понедельник, 23 апреля 2018 г.

Письмо читателя. Проверка СКЗИ ИСПДн

Добрый вечер! Сегодня хочу поделиться с вами статьей читателя об опыте прохождения проверки ИСПДн (СКЗИ). Орфография и пунктуации автора. Приятного чтения!


Доброго времени суток, коллеги. Решил поделиться опытом прохождения проверки 8 центра ФСБ России. Сразу оговорюсь, что в организацию, про которую пойдет речь, я устроился за 3 недели до проверки. В итоге я постараюсь осветить основные моменты, на которые стоит обратить внимание.
Эта статья будет интересна как специалистам, имеющим продолжительный опыт в ИБ, так и людям, которые были поставлены перед фактом или взвалили на себя груз ответственности за проведение работ по защите.

Проверка в отдельно взятой организации
Вступление
Исходные данные: Полное отсутствие проведенных работ по защите ПДн, в том числе, с использованием СКЗИ. Небольшая сеть на 40 АРМ. Ничего сверхъестественного в плане ИСПДн и прочего информационного взаимодействия. Все как у всех. Есть бухгалтерия, отдел кадров, администрация и несколько отделов по профилю организации.

Глава первая. Документы по ПДн
Комиссия обращает внимание на описание информационных систем: на основании чего созданы, что обрабатывается (категории ПДн) и с какой целью, структура систем и назначение подсистем.
Все вышеперечисленное у меня было отражено в документах:
Положение о защите ПДн, актах классификаций, перечне информационных ресурсов подлежащих защите (здесь приведен перечень обрабатываемых ПДн, и другой информации ограниченного доступа).
Но главный документ, по которому они очень много работали это Перечень ИС (по ПП211). Мне доводилось видеть этот документ, в котором кроме шапки организации и подписи начальника было всего 2 строчки: ИСПДн «Бухгалтерия», ИСПДн «Отдел кадров». Я проработал этот документ и сделал его более удобным. В нем было подробно расписано для каждой ИС:
Назначение (например – Подсистема, предназначенная для автоматизации налогового и бухгалтерского учета и подготовки обязательной отчетности, а также расчета зарплаты, исчисления налогов, формирования отчетов и справок в государственные органы и социальные фонды);
Реализация (например - Подсистема реализована в виде файлов стандартных офисных приложений MS Office и системы автоматизации документооборота и делопроизводства СЭД «Дело-Web»);
Ввод\вывод (например - Информация поступает в подсистему путем ввода данных операторами а также в виде электронных почтовых сообщений);
Обработка (например - Режим обработки предусматривает следующие действия с данными: сбор, систематизацию, уточнение…);
Хранение (например - Данные хранятся на АРМ оператора);
Взаимодействие (например - Исходящая информация передается в виде отчетов в … с применением электронно-цифровой подписи и программной библиотеки защиты информации «КриптоПро» в электронном виде по каналам в сети Интернет посредством «СБИС».).

Так же указаны основные характеристики ИС (режим обработки ПДн (многопользовательский), разграничение прав доступа (с разграничением), масштаб ИС, класс защищенности…) в общем, как показала проверка, он очень понравился господам из ФСБ, и как результат, оказался самым «замятым».

Так же подробно рассматривались такие документы как Модели угроз\нарушителей, инструкции пользователя\администратора и документы отражающие определение уровня защищенности ПДн (и все вытекающие отсюда объемы ПДн, типы угроз, и категории ПДн-все должно быть отражено в документах).

Глава вторая. Выполнение требований к СКЗИ

Основными документами в этой области являются 152 ФАПСИ и 378 ФСБ. В этом году мы отмечаем круглую дату- 15 лет с момента расформирования ФАПСИ.

Также проверялось наличие журналов. Лично у меня Журнал для учета журналов вызвал улыбку (вершина бюрократии).
В соответствии с п.30 ФАПСИ необходимо вести поэкземплярный учет СКЗИ и ключевых документов.
Основные документы: Акт определения уровня криптографической защиты информации в котором определяется класс используемого СКЗИ. Журнал поэкземплярного учета СКЗИ и технической документации. Журнал учета ключевой документации. 

Что касается хранения ключевых документов и дистрибутивов СКЗИ, то тут все интересно. Электронных подписей у нас в организации много. Организовать каждому пользователю персональный железный ящик реально, но затратно. Да и времени было в обрез. Однако, отсутствие бесконтрольного доступа к СКЗИ все-таки мы обеспечили. На каждого пользователя были закуплены пластиковые тубусы для ключей (50 рублей) и металлические печати (400 рублей). Выдача печатей пользователю отражается в Журнале пломбиров. Каждый пользователь был проинструктирован о том, что в конце рабочего дня, он должен помещать е-токен в тубус, опечатывать его и запирать в своем ящике от стола. Первый экземпляры ключей от столов хранился в конвертах в сейфе у руководителя организации, второй- пользователь забирал с собой. Кроме того, закупились чашки для опечатывания и разработаны Перечни лиц имеющие свободный доступ в помещение с СКЗИ (А перед этим Перечень лиц имеющих право обрабатывать ПДн, Перечень лиц допущенных в помещение где ведется обработка ПДн (п.8а 8б П№378), и Перечень пользователей СКЗИ). В конце рабочего дня, помещение опечатывалось одним из пользователей СКЗИ.
Все автоматизированные рабочие места с установленными СКЗИ и программно-аппаратные СКЗИ оборудованы средствами контроля за их вскрытием во исполнение пункта 31 ФАПСИ. Тут пригодился опыт с прошлого места работы. Системные блоки опечатывать надо. Но чем? Какой печатью? Где ее взять? Как учитывать? Поступили следующим образом: в Word была разработана синяя печать с названием организации, датой и местом под подпись ответственного лица, проводившего установку Крипто-про на АРМ. Куплен лист самоклеящейся бумаги формата А4, и напечатано на цветном струйном принтере (не печатайте на лазерном, это плохая идея). По результатам, системные блоки с установленным Крипто-про были опечатаны в двух местах что бы не было бесконтрольного вскрытия. Пользователь каждый день визуально проверял эти наклейки и это было прописано в Положении об использовании СКЗИ в организации, Инструкции пользователя\администратора СКЗИ.

На все используемые СКЗИ и ключевые носители имеются документы, подтверждающие соблюдение мер, исключающих бесконтрольный доступ к ним во время доставки. Необходимо предоставить акты приема-передачи, сопроводительные письма и доверенности (о них подробно ниже), акты ввода в эксплуатацию.
В нашей организации был разработан Приказ в котором назначался ответственный за СКЗИ, который получал Крипто-про и е-токены, а затем выдавал их пользователям по Журналу поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.

Не знаю как в вашей организации, но в нашей у руководителя около 5 ЭЦП для работы в различных системах. НО! Само он, лично ничего не подписывает. За него это делают в приемной, бухгалтер, отдел кадров…Как же быть?
Оформляется доверенность, в которой работник уполномочивается использовать ЭЦП для работы в таких-то ИС с такими-то целями. Не забудьте определяются сроки доверенности.

Определен порядок действий при компрометации (п5.0 ФАПСИ), и порядок уничтожения СКЗИ (п.4.14 ФАПСИ). Все это было описано в «Положении о порядке использования средств криптографической защиты информации и ключевой информации к ним».
Кроме того, использование СКЗИ осуществляется в соответствии формулярами к ним (заполнились таблица закрепления СКЗИ за пользователем).

Глава третья. Требования к помещениям
Как я уже писал, помещения с СКЗИ у нас опечатываются (п.59 ФАПСИ) в конце рабочего дня. Так же имеют прочные замки и пожарную сигнализацию (п. 6а П№378).

Помимо всех Перечней допущенных в помещения (п.6в П№378) о которых я писал выше, есть еще Регламенте доступа в помещения с компонентами СКЗИ определяющий правила доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях. (п.6а П№378). В соответствии с этим же регламентом организована охрана (для проверки нужно было показать договор с охранной фирмой) (п.54,63 ФАПСИ).

Глава четвертая. Персонал
Комиссии были предоставлены документы, подтверждающие, что ответственные пользователи СКЗИ имеют необходимый уровень квалификации для обеспечения защиты персональных данных с использованием СКЗИ (п.13 ФАПСИ). Администратор ИБ и ответственный за СКЗИ прошли курсы повышения квалификации (предоставили документы для комиссии) (п.17 ФАПСИ). Так же были предоставлены документы, подтверждающих письменное ознакомление ответственных пользователей СКЗИ с Инструкцией пользователя СКЗИ, Регламентом доступа в помещения с СКЗИ, Положением о порядке использования СКЗИ.
Проверялось и наличие утвержденных функциональных обязанностей сотрудников ОКЗИ (п.18 ФАПСИ). Все они были закреплены в приказе об СКЗИ. В нем вводился режим защиты информации с использованием СКЗИ, назначались ответственные лица (инструкция администратора СКЗИ-отдельным документом) и комиссия для определения класса СКЗИ. Кроме того, в должностные инструкции так же были внесены изменения.

Что касается исполнения п.21 ФАПСИ, то возможность допуска сотрудников к самостоятельной работе с СКЗИ отражается в «Акте ввода в эксплуатацию СКЗИ», который создавался в 2х экземплярах, один хранился у пользователя, второй у ответственного за СКЗИ.

Со всеми пользователями был проведен подробный инструктаж, и комиссия провела беседу с каждым. Спрашивали основные моменты знания инструкции пользователя, для чего используют ЭЦП, в каких программах работают, куда передают, как хранят ЭЦП и как опечатывают. А также, кто производил установку крипто-про на АРМ.
У бухгалтера попросили договор с банком и поинтересовались процессом передачи в банк данных о начислении заработной платы. Отдельного внимания заслужила программа СБИС.
По поводу используемых программ. С помощью специального ПО был составлен перечень разрешенного к использыванию ПО на каждый АРМ. Каждый АРМ имел свой инвентарный номер.

Глава пятая. Организационные меры

По большей части в нашей организации электронный документооборот и все файлы гоняются по сети. Но в бухгалтерии есть одна флешка на которую они выгружают отчеты. Поэкземплярный учет машинных носителей персональных данных ведется в «Журнале учета машинных носителей информации». Флешка выдана под роспись для выполнения служебных обязанностей сотруднику. По окончанию рабочего дня он хранит ее вместе с е-токеном. В инструкции пользователя /администратора прописаны соответствующие пункты по учету, хранению, передаче и уничтожению этой флешки.
Кроме того, были учтены все жесткие диски в соответствующем журнале. Как это сделано? Нет-нет, я не стал разбирать каждый АРМ и клеить на него номер, или смотреть номер на нем самом. Той же АИДОЙ 64 можно посмотреть уникальный номер диска.

Глава шестая. Методические рекомендации
Среди прочих замечаний это стояло особняком. Дело касалось Методических рекомендации от 1 марта 2015 года №149/7/2/6-432. Обратите на этот документ внимание, он есть в открытом доступе на сайте ФСБ. В соответствии с ним нужно разработать документ, в котором будут определены обобщенные возможности источников атак и как следствие Перечень организационно-технических мер, реализация которых позволяет нейтрализовать угрозы безопасности ПДн.
Послесловие
Это был мой первый опыт прохождения подобной проверки. Было интересно и волнительно. Удачи вам в прохождении вашей проверки. Предлагаю делиться интересными наблюдениями в комментариях.
Винсент Ван Гог. Цветущие ветки миндаля
Большое спасибо автору за предоставленный материал!
Про проверки Роскомнадзора можете почитать мой материал здесь.
Присоединяйтесь к группе ВК для обсуждения: https://vk.com/kshudrova

Комментариев нет:

Отправить комментарий