Обзор проекта требований по защите ГИС с использованием СКЗИ
Защита ГИС – рецепт от ФСТЭК
Если рассматривать основных регуляторов в области ИБ, то отдельный документ, регламентирующий защиту Государственных информационных систем (ГИС), на данный момент есть только у ФСТЭК России. Это Приказ №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
В документе вводятся классы защищенности ГИС, отнесение к которым зависит от уровня значимости (степени возможного ущерба) и масштаба системы.
Уровень |
Масштаб информационной системы |
||
Федеральный |
Региональный |
Объектовый |
|
УЗ 1 |
К1 |
К1 |
К1 |
УЗ 2 |
К1 |
К2 |
К2 |
УЗ 3 |
К2 |
К3 |
К2 |
Далее приведены меры защиты, в том числе реализуемые с помощью СКЗИ, минимально необходимые для каждого класса защищенности.
Условное обозначение и номер меры |
Меры защиты информации |
Классы защищенности информационной системы |
||
3 |
2 |
1 |
||
ЗИС.3 | Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + |
+ |
+ |
УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + |
+ |
+ |
В соответствии с п.11 приказа реализация мер необходима с помощью средств защиты информации, прошедших оценки соответствия в форме обязательной сертификации.
Защита ГИС – уточнения от ФСБ
23 ноября 2020 года ФСБ России представила проект документа «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации» (далее проект Требований) для общественного обсуждения.
Ранее в контексте задач по криптографической защите информации отдельного руководящего документа от ФСБ России не было, заказчики и их контрагенты должны были руководствоваться верхнеуровневыми документами – ПКЗ2005, Приказом ФАПСИ №152, а также документами с грифом ДСП.
Проект Требований конкретизирует меры по криптозащите и гармонизирует требования ФСБ с ранее выпущенными требованиями ФСТЭК.
В проекте документа рассматриваются две функциональные задачи:
- передача информации по каналам связи, проходящим за границей контролируемой зоны,
- хранение данных на носителях.
Реализация определена четко — только СКЗИ, сертифицированные ФСБ России.
Вводится классификация по уровням значимости и масштабам ГИС, аналогичная 17 приказу ФСТЭК, которая позволит выбрать необходимый класс СКЗИ: избежать избыточности с одной стороны, и задать минимальную планку – с другой.
Масштаб ГИС
- ГИС имеет федеральный масштаб, если она предназначена для решения задач ГИС на всей территории РФ или в пределах двух и более субъектов РФ.
- ГИС имеет региональный масштаб, если она предназначена для решения задач ГИС в пределах одного субъекта РФ.
- ГИС имеет объектовый масштаб, если она предназначена для решения задач ГИС в пределах объекта (объектов) одного государственного органа, муниципального образования и (или) организации.
Уровень значимости ГИС
- Информация имеет высокий уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации не могут выполнять возложенные на них функции.
- Информация имеет средний уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации не могут выполнять хотя бы одну из возложенных на них функций.
- Информация имеет низкий уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
Определение класса СКЗИ
Класс СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, определяется в соответствии с таблицей.
Краткий комментарий по второй итерации публичных обсуждений:
https://t.me/aveselov_ru/260