Средства криптографической защиты являются важной составляющей при защите большого числа объектов критической информационной инфраструктуры.
Рассмотрим как устроена работа с криптографией на объектах КИИ и какие «подводные камни» есть в этом вопросе.
Немного вводных данных
Защита значимых объектов критической информационной инфраструктуры регламентируются Федеральным законом № 187 «О безопасности критической информационной инфраструктуры Российской Федерации». В одной из статей мы разбирали основные аспекты закона.
В 2022 году в свете произошедших событий, значительно возросло число атак на объекты КИИ, и выполнению требований 187-ФЗ организации стали уделять большее внимание. Начались проверки регуляторов объектов КИИ, компании стали понимать, что согласно административному кодексу им грозят штрафы от 10 000 рублей (на должностное лицо). В некоторых случаях ответственность уголовная.
Компании всех уровней начали активно изучать эту тему. Первый и, пожалуй, самый важный вопрос – как защищать объекты критической информационной инфраструктуры.
Первое, что необходимо сделать – определить категорию значимости объекта КИИ. По общему порядку средства защиты подбираются на основании присвоенной категории значимости объекта КИИ (239 приказ ФСТЭК России).
Что по криптографии
На самом деле нормативно-правовых актов, регламентирующих применение средств криптографической защиты информации (СКЗИ) на объектах КИИ ещё не издано.
При работе с криптографией на ОКИИ опираются на:
— приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности»;
— утвержденные приказом ФСБ России от 31 марта 2015 года N 149/7/2/6-432 «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности».
В прошлом году вышел приказ ФСБ России от 24 октября 2022 г. № 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств». Вступает в силу лишь в октябре 2023 года, но регуляторы уже рекомендуют опираться и на него.
Но ведь тут нигде нет прямого указания на ОКИИ
Все приведенные документы регламентируют работу в государственных информационных системах и работу с персональными данными.
При этом, при отправке данных за пределы защищенной сети (контролируемой зоны) необходимо применять шифровальные средства.
Согласно нормам 149-ФЗ оператор информационной системы вправе принимать решение по защите информации, если иное не установлено законодательством. Поэтому опускается понятие «персональные данные» и применяются меры указанных нормативных и методических документов ФСБ России.
Меры, применяемые при организации криптографической защиты на ОКИИ
Если на объекте КИИ встал вопрос о применении СКЗИ, то рекомендуем провести следующие мероприятия:
- Назначить ответственное должностное лицо, ответственное за СКЗИ.
- Утвердить инструкцию для ответственного.
- Утвердить перечень сотрудников, допущенных к работе с СКЗИ.
- Утвердить инструкцию для пользователей.
- Обозначить перечень помещений, в которых размещены криптосредства.
- Утвердить допущенных к помещениям должностных лиц.
- Определить порядок доступа в помещения, где расположены криптосредства.
- Утвердить формы журналов поэкземплярного учета СКЗИ и документации к ним, учета выдачи носителей с ключом, обучения пользователей правилам работы с криптосредствами.
- Утвердить форму лицевого счета пользователя СКЗИ.
Эти мероприятия закрепляются внутренними приказами. Как правило, контроль исполнения остается за руководителем организации.
В заключение
Вызывает ли сложности отсутствие регламента для криптографической защиты в сфере КИИ? Да. Намного быстрее идет работа с конкретным документом под рукой. Но это не мешает применить уже наработанную практику по работе с СКЗИ. Если вам необходима помощь в разработке организационных документов для ОКИИ, поможем. У компании «Рубикон» есть такой опыт.
В остальном ждем конкретики в нормативных актах в отношении объектов КИИ, ведь 187-ФЗ недавно претерпел значимые правки, соответственно и регуляция по этому вопросу будет.