17 сентября в Российской газете был опубликован новый приказ ФСБ России по защите персональных данных с помощью средств криптографической защиты информации (СКЗИ). Приказ № 378 вступает в силу с 28 сентября 2014 г. Как и ожидалось, документ является достаточно сложным, как с точки зрения изложения, так и с точки зрения практической реализации. Какие новые требования несет Приказ? Какие СКЗИ нужно использовать? Как можно с минимальными усилиями выполнить требования приказа? Ответы на некоторые из этих вопросов приведены ниже.
На кого распространяется Приказ ФСБ № 378?
Приказ распространяется на всех Операторов ПДн (государственных и частных), использующих СКЗИ для обеспечения безопасности ПДн при их обработке в информационных системах. Следует отметить, что почти все организации используют СКЗИ как минимум для отправки электронной отчетности в ПФР и в ФНС, то есть, подпадают под действие Приказа.
Можно ли использовать несертифицированные криптосредства для защиты ПДн?
Нет, нельзя. Применяемые СКЗИ должны иметь действующие сертификаты ФСБ России.
Можно ли при выборе средств защиты ограничиться сертифицированными СКЗИ класса КС1?
Можно, но только при определенных характеристиках ИСПДн и ее системы защиты. Согласно Приказу, СКЗИ класса КС1 могут применяться в случае наличия у потенциального нарушителя ограничений, которые должны быть корректно оценены и описаны. Можно ли использовать такие ограничения, зависит от конкретных информационных систем, от применяемых в них технологий, от состава используемых средств защиты информации и от реализуемых организационных мероприятий по защите.
В общем случае требования к классам СКЗИ выглядят следующим образом:
Уровень защищенности ПДн 4 УЗ 3 УЗ 2 УЗ 1 УЗ
Тип актуальных угроз 3 2 3 1 2 3 1 2
Минимальный класс СКЗИ КС1 КВ КС1 КА КВ КС1 КА КВ
Какие дополнительные требования определяет новый приказ ФСБ?
Одним из требований ко всем Операторам, использующим СКЗИ для защиты ПДн, начиная с самого низкого 4-го уровня защищенности, является необходимость опечатывания, либо оборудования иными приспособлениями, сигнализирующими об их несанкционированном вскрытии мест хранения носителей ПДн и дверей Помещений, в которых расположены СКЗИ.
К дополнительным требованиям также относится утверждение Правил доступа в Помещения и перечня лиц, которым такой доступ предоставляется, ведение журнала поэкземплярного учета носителей ПДн, формирование и утверждение совокупности предположений о возможностях, которые могут использоваться для проведения атак, и т.д. В целом эти требования повторяют требования предыдущих редакций документов ФСБ по защите ПДн, и они всегда учитывались ЗАО «ДиалогНаука» при реализации проектов по защите персональных данных.
ИНФОРМАЦИЯ О КОМПАНИИ «ДИАЛОГНАУКА»
С момента образования в 1992 г. «ДиалогНаука» является одной из ведущих российских компаний, специализирующихся в области информационной безопасности. Первыми и самыми известными отечественными продуктами, поставляемыми компанией, были антивирусы Aidstest, Doctor Web и ревизор ADinf.
«ДиалогНаука» оказывает услуги в области системной интеграции, консалтинга и внедрения комплексных решений по защите информации. Компания занимает лидирующие позиции в сфере дистрибьюции программных продуктов для защиты от вирусов, спама, сетевых атак, утечек конфиденциальной информации и других угроз информационной безопасности.
«ДиалогНаука» является поставщиком программных решений от ряда ведущих российских и зарубежных компаний рынка информационной безопасности – «Аладдин Р.Д.», «Доктор Веб», «Информзащита», «Инфотекс», «КриптоПро», «Лаборатория Касперского», НПП «Информационные технологии в бизнесе», «С-Терра СиЭсПи», Acronis, Agnitum, Avanpost, BalaBit IT Security, Cisco Systems, CyberArk, Delphix, IBM, iT-CUBE SYSTEMS, FireEye, Guidance Software, Hewlett-Packard (HP ArcSight, HP Fortify, HP TippingPoint), Microsoft, Oracle, Portwise, Positive Technologies, RedSeal Networks, SmartLine, Sophos, Stonesoft, Symantec, Trend Micro, Websense и других.
«ДиалогНаука» является членом Ассоциации защиты информации (АЗИ), Ассоциации документальной электросвязи (АДЭ), НП «АБИСС» и Ассоциации предприятий компьютерных и информационных технологий (АП КИТ).
Компания является сертифицированным партнёром BSI Management Systems CIS, имеет сертификат соответствия ГАЗПРОМСЕРТ и свидетельство об аккредитации в области персональных данных от Роскомнадзора.
Система менеджмента качества компании «ДиалогНаука» сертифицирована на соответствие требованиям стандарта ISO 9001:2008. Система менеджмента информационной безопасности компании сертифицирована в соответствии со стандартом ГОСТ ИСО 27001.
Свою деятельность компания «ДиалогНаука» осуществляет на основании лицензий Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства обороны РФ.
Компания имеет статус Qualified Security Assessor (QSA), который позволяет проводить сертифицированный аудит на соответствие стандарту Payment Card Industry Data Security Standard (PCI DSS).
Программами и услугами от «ДиалогНауки» пользуются тысячи корпоративных пользователей в России и других странах. В их числе крупные коммерческие компании и государственные структуры.
Миссия «ДиалогНауки» заключается в создании решений, оказании услуг и поставке продуктов, обеспечивающих защиту информации и безопасную работу с компьютерами и сетями.
Дополнительную информацию о компании можно найти на сайте www.DialogNauka.ru
За дополнительной информацией обращайтесь:
Отдел маркетинга ЗАО «ДиалогНаука»
Тел.: +7(495) 980-67-76, Факс: +7(495) 980-67-75
URL: http://www.DialogNauka.ru, E-mail: [email protected]