По итогам вебинара «Как организовать идеальный процесс защиты информации и научиться работать со СКЗИ» мы решили собрать наиболее интересные вопросы, которые нам задавали участники онлайн-мероприятия, и подготовили на них ответы. Если у вас есть дополнительные вопросы по теме, вы можете их присылать нам на solar@rt-solar.ru.

Лицензирование

  1. Вопрос: С точки зрения ПП-313 в п. 12 (монтаж, установка) нет исключения об использовании для собственных нужд, как в п. 22 (техобслуживание). Требуется ли лицензия для самостоятельного монтажа, установки СКЗИ для собственных нужд?

    Ответ: Как показала практика – не требуется.

  2. Вопрос: Как найти грань между техническим обслуживанием и, например, выработкой ключевой информации?

    Ответ: Все, что описано в эксплуатационной документации, в том числе выработка ключевой информации, является техническим обслуживанием.

  3. Вопрос: Можно ли работы по СКЗИ в организации отдать на аутсорсинг?

    Ответ: Да, при наличии у аутсорсинговой компании соответствующих пунктов лицензии, например:

    Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

Журнал учета

  1. Вопрос: Журнал учета СКЗИ/КД может быть в электронном виде?

    Ответ: Да, есть такие примеры в некоторых организациях. При этом не стоит забывать про правила электронного документооборота, например, про использование электронной подписи.

  2. Вопрос: Как организовать учет большого количества СКЗИ?

    Ответ: Почитайте лайфхаки тут. Основная рекомендация – каждое действие сопровождать актом и в журнале указывать реквизиты акта, а не стараться обеспечить всех участников доступом к журналу. Особенно это важно для территориально распределенной компании.

  3. Вопрос: Как предполагается вести поэкземплярный учет СКЗИ в мобильных и веб-приложениях?

    Ответ: Большинство обязанностей ложится на того, кто распространяет СКЗИ.

    Например, для скачивания CSP на сайте вендора нужно заполнить форму с ФИО и контактной информацией. Далее вы получаете ссылку на дистрибутив и серийник, после регистрации – регистрационный номер СКЗИ. Все эти данные фиксируются у вендора, который распространяет СКЗИ, у пользователя остается формуляр с серийным и регистрационным номерами. Подробнее – тут.

    Аналогичная схема потребуется для корпоративного приложения или портала.

  4. Вопрос: Могут ли всевозможные акты подписываться одним лицом – исполнителем, или обязательно комиссией, которая должна быть утверждена приказом руководителя?

    Ответ: Однозначного ответа по количеству лиц, подписывающих акт, текущая нормативно-правовая база не определяет. Однако, с целью исключения потенциальных претензий со стороны ФСБ России при проверках мы исходим из того, что одним лицом акт подписан быть не может. Информация, указанная на одном из ресурсов: «Акты составляются коллегиально (должно быть не менее двух составителей). Нередко акты составляются специально создаваемыми комиссиями, состав которых утверждается распорядительным документом руководителя данной организации, вышестоящей организации или органа управления, осуществляющего контрольные, надзорные или иные функции. Акты могут составляться и постоянно действующими комиссиями на регулярной основе».

    Если подходить более формально, то в ГОСТ Р 7.0.97-2016 есть пример:

ОКЗ

  1. Вопрос: В соответствии с п. 6 Инструкции № 152 ФАПСИ получается, что ОКЗИ создает «лицензиат ФАПСИ». Значит ли это, что ОКЗИ может быть создано только у лицензиата ФСБ (ФСБ – правопреемник ФАПСИ), а у всех остальных назначается ответственное лицо?

    Ответ: Совершенно верно – ОКЗИ имеет право создавать исключительно лицензиат ФСБ России, т.к. при его создании и эксплуатации появляются лицензируемые виды деятельности. Одновременно с этим не стоит забывать, что отсутствие ОКЗИ не освобождает от необходимости учёта СКЗИ и прочих журналов, предусмотренных приказом ФАПСИ и эксплуатационной документацией на СКЗИ.

  2. Вопрос: Можно ли самостоятельно обучить пользователей СКЗИ и как это оформить?

    Ответ: Формально обучающие материалы должен разработать лицензиат ФСБ России, а вот впоследствии на основании данных материалов можно проводить внутреннее обучение сотрудников работе с СКЗИ силами самой организации.

  3. Вопрос: Есть ли какие-либо требования к сотрудникам, которые в ОКЗИ назначаются?

    Ответ: Да, например, ознакомить их с инструкцией пользователя СКЗИ под подпись. Еще один вариант – внутреннее обучение с тестированием. При этом несколько сотрудников ОКЗИ должны пройти обучение в лицензированном учебном центре:

    Обучение и повышение квалификации сотрудников органов криптографической защиты осуществляют организации, имеющие лицензию на ведение образовательной деятельности по соответствующим программам.

  4. Вопрос: Ответственный за защиту информации = ответственный за СКЗИ?

    Ответ: Не обязательно, и даже более того – желательно эти роли выполнять разными лицами. Например, за администрирование СЗИ (антивирус, межсетевой экран…) отвечает администратор ИБ, а за администрирование и учет СКЗИ – ответственный за СКЗИ. Как показывает практика согласования моделей нарушителей с ФСБ России, регулятор просит данные роли не совмещать, хотя и формальный запрет отсутствует (гипотетически может встречаться в правилах эксплуатации на отдельные СКЗИ).

Другое

  1. Вопрос: Является ли помещение спецпомещением, если на устройстве (компьютере) в этом помещении установлено СКЗИ? И как быть с сотрудниками, работающими удаленно с использованием СКЗИ (VPN)? Как опечатать это помещение?

    Ответ: Строго говоря, в соответствии с инструкцией № 152 ФАПСИ, да. К помещению должны применяться меры, описанные в правилах пользования на конкретное СКЗИ. Выполнение этих требований необходимо как на территории организации, так и в отношении сотрудников, работающих удаленно.

  2. Вопрос: По новому приказу ФСТЭК № 77 каждые 2 года надо будет проводить контроль защиты. Его может проводить сам оператор?

    Ответ: Формально периодический контроль уровня защиты информации на аттестованном объекте информатизации представляет собой те же самые аттестационные испытания, что является лицензируемым видом работ/услуг. За исключением случаев, когда аттестация допускается силами самих ФОИВ. Возможен «экзотический» вариант, когда заказчику передаются разработанные лицензиатом ФСТЭК России ПМИ периодического контроля и подробные инструкции по проведению всех видов методик. В таком случае заказчик будет легально действовать по инструкции лицензиата и исключительно для своих нужд.

  3. Вопрос: В какой степени сейчас реализованы в СКЗИ квантовые технологии? Насколько они актуальны?

    Ответ: У многих производителей уже есть решения ГОСТ VPN с использованием квантового распределения ключей. Сертификаты соответствия ФСБ России на данные изделия пока не получены, так как не утверждены требования.

  4. Вопрос: Нужен ли единый протокол и алгоритм шифрования?

    Ответ: Алгоритмы шифрования зафиксированы в государственных стандартах (ГОСТ) и одинаковы у всех производителей (кроме незначительных деталей).

    Несовместимость сетевых протоколов различных производителей –действительно серьезная проблема. Но определенные позитивные шаги в направлении стандартизации уже сделаны:

    ·         «С-Терра СиЭсПи», «Крипто Про», «Элвис-Плюс» используются IPsec в соответствии с RFC.

    ·         «Код Безопасности» планирует переход с проприетарного алгоритма на IPsec в своих следующих версиях.

    ·         «ИнфоТеКС» сделал описание собственного проприетарного протокола публичным в виде рекомендаций по стандартизации.

    Для ГОСТ TLS и ЭП совместимость доступна уже сейчас.

    Работы, направленные на совместимость реализации различных производителей, активно ведутся техническим комитетом по стандартизации «Криптографическая защита информации» (ТК 26).

  5. Вопрос: Спецсвязь является службой фельдъегерской связи?

    Ответ: В соответствии с приказом ФАПСИ № 152:

    32. СКЗИ и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников органа криптографической защиты или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки.

    Существует две ключевых организации, осуществляющих доставку СКЗИ:

    ·         Государственная фельдъегерская служба (ГФС) https://gfs.gov.ru/

    ·         Главный центр специальной связи (ФГУП «Главный центр специальной связи», сокращенно ФГУП ГЦСС) https://www.cccb.ru/

    ФГУП ГЦСС – это ведомственная связь Минсвязи, которая в соответствии с Постановлением Правительства Российской Федерации от 15 декабря 1994 года N 1379-68 осуществляет задачи по приему и доставке корреспонденции и грузов, содержащих сведения и материалы, относящиеся к государственной, служебной и иной охраняемой законом тайне, иных особых грузов органов государственной власти, судов, прокуратуры, учреждений, организаций, предприятий, воинских частей и других юридических лиц, доставка драгоценных металлов и камней от мест их добычи к местам переработки и до потребителей, доставка изделий из драгоценных металлов и камней, ценных бумаг и банкнот по территории России.

    Таким образом, ФГУП ГЦСС относится к ведомственной связи и уполномочено осуществлять перевозку СКЗИ, в т.ч. для юридических лиц.