Перейти на Sec.Ru
Рейтинг@Mail.ru

15 декабря 2014

Персональные данные: что было, что будет, на чем сердце успокоится… Часть 4. Криптография

Ксения Шудрова
Специалист в области защиты
информации, shudrova.blogspot.ru

 

В первой части был приведен общий перечень нормативной документации по информационной безопасности, во второй – дан краткий анализ закона «О персональных данных», в третьей – рассмотрен вопрос классификации ИСПДн. Четвертая часть посвящена криптографическим мерам защиты.

В 22 статье закона «О персональных данных» сказано о необходимости предоставления в Роскомндазор информации об использовании криптографических средств защиты. В документах ФСТЭК и Постановлениях Правительства не рассматриваются вопросы криптографии, эти требования находятся в ведении ФСБ России.

 

Честно признаюсь, что написание четвертой части далось мне сложнее, чем трех предыдущих – если вопрос защиты персональных данных по требованиям ФСТЭК достаточно изучен, то требования ФСБ остаются до сих пор загадкой для многих специалистов. Почему так происходит? Причин несколько:

  1.   Необязательное применение средств шифрования операторами.
  2.   Сложная для понимания нормативная база.
  3.   Отсутствие разъяснений к документам со стороны регулятора.
  4.   Страх операторов навлечь на себя дополнительные проверки при использовании криптографии.

Но, несмотря на все трудности, без криптографической защиты не обойтись при передаче персональных данных по незащищенному каналу связи, сюда входит, например, удаленная работа сотрудников с базой данных клиентов, обмен информацией между филиалами и головным офисом, передача личной информации работников третьим лицам. В том или ином виде подобные задачи присутствуют практически в каждой организации.

Давайте разберем в общих чертах нормативную базу по этому вопросу. Можно выделить три основных документа по криптографической защите персональных данных в Российской Федерации:

1.    Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144 – Документ официально опубликован не был.

2.    Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622 - Документ официально опубликован не был.

3.    Приказ ФСБ № 378 от 10 июля 2014 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Зарегистрировано в Минюсте России 18 августа 2014г.

 

Методические рекомендации

Документ был принят еще во времена действия «старых» документов ФСТЭК («четверокнижия», 58-го Приказа, 781 Постановления Правительства) и дополнял их содержание. Стоит отметить, что рассматриваемый нормативный документ не был зарегистрирован в Минюсте, на сегодняшний день статус его непонятен. Скорее всего, в связи с изданием Приказа 378 Методические рекомендации свою актуальность потеряли. Однако я хочу кратко остановиться на содержании документа, чтобы было понятно, как исторически развивались требования к системам шифрования.

Требования вышеуказанного документа (а также других нормативных актов в области криптографической защиты ПДн) не распространяются на следующие случаи:

  1.   Обработка персональных данных без использования средств автоматизации;
  2.   Работа с персональными данными, составляющими государственную тайну;
  3.   Использование технических средств, расположенных за пределами РФ.

В документе сказано, что в случае использования средств криптографической защиты, нужно разрабатывать модель угроз по требованиям как ФСТЭК, так и ФСБ (за редким исключением). Операторы могут сами составлять модели угроз и нарушителя, лишь при необходимости привлекая лицензиатов ФСБ. Все угрозы в документе делятся на атаки и угрозы, не являющиеся атаками, приведены примеры распространенных угроз. Вы можете руководствоваться Методикой как справочным материалом при написании модели по новым требованиям.

Модель угроз верхнего уровня определяет характеристики безопасности ПДн и других объектов защиты. В детализированной модели угроз обозначены требуемые условия криптозащиты. На модель угроз влияют различные факторы: условия создания и использования ПДн, формы представления ПДн, характеристики безопасности и т.д. Кроме привычных характеристик: целостности, конфиденциальности и доступности выделяют также неотказуемость, учетность, аутентичность и адекватность.

Пример модели угроз верхнего уровня:

1.    Угроза конфиденциальности персональных данных.

2.    Угроза целостности персональных данных.

3.    Угроза доступности персональных данных.

Документ посвящен не только вопросам формирования модели угроз, но и особенностям составления адекватной модели нарушителя. Все нарушения в Методических рекомендациях делятся на два класса: прямые и косвенные нарушения безопасности ПДн (угрозы, создающие условия для возникновения прямых угроз). Выделяется 6 основных типов нарушителей: Н1, Н2, Н3, Н4, Н5, Н6. Чем выше цифра, тем больше возможностей, нарушитель каждого следующего типа наследует возможности предыдущего. Оператор самостоятельно определяет уровень подготовки нарушителей, доступные им инструменты и делает предположение о сговоре. В документе указаны основные характеристики нарушителя каждого типа. Также определены 6 уровней криптозащиты: KC1, KC2, KC3, KB1, KB2, KA1 и 6 классов криптосредств с аналогичными названиями, в этом плане ничего не изменилось и по сей день. ИСПДн также разделяются на 6 классов, в зависимости от наивысшей категории нарушителя. АК1- если наивысшая категория нарушителя Н1, АК2-если Н2, АК3 – если Н3, АК4 – если Н4, АК5 – если Н5, АК6 – если Н6. Соответственно распределены средства криптозащиты: АК1 – КС1, АК2 – КС2, АК3 – КС3, АК4 – КВ1, АК5 – КВ2, АК6 – КА1.

 

Типовые требования

Типовые требования были написаны в тот же период, что и Методические рекомендации, не зарегистрированы в Минюсте, на сегодняшний день их статус непонятен. На мой взгляд, в документе содержится полезная для изучения информация. Подробно описаны обязанности пользователей криптосредств, обозначены основные правила для них:

  •       не допускать копирования ключевой информации;
  •       не разглашать информацию о ключах;
  •       не записывать на ключевые носители постороннюю информацию и т.д.

Описан процесс уничтожения ключа, основные требования к помещениям, представлены типовые формы журналов. На основании информации, содержащейся в документе можно построить некоторые полезные инструкции.

 

Приказ 378

Выхода 378 Приказа ждало все профессиональное сообщество и вот, наконец, он вступил в силу. На сегодняшний день это – главный документ в области криптографической защиты персональных данных, и его действие распространяется на все ИСПДн, в которых используются в качестве защиты криптографические СЗИ.

Приказом определены требования не только к криптографической защите, но и к режиму обеспечения безопасности помещений, порядок хранения носителей информации и другие организационные меры в зависимости от уровня защищенности системы. Отдельно указано, что оператору следует использовать СЗИ, прошедшие оценку соответствия – сертифицированные по требованиям безопасности. Защитные меры описаны очень подробно, включают в себя требования к оснащенности помещений (замки, приспособления для опечатывания, решетки на окна и т.д.).

В отличие от положений Методических рекомендаций в Приказе 378 класс СКЗИ определяется относительно уровня защищенности и актуального типа угроз. Возможности злоумышленника учитываются лишь при определении класса СКЗИ для 4 уровня защищенности.

 

Таблица 1. Класс СКЗИ

4 уровень

3 уровень

2 уровень

1 уровень

2 типа

3 типа

1 типа

2 типа

3 типа

1 типа

2 типа

КС1

КС2

КС3

КВ1

КВ2

КА1

КВ1

КВ2

КА1

КС1

КС2

КС3

КВ1

КВ2

КА1

КА1

КВ1

КВ2

КА1

КС1

КС2

КС3

КВ1

КВ2

КА1

КА1

КВ1

КВ2

КА1

 

Зависимость от уровня защищенности и типа угроз достаточно очевидна, и, как мы видим, оператор почти всегда может выбрать класс СКЗИ из нескольких вариантов.

Документ отличается четкой логикой изложения – достаточно знать уровень защищенности своей системы – требования к ИСПДн каждого уровня представлены в отдельных разделах. Стоит отметить, что требования наследуются от более низких уровней к более высоким, ИСПДн 1-го уровня защищенности должна отвечать требованиям для ИСПДн 2-го, 3-го и 4-го уровней. На мой взгляд, разобраться с требованиями нового Приказа не составит труда даже начинающему специалисту.

 

Безусловно, в одной краткой статье невозможно определить все нюансы криптографической защиты персональных данных, да и нужно ли это делать? Мы разобрали здесь основные моменты, поняли логику документов, остальное – детали, которые можно изучить самостоятельно. А в пятой части будут рассмотрены не менее важные вопросы: определение требований к системе защиты персональных данных и выбор мер защиты.

Просмотров: 3826

Мнения экспертов

В четвертой части статьи , посвященной нормативной базе в вопросах, связанных с персональными данными, автор добрался до самого интересного. Криптографическая защита данных при передаче по незащищенным каналам связи – это как раз область приложения своих «усилий» хакерами (в смысле расшифровки) и спецслужбами всех стран (защита и не только…). Понятно, что нормативная база в этой области очень специфична и далеко не всегда публично освещается. Ксения-молодец! Она копнула (правда чуть-чуть) этот сложный материал, дала нам представление о его структуре и принципах построения. Это плюс статьи! Минус – все-таки, слишком мало практических выводов – где найти информацию, где четко узнать: можно или нельзя использовать ту или иную технологию защиты ? А что будет, если… ? В целом статья достойна, чтобы ее опубликовали и прочитали.

В 4-ой части своей работы, автор попыталась охватить такую сложную проблему, как требования ФСБ к криптографическим мерам защиты.

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.


Автор

Информация

  • Снимай крутую видеорекламу - выкладывай на Sec.Ru!

    Рекламный ролик - один из самых эффективных способов донесения информации. И он отлично подходит для рекламирования любой продукции, в т.ч. и продукции рынка систем безопасности.
    Поэтому редакция Портала решила составить свой рейтинг лучших рекламных видеороликов. Все они разные и все чем-то покоряют: красотой, задумкой, стилем съемки, посылом, необычным финалом.
    Некоторые из них язык не повернется назвать иначе как шедевром короткого метра. Смотрим, наслаждаемся, делаем заметки, учимся творить рекламу правильно.
    Если Вы хотите выложить видеоролик о своей продукции на Sec.Ru, пишите о своем желании на adv@sec.ru!

    Картинка: Jpg, 100x150, 16,47 Кбайт

    Мотор!

Отраслевые СМИ

Все права защищены 2002 – 2019
Rambler's Top100 �������@Mail.ru