О необходимости проведения оценки влияния среды функционирования на СКЗИ

Уже много лет на разных площадках периодически возникает вопрос — когда проведение оценки влияния (корректность встраивания) среды функционирования СКЗИ (т.е. прикладного ПО) на выполнение предъявляемых к СКЗИ требований ФСБ является обязательным, а когда нет?

Данным постом выскажу свое частное мнение по этому вопросу. Заранее благодарен за отзывы и комментарии. Вместе, надеюсь, найдем истину.

Необходимость провдения такой оценки регулируется двумя основными документами:

1. Приказ
ФСБ №66 от 9 февраля 2005 г., под названием ПКЗ-2005 (Об утверждении положения о разработке, производстве, реализации и
эксплуатации шифровальных (криптографических) средств защиты информации
(Положение ПКЗ-2005))

2. Формуляр
на СКЗИ (рассмотрим на примере СКЗИ КриптоПро CSP
5.0 R2).

Далее указаны основные моменты
относительно необходимости проведения оценки влияния, приведенные в данных
документах.

ПКЗ-2005

• п.35:
  «Оценка влияния аппаратных, программно-аппаратных и программных средств
  сети (системы) конфиденциальной связи, совместно с которыми предполагается
  штатное функционирование СКЗИ, на выполнение предъявленных к ним требований
  осуществляется разработчиком СКЗИ совместно со специализированной
  организацией».
• п.46:
  «СКЗИ эксплуатируются в соответствии с правилами пользования ими»

«Настоящим Положением необходимо
руководствоваться при разработке, производстве, реализации и эксплуатации
средств криптографической защиты информации конфиденциального характера в
следующих случаях:

• если
  информация конфиденциального характера подлежит защите в соответствии с
  законодательством РФ;
• при
  организации криптозащиты информации конфиденциального характера в ФОИВ, ОИВ
  субъектов РФ (далее — государственные органы);
• при
  организации криптографической защиты информации конфиденциального характера в
  организациях независимо от их организационно-правовой формы и формы
  собственности при выполнении ими заказов на поставку товаров, выполнение работ
  или оказание услуг для государственных нужд (далее — организации, выполняющие
  государственные заказы);
• если
  обязательность защиты информации конфиденциального характера возлагается
  законодательством РФ на лиц, имеющих доступ к этой информации или наделенных
  полномочиями по распоряжению сведениями, содержащимися в данной информации;
• при
  обрабатывании информации конфиденциального характера, обладателем которой
  являются государственные органы или организации, выполняющие государственные
  заказы, в случае принятия ими мер по охране ее конфиденциальности путем
  использования средств криптографической защиты;
• при
  обрабатывании информации конфиденциального характера в государственных органах
  и в организациях, выполняющих государственные заказы, обладатель которой
  принимает меры к охране ее конфиденциальности путем установления необходимости
  криптографической защиты данной информации.»

Формуляр
на СКЗИ КриптоПро CSP 5.0 R2

При встраивании СКЗИ в прикладные системы
необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России,
проводить оценку влияния среды функционирования СКЗИ на выполнение
предъявленных к СКЗИ требований в случаях:

• если
  информация конфиденциального характера подлежит защите в соответствии с
  законодательством РФ;
• при
  организации защиты конфиденциальной информации, обрабатываемой СКЗИ, в ФОИВ,
  ОИВ субъектов РФ;
• при
  организации криптозащиты конфиденциальной информации, обрабатываемой СКЗИ, в
  организациях независимо от их организационно-правовой формы и формы
  собственности при выполнении ими заказов на поставку товаров, выполнение работ
  или оказание услуг для гос.нужд;
• если
  обязательность защиты информации конфиденциального характера возлагается
  законодательством РФ на лиц, имеющих доступ к этой информации или наделенных
  полномочиями по распоряжению сведениями, содержащимися в данной информации;
• при
  обрабатывании информации конфиденциального характера, обладателем которой
  являются гос.органы или организации, выполняющие гос.заказы, в случае принятия
  ими мер по охране ее конфиденциальности путем использования СКЗИ;
• при
  обрабатывании информации конфиденциального характера в гос.органах и в
  организациях, выполняющих гос.заказы, обладатель которой принимает меры к
  охране ее конфиденциальности путем установления необходимости криптозащиты
  данной информации.

Выводы

Таким образом, оценка влияния является обязательной
в следующих случаях:

1. Если
   СКЗИ применяются в ИС для криптозащиты ПДн (т.к. ПДн подлежат защите в соответствии со 152-ФЗ «О персональных данных» с использованием прошедших в
   установленном порядке процедуру оценки соответствия средств защиты информации);
2. Если
   СКЗИ используются для организации криптозащиты информации конфиденциального
   характера в ФОИВ, ОИВ субъектов РФ и в иных организациях при выполнении ими
   заказов на поставку товаров, выполнении работ или оказании услуг для государственных
   нужд.

При этом важно отметить, что оценка влияния в указанных выше случаях не является обязательной, если на
СКЗИ не возлагается задача по обеспечению конфиденциальности и/или целостности информации,
например, когда СКЗИ используется как средство электронной подписи только для обеспечения юридической значимости
электронного документа, а конфиденциальность и целостность ПДн обеспечивается
другими средствами защиты, например, средствами VPN.
Однако, для случая, указанного в п.2 выше, оценка влияния, как показывает
практика, в любом случае проводится.

---

Источник — Блог Павла Луцика «Информационная безопасность на 360°».