Согласитесь, в теме криптографической защиты информации больше вопросов, чем ответов. Как учитывать СКЗИ, как их хранить и перевозить? А если защиту надо установить на мобильное приложение, а сколько человек должны подписывать акт, надо ли создавать у себя в компании ОКЗИ, а всегда ли можно это сделать? И главное, все ли множество лицензий вы получили или про что-то забыли.
В этом посте собраны самые больные частые вопросы, которыми задаемся мы в «Ростелеком-Солар» и которые задают наши коллеги по цеху. Мы постарались найти на них ответы. Надеемся, будет интересно и полезно.
Внимание, материал не является истиной в последней инстанции. Ответить точно на конкретный запрос может только регулятор.
Вопросы про лицензирование
Как найти грань между техническим обслуживанием СКЗИ и, например, выработкой ключевой информации?
- Все, что описано в эксплуатационной документации, в том числе и выработка ключевой информации, является техническим обслуживанием.
Можно ли отдать на аутсорсинг работы по обслуживанию СКЗИ в организации?
- Можно. Но у аутсорсинговой компании должны быть соответствующие пункты лицензии на «работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)». Этого требует постановление правительства N 313 от 16.04.2012.
Вопросы про журнал учета
Можно ли вести журнал учета СКЗИ/КД в электронном виде?
- Да. Некоторые организации уже так делают. При этом не стоит забывать про правила электронного документооборота, например, про использование квалифицированной электронной подписи.
Как организовать учет большого количества СКЗИ?
- Основной совет: каждое действие надо сопровождать актом и в журнале указывать его реквизиты. Не надо пытаться обеспечить всех участников доступом к журналу – территориально распределенные компании могут выдохнуть. Много и подробно о ведении учета журнала СКЗИ можете прочитать в этом посте.
Как вести поэкземплярный учет СКЗИ в мобильных и веб-приложениях?
- При скачивании учет СКЗИ обеспечивается тем, кто его распространяет, то есть разработчиком или вендором. Чтобы загрузить CSP, на сайте вендора нужно заполнить форму с ФИО и контактной информацией. Далее вы получаете ссылку на дистрибутив и серийник, а после регистрации – регистрационный номер СКЗИ. Все эти данные фиксируются у вендора, который распространяет СКЗИ, а у пользователя остается формуляр с серийным и регистрационным номерами. Подробнее этот процесс описан тут. Аналогичная схема действует и для корпоративного приложения или портала.
Могут ли всевозможные акты подписываться одним лицом – исполнителем, или обязательно комиссией, утвержденной приказом руководителя?
- Четкого количества лиц, подписывающих акт, текущая нормативно-правовая база не определяет. Но, чтобы исключить возможные претензии со стороны ФСБ, лучше подписывать акты коллегиально. Вот, что пишут на одном из профильных ресурсов: «Акты составляются коллегиально (должно быть не менее двух составителей). Нередко акты составляются специально создаваемыми комиссиями, состав которых утверждается распорядительным документом руководителя данной организации, вышестоящей организации или органа управления, осуществляющего контрольные, надзорные или иные функции. Акты могут составляться и постоянно действующими комиссиями на регулярной основе».
Если подходить более формально, то в ГОСТ Р 7.0.97-2016 есть пример:
Вопросы про ОКЗИ
В соответствии с п. 6 Инструкции № 152 ФАПСИ получается, что орган криптографической защиты информации (ОКЗИ) может быть создан только лицензиатом ФАПСИ. Значит ли это, что ОКЗИ может быть создан только у лицензиата ФСБ (как правопреемника ФАПСИ), а у всех остальных вместо этого назначается ответственное лицо?
- При создании и эксплуатации ОКЗИ появляются лицензируемые виды деятельности, поэтому право на его создание есть исключительно у лицензиата ФСБ. Правда, отсутствие ОКЗИ не освобождает от учета СКЗИ и ведения множества журналов, предусмотренных приказом ФАПСИ и эксплуатационной документацией к криптографическому оборудованию.
Можно ли самостоятельно обучить пользователей СКЗИ и как это оформить?
- Формально обучающие материалы должен разработать лицензиат ФСБ. Но самостоятельно проводить внутреннее обучение своих сотрудников на основе данных материалов может любая организация.
Есть ли какие-либо требования к сотрудникам, которые входят в ОКЗИ?
- Есть. Они должны пройти внутреннее обучение с тестированием. Сделать это можно в лицензированном учебном центре. Также им нужно ознакомиться с инструкцией пользователя СКЗИ под подпись.
Ответственный за защиту информации и ответственный за СКЗИ – это одно и то же?
- Не обязательно. Даже лучше, если эти роли выполняются разными лицами. Например, за администрирование средств защиты (антивирус, межсетевой экран и т.п.) отвечает администратор ИБ. А за администрирование и учет средств криптографической защиты – ответственный за СКЗИ. Как показывает практика согласования моделей нарушителей с ФСБ, регулятор просит данные роли не совмещать, хотя формального запрета на это нет. Но, гипотетически, такой запрет может встречаться в правилах эксплуатации на отдельные СКЗИ.
Другие вопросы
Если на компьютере установлено СКЗИ, является ли место, где он расположен спецпомещением? Как быть с сотрудниками, работающими удаленно с использованием СКЗИ (VPN)? Как опечатать помещение, где они работают?
- Строго говоря, по инструкции № 152 ФАПСИ, это спецпомещение. А, значит, к нему должны применяться меры, описанные в правилах пользования на конкретное СКЗИ. Причем требования должны выполняться как на территории организации, так и в отношении сотрудников, работающих удаленно.
В какой степени сейчас реализованы в СКЗИ квантовые технологии? Насколько они актуальны?
- У многих производителей уже есть решения ГОСТ VPN с использованием квантового распределения ключей. Но сертификаты соответствия ФСБ на данные изделия пока не получены, так как требования еще не утверждены.
Может ли Спецсвязь перевозить СКЗИ?
- Приказ ФАПСИ № 152 гласит, что СКЗИ и ключевые документы могут доставляться «фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников органа криптографической защиты или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки».
Существует две ключевых организации, осуществляющие доставку СКЗИ:
Государственная фельдъегерская служба (ГФС)
Главный центр специальной связи (ФГУП ГЦСС)
ФГУП ГЦСС (Спецсвязь) – это организация подведомственная Минкомсвязи. Согласно постановлению правительства от 15 декабря 1994 года N 1379-68, ФГУП ГЦСС, в частности, осуществляет прием и доставку корреспонденции и грузов, содержащих сведения и материалы, относящиеся к государственной, служебной и иной охраняемой законом тайне. ФГУП ГЦСС уполномочено осуществлять перевозку СКЗИ, в том числе для юридических лиц. Подробнее о доставке СКЗИ рассуждаем вот здесь.
И напоследок – крик души. Нужен ли единый протокол и алгоритм шифрования?
- Алгоритмы шифрования зафиксированы в государственных стандартах (ГОСТ) и одинаковы у всех производителей (за исключением незначительных деталей).
А вот несовместимость сетевых протоколов различных производителей – это действительно боль. Но определенные шаги в сторону стандартизации уже сделаны. Например:
«С-Терра СиЭсПи», «Крипто Про», «Элвис-Плюс» используются IPsec в соответствии с RFC.
«Код Безопасности» планирует переход с проприетарного алгоритма на IPsec в своих следующих версиях.
«ИнфоТеКС» сделал описание собственного проприетарного протокола публичным в виде рекомендаций по стандартизации.
Для ГОСТ TLS и ЭП совместимость доступна уже сейчас. А работы по совместимости реализации различных производителей сейчас активно ведет технический комитет по стандартизации «Криптографическая защита информации» (ТК 26).