Сегодня в очередной раз перечитывал проект приказа ФСБ России "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" . Да, в нем много странных и неточных требований (опломбирование помещений, решетки на окнах первых и последних этажей, электронные журналы сообщений и безопасности, и другие). Но я ориентировался на классы сертифицированных СКЗИ.
Обратил внимание, что несмотря на положение про "использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз" (п.5г), в документа предполагается использование сертифицированных СКЗИ, даются конкретные классы СКЗИ под уровни защищенности ПДн.
Вот итоговая таблица:
|
Уровень защищенности
|
Класс СКЗИ
| ||
|
АУ 1 типа
|
АУ 2 типа
|
АУ 3 типа
| |
|
1
|
КА1
|
КВ2+
|
-
|
|
2
|
КВ2+
|
КВ2+
|
КС1+
|
|
3
|
???
(в документе не написано, предположительно КВ2+) |
КВ2+
|
КС1+
|
|
4
|
КС1+
|
КС1+
|
КС1+
|
Напомню, что на данный момент есть 6 классов СКЗИ: КС1, КС2, КС3, КВ1, КВ2, КА1.
Класс определяется исходя из возможностей по реализации атак (по сути, модель нарушителя), которые прописаны в документе.
Например:
- при КС3 злоумышленник имеет доступ к СВТ, на которых реализованы СКЗИ и СФ (среда функционирования)
- при КВ2 злоумышленники могут располагать исходными текстами входящего в СФ прикладного ПО, непосредственно использующего Вызовы программных функций СКЗИ
- при КА1 злоумышленники имеют возможность располагать всеми аппаратными компонентами СКЗИ и СФ
Вот интересно, несмотря на то, что мы вроде как и разрабатываем модель нарушителя (в рамках модели угроз), и можем определить его возможности, но итоговый класс СКЗИ привязан к уровню защищенности ПДн. Снизить его не удастся...
И еще, согласно выписке из перечня средств защиты информации, сертифицированных ФСБ России (по состоянию на 7 октября 2013 года) СКЗИ класса КВ2 менее 20, а КА1 всего 6...
P.S. Еще можете посмотреть пост про ПП1119, во исполнение которого и разработан данный проект приказа ФСБ России.
И еще, согласно выписке из перечня средств защиты информации, сертифицированных ФСБ России (по состоянию на 7 октября 2013 года) СКЗИ класса КВ2 менее 20, а КА1 всего 6...
P.S. Еще можете посмотреть пост про ПП1119, во исполнение которого и разработан данный проект приказа ФСБ России.
