Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Класс защиты СКЗИ (очень нужна помощь), Очень нужна консультация по обходу требований ФСБ (приказ 378)
Добрый день! Ситуация следующая:
Кое-какие подробности опущу, ибо уже не важно. Я делал документы для одной организации, всё как обычно. И всегда мои документы проходили проверку. Но на этот раз всё оказалось серьёзней и ФСБ по документам предъявили очень много замечаний, сказали месяц вам на исправление. Дык вот. Исходные данные:
Уровень защищенности - 3
Тип актуальных угроз - 2
При таких параметрах ФСБ требует использовать СКЗИ класса КВ !!! Но организация использует (как и пожалуй 90% в России) КриптоПро (класс КС2) и Верба (класс КС1), что никак не соответствует требованиям ФСБ (((
Вопросы:
1. Можно ли переделать документы, занизив уровень защищенности, или тип угроз?
2. Можно ли продолжать использовать КриптоПро и Вербу, но в техническом задании предписать дополнительно установить защиту класса КВ?
3. Ещё варианты?

P.S. Если вопрос не ясен, могу дополнительно прикрепить акт проверки ФСБ
КВ ? У вашего клиента такие серьезные "враги"? Вобще они, я так понимаю, делали вывод на основе модели злоумышленника, поэтому правьте.

СКЗИ класса KB применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 - 12 настоящего документа и не менее одной из следующих дополнительных возможностей:

а) создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО;

б) проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;

в) проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.
Занизить вам надо не
Цитата
уровень защищенности, или тип угроз
а внимательно посмотреть на свою модель нарушителя и посмотреть какие типы нарушителей вы выявили на предприятии.

"При отнесении заказчиком нарушителя к типу Н1 криптосредство должно
обеспечить криптографическую защиту по уровню КС1, к типу Н2 – КС2, к типу Н3 –
КС3, к типу Н4 – КВ1, к типу Н5 – КВ2, к типу Н6 – КА1."

Скорее всего собака порылась здесь....
Да и тип угроз понизить лучше до 3-го
Цитата
Гость пишет:
КВ ? У вашего клиента такие серьезные "враги"? Вобще они, я так понимаю, делали вывод на основе модели злоумышленника, поэтому правьте.

Модель угроз я сам делал. Очевидно где-то ошибся.

Цитата
Гость пишет:
Занизить вам надо не
Цитата
уровень защищенности, или тип угроз
а внимательно посмотреть на свою модель нарушителя и посмотреть какие типы нарушителей вы выявили на предприятии.

Проблема в том что в приказе ФСБ №378 выбор класса СКЗИ чётко привязан к уровню защищенности и типу угроз

Цитата
Гость пишет:
Да и тип угроз понизить лучше до 3-го

Я бы с радостью понизил. Но как к этому отнесутся проверяющие из ФСБ? Ведь уже присвоен второй уровень :(
Коллега, это в корне не так. Класс СКЗИ привязан к нарушителю, а точнее к его "способностям" (см. п 9 в приказе)

Цитата
Гость пишет:
Проблема в том что в приказе ФСБ №378 выбор класса СКЗИ чётко привязан к уровню защищенности и типу угроз
[QUOTE]Гость пишет:
Коллега, это в корне не так. Класс СКЗИ привязан к нарушителю, а точнее к его "способностям" (см. п 9 в приказе)

Вот что написано в протоколе проверки ФСБ (см. приложение)
А раздел III, пункт 18 гласит:
Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо меры, предусмотренной подпунктом "в" пункта 9 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:
СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;
СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.
2.jpg (29.08 КБ)
Тогда тут путь один. Меня тип угроз и будет счастье.
Цитата
Гость пишет:
Тогда тут путь один. Меня тип угроз и будет счастье.

А как же я его поменяю? Документы уже готовы, уже была проверка, уже есть "Акт проверки ФСБ" и в нём уже указан тип угроз 2 типа! ФСБ дали месяц на исправление, а именно нужно сделать так, чтобы СКЗИ были класса КВ.
Вот я и спрашиваю:
1. Был ли у кого опыт переделки документов после проверки?
2. Можно ли продолжать использовать КриптоПро и Вербу, но в техническом задании предписать дополнительно установить защиту класса КВ?
3. Ещё варианты?

P.S. Я просто не понимаю как ФСБ может требовать использование СКЗИ класса КВ, при том что вся Россия сидит на КриптоПро и Верба !?

P.P.S. Как отправлять зашифрованные данные в ИФНC и ПФР, если все используют СКЗИ класса КС1 и КС2? Где я ошибаюсь?
5.Требования к контролю встраивания криптосредства

5.1.Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).

Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.

Избежать лучше КВ
Коллеги, а правильно ли я понимаю, что теперь класс СКЗИ зависит только от УЗ и типа угроз актуального в соответствии с 378? "Методические рекомендации..." с привязкой к H1-H6 же утратили силу.
И модель нарушителя теперь делать по методике N 149/7/2/6-432 от 31.03.2015?
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)