НАЗАД

Методические рекомендации по обеспечению с помощью криптографических средств безопасности ПД при их обработке в информационных системах ПД с использованием средств автоматизации. Утверждены руководством 8 центра ФСБ России 21.02.2008 года №149/54-144.

Защита персональных данных с помощью криптографических средств при их обработке в ИСПД с использованием средств автоматизации определены в документе – «методические рекомендации по обеспечению с помощью криптографических средств безопасности ПД при их обработке в информационных системах ПД с использованием средств автоматизации.» Утверждены руководством 8 центра ФСБ России 21.02.2008 года №149/54-144.
В данном документе определены уровни криптографической защиты ПД: КС1, КС2, КС3, КВ1, КВ2, КА1. Настоящий документ определяет классы криптографических средств (КС1, КС2, КС3, КВ1, КВ2,КА2), уровни (КС, КВ, КА) защиты от утечек по каналам побочных излучений и наводок при защите ПД с использованием криптографических средств. В случае, если отсутствуют готовые сертифицированные криптографических средства, функционально пригодные для обеспечения безопасности ПД при их обработке в конкретной ИС, разработка нового типа криптографических средств осуществляется в соответствии с Положением ПКЗ-2005.
Методика определения применения класса криптографических средств для систем ИСПД:

  1. Формирование модели угроз. Модель угроз формируется и утверждается оператором в соответствии с методическими документами, разработанными в соответствии с пунктом 2 постановления Правительства РФ от 17 ноября 2007 г. №781 «Об утверждении Положения по обеспечению ПД при их обработке в информационных ИСПД»:
    • «Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144 (раздел 3);
    • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622 (http://www.fsb.ru/fsb/science/single.htm!id%3D10434826@fsbResearchart.html) На данном этапе формируют модель угроз верхнего уровня и детализированную модель угроз:
    • модель угроз верхнего уровня формируется на основании методологии описанной в разделе 3.2 документа «Методические ….» Утверждены руководством 8 центра ФСБ России 21.02.2008 года №149/54-144;
    • детализированная модель угроз формируется на основании методологии описанной в разделе 3.3. документа «Методические ….» Утверждены руководством 8 центра ФСБ России 21.02.2008 года №149/54-144.
    В случае, если безопасность ИСПД обеспечивается без применения криптографических средств, то при формирования модели угроз используются методические рекомендации ФСТЭК России (Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах ПД. ФСТЭК России, 2008).
  2. Формирование модели нарушителя в разделе 3.3. документа «Методические ….» Утверждены руководством 8 центра ФСБ России 21.02.2008 года №149/54-144. На данном этапе формируется модель нарушителя, имеющая следующую структуру:
    • описание нарушителей (субъектов атак), различают шесть основных типов нарушителей: Н1, Н2, … , Н6.
    • предположения об имеющейся у нарушителя информации об объектах атак;
    • предположение об имеющихся у нарушителя средствах атак;
    • описание каналов атак (определение каналов утечки информации).
    Рекомендуется при отнесении оператором нарушителя к типу Н6 согласовывать модель нарушителя с ФСБ России.
  3. Определение уровня криптографической защиты ПД, не содержащих гос.тайну. Раздел 4 документа «Методические ….» Утверждены руководством 8 центра ФСБ России 21.02.2008 года №149/54-144. Уровень криптографической защиты персональных данных, обеспечиваемой криптографических средством, определяется оператором путем отнесения нарушителя, действиям которого должно противостоять криптографических средство, к конкретному типу:
    • нарушитель типа Н1 – уровень защищенности КС1;
    • нарушитель типа Н2 – уровень защищенности КС2;
    • нарушитель типа Н3 – уровень защищенности КС3;
    • нарушитель типа Н4 – уровень защищенности КВ1;
    • нарушитель типа Н5 – уровень защищенности КВ2;
    • нарушитель типа Н6 – уровень защищенности КА1;
    При отнесении нарушителя к типу Н1-Н3 должна быть обеспечена специальная защита по уровню КС, к типу Н4-Н5 – по уровню КВ, к типу Н6 – по уровню КА. В соответствии с разделом 4.3 документа «Методические ….» Утверждены руководством 8 центра ФСБ России 21.02.2008 года №149/54-144, оператор может принять решение о защите персональных данных в ИС от НСД в соответствии с нормативными документами ФСБ России (РД СВТ защита от НСД к информации ПЗ от НСД к информации. Утверждено решением председателя ГТК при Президенте РФ от 30 марта 1992). Соответствие типа нарушителя к применяемым средствам защиты от НСД:
    • нарушитель типа Н1 – защита о т НСД АК1;
    • нарушитель типа Н2 – защита о т НСД АК2;
    • нарушитель типа Н3 – защита о т НСД АК3;
    • нарушитель типа Н4 – защита о т НСД АК4;
    • нарушитель типа Н5 – защита о т НСД АК5;
    • нарушитель типа Н6 – защита о т НСД АК6;
Требования к контролю встраивания криптографических средства определены в разделе 5 документа «Методические ….» Утверждены руководством 8 центра ФСБ России 21.02.2008 года №149/54-144. Встраивание криптографических средств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если контроль не предусмотрен ТЗ). Встраивание криптографических средств остальных классов (КС3, КВ1, КВ2, КА1) осуществляется только под контролем со стороны ФСБ России.
ВАЖНО: Методика и программа контроля встраивания криптографических средства разрабатываются и (или) обосновываются специализированной организацией, проводящей тематические исследования криптографических средства, и согласовываются с ФСБ России.