планирование размещения СКЗИ в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, и т.д.);
по ключам СКЗИ – количество ключей, используемых в СКЗИ, предполагаемый срок их действия, организация их смены, тип ключевого носителя и т.д.;
по системе изготовления (распределения) ключей – вид системы изготовления ключей (встроенная в СКЗИ или внешняя), требования по безопасности информации, которые должны обеспечиваться применяемой системой изготовления (распределения) ключей и т.п.;
по предполагаемому ходу выполнения работ – сведения по планируемому порядку и срокам проведения работ, включая проведение экспертных криптографических, инженерно-криптографических, специальных исследований СКЗИ и работ по выявлению в технических средствах, входящих в состав СКЗИ электронных устройств, предназначенных для негласного получения информации, разработку тактико-технических требований на ключевые документы (если предполагается изготовление ключевых документов внешней по отношению к СКЗИ системой изготовления) с указанием этапов ОКР, на которых должны быть проведены планируемые работы.
Кроме того, в ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) рекомендуется включать сведения:
о заказчике СКЗИ: для юридического лица – наименование юридического лица с указанием номера лицензии на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами (при ее наличии) и срока ее действия, адрес юридического лица и телефон; для индивидуального предпринимателя – фамилия, имя, отчество, данные документа, удостоверяющего личность, номер лицензии на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами (при ее наличии), и срок ее действия, адрес индивидуального предпринимателя и телефон;
о предполагаемой области применения создаваемого (модернизируемого) образца СКЗИ: указывается система связи, в составе которой планируется использование создаваемого (модернизируемого) образца СКЗИ, ее основные технические характеристики, а также вид защищаемой информации (речевая, данные и т.д.). При модернизации СКЗИ также приводится полное наименование и индекс серийно выпускаемого или разрабатываемого образца СКЗИ;
о предполагаемом разработчике и изготовителе создаваемых (модернизируемых) образцов СКЗИ: приводятся данные о предполагаемом разработчике (наименование юридического лица, его адрес, телефон) и соразработчике (при его наличии), а также изготовителе СКЗИ с указанием номеров лицензий на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, и сроков их действия;
о предполагаемом разработчике и изготовителе ключевых документов (в случае внешней системы изготовления): приводятся данные о предполагаемом разработчике (наименование юридического лица, его адрес, телефон) и соразработчике (при его наличии), а также изготовителе ключевых документов с указанием номеров лицензий на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, и сроков их действия;
о планируемом объеме выпуска создаваемых (модернизируемых) образцов СКЗИ: указывается количество планируемых к выпуску создаваемых (модернизируемых) образцов СКЗИ;
о планируемом объеме выпуска ключевых документов: указывается планируемое среднегодовое количество изготавливаемых ключевых документов (в случае внешней системы изготовления) для создаваемых (модернизируемых) образцов СКЗИ;
о планируемой стоимости единичного создаваемого (модернизируемого) образца СКЗИ: приводятся данные о планируемой стоимости единичного образца СКЗИ при организации серийного выпуска;
о планируемой стоимости ключевых документов: приводятся данные о планируемой стоимости ключевых документов для создаваемого (модернизируемого) образца СКЗИ при организации их серийного выпуска;
о реализации создаваемых (модернизируемых) образцов СКЗИ: указывается перечень юридических лиц и индивидуальных предпринимателей, с помощью которых планируется осуществлять реализацию создаваемых (модернизируемых) образцов СКЗИ, с указанием номеров лицензий на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, и сроков их действия;
о сервисном обслуживании СКЗИ: указывается перечень юридических лиц и индивидуальных предпринимателей, с помощью которых планируется осуществлять сервисное (техническое) обслуживание создаваемых (модернизируемых) образцов СКЗИ в процессе их использования, с указанием номеров лицензии на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, и сроков их действия;
о предложениях по сопряжению с государственными сетями (системами) конфиденциальной связи: приводятся в случае необходимости организации обмена защищаемой информацией с государственными органами и (или) организациями, выполняющими государственные заказы.
24. Требования к СКЗИ (цель криптографической защиты информации с описанием предполагаемой модели нарушителя, определяющей возможные угрозы, которым должно противостоять разрабатываемое (модернизируемое) СКЗИ, требования к аппаратным, программно-аппаратным и программным средствам сети (системы) конфиденциальной связи, совместно с которыми предполагается использование создаваемого нового образца СКЗИ или модернизируемого действующего образца СКЗИ, требования к условиям размещения СКЗИ при их эксплуатации, требования к ключевой системе СКЗИ и т.д.) могут оформляться специальным техническим заданием (далее – СТЗ), которое является неотъемлемой частью общего ТТЗ (ТЗ) на проведение ОКР (составной части ОКР).
26. ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) или СТЗ, согласованное с ФСБ России, утверждается заказчиком СКЗИ. Один экземпляр утвержденного ТТЗ (ТЗ) на проведение ОКР (составной части ОКР) или СТЗ представляется заказчиком СКЗИ в экспертную организацию.
27. При разработке СКЗИ рекомендуется использовать криптографические алгоритмы, утвержденные в качестве национальных стандартов или определенные перечнями, утверждаемыми в порядке, установленном постановлением Правительства Российской Федерации от 23 сентября 2002 г. N 691*(5).
29. Правила пользования создаваемым новым образцом СКЗИ или модернизируемым действующим образцом СКЗИ составляются разработчиком СКЗИ и согласовываются с ФСБ России. О согласовании с ФСБ России на последней странице правил пользования СКЗИ разработчик СКЗИ делает соответствующую запись.
30. При разработке СКЗИ создается рабочая конструкторская документация (далее – РКД) на СКЗИ и опытный образец (опытные образцы) СКЗИ, разработанный (разработанные) в соответствии с РКД на него (них).
31. Составной частью разработки СКЗИ является проведение криптографических, инженерно-криптографических и специальных исследований СКЗИ (далее – тематические исследования СКЗИ), целью которых является оценка достаточности мер противодействия возможным угрозам безопасности информации, определенным моделью нарушителя, изложенной в СТЗ или ТТЗ (ТЗ) на проведение ОКР (составной части ОКР).
32. Тематические исследования СКЗИ выполняются в процессе всего цикла создания, производства и эксплуатации СКЗИ организациями, имеющими право на осуществление отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами (далее – специализированные организации).
33. Экспертиза результатов тематических исследований СКЗИ осуществляется ФСБ России, по результатам которой определяется возможность допуска СКЗИ к эксплуатации.
34. Тематические исследования СКЗИ и экспертиза их результатов являются отдельным этапом опытно-конструкторской работы, составляют ее неотъемлемую часть и не могут быть объединены с другими этапами выполнения ОКР.
36. Результаты тематических исследований и оценки влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований, а также опытные образцы СКЗИ и аппаратные, программно-аппаратные и программные средства, необходимые для штатного функционирования СКЗИ, передаются в ФСБ России для проведения экспертизы.
Аппаратные, программно-аппаратные и программные средства, необходимые для штатного функционирования СКЗИ, и опытные образцы СКЗИ для проведения тематических исследований и экспертизы передаются специализированной организации и ФСБ России на время выполнения указанных исследований.
Дальнейшее использование указанных опытных образцов СКЗИ и аппаратных, программно-аппаратных и программных средств определяется заказчиком СКЗИ.
V. Порядок эксплуатации СКЗИ
46. СКЗИ эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ.
В случае планирования размещения СКЗИ в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, технические средства, входящие в состав СКЗИ, должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации.
47. СКЗИ, находящиеся в эксплуатации, должны подвергаться контрольным тематическим исследованиям, конкретные сроки проведения которых определяются заказчиком СКЗИ по согласованию с разработчиком СКЗИ, специализированной организацией и ФСБ России.
51. Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется:
обладателем, пользователем (потребителем) защищаемой информации, установившим режим защиты информации с применением СКЗИ;
собственником (владельцем) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ;
ФСБ России в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи.
Контроль за соблюдением условий производства ключевых документов, указанных в технической, конструкторско-технологической и эксплуатационной документации к внешней системе изготовления ключей, осуществляется изготовителем ключевых документов, а также ФСБ России в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи.
52. С целью оценки обоснованности и достаточности мер, принятых для защиты информации конфиденциального характера, обладатель, пользователь (потребитель) данной информации, установивший режим ее защиты с применением СКЗИ, а также собственник (владелец) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ, вправе обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования СКЗИ.
*(1) Собрание законодательства Российской Федерации, 1995, N 15, ст. 1269; 2000, N 1, ст. 9; N 46, ст. 4537; 2002, N 19, ст. 1794; N 30, ст. 3033; 2003, N 2, ст. 156; Российская газета от 1 июля 2003 г. N 126 (3240).
*(2) Российская газета, 2003, N 161 (3275).
*(3) Постановление Правительства Российской Федерации от 23 сентября 2002 г. N 691 “Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами” (Собрание законодательства Российской Федерации, 2002 г., N 39, ст. 3792).
*(4) Собрание законодательства Российской Федерации, 2002, N 52 (часть I), ст. 5140.
*(5) Собрание законодательства Российской Федерации, 2002, N 39, ст. 3792.
*(6) Собрание законодательства Российской Федерации, 2008, N 52 (ч. I), ст. 6249; 2009, N 18 (ч. I), ст. 2140; N 29, ст. 3601; N 48, ст. 5711; N 52 (ч. I), ст. 6441.
6. Дополнительные требования по безопасности конфиденциальных данных в терминалах
Устройство не должно отображать введенные цифры ПИН-кода. Массив символов, показывающий ввод ПИН-кода, должен отображать только незначимые символы, например, звездочки.
Конфиденциальные данные не должны храниться дольше или использоваться чаще, чем это необходимо. ПИН-коды должны зашифровываться внутри устройства сразу после завершения ввода ПИН-кода. Устройство должно автоматически очищать свои внутренние буферы, когда транзакция завершена или истекло время ожидания устройством ответа от владельца карты или продавца.
Должно быть введено ограничение на количество действий, которые могут быть выполнены, и наложен лимит времени, после которого устройство вынуждено вернуться в нормальный режим.
Устройство должно обеспечить использование различных значений для ключей данных, ключей шифрования ключей и ключей шифрования ПИН.
В устройстве должен отсутствовать механизм, который позволял бы выводить симметричный или закрытый ключ или ПИН-код в открытом виде, шифровать такой ключ или ПИН-код ключом, который может быть известен нарушителю, или передавать такой ключ в открытом виде из одного компонента в другой.
Ввод любых других данных транзакции должен осуществляться отдельно от процесса ввода ПИН-кода, чтобы избежать случайного отображения ПИН-кода владельца карты на дисплее устройства. Если другие данные и ПИН-код вводятся на одной и той же клавиатуре, другой ввод данных и ввод ПИН-кода должны быть явно отдельными операциями.
Защита ПИН-кода во время передачи между устройством, зашифровавшим ПИН-код, и считывателем ICC должна быть реализована одним из следующих способов:
а) Если устройство, шифрующее ПИН-код, и считыватель ICC (карты) не интегрированы в один и тот же защищенный модуль, то метод проверки владельца карты определяется следующим образом:
– Зашифрованный ПИН-код: при передаче между устройством, зашифровавшим ПИН-код, и считывателем ICC ПИН-блок должен быть зашифрован с использованием либо ключа шифрования карты, либо с использованием ключа СКЗИ в терминале.
– Открытый ПИН-код: при передаче с устройства, зашифровавшего ПИН-код, на считыватель ICC (считыватель ICC затем расшифрует ПИН-код для передачи в виде открытого текста на карту) ICC ПИН-блок должен быть зашифрован с использованием ключа СКЗИ в терминале.
б) Если устройство, шифрующее ПИН-код, и считыватель ICC интегрированы в один и тот же защищенный модуль, и метод проверки владельца карты определяется следующим образом:
– Зашифрованный ПИН-код: ПИН-блок должен быть зашифрован с использованием ключа шифрования карты.
в) Открытый текст ПИН: шифрование не требуется, если блок ПИН передается полностью через защищенную среду (как определено в ISO 9564). Если открытый ПИН-код передается на считыватель ICC (платежной карты) через незащищенную среду, ПИН-блок должен быть зашифрован в соответствии с ISO 9564.
Панель ввода ПИН-кода (область ввода ПИН-кода) и окружающая область должны быть спроектированы таким образом, чтобы устройство затрудняло размещение мошеннического устройства поверх панели ПИН-кода.
9. Положения по обновлению ПО СФ СКЗИ
Технические средства информационной инфраструктуры платежной системы могут предусматривать возможность обновления программного обеспечения СФ СКЗИ по каналам управления с аутентификацией субъекта, проводящего обновление, и технического средства информационной инфраструктуры платежной системы. Если аутентификация не подтверждается, то обновление производиться не должно.
От Банка России
| Директор Департамента информационной безопасности | В.А. Уваров |
От ФСБ России
| Первый заместитель начальника Управления “А” 8 Центра ФСБ России | М.В. Федоров |
| Зам. начальника подразделения 8 Центра ФСБ России | В.М. Простов |
| Первый заместитель начальника 8 Центра ФСБ России | А.М. Шойтов |
| Утверждаю Первый заместитель руководителя Научно- технической службы ФСБ России | A.M. Ивашко |
24.01.2020 г.
Согласовано
| Заместитель Председателя Банка России | Д.Г. Скобелкин |
15.01.2020 г.
——————————
1 Для аппаратных модулей безопасности информационной инфраструктуры платежных систем сведения, содержащиеся в исходных текстах ПО СФ и ПО АС СФ.
2 Для аппаратных модулей безопасности информационной инфраструктуры платежных систем о недекларированных возможностях ПО СФ и неопубликованных уязвимостях ПО СФ.
3 Для аппаратных модулей безопасности информационной инфраструктуры платежных систем, содержащиеся в конструкторской документации на информационные технологии, базы данных, ПО, используемые в ИС совместно с СКЗИ.
4 Для платежных карт в дополнение к заявленному – измерительное и аналитическое оборудование для подготовки и проведения атак на СКЗИ, включающее: осциллограф, источники лазерного излучения (с системами позиционирования), микрозондовую станцию, климатическую камеру, двулучевые электронно-ионные системы (ФИП), средства жидкостного химического травления, установка химико-механического полирования и т.п.
5 Для аппаратных модулей безопасности информационной инфраструктуры платежных систем необходимо обеспечить защиту ключевой информации пользователей от администратора (привилегированного пользователя) модуля.
6 Конкретный набор параметров при достижении, которых должна производится блокировка и уточняется на этапе ТИ и их экспертизы.
7 Для СКЗИ в аппаратных модулях безопасности информационной инфраструктуры платежных систем очистка журнала должна производиться только привилегированным пользователем и только после архивирования, после чего первой записью в журнале должна быть запись об очистке/архивировании журнала.
В случае невозможности переноса журнала регистрации событий в архив tipивилегированному пользователю может быть доступна функция стирания журнала. В этом случае СКЗИ должно обеспечивать сохранение информации о последних трех сутках работы СКЗИ, а также регистрацию факта очистки журнала с сохранением в нем даты очистки и информации о привилегированном пользователе, производившем операцию очистки.
8 Для некоторых видов терминалов такие меры могут быть признаны избыточными по согласованию с ФСБ России.
Контроль и проверка использования скзи
Контроль использования СКЗИ, применяемых для обеспечения безопасности ПДн, проводится на основании следующих нормативно-методических документов (в том числе с учетом информационного письма ФСБ России от 21.06.2021 «О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных»):
- федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ №152);
- приказ ФСБ России от 10 июля 2021 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – приказ ФСБ № 378);
- приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (далее – Положение ПКЗ-2005);
- «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152 (далее – приказ ФАПСИ №152);
- «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2021).
В подготовке к самой проверке ФСБ особого смысла нет. Построение комплексной системы защиты персональных данных – процесс, требующий времени и определенных компетенций. Наличие документов (например: приказов, инструкций, журналов) необходимо, но для проверки этого недостаточно.
Необходимо осуществлять ведение журналов и систематически проводить проверки по исполнению положений локально-нормативных актов, регламентирующих эксплуатацию СКЗИ. В случае отсутствия таких процедур подготовка к проверке приведет к пустой трате времени, а проверяющие все равно выявят все ошибки эксплуатации СКЗИ, способных впоследствии привести к утере, несанкционированному доступу, уничтожению и блокированию ПДн.
Федеральная служба безопасности проверяет условия обработки и защиты персональных данных с использованием средств криптографической защиты информации. Более детальная информация приведена в таблице 2.
Таблица 2 – Соответствие требований и перечня предоставляемых документов
Проверяемые требования | Перечень предоставляемых документов | Примечание | |
|---|---|---|---|
1. | Организация системы организационных мер защиты персональных данных. | Приказы: | |
Другие: | Смысл данного приказа заключается в обосновании выбора класса СКЗИ. | ||
2. | Организация системы криптографических мер защиты информации. | ||
3. | Разрешительная и эксплуатационная документация на СКЗИ. | Следует предоставлять в печатном виде. | |
4. | Требования к обслуживающему персоналу (требование к лицам, допущенным к работе). | Инструкции: | |
5. | Эксплуатация СКЗИ | Акты: | В процессе изучения актов проверяющими будут интервьюироваться сотрудники, работающие с данными информационными системами. Тут уже важно то, насколько уместно и корректно они будут отвечать на задаваемые им вопросы. |
Следует опечатать рабочие станции | |||
Журналы: | |||
6. | Оценка соответствия применяемых СКЗИ | ||
7. | Организационные меры | Необходимо иметь сигнализацию и сейфы во всех помещениях, где установлены средства криптографической защиты. |
Перечисленные требования и перечень предоставляемых документов составлены на основании «Типового регламента проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утв. Руководством 8 Центра ФСБ России 08 августа 2009 года № 149/7/2/6-1173.
С целью прохождения проверки ФСБ оператор при эксплуатации СКЗИ в обязательном порядке должен:
- Обеспечивать контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, согласно эксплуатационной документации производителя.
- Обеспечивать контроль за актуальностью сертификата соответствия ФСБ России и лицензии на применяемое СКЗИ.
- Издавать локально-нормативные акты, регламентирующие порядок, правила обращения и обслуживания СКЗИ.
- Обеспечивать физическую защиту средств вычислительной техники, содержащих СКЗИ или их компоненты, аппаратных СКЗИ и ключевых носителей информации.
- Ограничивать физический и логический доступ к СКЗИ и ключевым носителям информации.
- Обеспечивать контроль соответствия положений организационно-распорядительной документации реальным условиям эксплуатации СКЗИ и информационной системы персональных данных в целом.
- Обеспечивать контроль работоспособности и правильности функционирования СКЗИ.