В условиях ужесточения регуляторных требований к защите информации, организации, работающие с конфиденциальными данными, обязаны уделять особое внимание выбору и эксплуатации средств криптографической защиты информации (СКЗИ). Ключевым документом, регулирующим эту сферу для информации, не составляющей государственную тайну, является Приказ ФСБ России от 9 февраля 2005 г. № 66 (Положение ПКЗ-2005) [официальный текст].
Одним из наиболее сложных и критически важных этапов жизненного цикла СКЗИ является оценка влияния средств и среды их функционирования на выполнение требований по безопасности. Данная статья поможет разобраться в регуляторных нюансах этого процесса и предложит пошаговое руководство к действию для разработчиков, заказчиков и эксплуатантов СКЗИ.
1. Нормативная база и область применения
Прежде чем приступать к оценке, необходимо понять, регулирует ли ваша ситуация требования Приказа № 66. Согласно Положению ПКЗ-2005, документ распространяется на отношения, возникающие при разработке, производстве, реализации и эксплуатации СКЗИ для защиты информации конфиденциального характера (не содержащей сведений, составляющих государственную тайну).
Обязательное руководство Положением требуется в случаях:
- Если защита информации предусмотрена законодательством РФ (в т.ч. [152-ФЗ «О персональных данных»], [98-ФЗ «О коммерческой тайне»]).
- При организации защиты в государственных органах.
- При выполнении заказов для государственных нужд.
- Если обладатель информации принял меры по охране ее конфиденциальности с использованием СКЗИ.
Важно: Для информации, доступ к которой ограничивается по решению собственника (не являющегося госорганом), требования Положения носят рекомендательный характер (п. 4 Положения). Однако соблюдение этих рекомендаций является лучшей практикой для обеспечения реальной безопасности и прохождения проверок.
Смежное регулирование:
- [Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»]
- [Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры»]
- [Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных»]
- [Приказ ФСТЭК России № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну»]
2. Что такое «Оценка влияния» в контексте СКЗИ?
Согласно п. 35 Положения ПКЗ-2005, СКЗИ не функционируют в вакууме. Они работают в составе сетей и систем конфиденциальной связи, используя аппаратные, программные и программно-аппаратные средства.
Оценка влияния — это процесс определения того, как окружающая среда (сеть, ОС, оборудование) воздействует на способность СКЗИ выполнять заявленные требования по безопасности информации.
Ключевые стандарты и методики для оценки:
| Документ | Назначение | Ссылка |
|---|---|---|
| Методика оценки угроз безопасности информации (ФСТЭК, 2021) | Базовая методология выявления и анализа угроз | [ссылка] |
| Базовая модель угроз безопасности ПДн (ФСТЭК, 2008) | Типовые угрозы для систем обработки персональных данных | [ссылка] |
| Банк данных угроз ФСТЭК | Актуализированная база известных угроз и уязвимостей | [ссылка] |
| ГОСТ Р 56939-2024 «Защита информации. Порядок создания систем защиты информации» | Требования к проектированию и внедрению СЗИ | [ссылка] |
| ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении» | Требования к АС в защищённом исполнении | [ссылка] |
| СТР-К «Специальные требования и рекомендации по технической защите конфиденциальной информации» | Практические рекомендации по реализации мер защиты | [ссылка] |
Ключевые участники процесса:
- Разработчик СКЗИ: Определяет состав средств сети, совместно с которыми предполагается функционирование СКЗИ.
- Специализированная организация: Организация, имеющая лицензию ФСБ на проведение соответствующих работ (лицензирование регулируется [99-ФЗ]). Совместно с разработчиком проводит оценку.
- Заказчик СКЗИ: Согласовывает состав средств сети.
- ФСБ России: Осуществляет экспертизу результатов и согласование.
3. Пошаговое руководство: Этап разработки и внедрения
Если вы планируете разработку нового СКЗИ или внедрение существующего в новую инфраструктуру, следуйте этому алгоритму, основанному на разделах II и III Положения.
Шаг 1. Определение модели нарушителя и среды функционирования
На этапе формирования Технического задания (ТЗ) или Тактико-технического задания (ТТЗ) необходимо четко описать:
- Цель криптографической защиты.
- Модель нарушителя (угрозы, которым должно противостоять СКЗИ) — рекомендуется использовать [Методику оценки угроз ФСТЭК] и [Банк данных угроз].
- Типовую схему организации конфиденциальной связи (каналы связи, скорость, количество пользователей).
- Помещения, где будет размещаться СКЗИ (особенно если там обсуждаются вопросы гостайны — требуется проверка на наличие закладных устройств, п. 23).
Шаг 2. Проведение тематических исследований
Согласно п. 31, оценка влияния является составной частью тематических исследований СКЗИ (криптографических, инженерно-криптографических и специальных).
- Задача: Оценить достаточность мер противодействия угрозам, определенным в модели нарушителя.
- Исполнитель: Специализированная организация (лицензиат ФСБ).
- Требование: Тематические исследования являются неотъемлемой частью опытно-конструкторской работы (ОКР) и не могут быть объединены с другими этапами (п. 34).
Шаг 3. Оценка влияния средств сети
Разработчик СКЗИ совместно со специализированной организацией проводит оценку влияния аппаратных и программных средств сети на выполнение требований к СКЗИ (п. 35).
- Результаты этой оценки фиксируются документально.
- Состав средств, влияющих на безопасность, согласовывается с Заказчиком и ФСБ России.
- При оценке рекомендуется учитывать требования [ГОСТ Р 59547-2021] «Защита информации. Требования к средствам криптографической защиты информации».
Шаг 4. Экспертиза в ФСБ России
Результаты тематических исследований, включая оценку влияния, передаются в ФСБ России для проведения экспертизы (п. 36).
- Только после получения положительного заключения экспертизы возможно утверждение рабочей конструкторской документации (РКД) и передача СКЗИ в производство (п. 37).
- Также необходимо согласовать с ФСБ России «Правила пользования СКЗИ» (п. 29).
- Сертификация СКЗИ осуществляется в рамках [Системы сертификации ФСБ России № РОСС RU.0003.01БИ00] и в соответствии с [Порядком проведения сертификации (Приказ ФСТЭК № 240)].
4. Пошаговое руководство: Этап эксплуатации
Для организаций, использующих готовые СКЗИ, требования смещаются в сторону контроля соблюдения условий эксплуатации.
Шаг 1. Соблюдение Правил пользования
СКЗИ должны эксплуатироваться строго в соответствии с Правилами пользования, согласованными с ФСБ (п. 46). Любое отклонение от условий, указанных в Правилах, требует согласования.
Шаг 2. Контроль изменений
Если вы планируете изменить условия использования СКЗИ (например, перенос в другую сеть, изменение конфигурации оборудования):
- Изменения должны быть согласованы с ФСБ России и специализированной организацией, проводившей тематические исследования (п. 46).
- Самовольное изменение конфигурации может аннулировать сертификат соответствия и сделать защиту невалидной.
Шаг 3. Контрольные тематические исследования
СКЗИ, находящиеся в эксплуатации, должны подвергаться контрольным тематическим исследованиям (п. 47).
- Сроки проведения определяются Заказчиком по согласованию с Разработчиком, Специализированной организацией и ФСБ России.
- Это необходимо для подтверждения того, что уровень защиты не деградировал со временем.
Шаг 4. Учет и контроль
- Организуется поэкземплярный учет СКЗИ (п. 48).
- Контроль за соблюдением правил пользования осуществляет обладатель информации, а также ФСБ России в рамках своих полномочий (п. 51).
- Обладатель информации вправе самостоятельно обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования (п. 52).
Дополнительные требования для отдельных отраслей:
- Для финансовых организаций: [СТО БР БФБО-1.8-2024], [Положение Банка России № 382-П]
- Для медицинских информационных систем: [Требования к подключению к ЕГИСЗ], [Технологическая инструкция ГИС ОМС]
- Для систем туризма: [Требования к АРМ и ИС внешних пользователей «Электронная путевка»]
5. Типичные риски и ошибки
На основе анализа Положения ПКЗ-2005 и смежных нормативных актов можно выделить ключевые риски, связанные с оценкой влияния:
- Игнорирование среды функционирования. Разработка СКЗИ без учета того, в какой сети оно будет работать, приведет к отказу в экспертизе ФСБ (п. 33). Рекомендуется использовать [ГОСТ Р 56939-2016/2024] для системного подхода к проектированию.
- Отсутствие специализированной организации. Попытка провести оценку влияния собственными силами без лицензии на деятельность, связанную с СКЗИ, является нарушением (п. 32). Лицензирование регулируется [Постановлением Правительства РФ № 79].
- Несогласованные изменения. Модернизация сети или замена оборудования без уведомления ФСБ и разработчика может привести к нарушению режима защиты информации (п. 46). Все изменения должны документироваться в соответствии с [ГОСТ 2.114-2016].
- Путаница с государственной тайной. Положение № 66 не распространяется на сведения, составляющие государственную тайну (п. 1). Для гостайны существуют иные нормативные акты. Использование СКЗИ по Положению ПКЗ-2005 для гостайны недопустимо.
- Неучёт требований ФСТЭК. При обработке персональных данных или работе в ГИС необходимо дополнительно соблюдать требования [Приказа ФСТЭК № 21] и [Приказа ФСТЭК № 31].
6. Полезные ресурсы для практической работы
| Ресурс | Описание | Ссылка |
|---|---|---|
| Сайт ФСБ России | Официальные приказы, разъяснения, реестры СКЗИ | [fsb.ru] |
| Сайт ФСТЭК России | Методические документы, реестры сертифицированных средств, БДУ | [fstec.ru] |
| Сайт Роскомнадзора | Реестр операторов ПДн, разъяснения по 152-ФЗ | [rkn.gov.ru] |
| Портал нормативных документов | Поиск и актуальные версии правовых актов | [normativ.kontur.ru] |
| WikiSec | База знаний по информационной безопасности, ГОСТ, методики | [wikisec.ru] |
Заключение
Оценка влияния СКЗИ — это не формальная процедура, а необходимый механизм гарантии безопасности информации. Соблюдение требований Приказа ФСБ России № 66 обеспечивает легитимность используемых средств защиты и минимизирует риски утечки конфиденциальных данных.
Ключевые рекомендации для успешного прохождения всех этапов:
- На этапе проектирования — используйте актуальные методики оценки угроз ([ФСТЭК, 2021]) и стандарты ([ГОСТ Р 56939-2024]).
- При выборе исполнителей — привлекайте только организации с действующими лицензиями ФСБ и ФСТЭК.
- При внедрении — документируйте все изменения и согласовывайте их с регулятором в установленном порядке.
- В процессе эксплуатации — ведите строгий поэкземплярный учет, проводите контрольные исследования и своевременно обновляйте документацию.
- Для отраслевых решений — учитывайте дополнительные требования профильных регуляторов (Банк России, Минздрав, Роскомнадзор).
Соблюдение этих правил позволит организации построить надежную систему криптографической защиты, соответствующую актуальным требованиям регулятора и готовую к проверкам.