17 сентября в Российской газете был опубликован новый приказ ФСБ России по защите персональных данных с помощью средств криптографической защиты информации (СКЗИ). Приказ № 378 вступает в силу с 28 сентября 2014 г. Как и ожидалось, документ является достаточно сложным, как с точки зрения изложения, так и с точки зрения практической реализации. Какие новые требования несет Приказ? Какие СКЗИ нужно использовать? Как можно с минимальными усилиями выполнить требования приказа? Ответы на некоторые из этих вопросов приведены ниже.

На кого распространяется Приказ ФСБ № 378?

Приказ распространяется на всех Операторов ПДн (государственных и частных), использующих СКЗИ для обеспечения безопасности ПДн при их обработке в информационных системах. Следует отметить, что почти все организации используют СКЗИ как минимум для отправки электронной отчетности в ПФР и в ФНС, то есть, подпадают под действие Приказа.

Можно ли использовать несертифицированные криптосредства для защиты ПДн?

Нет, нельзя. Применяемые СКЗИ должны иметь действующие сертификаты ФСБ России.

Можно ли при выборе средств защиты ограничиться сертифицированными СКЗИ класса КС1?
Можно, но только при определенных характеристиках ИСПДн и ее системы защиты. Согласно Приказу, СКЗИ класса КС1 могут применяться в случае наличия у потенциального нарушителя ограничений, которые должны быть корректно оценены и описаны. Можно ли использовать такие ограничения, зависит от конкретных информационных систем, от применяемых в них технологий, от состава используемых средств защиты информации и от реализуемых организационных мероприятий по защите.

В общем случае требования к классам СКЗИ выглядят следующим образом:

Уровень защищенности ПДн 4 УЗ 3 УЗ 2 УЗ 1 УЗ
Тип актуальных угроз 3 2 3 1 2 3 1 2
Минимальный класс СКЗИ КС1 КВ КС1 КА КВ КС1 КА КВ

Какие дополнительные требования определяет новый приказ ФСБ?

Одним из требований ко всем Операторам, использующим СКЗИ для защиты ПДн, начиная с самого низкого 4-го уровня защищенности, является необходимость опечатывания, либо оборудования иными приспособлениями, сигнализирующими об их несанкционированном вскрытии мест хранения носителей ПДн и дверей Помещений, в которых расположены СКЗИ.

К дополнительным требованиям также относится утверждение Правил доступа в Помещения и перечня лиц, которым такой доступ предоставляется, ведение журнала поэкземплярного учета носителей ПДн, формирование и утверждение совокупности предположений о возможностях, которые могут использоваться для проведения атак, и т.д. В целом эти требования повторяют требования предыдущих редакций документов ФСБ по защите ПДн, и они всегда учитывались ЗАО «ДиалогНаука» при реализации проектов по защите персональных данных.