FSBは、CPSIをどのように、どのように適用するかについてどう考えていますか?
この文書には、「関連する活動の実施中に運用される個人データ情報システムでの個人データの処理に関連する個人データのセキュリティに対する脅威を定義する規制法的行為の開発に関する方法論的推奨事項」というフルネームが付けられています。 この文書は、2015年3月31日にロシアのFSBの第8センターのリーダーシップによって承認されました。
この文書がFSBウェブサイトでのみ公開され、法務省に登録されておらず、誰の署名もしていないことは十分に重要です。つまり、その法的意義と必須の適用が問題になっています。
文書の前文は、推奨事項が「連邦執行機関...他の州機関......によって運営される個人データ情報システム(以下ISPD)での個人データの処理に関連する個人データのセキュリティに対する脅威を特定する規制法的行為を採用する」ことを決定します関連する活動の実施において。」
同じルール「個人データのセキュリティを確保するために、情報の暗号化保護の手段(以下、CIP)を使用することを決定した個人データ情報システムの運用者に対する脅威のプライベートモデルの開発に誘導することも推奨されます」。
暗号情報保護を使用する必要があるのはいつですか?
個人データのセキュリティを確保するための暗号情報保護の使用は、次の場合に必要です。
- ロシア連邦の法律に従って個人データが暗号化保護されている場合;
- 暗号化情報保護対策を使用してのみ中和できる脅威が情報システムにある場合。
これは論理的です。 しかし、暗号保護対策の助けを借りて初めて脅威を無効化できるのはいつですか?
- 送信された情報の違反者による傍受またはこの情報への不正な影響から保護されていない通信チャネルを介した個人データの転送(たとえば、個人情報を公共情報および通信ネットワーク経由で送信する場合)。
- 情報キャリアへの個人データの保存、非暗号化の方法と方法を使用して違反者による不正アクセスを排除することはできません。
2番目のポイントも非常に論理的な場合、最初のポイントはそれほど明確ではありません。 事実は、「個人データに関する」法律の現在のバージョンによれば、名前、姓、および愛称はすでに個人データであるということです。 したがって、サイトでの通信または登録(登録時に現在必要なデータ量を考慮に入れる)は、正式にこの定義に該当します。
しかし、彼らが言うように、例外のないルールはありません。 ドキュメントの最後に2つのテーブルがあります。 付録No. 1は1行のみです。
実際の脅威:
1.1。 制御されたゾーン内で攻撃を行う。
不在の正当化(リストはわずかに削減されます):
- ISPFのユーザーであるがCIPFのユーザーではない従業員には、ISPDでの作業規則と、情報セキュリティを確保するための規則の違反に対する責任について通知されます。
- CIPFユーザーには、ISPDの作業規則、CIPFで作業するための規則、および情報セキュリティを確保するための規則を遵守しない責任について通知されます。
- 暗号情報保護デバイスが設置されている施設には、ロック付きの入り口ドアが装備されており、ロックへの施設のドアを常に閉鎖し、許可された通過のためにのみ開くことができます。
- 暗号化情報保護施設が設置されている施設へのアクセスのルール。勤務時間中および非勤務時間中、および緊急時。
- CIPFが設置されている施設へのアクセス権を持つ人のリストが承認されました。
- 保護されたリソースへのユーザーアクセスの差別化と制御が実行されます。
- PDを使用したユーザーアクションの登録とアカウンティングが実行されます。
- CIPFがインストールされているワークステーションおよびサーバー:
- 認証されていないアクセスから情報を保護する手段が使用されている。
- 認定されたウイルス対策ツールが使用されます。
つまり、ユーザーにルールと責任について通知され、ドアがロックされている場合、心配する必要はありません。 信じる者は幸いです。 規則への準拠を制御する必要性については、このドキュメントでは説明していません。
このドキュメントで他に興味深いものは何ですか?
- ISPDnでの処理中に個人データのセキュリティを確保するには、規定の方法で適合性評価手順に合格した暗号情報保護システムを使用する必要があります。
確かに、認証された暗号情報保護証明書のリストは、TsSLZ FSB Webサイトで見つけることができると少し下に言われています。 適合性評価が認証ではないという事実は繰り返し述べられてきました。
- 所定の方法で合格した暗号情報保護適合性評価手順がない場合...予備プロジェクトまたは予備(概要技術)プロジェクトの段階で、オペレーター(権限のある人)と提案された暗号情報保護開発者が参加する情報システム開発者は、新しい暗号情報保護システムの開発の実現可能性を正当化し、その機能の要件を決定しますプロパティ。
とても素敵なアイテム。 実際には、認証プロセスは非常に長く、最大6か月以上です(たとえば、当社の場合、以前の認証には8か月かかりました)。 多くの場合、お客様は認定バージョンでサポートされていない最新のオペレーティングシステムを使用しています。 このドキュメントに従って、顧客は認証プロセスにある製品を使用できます。
文書には次のように記載されています。
伝送される保護された情報を傍受できない通信チャネル(回線)を使用する場合(およびこの情報に不正な影響を与えることができない場合)、情報システムの一般的な説明は以下を示す必要があります。
- これらのチャネルへの不正アクセスからこれらのチャネルを保護する方法と手段の説明。
- これらの調査結果を含む文書を参照して、そのような調査を実施する権限を与えられた組織によって送信された保護情報への不正アクセスからのこれらの通信チャネル(回線)のセキュリティに関する調査結果に基づく結論
したがって、チャネルのセキュリティを分析する文書を用意する必要があります。 同時に、どの組織がそのような結論を出す権利を持っているかは示されていません。
ドキュメントには、情報システムを説明するときに指定する必要がある情報のリストが含まれています。 例:
- 処理された個人データに提供する必要があるセキュリティ機能(機密性、整合性、可用性、信頼性)。
- 各サブシステムまたはケーブルシステムを含む情報システム全体で使用される通信チャネル(回線)、およびこれらの通信チャネル(回線)を介して送信される保護情報への不正アクセスを制限する手段。それらを介して送信される保護された情報への不正アクセス、およびこの品質を確保するために実施される対策。
- 情報システムの各サブシステムまたは情報システム全体で使用される保護された情報キャリア(通信チャネル(回線)を除く)。
結論として、次のように言います。
これらのガイドラインに従って準備されたオペレーターに対する私的脅威モデルのロシアのFSBとの調整は必要ありません。