Обзор проекта требований по защите ГИС с использованием СКЗИ - Блог Александра Веселова

Обзор проекта требований по защите ГИС с использованием СКЗИ

Защита ГИС – рецепт от ФСТЭК

Если рассматривать основных регуляторов в области ИБ, то отдельный документ, регламентирующий защиту Государственных информационных систем (ГИС), на данный момент есть только у ФСТЭК России. Это Приказ №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

В документе вводятся классы защищенности ГИС, отнесение к которым зависит от уровня значимости (степени возможного ущерба) и масштаба системы.

Уровень
значимости
информации

Масштаб информационной системы

Федеральный

Региональный

Объектовый

УЗ 1

К1

К1

К1

УЗ 2

К1

К2

К2

УЗ 3

К2

К3

К2

Далее приведены меры защиты, в том числе реализуемые с помощью СКЗИ, минимально необходимые для каждого класса защищенности.

Условное обозначение и номер меры

Меры защиты информации
в информационных системах

Классы защищенности информационной системы

3

2

1

ЗИС.3 Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

+

+

+

УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

+

+

+

В соответствии с п.11 приказа реализация мер необходима с помощью средств защиты информации, прошедших оценки соответствия в форме обязательной сертификации.

Защита ГИС – уточнения от ФСБ

23 ноября 2020 года ФСБ России представила проект документа «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации» (далее проект Требований) для общественного обсуждения.

Ранее в контексте задач по криптографической защите информации отдельного руководящего документа от ФСБ России не было, заказчики и их контрагенты должны были руководствоваться верхнеуровневыми документами – ПКЗ2005, Приказом ФАПСИ №152, а также документами с грифом ДСП.

Проект Требований конкретизирует меры по криптозащите и гармонизирует требования ФСБ с ранее выпущенными требованиями ФСТЭК.

В проекте документа рассматриваются две функциональные задачи:

  • передача информации по каналам связи, проходящим за границей контролируемой зоны,
  • хранение данных на носителях.

Реализация определена четко — только СКЗИ, сертифицированные ФСБ России.

Вводится классификация по уровням значимости и масштабам ГИС, аналогичная 17 приказу ФСТЭК, которая позволит выбрать необходимый класс СКЗИ: избежать избыточности с одной стороны, и задать минимальную планку – с другой.

Масштаб ГИС

  • ГИС имеет федеральный масштаб, если она предназначена для решения задач ГИС на всей территории РФ или в пределах двух и более субъектов РФ.
  • ГИС имеет региональный масштаб, если она предназначена для решения задач ГИС в пределах одного субъекта РФ.
  • ГИС имеет объектовый масштаб, если она предназначена для решения задач ГИС в пределах объекта (объектов) одного государственного органа, муниципального образования и (или) организации.

Уровень значимости ГИС

  • Информация имеет высокий уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации не могут выполнять возложенные на них функции.
  • Информация имеет средний уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации не могут выполнять хотя бы одну из возложенных на них функций.
  • Информация имеет низкий уровень значимости, если в результате нарушения хотя бы одного из свойств безопасности информации возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор, обладатель информации могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

Определение класса СКЗИ

Класс СКЗИ, подлежащих использованию для защиты информации, содержащейся в ГИС, определяется в соответствии с таблицей.

Уровень значимости информации

Масштаб ГИС (сегмента ГИС)

ГИС (сегмент ГИС) федерального масштаба

ГИС (сегмент ГИС) регионального масштаба

ГИС (сегмент ГИС) объектового масштаба

Высокий уровень значимости

КВ

КС3

КС2

Средний уровень значимости

КС3

КС3

КС1

Низкий уровень значимости

КС2

КС1

КС1

Дополнения

  • В п. 16 указано, что при взаимодействии с другими ГИС и/или сегментами других ГИС класс СКЗИ определяется по более высокому классу в соответствии с таблицей,
  • В п.18-21 заложена возможность повышения класса защиты СКЗИ в зависимости от возможностей нарушителя. Соотношение возможностей нарушителя и класса СКЗИ аналогично Приказу ФСБ России №378.

Резюме

Глобальных изменений новый документ не принесет, так как основные принципы изложены в более верхнеуровневых документах и не меняются. Более четкие формулировки всегда удобнее для заказчиков, чем неконкретное описание, которое можно трактовать по-разному в зависимости от ситуации.

Поделиться:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *