Наша работа - Ваша уверенность
Криптографическая защита на объектах КИИ

Средства криптографической защиты являются важной составляющей при защите большого числа объектов критической информационной инфраструктуры.

Рассмотрим как устроена работа с криптографией на объектах КИИ и какие «подводные камни» есть в этом вопросе.

Немного вводных данных

Защита значимых объектов критической информационной инфраструктуры регламентируются Федеральным законом № 187 «О безопасности критической информационной инфраструктуры Российской Федерации». В одной из статей мы разбирали основные аспекты закона.

В 2022 году в свете произошедших событий, значительно возросло число атак на объекты КИИ, и выполнению требований 187-ФЗ организации стали уделять большее внимание. Начались проверки регуляторов объектов КИИ, компании стали понимать, что согласно административному кодексу им грозят штрафы от 10 000 рублей (на должностное лицо). В некоторых случаях ответственность уголовная.

Компании всех уровней начали активно изучать эту тему. Первый и, пожалуй, самый важный вопрос – как защищать объекты критической информационной инфраструктуры.

Первое, что необходимо сделать – определить категорию значимости объекта КИИ. По общему порядку средства защиты подбираются на основании присвоенной категории значимости объекта КИИ (239 приказ ФСТЭК России).

Что по криптографии

На самом деле нормативно-правовых актов, регламентирующих применение средств криптографической защиты информации (СКЗИ) на объектах КИИ ещё не издано.

При работе с криптографией на ОКИИ опираются на:

приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности»;

утвержденные приказом ФСБ России от 31 марта 2015 года N 149/7/2/6-432 «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности».

В прошлом году вышел приказ ФСБ России от 24 октября 2022 г. № 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств». Вступает в силу лишь в октябре 2023 года, но регуляторы уже рекомендуют опираться и на него.

Но ведь тут нигде нет прямого указания на ОКИИ

Все приведенные документы регламентируют работу в государственных информационных системах и работу с персональными данными.

При этом, при отправке данных за пределы защищенной сети (контролируемой зоны) необходимо применять шифровальные средства.

Согласно нормам 149-ФЗ оператор информационной системы вправе принимать решение по защите информации, если иное не установлено законодательством. Поэтому опускается понятие «персональные данные» и применяются меры указанных нормативных и методических документов ФСБ России.

Меры, применяемые при организации криптографической защиты на ОКИИ

Если на объекте КИИ встал вопрос о применении СКЗИ, то рекомендуем провести следующие мероприятия:

  1. Назначить ответственное должностное лицо, ответственное за СКЗИ.
  2. Утвердить инструкцию для ответственного.
  3. Утвердить перечень сотрудников, допущенных к работе с СКЗИ.
  4. Утвердить инструкцию для пользователей.
  5. Обозначить перечень помещений, в которых размещены криптосредства.
  6. Утвердить допущенных к помещениям должностных лиц.
  7. Определить порядок доступа в помещения, где расположены криптосредства.
  8. Утвердить формы журналов поэкземплярного учета СКЗИ и документации к ним, учета выдачи носителей с ключом, обучения пользователей правилам работы с криптосредствами.
  9. Утвердить форму лицевого счета пользователя СКЗИ.

Эти мероприятия закрепляются внутренними приказами. Как правило, контроль исполнения остается за руководителем организации.

В заключение

Вызывает ли сложности отсутствие регламента для криптографической защиты в сфере КИИ? Да. Намного быстрее идет работа с конкретным документом под рукой. Но это не мешает применить уже наработанную практику по работе с СКЗИ. Если вам необходима помощь в разработке организационных документов для ОКИИ, поможем. У компании «Рубикон» есть такой опыт.

В остальном ждем конкретики в нормативных актах в отношении объектов КИИ, ведь 187-ФЗ недавно претерпел значимые правки, соответственно и регуляция по этому вопросу будет.

Поиск
Мы в соцсетях
Рассказываем об информационной безопасности и актуальных ИТ-решениях, делимся своими кейсами и новостями ИТ: Telegram-канал компании «Рубикон»
Дзен-канал компании «Рубикон»
Услуги

Подпишитесь на получение новостей

Чтобы первыми узнавать о наших новых решениях, событиях в мире информационных технологий и информационной безопасности, а так же получать персональные предложения именно для вас.

Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

Принять