Новое в нормативной базе по использованию СКЗИ в организации
Государственным регулятором в сфере криптографической защиты информации в нашей стране является ФСБ России. Поэтому все вопросы использования средств криптографической защиты информации (СКЗИ) регламентируются нормативными документами данного ведомства.
При использовании СКЗИ в организации администратору СКЗИ или специалисту по защите информации, отвечающему за эксплуатацию СКЗИ, очень важно знать: в каких случаях необходимо использовать сертифицированные СКЗИ. Также при необходимости использования сертифицированных СКЗИ специалист должен уметь выбирать класс защищённости сертифицированного СКЗИ, которое он предполагает использовать для надёжной защиты информации.
Нормативных документов регулятора, которые регламентируют использование СКЗИ и их классификацию, не так уж и много:
- Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утв. приказом ФСБ России от 09.02.2005 № 66 (далее Положение ПКЗ-2005),
- Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утв. приказом ФАПСИ от 13.06.2001 № 152,
- Требования к форме квалифицированного сертификата ключа проверки электронной подписи, утв. Приказом ФСБ России от 27.12.2011 № 795,
- Требования к средствам электронной подписи и требований к средствам удостоверяющего центра, утв. Приказом ФСБ России от 27.12.2011 № 796,
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности, утв. Приказом ФСБ России от 10.07.2014 № 378.
Причём о сертифицированных СКЗИ в этих документах, как правило, речь не идёт, а применяются фразы типа «применение СКЗИ, оценка соответствия которых проведена в соответствии с Федеральным законодательством о техническом регулировании». Например, в Положении ПКЗ-2005 сказано: «СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом Федеральным законом от 27.12.2002 № 184-ФЗ «О техническом регулировании…» (далее – Федеральный закон № 184-ФЗ).
В Федеральном законе № 184-ФЗ определено несколько форм оценки соответствия, среди них: испытания, регистрации, подтверждение соответствия, и в иной форме.
Также, определены формы подтверждения соответствия: добровольное подтверждение соответствия, осуществляемое в форме добровольной сертификации, обязательное подтверждение соответствия, которое может проводиться в виде принятия декларации о соответствии или обязательной сертификации.
Несмотря на то, что обязательная сертификация согласно Федеральному закону № 184-ФЗ – всего лишь одна из нескольких форм оценки соответствия, для большинства организаций, которые используют СКЗИ, приобретение и использование сертифицированных СКЗИ – наиболее доступный и зачастую единственный способ выполнения требований нормативных документов.
При использовании СКЗИ в государственных информационных системах (ГИС) от подобных рассуждений избавляет новый нормативный документ, принятый ФСБ России, - приказ от 24.10.2022 № 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств». Этот документ вступит в силу с 25 октября 2023 года.
В отличии от предшественников в данном документе чётко прописано: «Для обеспечения защиты информации, содержащейся в ГИС, должны использоваться только СКЗИ, сертифицированные ФСБ России». Такая конкретика позволяет специалистам по защите информации более эффективно сосредоточиться на правильном применении СКЗИ в организации.
Эти и другие вопросы использования СКЗИ подробно изучаются в программе профессиональной переподготовки «Информационная безопасность. Обеспечение защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, некриптографическими и криптографическими методами», реализуемой в Приволжском институте повышения квалификации ФНС России. Приглашаем всех желающих для обучения в нашем Институте!
Н.Г. Лабутин,
заведующий кафедрой
информационной безопасности,
канд. тех. наук, доцент