Требования ФСБ к СКЗИ - Форум по вопросам информационной безопасности

Ребят, занялся активным изучением нормативных документов ФСБ по работе с СКЗИ в частности Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных". {ТТ}

В принципе вроде бы все понятно, кроме нескольких моментов/ Буду ОЧЕНЬ благодарен, если поможете мне в них разобраться.
1) п. 2.3 ТТ :
>Разработка для каждой информационной системы персональных данных модели угроз безопасности персональных данных при их обработке<
Не совсем понятно - это какая-то отдельная модель угроз или та же самая, что и для ФСТЭКа?

2) п. 2.7. ТТ:
>Ответственные пользователи криптосредств должны иметь функциональные обязанности, разработанные в соответствии с настоящими Требованиями<
Непонятно - можно ли администратора ИБ априори считать таким О.Пользователем или нужно отдельный Приказ о назначении, отдельная инструкция и т.п.?
Т.е., например, в организации на одного сотрудника может оказаться навешанным:
- Ответственный за обработку ПД (152-ФЗ)
- Администратор ИБ
- Системный администратор
- Ответственный пользователь СКЗИ
И для каждого будет своя инструкция, приказ (ну или в одном приказе, но разные позиции)?

3) п. 3.8 ТТ:
>Пользователи криптосредств предусматривают также раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих ключевых документов.<
- Что имеется ввиду под раздельным хранением?
- И вообще не совсем понятно, для чего именно нужны дубликаты и их раздельное хранение: только для документов, подтверждающих сертификат пользователя или, и для самих контейнеров ключа, и для "бумажек"?
- Раздельно - это как: разные сейфы что ли?
- Если разные сейфы, то получается в режимном помещении д/б минимум два сейфа, а если сейфы будут в разных кабинетах, то оба будут режимными помещениями, так что ли?

4) п. 3.9 ТТ:
>Аппаратные средства, с которыми осуществляется штатное функционирование криптосредств, а также аппаратные и аппаратно-программные криптосредства должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы).<
Не понятно, каждый ПК опечатывать?

2 Salder 42029
Уважаемый!
Понимаете ФСБ совсем не умеет внятно доводить в своих документах что имеется в виду.
Они предпочитают поднапустить туману - чтобы ученый не разобрался.
Пишут они так как-будто считают что все имеют законченное высшее образование по шифрованию и наизусть знают наставление по Ш.работе - а это не так.
1. Не та модель угроз - у них в другой нетленке описано их собственное видение МУ
2. В каждой организации за эксплуатацию СКЗИ должно отвечать не менее 2Х человек специально обученных по курсу взлет-посадка (мин) иначе никак не реализовать правило две головы четыре глаза(руки) - один контролирует действия другого и свидетельствует их правильность (для суда)
3. Действующие хранятся в дежурной смене
Резервные в дежурную смену не выдаются и хранятся отдельно у ответственного за действия при ЧП (начальника)
4. Да и не только ПК но и все что можно в них открыть и все подключенные к ним ВТСС

Думаю написал внятно*
Высказана моя личная интрптретация процитированных норм.
Несите им деньги и обучитесь у их лицензиатов хотя бы взлету-посадке...иначе никак!

пруф линк
http://www.information-security.ru/forum.php?sub=3198&from=0

Я боюсь себе представить требования для ГТ и выше.

У мну вот еще вопрос, если можно:
Информация о каждом ключевом носителе д/б занесена в соответствующий журнал и носителю д/б присвоен регистрационный номер. В примерах журналов номера выглядят примерно так:
AB0Q-2353

Вопрос: есть какая-то специальная методика присвоения номеров или можно использовать любой номер который придет в голову или например s/n взять?

2Salder
Если вы озадачились СКЗИ в связи с обработкой персональных данных, то я могу посоветовать следующее по оформлению МУ:
Введите в вашу модель угроз, написанную по РД ФСТЭК пару отдельных разделов модель нарушителя и актуальные угрозы ФСБ, там опишите позиции, которые четко указаны в методических рекомендациях ФСБ по ПД, эта информации позволит вам обосновать применяемый класс криптографической защиты (как указано в Методических рекомендациях).

2Прохожий и Михаил
Спасибо за советы!

А по поводу маркировки ключевых носителей флешек, не подскажите, пожалуйста?

2 Salder| 42148
В журнале, который ведется с любого номера - например 1
номера присваиваются последовательно дата за датой - это и есть ваши учетные номера, можете им присвоить свой индекс например CIC или НКИ - этот номер и индекс нанесите на каждый носитель методом травления или выжигания (чтобы не стиралось) или вешать на каждый МНИ бирку-пломбу со своим номером - их продают специализированные фирмы.
номер присвоенный фирмой-разработчкиком проще в том же журнале записать в отдельной графе - но эти номера имеют разную индексность и значность - если его использовать будет винегрет (сложен поиск),да и идентификация будет затруднена.
Проще одинаковые носители регистрировать в своем разделе этой книги учета (если это сложно - то не обязательно)
К мнению Михаила присоединяюсь.
Можете этот-же вопрос г. Тачкову задать как разработчику норм - его мейл приведен выше в пруфе - вот он обрадуется!
Он уж решил что про него мы тут забыли и на нас и на свое обещание ЗАБИЛ болт...
А мы помним и все ждем от него ОТКРОВЕНИЯ....уже на первый год

вот классно написано про терминологию

http://infowatch.livejournal.com/
08:35 pm February 18th, 2013

Терминологические крайности
Это ФСБ оказалось не по зубам - так и нету них официальной терминологии...ждем еще лет 20-30 а там глядишь и отомрет само...

Добрый день!

Наткнулся на такое требование ФСБ что для эксплуатации СКЗИ КС3 на АРМ должен быть установлен АПМДЗ Соболь (или др. аналог).
Хотелось бы знать правда ли это и в каком нормативном документе установлено это требование?

DEN,
у ФСБ вообще свой подход к защите и какие-то свои требования и нормативные документы, которых никто не видел.
У нас в регионе недавно проводили проверку представители 8 центра ФСБ и выставили требование, что на АРМ с установленными СКЗИ должен быть и антивирус, сертифицированный ФСБ, а не ФСТЭК. Откуда такие требования - никто не объяснил. Должно быть и всё!!!