Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ФСБ: Национальному координационному центру по компьютерным инцидентам быть!

13/10/2018

Директор ФСБ России Александр Бортников распорядился создать государственный орган по борьбе с кибератаками. Текст соответствующего приказа размещен на официальном интернет-портале правовой информации.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Класс защиты СКЗИ (очень нужна помощь), Очень нужна консультация по обходу требований ФСБ (приказ 378)
Добрый день! Ситуация следующая:
Кое-какие подробности опущу, ибо уже не важно. Я делал документы для одной организации, всё как обычно. И всегда мои документы проходили проверку. Но на этот раз всё оказалось серьёзней и ФСБ по документам предъявили очень много замечаний, сказали месяц вам на исправление. Дык вот. Исходные данные:
Уровень защищенности - 3
Тип актуальных угроз - 2
При таких параметрах ФСБ требует использовать СКЗИ класса КВ !!! Но организация использует (как и пожалуй 90% в России) КриптоПро (класс КС2) и Верба (класс КС1), что никак не соответствует требованиям ФСБ (((
Вопросы:
1. Можно ли переделать документы, занизив уровень защищенности, или тип угроз?
2. Можно ли продолжать использовать КриптоПро и Вербу, но в техническом задании предписать дополнительно установить защиту класса КВ?
3. Ещё варианты?

P.S. Если вопрос не ясен, могу дополнительно прикрепить акт проверки ФСБ
КВ ? У вашего клиента такие серьезные "враги"? Вобще они, я так понимаю, делали вывод на основе модели злоумышленника, поэтому правьте.

СКЗИ класса KB применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 - 12 настоящего документа и не менее одной из следующих дополнительных возможностей:

а) создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО;

б) проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;

в) проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.
Занизить вам надо не
Цитата
уровень защищенности, или тип угроз
а внимательно посмотреть на свою модель нарушителя и посмотреть какие типы нарушителей вы выявили на предприятии.

"При отнесении заказчиком нарушителя к типу Н1 криптосредство должно
обеспечить криптографическую защиту по уровню КС1, к типу Н2 – КС2, к типу Н3 –
КС3, к типу Н4 – КВ1, к типу Н5 – КВ2, к типу Н6 – КА1."

Скорее всего собака порылась здесь....
Да и тип угроз понизить лучше до 3-го
Цитата
Гость пишет:
КВ ? У вашего клиента такие серьезные "враги"? Вобще они, я так понимаю, делали вывод на основе модели злоумышленника, поэтому правьте.

Модель угроз я сам делал. Очевидно где-то ошибся.

Цитата
Гость пишет:
Занизить вам надо не
Цитата
уровень защищенности, или тип угроз
а внимательно посмотреть на свою модель нарушителя и посмотреть какие типы нарушителей вы выявили на предприятии.

Проблема в том что в приказе ФСБ №378 выбор класса СКЗИ чётко привязан к уровню защищенности и типу угроз

Цитата
Гость пишет:
Да и тип угроз понизить лучше до 3-го

Я бы с радостью понизил. Но как к этому отнесутся проверяющие из ФСБ? Ведь уже присвоен второй уровень :(
Коллега, это в корне не так. Класс СКЗИ привязан к нарушителю, а точнее к его "способностям" (см. п 9 в приказе)

Цитата
Гость пишет:
Проблема в том что в приказе ФСБ №378 выбор класса СКЗИ чётко привязан к уровню защищенности и типу угроз
[QUOTE]Гость пишет:
Коллега, это в корне не так. Класс СКЗИ привязан к нарушителю, а точнее к его "способностям" (см. п 9 в приказе)

Вот что написано в протоколе проверки ФСБ (см. приложение)
А раздел III, пункт 18 гласит:
Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо меры, предусмотренной подпунктом "в" пункта 9 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе:
СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;
СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.
2.jpg (29.08 КБ)
Тогда тут путь один. Меня тип угроз и будет счастье.
Цитата
Гость пишет:
Тогда тут путь один. Меня тип угроз и будет счастье.

А как же я его поменяю? Документы уже готовы, уже была проверка, уже есть "Акт проверки ФСБ" и в нём уже указан тип угроз 2 типа! ФСБ дали месяц на исправление, а именно нужно сделать так, чтобы СКЗИ были класса КВ.
Вот я и спрашиваю:
1. Был ли у кого опыт переделки документов после проверки?
2. Можно ли продолжать использовать КриптоПро и Вербу, но в техническом задании предписать дополнительно установить защиту класса КВ?
3. Ещё варианты?

P.S. Я просто не понимаю как ФСБ может требовать использование СКЗИ класса КВ, при том что вся Россия сидит на КриптоПро и Верба !?

P.P.S. Как отправлять зашифрованные данные в ИФНC и ПФР, если все используют СКЗИ класса КС1 и КС2? Где я ошибаюсь?
5.Требования к контролю встраивания криптосредства

5.1.Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).

Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.

Избежать лучше КВ
Коллеги, а правильно ли я понимаю, что теперь класс СКЗИ зависит только от УЗ и типа угроз актуального в соответствии с 378? "Методические рекомендации..." с привязкой к H1-H6 же утратили силу.
И модель нарушителя теперь делать по методике N 149/7/2/6-432 от 31.03.2015?
Страницы: 1
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)