Средства криптографической защиты являются важной составляющей при защите большого числа объектов критической информационной инфраструктуры.
Рассмотрим как устроена работа с криптографией на объектах КИИ и какие «подводные камни» есть в этом вопросе.
Немного вводных данных
Защита значимых объектов критической информационной инфраструктуры регламентируются Федеральным законом № 187 «О безопасности критической информационной инфраструктуры Российской Федерации». мы разбирали основные аспекты закона.
В 2022 году в свете произошедших событий, значительно возросло число атак на объекты КИИ, и выполнению требований 187-ФЗ организации стали уделять большее внимание. Начались проверки регуляторов объектов КИИ, компании стали понимать, что согласно административному кодексу им грозят штрафы от 10 000 рублей (на должностное лицо). В некоторых случаях ответственность уголовная.
Компании всех уровней начали активно изучать эту тему. Первый и, пожалуй, самый важный вопрос – как защищать объекты критической информационной инфраструктуры.
Первое, что необходимо сделать – определить . По общему порядку средства защиты подбираются на основании присвоенной категории значимости объекта КИИ (239 приказ ФСТЭК России).
Что по криптографии
На самом деле нормативно-правовых актов, регламентирующих применение средств криптографической защиты информации (СКЗИ) на объектах КИИ ещё не издано.
При работе с криптографией на ОКИИ опираются на:
- «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности»;
- «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности».
В прошлом году вышел «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств». Вступает в силу лишь в октябре 2023 года, но регуляторы уже рекомендуют опираться и на него.
Но ведь тут нигде нет прямого указания на ОКИИ
Все приведенные документы регламентируют работу в государственных информационных системах и работу с персональными данными.
При этом, при отправке данных за пределы защищенной сети (контролируемой зоны) необходимо применять шифровальные средства.
Согласно нормам 149-ФЗ оператор информационной системы вправе принимать решение по защите информации, если иное не установлено законодательством. Поэтому опускается понятие «персональные данные» и применяются меры указанных нормативных и методических документов ФСБ России.
Меры, применяемые при организации криптографической защиты на ОКИИ
Если на объекте КИИ встал вопрос о применении СКЗИ, то рекомендуем провести следующие мероприятия:
1. Назначить ответственное должностное лицо, ответственное за СКЗИ.
2. Утвердить инструкцию для ответственного.
3. Утвердить перечень сотрудников, допущенных к работе с СКЗИ.
4. Утвердить инструкцию для пользователей.
5. Обозначить перечень помещений, в которых размещены криптосредства.
6. Утвердить допущенных к помещениям должностных лиц.
7. Определить порядок доступа в помещения, где расположены криптосредства.
8. Утвердить формы журналов поэкземплярного учета СКЗИ и документации к ним, учета выдачи носителей с ключом, обучения пользователей правилам работы с криптосредствами.
9. Утвердить форму лицевого счета пользователя СКЗИ.
Эти мероприятия закрепляются внутренними приказами. Как правило, контроль исполнения остается за руководителем организации.
В заключение
Вызывает ли сложности отсутствие регламента для криптографической защиты в сфере КИИ? Да. Намного быстрее идет работа с конкретным документом под рукой. Но это не мешает применить уже наработанную практику по работе с СКЗИ. Если вам необходима помощь в разработке организационных документов для ОКИИ, поможем. У компании «Рубикон» есть такой опыт.
В остальном ждем конкретики в нормативных актах в отношении объектов КИИ, ведь 187-ФЗ недавно претерпел значимые правки, соответственно и регуляция по этому вопросу будет.
