В настоящее время в области обеспечения безопасности персональных данных действуют следующие нормативно-методические документы ФСБ России:
1) Приказ ФСБ от 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» помимо организационных требований содержит следующие требования к используемым классам СКЗИ в зависимости от уровня защищенности и типа актуальных угроз, которые могут быть представлены в виде таблицы:
| Уровень защищенности ИСПДн | Класс СКЗИ | ||
Угрозы I типа | Угрозы II типа | Угрозы III типа | |
1 | КА | КВ+ | - |
2 | КА | КВ+ | КС1+ |
3 | - | КВ+ | КС1+ |
4 | - | - | КС1+ |
Типы угроз указаны согласно Постановлению Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:
- угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
- угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
- угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
2) Приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» содержит общие требования по порядку разработки, производства, реализации (распространения) и эксплуатации СКЗИ.
3) «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152, определяет, что относится к СКЗИ, следующие требования: по организации и обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации; по порядку обращения с СКЗИ и криптоключами к ним, мероприятия при компрометации криптоключей; по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним; по контролю за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации; а также необходимые формы журналов учета.
4) «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015) включают в себя следующие основные разделы: общее описание информационных систем персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности; определение актуальности использования СКЗИ для обеспечения безопасности персональных данных; определение актуальных угроз.
При построении системы защиты государственных информационных систем (ГИС) с использованием СКЗИ также приходится руководствоваться рассмотренными выше документами.
24.10.2022 года вышел Приказ Федеральной службы безопасности Российской Федерации № 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств» (Зарегистрирован 23.11.2022 № 71073), который вступает в силу по истечении одного года со дня его официального опубликования – 23.11.2023 г. Документ определяет, что информация, содержащаяся в ГИС, подлежит защите с использованием шифровальных (криптографических) средств защиты информации в случаях, если:
- законодательными и иными нормативными правовыми актами Российской Федерации предусмотрена обязанность по защите информации, содержащейся в ГИС, с использованием СКЗИ;
- в ГИС осуществляется передача информации по каналам связи, проходящим за периметром охраняемой территории предприятия (учреждения), ограждающих конструкций охраняемого здания, охраняемой части здания, выделенного помещения (далее - контролируемая зона);
- необходимо обеспечить юридическую значимость электронных документов и защиту их от подделки;
- в ГИС осуществляется хранение данных на носителях информации, предназначенных для записи, хранения и воспроизведения информации, обрабатываемой с использованием средств вычислительной техники, несанкционированный доступ к которым со стороны третьих лиц не может быть исключен с помощью некриптографических методов и способов.
Необходимость использования СКЗИ для защиты информации, содержащейся в ГИС, подлежит обоснованию в модели угроз безопасности информации, техническом проекте и техническом задании на создание (развитие) ГИС. Модель угроз безопасности информации и (или) техническое задание на создание (развитие) ГИС подлежат согласованию с ФСБ России в части криптографической защиты информации.
Для обеспечения защиты информации, содержащейся в ГИС, должны использоваться только СКЗИ, сертифицированные ФСБ России.
Минимально допустимые классы СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС (сегменте ГИС), приведены в таблице:
Уровень значимости информации* | Масштаб ГИС (сегмента ГИС) | ||
ГИС (сегмент ГИС), предназначенная для решения задач ГИС на всей территории Российской Федерации или в пределах двух и более субъектов Российской Федерации | ГИС (сегмент ГИС), предназначенная для решения задач ГИС в пределах одного субъекта Российской Федерации | ГИС (сегмент ГИС), предназначенная для решения задач ГИС в пределах объекта (объектов) одного государственного органа, муниципального образования и (или) организации | |
Высокий уровень значимости | КВ | КС3 | КС2 |
Средний уровень значимости | КС3 | КС3 | КС1 |
Низкий уровень значимости | КС2 | КС1 | КС1 |
* Уровень значимости информации:
- информация имеет высокий уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации не могут выполнять возложенные на них функции;
- информация имеет средний уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации не могут выполнять хотя бы одну из возложенных на них функций;
- информация имеет низкий уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
При этом класс применяемых СКЗИ должен быть скорректирован в зависимости от актуальных угроз:
| Актуальная угроза | Класс СКЗИ |
Возможность источника атак самостоятельно осуществлять создание способов атак, подготовку и проведение атак только вне пределов контролируемой зоны | КС1 |
Возможность источника атак самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования |
|
Возможность источника атак самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования |
|
Возможность источника атак привлекать специалистов, имеющих опыт разработки и анализа СКЗИ, включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ и специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения |
|
Возможность источника атак привлекать специалистов, имеющих опыт разработки и анализа СКЗИ, включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ | КА |
В случае если иными нормативными правовыми актами, устанавливающими требования о защите информации с использованием СКЗИ, предусмотрена необходимость использовать для защиты информации СКЗИ более высокого класса, чем класс СКЗИ, определенный в соответствии с настоящими Требованиями, то класс СКЗИ, подлежащих использованию в ГИС (сегменте ГИС), определяется в соответствии с такими нормативными правовыми актами.