пятница, 12 августа 2016 г.

ПДн и криптография

Добрый день, дорогие читатели! По результатам голосвания в моей группе ВК большинством голосов была выбрана тема ПДн и криптография. О ней я уже писала в своей книге, но за год произошли изменения.

Чем руководствоваться при защите ПДн?
Как Вы помните, в конце июня были отменены два документа ссылка. Действующих документов осталось 4:
1. Приказ ФСБ от 10 июля 2014 года № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
2. Приказ ФСБ РФ от 09.02.2005 N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)".
3. Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".
4. "Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности" (утв. ФСБ России 31.03.2015 N 149/7/2/6-432).

Должны ли СКЗИ быть сертифицированы?
Судя по тому, что 378 приказ распространяется на все ИСПДн, в которых используются СКЗИ можно предположить, что должны. Однако ситуация стала более запутанной, когда 18 июля вышло новое сообщение по вопросу использования несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети "Интернет". Согласно извещению:
1. Обязательной сертификации средств шифрования при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну на соответствие требованиям по безопасности информации не требуется.
2. Законом Российской Федерации «О государственной тайне» обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (ст. 28).
Стоит отметить, что формулировки достаточно размыты и однозначные выводы по ним сделать достаточно трудно. Подробный разбор можно почитать у Алексея Лукацкого вот здесь.

Как определить класс СКЗИ?
4 уровень защищенности ПДн
3 уровень защищенности ПДн
2 уровень защищенности ПДн
1 уровень уровень защищенности ПДн
угрозы 2 типа
угрозы 3 типа
угрозы 1 типа
угрозы 2 типа
угрозы 3 типа
угрозы 1 типа
угрозы 2 типа
КС1
КС2
КС3
КВ1
КВ2
КА1
КВ1
КВ2
КА1
КС1
КС2
КС3
КВ1
КВ2
КА1
КА1
КВ1
КВ2
КА1
КС1
КС2
КС3
КВ1
КВ2
КА1
КА1
КВ1
КВ2
КА1

Соответственно для того, чтобы получить более низкий класс СКЗИ, нужно, чтобы для ИСПДн уровень защищенности и тип актуальных угроз был низким.

А как будут проверять?
План проверок на 2016 год можно найти на сайте ФСБ здесь. О том как проходить такие проверки можно прочитать здесь и у Артема Агеева. Информация актуальна. 

Елена Бархаткова. Источник
https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

Комментариев нет:

Отправка комментария