Новые стандарты использования средств защиты информации в ГИС потребуют серьезной переработки СКЗИ в учреждениях
Уже через полгода (в ноябре 2023 года) вступят в силу требования Приказа ФСБ России №524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах (ГИС), с использованием шифровальных (криптографических) средств». Этот документ определяет новые требования к средствам криптографической защиты информации (СКЗИ) в учреждениях, работающих с ГИС. Изменения носят масштабный характер и потребуют серьезной переработки используемых сейчас систем защиты. Рассмотрим нововведения подробнее.
1. Приказ распространяется на (почти) всех без поблажек
В документе не описано каких-либо «переходных» положений и исключений для ранее созданных систем. Это значит, что со дня вступления документа в силу, соответствовать его требованиям должны все системы защиты во всех организациях, которые под него подпадают. Единственными, на кого не распространяются новые нормы, являются Администрация Президента, Совет Безопасности, Федеральное Собрание, Правительство, Конституционный Суд, Верховный Суд, ФСБ, а также ГИС, содержащие сведения, представляющие государственную тайну.
2. Усложненная классификация
Приказ уделяет особое внимание классам СКЗИ и их определению для ГИС того или иного уровня. Схема определения сложна сама по себе, а также разработана отдельно от классификации ФСТЭК России. Так, в случае если ГИС состоит из двух и более сегментов, то уровень значимости информации и масштаб определяются для каждого сегмента отдельно. При этом, для государственных информационных систем, которые взаимодействуют с другими ГИС, требуется использовать СКЗИ более высокого класса, в то время как в рамках одной системы подойдут и средства защиты наименьшего класса.
3. Критерии уровня опасности зависят от оценки и созданной по ее итогам модели угроз
Многие положения приказа прописаны в зависимости от модели угроз и того, какие в именно в ней определены нарушители, при этом с акцентом на потенциальные, а не актуальные угрозы. Если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак самостоятельно осуществлять создание способов, подготовку и проведение атак только вне пределов контролируемой зоны, требуется использование СКЗИ класса КС 1. В пределах охраняемой зоны без доступа к аппаратным средства – КС 2, с доступом – КС 3, а с привлечением специалистов – КВ. Выше этого класса, только средства класса КА, недоступные в свободной продаже, и предназначенные для информации под грифом «Совершенно секретно» и выше.
При этом документ включает в себя таблицу для определения класса СКЗИ в зависимости от масштаба ГИС и уровня значимости информации, однако учитывая требования к использованию более высокого класса при взаимодействии с более значимыми ГИС, определить конкретный класс для конкретной организации будет задачей масштабной и ресурсоемкой. Некоторым организациям, скорее всего, потребуется полностью переработать свои системы защиты, или внедрить новые инструменты, чтобы успеть ко вступлению закона в силу.
Вывод: впереди очень много работы
«Уже сейчас ясно, что приказ в его нынешней редакции довольно сложен в исполнении. Если он не будет пересматриваться, подпадающим под него организациям потребуется уже до начала лета приступить к работе по пересмотру модели угроз, детальному анализу возможных нарушителей, определению класса СКЗИ, при этом учитывая и требования ФСТЭК, а также переработке, а возможно, и полной замене используемых сейчас средств защиты», - прокомментировал Роман Писарев, руководитель департамента аудита и консалтинга компании iTPROTECT.
Работы по созданию модели угроз, определению необходимого класса решений для каждого конкретного случая и их внедрению могут занять от нескольких недель до нескольких месяцев. Тем не менее, время до вступления приказа в силу еще есть. Если вам требуется помощь, вы можете воспользоваться формой на сайте.
iTPROTECT вот уже более 10 лет работает с области защиты ГИС, включая их аттестацию и внедрение средств защиты информации. За это время команда выполнила свыше 30 проектов, в том числе на соответствие требованиям регуляторов, а прямо сейчас ведем два таких проекта с учетом нового приказа ФСБ России для двух федеральных органов исполнительной власти.