проверка скзи по номеру блока

Федеральная служба безопасности осуществляет проверку операторов в том случае, если в примененных средствах защиты используется криптография. Федеральный закон № 152-ФЗ «О персональных данных» (далее – ФЗ № 152-ФЗ) обязует оператора персональных данных (далее – ПДн) обеспечивать конфиденциальность ПДн.

Стоит понимать, что обеспечение конфиденциальности не подразумевает обязательное применение средств шифрования. Применение средств криптографической защиты информации (далее – СКЗИ) актуально в том случае, если это установлено в техническом задании, следует из Модели угроз (МУ) и/или Модели нарушителя, а также при передаче персональных данных по линиям связи, выходящим за пределы контролируемой зоны оператора.

Правильный выбор средств криптографической защиты информации позволяет обеспечить не только соблюдение нормативно-правовых актов, но и безопасность персональных данных, передаваемых по каналам связи с использованием таких средств. Подбор СКЗИ должен осуществляться с учетом требований нормативно-правовых актов, особенностей инфраструктуры информационной системы персональных данных, выявленных актуальных угроз персональным данным и необходимых функциональных характеристик СКЗИ.

Классы СКЗИ

СКЗИ определенного класса применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных для предыдущего класса и не менее одной данного класса.

Каждый следующий класс СКЗИ включает в себя возможности нарушителей предыдущего класса.

Таблица 1 – Классы СКЗИ и соответствующие возможности нарушителей

Создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ

Создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ

Проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:

Проведение атак на этапе эксплуатации СКЗИ на:

Получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть «Интернет») информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:

Использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:

Проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети.

Проведение атаки при нахождении в пределах контролируемой зоны.

Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

Использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Физический доступ к СВТ, на которых реализованы СКЗИ и СФ.

Возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО.

Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.

Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО.

Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.

Возможность располагать всеми аппаратными компонентами СКЗИ и СФ.

Контроль и проверка использования СКЗИ

Федеральная служба безопасности проверяет условия обработки и защиты персональных данных с использованием средств криптографической защиты информации. Более детальная информация приведена в таблице 2.

Таблица 2 – Соответствие требований и перечня предоставляемых документов

Перечень предоставляемых документов

Организация системы организационных мер защиты персональных данных.

Смысл данного приказа заключается в обосновании выбора класса СКЗИ.

Организация системы криптографических мер защиты информации.

Разрешительная и эксплуатационная документация на СКЗИ.

Следует предоставлять в печатном виде.

Требования к обслуживающему персоналу (требование к лицам, допущенным к работе).

В процессе изучения актов проверяющими будут интервьюироваться сотрудники, работающие с данными информационными системами. Тут уже важно то, насколько уместно и корректно они будут отвечать на задаваемые им вопросы.

Следует опечатать рабочие станции

Оценка соответствия применяемых СКЗИ

Необходимо иметь сигнализацию и сейфы во всех помещениях, где установлены средства криптографической защиты.

Мероприятия для обеспечения безопасности ПДн

При подготовке к проверке регулятора к типовым нарушениям относятся:

— Отсутствие актуального сертификата соответствия СКЗИ;

— Отсутствие журналов учета или нерегулярное их заполнение;

— Отсутствие дистрибутивов СКЗИ, формуляров, документов;

— Недостаточные меры по обеспечению физической защиты;

— Использование СКЗИ класса ниже необходимого.

Источник

Проверка скзи по номеру блока

▊ПЛАНОВАЯ ЗАМЕНА СКЗИ

В каждом тахографе российского образца блок СКЗИ необходимо менять раз в 3 года по истечении срока его эксплуатации. К этому времени ресурсы хранения данных в памяти блока заканчиваются, поэтому он уже не может выполнять свои функции. Следовательно, и тахограф перестанет быть работоспособным.

▊ВНЕПЛАНОВАЯ ЗАМЕНА СКЗИ

Блок также придется менять:

Стоимость замены блока СКЗИ «под ключ» составляет минимум 20 тыс. рублей. В эту сумму входят:

Замена блока СКЗИ производится согласно правилам Приказа №440 (Приложение 4), в соответствии с дополнительными гос.регламентами и технической документацией производителя (примеры вы можете посмотреть на этом сайте).

Итак, процедура замены включает такие шаги:

Ранее при замене блока СКЗИ требовалось заново поверять тахограф. Но с 2021 года метрологическая поверка может не проводиться при соблюдении ряда условий. В Приказе №440 они сформулированы так:

1) замена блока СКЗИ тахографа произведена с соблюдением требований технической документации организаций-изготовителей модели тахографа и модели блока СКЗИ тахографа;
2) сведения о результатах поверки нового блока СКЗИ тахографа, подтверждающие его пригодность для применения, содержатся в Федеральном информационном фонде по обеспечению единства измерений; ( ФГИС «АРШИН»)
3) проводимые при замене блока СКЗИ тахографа работы и (или) проводимая после замены блока СКЗИ настройка не влияют на метрологические характеристики тахографа».

Действия после замены блока СКЗИ:

Источник

Тахографы с 1 января 2021 года. Не опять, а снова 09:10, 2 марта 2021 Версия для печати

С вступлением в силу ФЗ № 247 «Об обязательных требованиях в Российской Федерации» наличие в тахографе блока СКЗИ стало необязательным – об этом рассказывает технический эксперт в области соответствия транспортных средств Максим Сухомлинов.

С 1 января 2021 г. вступил в силу ряд нормативных правовых актов, разработанных в рамках реализации механизма «регуляторной гильотины». К 1 января 2021 года весь переизбыток нормативов, устанавливающих обязательные требования, которые устарели или несли избыточные требования, должен был быть полностью заменён на новый. По мнению Правительства, это должно существенно сократить административную нагрузку на бизнес и повысить уровень безопасности потребителей, убрать избыточные и устаревшие требования.

Регулирование в вопросах использования тахографов также попало в жернова «гильотины». В рамках этой короткой статьи переведем с языка чиновников и юристов на человеческий то, что произошло с тахографом с 1 января 2021 года. Для тех, кому лень читать, ниже размещен видеоролик по этой теме.

Напомню читателям, что начиная с 2014 года не утихают споры об обязательности требований пресловутого приказа Минтранса №36, который ввел понятие СКЗИ в тахографе и обязал перевозчиков без явной необходимости сменить одни тахографы на другие. Были суды, в том числе и заседание Верховного суда, который установил законность приказа Минтранса № 36, но обошёл стороной обязательность наличия блока СКЗИ в тахографе. При этом точки расставлены не были и определенности больше не стало.

И вот теперь, в рамках «регуляторной гильотины», вступил в силу Федеральный закон № 247 от 31 июля 2020 года «Об обязательных требованиях в Российской Федерации». Именно этот закон раз и навсегда (очень в это верим) определил, ЧТО является обязательным, а за ЧТО наказывать незаконно. Документ получился очень лаконичный, не громоздкий, и весьма однозначный, что является не свойственным для нормативных правовых актов современной России.

В первую очередь этот Федеральный закон определил что же такое обязательные требования – это те требования, исполнение которых разрешено проверять в процессе проверок, осуществляемых надзорными органами (осуществление проверок тоже регламентировали по новому, в рамках ФЗ № 248 от 31.07.2020 «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации») и за несоблюдение которых могут наказать (п. 1, ст. 1 ФЗ 247 от 31.07.2020). Таким образом, в рамках одного федерального закона были весьма однозначно сформулированы очень важные принципы, которые до этого тоже были, но выходили из совокупности требований множества нормативных правовых актов, и соответственно всячески отрицались контролерами, а суды делали вид, что их не существует вовсе. Вот основные из них:

Трудно переоценить факт появления такого Федерального Закона. Этот закон имеет огромное значение в большинстве областей предпринимательской деятельности на территории Российской Федерации.

Но, вернемся к тахографам. Напомню, что тахограф является объектом технического регулирования и к его производству, наладке и использованию/эксплуатации предъявляются определенные требования. По 31 декабря 2020 года эти требования предъявлялись приказом Минтранса №36 (так думало большинство людей, в том числе и те, кто осуществлял государственный контроль и надзор), который был издан в соответствии с Постановлением Правительства №1213 от 23 ноября 2012 г., которое, в свою очередь, издано в соответствии со статьей 20 Федерального Закона № 196 от 10.12.1995 «О безопасности дорожного движения». Выглядело это так:

Так БЫЛО. И так считали контролеры, ну и требовали соответственно. А что же изменилось после 1 января 2021 года? А изменилось следующее. В первую очередь изменился приказ Минтранса № 36. Ну как изменился, скорее заместился приказом Минтранса № 440 от 28.10.2020 (Приказ Минтранса №36 был признан утратившим силу с 31 декабря 2021 года), который по тексту, практически повторяет предшественника, и который вступил в силу 1 января 2021 года. Таким образом, приказ Минтранса № 440 Об утверждении требований к тахографам, с 1 января 2021 года предъявляет требования к тахографам, процессам их производства, монтажа, наладки (настройки, активации) и использования/эксплуатации, а значит, требует и наличие в тахографе СКЗИ.

Так что же? СКЗИ опять «в моде»? НЕТ. И теперь уж в этом у судов не будет сомнения.

В соответствии с п. 3 статьи 1 Федерального Закона №247 «Об обязательных требованиях», порядок установления обязательных требований к продукции (в нашем случае к тахографу) или к процессам проектирования (включая изыскания), производства, монтажа, наладки, эксплуатации этой продукции, определяется Договором о Евразийском экономическом союзе от 29 мая 2014 года, актами, составляющими право Евразийского экономического союза, и законодательством Российской Федерации о техническом регулировании. Таким образом, на федеральном уровне законодательства подтвержден тезис, о котором мы твердили последние 7 лет – Федеральный Закон № 196 «О безопасности дорожного движения» НЕ МОЖЕТ предъявлять к тахографам (как к продукции и объекту технического регулирования) обязательных требований в принципе! Обязательные требования к тахографу, как к продукции, могут быть определены только в рамках Договора о ЕАЭС, в частности, техническими регламентами. Именно об этом говорит и статья 3 Федерального Закона № 184 «О техническом регулировании». Штрафовать за отсутствие в тахографе блока СКЗИ незаконно! Теперь цепочка утверждения обязательных требований к тахографу выглядит так:

И такую позицию гарантирует и обеспечивает Федеральный Закон №247 «Об обязательных требованиях в Российской Федерации». Таким образом, теперь, уже на федеральном уровне и без возможности трактовать иначе, обязательные требования к тахографу определены Техническим регламентом Таможенного союза 018/2011 «О безопасности колесных транспортных средств». Напоминаем, что в обязательных требованиях к тахографам, установленных ТР ТС 018/2011 отсутствуют требования о наличии в тахографе блока СКЗИ (пункт 65 приложения 10 к ТР ТС 018/2011). Подтверждением соответствия тахографа обязательным требованиям, в соответствии со статьей 20 ФЗ 184 «О техническом регулировании», являлся и является исключительно сертификат соответствия техническому регламенту, действующий или с истекшим сроком действия. (В части тахографов есть еще одно обязательное требование – это требование о метрологической поверке, поэтому тахограф, помимо сертификата, должен быть внесен в реестр средств измерения, более подробно об этом в следующий раз).

Но, могут заметить читатели, как же так, ведь Минтранс не может ошибаться, и он выпустил приказ 440, значит его надо исполнять! Более того, этот приказ внесен в реестр обязательных требований по версии Ространснадзора. Нет, исполнять приказ 440 не требуется, потому как его требования, в частности наличия в тахографах блока СКЗИ не могут являться обязательными в соответствии с уже указанными выше нормами, установленными с 1 ноября 2020 года п. 3, статьи 1 ФЗ 247. А если учитывать реестр обязательных требований Ространснадзора, то необходимо помнить пункте 7 статьи 3 Федерального Закона № 247 «Об обязательных требованиях в Российской Федерации», что имеет значительно более высокий юридический статус.

А вот почему Минтранс продолжает уже явно незаконными способами навязывать блок СКЗИ – это уже вопрос не к нам, а скорее к прокуратуре и другим следственным органам (очень надеемся, что они наконец то обратят свое внимание на этот факт), но это выходит за рамки этой статьи.

Для тех кто сомневается и опасается действий контролеров, Федеральный закон № 247 приготовил еще один подарок в виде норм, установленных пунктом 7 статьи 3:

В случае действия противоречащих друг другу обязательных требований (в нашем случае требования к конструкции тахографа в части отсутствия СКЗИ, пункт 65 приложения 10 ТР ТС 018/2011 и требования приказа Минтранса 440 о наличии СКЗИ в тахографе) в отношении одного и того же объекта и предмета регулирования (в нашем случае тахограф), установленных нормативными правовыми актами равной юридической силы (здесь, конечно, приказ Минтранса значительно ниже чем ТР ТС 018/2011, но все же если предположить равенство, желающих это сделать будет не мало), лицо считается добросовестно соблюдающим обязательные требования и не подлежит привлечению к ответственности, если оно обеспечило соблюдение одного из таких обязательных требований.

Таким образом, лицо, использующее тахограф без СКЗИ, но имеющий сертификат соответствия ТР ТС 018/2011 и метрологическую поверку (например, такие как тахографы международного образца – ЕСТР), не может быть привлечено к ответственности, потому как оно добросовестно выполнило одно из обязательных требований.

Теперь, даже очень осмотрительным и несмелым перевозчикам не требуется тратить свои или бюджетные деньги за установку тахографов СКЗИ или периодическую замену СКЗИ, а также менять тахографы ЕСТР, которыми оборудованы практически все иномарки европейского производства с допустимой максимальной массой более 12 тонн и таким образом вносить не законные изменения конструкции транспортного средства.

Нас могут упрекнуть в том, что мы уже 7 лет говорим о незаконности требовать блок СКЗИ в тахографах, а воз и ныне там. Но это не так, в течении всего 2020 года мы занимались судебной практикой и испытали поражение всего лишь дважды из более чем 50 дел, в которых приняли непосредственное участие. Ознакомится с наиболее интересными из них можно по этой ссылке: http://ncont.ru/yuridicheskoe-soprovozhdenie.

Мы полностью подтвердили свои слова делами. Блок СКЗИ в тахографе никогда не был обязательным и необязателен сейчас, просто доказать это было тяжело. После 1 января 2021 года с такой задачей может справиться каждый.

Штрафовать за отсутствие в тахографе блока СКЗИ было незаконным, есть незаконно и будет незаконным впредь. Федеральный закон №247 «Об обязательных требованиях в Российской Федерации» не панацея, и не стоит ждать, что на дороге прекратятся поборы по части тахографов, однако теперь, выиграть суд будет гораздо проще и быстрее. До тех пор, пока перевозчик не начнет знать свои права, вымогательство на дорогах со стороны представителей контролирующих органов не прекратится. Причиной существования и процветания незаконных требований наличия СКЗИ в тахографе, в первую очередь является правовой нигилизм самих перевозчиков. Поэтому не стоит обвинять Государство во всех своих бедах, надо просто начать изучать Закон и требовать его выполнения в том числе и контролеров. Продолжаете бояться? Тогда зовите на помощь профессионалов! Берем недорого, гарантируем положительный результат. В итоге, за нашу работу платит тот самый представитель контролирующих органов, который вынес незаконное постановление. С уважением к вниманию читателей,

Сухомлинов Максим Владимирович,
Руководитель сервисного центра «Надежный контакт»,
технический эксперт в области соответствия транспортных средств,
инженер, метролог, испытатель,
специалист в области информационной безопасности,
специалист в области технического контроля и диагностики транспортных средств и
человек с активной гражданской позицией.