Приказ № 524
«Об утверждении требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств»
Действующая редакция
с 24 октября 2022
Описание приказа №524
Кого касается
-
Предприятие, подключенное к ГИС
Когда применяется
-
При работе с информацией, передаваемой в ГИС
Самое главное
-
Предприятие, являющееся оператором ГИС, в некоторых случаях обязано защищать обрабатываемую информацию при помощи средств криптографической защиты (СКЗИ)
-
В зависимости от значимости информации должны применяться СКЗИ соответствующего класса
Сокращения и термины, используемые в НПА
Государственные информационные системы (ГИС) — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов
СКЗИ — Средства криптографической защиты информации, в Приказе ФСБ №66 к ним относят:
-
средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации;
-
средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
-
средства электронной цифровой подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
-
средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
-
средства изготовления ключевых документов (независимо от вида носителя ключевой информации);
-
ключевые документы (независимо от вида носителя ключевой информации).
Модель угроз — согласно Методическим рекомендациям ФСБ, моделью угроз является перечень возможных угроз информационной безопасности компании. В проекте методического документа ФСТЭК отмечается, что «целью моделирования угроз безопасности информации является выявление совокупности условий и факторов, которые приводят или могут привести к нарушению безопасности обрабатываемой в системах и сетях информации (нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и (или) средств её обработки), а также к нарушению или прекращению функционирования систем и сетей.
Краткое изложение
Приказ утверждает требования к защите информации в государственных информационных системах (ГИС)с использованием шифровальных (криптографических) средств.
-
Приказ не распространяется на государственные информационные системы Администрации Президента, Совета Безопасности, Федерального Собрания, Правительства, Конституционного cуда, Верховного cуда и Федеральной службы безопасности, на другие ГИС, содержащие гостайну.
-
Государственная информация, хранящаяся в государственных информационных системах (ГИС), требует защиты с использованием СКЗИ в следующих случаях:
-
Законодательством или нормативными актами Российской Федерации установлена обязанность по защите информации в ГИС с использованием СКЗИ.
-
В ГИС передается информация по каналам связи, которые выходят за пределы охраняемой территории предприятия или учреждения.
-
Необходимо обеспечить юридическую значимость электронных документов и защиту их от подделки.
-
В ГИС хранятся данные на носителях информации, которые не могут быть защищены от несанкционированного доступа без использования криптографических методов.
-
Необходимость использования СКЗИ для защиты информации в ГИС должна быть обоснована в модели угроз безопасности информации, техническом проекте и техническом задании на создание или развитие ГИС. Модель угроз безопасности информации и техническое задание должны быть согласованы с ФСБ России.
-
Если в документации к СКЗИ сказано, что нужно проверить, как аппаратные, программно-аппаратные и программные средства влияют на работу средства защиты информации, то это должна сделать уполномоченная организация. Оценка влияния среды функционирования и образцы СКЗИ должны быть переданы в ФСБ России.
-
Если ГИС предназначена для решения задач на всей территории Российской Федерации или в пределах двух и более субъектов РФ, в помещениях с СКЗИ и носителями ключевой, аутентифицирующей и парольной информации должен обеспечиваться режим, препятствующий неконтролируемому проникновению лиц: металлические решетки, охранная сигнализация.
-
Класс СКЗИ устанавливается в зависимости от уровня значимости информации в ГИС и масштаба системы. Уровень значимости информации определяется степенью возможного ущерба для обладателя/оператора информации в случае ее утери или нарушения конфиденциальности. Для определения класса СКЗИ используется таблица ниже.
-
Информация имеет высокий уровень значимости, если в случае ее утери, нарушения конфиденциальности или целостности возможны существенные негативные последствия в различных областях деятельности (социальной, политической, экономической и т.д.).
-
Средний уровень значимости, если возможны умеренные негативные последствия.
-
Низкий уровень значимости, если возможны незначительные негативные последствия.
| Уровень значимости информации | Масштаб ГИС (сегмента ГИС) | ||
|---|---|---|---|
| ГИС (сегмент ГИС), предназначенная для решения задач ГИС на всей территории Российской федерации или в пределах двух и более субъектов Российской Федерации | ГИС (сегмент ГИС), предназначенная для решения задач ГИС в пределах одного субъекта Российской Федерации | ГИС (сегмент ГИС), предназначенная для решения задач ГИС в пределах объекта (объектов) одного государственного органа, муниципального образования и (или) организации | |
| Высокий уровень значимости | КВ | КС3 | КС2 |
| Средний уровень значимости | КС3 | КС3 | КС1 |
| Низкий уровень значимости | КС2 | КС1 | КС1 |
-
Уровень значимости информации и масштаб определяются для каждого сегмента ГИС отдельно.
-
При взаимодействии двух и более ГИС для защиты информации выбирается наиболее высокий класс СКЗИ среди используемых во взаимодействующих ГИС.
-
Класс СКЗИ, используемых для взаимодействия граждан (физических лиц) с ГИС, может быть ниже класса, определенного для ГИС в соответствии с Требованиями.
-
Для защиты информации в ГИС необходимо использовать СКЗИ класса КС1, если источник атак может осуществлять создание способов атак только вне пределов контролируемой зоны.
-
Для защиты информации в ГИС необходимо использовать СКЗИ класса КС2, если источник атак может осуществлять создание способов атак в пределах контролируемой зоны без физического доступа к аппаратным средствам.
-
Для защиты информации в ГИС необходимо использовать СКЗИ класса КС3, если источник атак может осуществлять создание способов атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам.
-
Если в модели угроз безопасности информации указано, что возможны атаки со стороны специалистов, которые имеют опыт работы с СКЗИ, в том числе в области анализа сигналов и использования недокументированных возможностей программного обеспечения, то для защиты информации в системе ГИС необходимо использовать СКЗИ класса КВ.
-
Если в модели угроз безопасности информации указано, что возможны атаки со стороны специалистов, которые имеют опыт работы с аппаратными и программными компонентами криптографических средств, в том числе с использованием недокументированных возможностей, необходимо использовать СКЗИ класса КА.
-
Если другие нормативные акты требуют использования более высокого класса СКЗИ, чем указано в настоящих требованиях, то класс криптографических средств, используемых в системе ГИС, определяется согласно этим актам.
