Обзор Приказа ФСБ России от 24.10.2022 № 524
Дата: 01.12.2023 г.
Автор статьи: Иван Вершинин — Специалист по защите информации в Альтирикс групп
Действие данного нормативно-правового акта (НПА) не распространяется на государственные информационные системы (ГИС): Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации, Федеральной службы безопасности Российской Федерации, а также на государственные информационные системы, содержащие сведения, составляющие государственную тайну.
Скачать Приказ ФСБ России от 24.10.2022 № 524 ↓
Кратко о документе: рассматриваемый приказ ФСБ России описывает, в каких случаях использовать средства криптографической защиты информации (СКЗИ) в ГИС, как определить нужный класс СКЗИ, и какие требования предъявляются к помещениям, где располагаются СКЗИ, носители ключевой информации и серверы ГИС.
Информация в ГИС подлежит защите при помощи СКЗИ в случаях, если:
- законом предусмотрена обязанность по защите информации в ГИС с использованием СКЗИ;
- информация передается по каналам связи, проходящим за периметром контролируемой зоны;
- необходимо обеспечить юридическую значимость электронных документов и защиту их от подделки (необходимость предположительно устанавливается положениями иных НПА или владельцем ГИС);
- в ГИС осуществляется хранение информации на машинных носителях, несанкционированный доступ к которой может быть исключен только при помощи СКЗИ.
Необходимость использования СКЗИ в ГИС подлежит обоснованию в модели угроз, техническом задании и техническом проекте. Модель угроз и техническое задание подлежат согласованию с ФСБ России в части криптографической защиты информации (согласование проводится в соответствии с положениями Постановления Правительства РФ от 06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»). В ГИС допускается использование только сертифицированных ФСБ России СКЗИ. Выбор класса СКЗИ должен быть обоснован в модели угроз. Класс СКЗИ определяется для каждого сегмента ГИС. Если сегментов нет, класс устанавливается для ГИС в целом.
Порядок определения класса СКЗИ
1. Выбрать класс в соответствии с таблицей ниже.
Внимание! Уровень значимости может быть определен по приказу ФСТЭК России № 17 от 11.02.2013 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Масштаб ГИС не может быть определен по приказу ФСТЭК России № 17: критерии определения масштаба отличаются!
Если у ГИС есть сегменты, масштаб и уровень значимости информации должен быть установлен для каждого сегмента в отдельности.
| Уровень значимости информации | Масштаб ГИС (сегмента ГИС) | ||
| ГИС (сегмент) предназначенная для решения задач на всей территории РФ или в пределах 2 и более субъектов | ГИС (сегмент), предназначенная для решения задач в пределах 1 субъекта РФ | ГИС (сегмент), предназначенная для решения задач в пределах объекта (объектов) одного государственного органа, муниципального образования и (или) организации | |
| Высокий (УЗ1) | КВ | КС3 | КС2 |
| Средний (УЗ2) | КС3 | КС3 | КС1 |
| Низкий (УЗ3) | КС2 | КС1 | КС1 |
2. Далее необходимо определить, какие условия из нижеприведенных выполняются, и выбрать класс СКЗИ в соответствии с ними:
2.1 Если СКЗИ используется в ГИС, взаимодействующей с другой ГИС, класс СКЗИ выбирается по более высокому классу СКЗИ, используемому во взаимодействующих ГИС.
2.2 Класс СКЗИ, применяемого во взаимодействующих между собой сегментах одной ГИС, выбирается не ниже наименьшего класса СКЗИ, применяемого в этой ГИС.
2.3 Класс СКЗИ, используемого для взаимодействия граждан (физ. лиц) с ГИС, определяется с учетом актуальных угроз и может быть ниже класса СКЗИ, определенного для ГИС.
2.4 Если в модели угроз в качестве актуальной угрозы определена возможность источника атак:
- самостоятельно осуществлять создание способов атак, подготовку и проведение атак только вне пределов контролируемой зоны, то для защиты ГИС, в том числе при взаимодействии граждан с ГИС, необходимо использовать СКЗИ класса КС1;
- самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования, то для защиты ГИС, в том числе при взаимодействии граждан с ГИС, необходимо использовать СКЗИ класса КС2.
Это правило применяется только в случае, если в соответствии с таблицей выше был определен класс КС1.
- самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования, то для защиты ГИС, в том числе при взаимодействии граждан с ГИС, необходимо использовать СКЗИ класса КСЗ.
Это правило применяется только в случае, если в соответствии с таблицей выше был определен класс КС1 или КС2.
- привлекать специалистов, имеющих опыт разработки и анализа СКЗИ, включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ и специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения, то для защиты ГИС, в том числе при взаимодействии граждан с ГИС, необходимо использовать СКЗИ класса КВ.
Это правило применяется только в случае, если в соответствии с таблицей выше был определен класс КС1, КС2 или КС3.
- привлекать специалистов, имеющих опыт разработки и анализа СКЗИ, включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ, то для защиты ГИС, в том числе при взаимодействии граждан с ГИС, необходимо использовать СКЗИ класса КА.
2.5 Если иными НПА РФ предусмотрена необходимость использовать СКЗИ более высокого класса, чем класс, определенный в соответствии с рассматриваемым приказом ФСБ России, то класс СКЗИ, подлежащих использованию в ГИС, определяется в соответствии с такими НПА.
Требования к помещениям, где располагаются СКЗИ
Для помещений, в которых размещены или хранятся СКЗИ или носители ключевой информации, необходимо:
- утвердить правила доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
- утвердить перечень лиц, имеющих право доступа в помещения.
Если ГИС (или ее сегмент) предназначена для решения задач в пределах 2 и более субъектов РФ (или на всей территории РФ) и обрабатывает информацию высокого уровня значимости (УЗ1), то помещения, в которых размещены или хранятся СКЗИ или носители ключевой информации, должны соответствовать требованиям:
- окна помещений на первых или последних этажах, а также помещений, находящихся около пожарных лестниц и других мест, откуда возможно проникновение в помещения, должны быть оборудованы металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению в помещения;
- окна и двери помещений, в которых размещены серверы ГИС, должны быть оборудованы металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению в помещения.
Похожие статьи
- Ключевые изменения законодательства в области защиты ПДн в период с 21.11.2022 по 21.12.2022
- Изменения в других областях информационной безопасности
Скачать НПА
Курс на импортозамещение оборудования и программного обеспечения (ПО) в сфере критической информационной инфраструктуры (КИИ) давно обсуждался и теперь получил свою формализацию в Постановлении Правительства (ПП) РФ от 14.11.2023 № 1912 «О порядке перехода…
Скачать НПА
- Ключевые изменения законодательства в области защиты ПДн в период с 22.12.2022 по 24.01.2023
- Изменения в других областях информационной безопасности
Скачать НПА