Как выбрать класс СКЗИ для защиты информационной системы?
Основополагающий документ для определения класса СКЗИ в ИСПДн — Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – Приказ ФСБ № 378).
В документе описаны классы СКЗИ, всего их 5: КС1, КС2, КС3, КВ и КА.
Чтобы определить класс СКЗИ в ИСПДн, потребуется:
- Определить уровень защищенности ИСПДн в соответствии с Требованиями к защите ПДн при их обработке в ИСПДн, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.
- Далее нужно в соответствии с подпунктом «б» пункта 9 Приказа ФСБ № 378 сформировать предположения о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак. Предположения формируются на основании Методических рекомендаций по разработке нормативных правовых актов, определяющих угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденных руководством 8 Центра ФСБ России от 31 марта 2015 г. № 149/7/2/6-432 (далее – Модель нарушителя ФСБ).
Минимальный допустимый класс СКЗИ для:
4 уровня защищенности ИСПДн:
- КС1.
3 уровня защищенности ИСПДн:
- КВ, когда для информационной системы актуальны угрозы 2 типа;
- КС1, когда для ИС актуальны угрозы 3 типа.
2 уровня защищенности ИСПДн:
- КА, когда для ИС актуальны угрозы 1 типа;
- КВ, когда для ИС актуальны угрозы 2 типа;
- КС1, когда для ИС актуальны угрозы 3 типа.
1 уровня защищенности ИСПДн:
- КА, когда для ИС актуальны угрозы 1 типа;
- КВ, когда для ИС актуальны угрозы 2 типа.
Класс СКЗИ может быть повышен в соответствии с пунктами 10-14 Приказа ФСБ № 378. Возможности нарушителей, описанные в этих пунктах, можно найти в таблице № 2 Модели нарушителя ФСБ.
До 23 ноября 2022 года для определения класса СКЗИ использовался Приказ ФСБ № 378, так как не было альтернативного документа. 23 ноября 2022 года в Министерстве юстиции Российской Федерации был зарегистрирован Приказ ФСБ России от 24 октября 2022 г. № 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств» (далее – Приказ ФСБ № 524).
Также как и в Приказе ФСБ № 378, описано 5 классов СКЗИ: КС1, КС2, КС3, КВ и КА.
Для определения класса СКЗИ в ГИС, потребуется определить в соответствии с Приказом ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» уровень значимости обрабатываемой информации в ГИС и масштаб ГИС, а также ее особенности.
Ниже представлена таблица определения минимального допустимого класса СКЗИ в ГИС.
| Масштаб ГИС (сегмента ГИС) -> | Для решения задач ГИС на всей территории или в пределах 2 и более субъектов РФ | Для решения задач ГИС в пределах 1 субъекта РФ | Для решения задач ГИС в пределах объекта(ов) 1 госоргана, муниципального образования и (или) организации |
| Высокий уровень значимости информации | КВ | КС3 | КС2 |
| Средний УЗ | КС3 | КС3 | КС1 |
| Низкий УЗ | КС2 | КС1 | КС1 |
Класс СКЗИ может быть повышен в соответствии с пунктами 14-17 Приказа ФСБ № 524. Возможности нарушителей, описанные в этих пунктах, можно найти в таблице № 1 Модели нарушителя ФСБ. Также класс СКЗИ может быть повышен в соответствии с пунктом 18 Приказа ФСБ № 524.
Получите бесплатный аудит и консультацию по выбору класса СКЗИ для защиты информационной системы в вашей организации. Для этого оставьте заявку тут. С вами свяжется наш отдел ИБ.