Приказ № 524
«Об утверждении требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств»
Действующая редакция
с 24 октября 2022
Описание приказа №524
Кого касается
- Предприятие, подключенное к ГИС
Когда применяется
- При работе с информацией, передаваемой в ГИС
Самое главное
- Предприятие, являющееся оператором ГИС, в некоторых случаях обязано защищать обрабатываемую информацию при помощи средств криптографической защиты (СКЗИ)
- В зависимости от значимости информации должны применяться СКЗИ соответствующего класса
Сокращения и термины, используемые в НПА
Государственные информационные системы (ГИС) — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов
СКЗИ— Средства криптографической защиты информации, в Приказе ФСБ №66 к ним относят:
- средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации;
- средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
- средства электронной цифровой подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
- средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
- средства изготовления ключевых документов (независимо от вида носителя ключевой информации);
- ключевые документы (независимо от вида носителя ключевой информации).
Модель угроз — согласно Методическим рекомендациям ФСБ, моделью угроз является перечень возможных угроз информационной безопасности компании. В проекте методического документа ФСТЭК отмечается, что «целью моделирования угроз безопасности информации является выявление совокупности условий и факторов, которые приводят или могут привести к нарушению безопасности обрабатываемой в системах и сетях информации (нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и (или) средств её обработки), а также к нарушению или прекращению функционирования систем и сетей.
Краткое изложение
Приказ утверждает требования к защите информации в государственных информационных системах (ГИС)с использованием шифровальных (криптографических) средств.
- Приказ не распространяется на государственные информационные системы Администрации Президента, Совета Безопасности, Федерального Собрания, Правительства, Конституционного cуда, Верховного cуда и Федеральной службы безопасности, на другие ГИС, содержащие гостайну.
- Государственная информация, хранящаяся в государственных информационных системах (ГИС), требует защиты с использованием СКЗИ в следующих случаях:
- Законодательством или нормативными актами Российской Федерации установлена обязанность по защите информации в ГИС с использованием СКЗИ.
- В ГИС передается информация по каналам связи, которые выходят за пределы охраняемой территории предприятия или учреждения.
- Необходимо обеспечить юридическую значимость электронных документов и защиту их от подделки.
- В ГИС хранятся данные на носителях информации, которые не могут быть защищены от несанкционированного доступа без использования криптографических методов.
- Необходимость использования СКЗИ для защиты информации в ГИС должна быть обоснована в модели угроз безопасности информации, техническом проекте и техническом задании на создание или развитие ГИС. Модель угроз безопасности информации и техническое задание должны быть согласованы с ФСБ России.
- Если в документации к СКЗИ сказано, что нужно проверить, как аппаратные, программно-аппаратные и программные средства влияют на работу средства защиты информации, то это должна сделать уполномоченная организация. Оценка влияния среды функционирования и образцы СКЗИ должны быть переданы в ФСБ России.
- Если ГИС предназначена для решения задач на всей территории Российской Федерации или в пределах двух и более субъектов РФ, в помещениях с СКЗИ и носителями ключевой, аутентифицирующей и парольной информации должен обеспечиваться режим, препятствующий неконтролируемому проникновению лиц: металлические решетки, охранная сигнализация.
- Класс СКЗИ устанавливается в зависимости от уровня значимости информации в ГИС и масштаба системы. Уровень значимости информации определяется степенью возможного ущерба для обладателя/оператора информации в случае ее утери или нарушения конфиденциальности. Для определения класса СКЗИ используется таблица ниже.
- Информация имеет высокий уровень значимости, если в случае ее утери, нарушения конфиденциальности или целостности возможны существенные негативные последствия в различных областях деятельности (социальной, политической, экономической и т.д.).
- Средний уровень значимости, если возможны умеренные негативные последствия.
- Низкий уровень значимости, если возможны незначительные негативные последствия.
| Уровень значимости информации | Масштаб ГИС (сегмента ГИС) | ||
|---|---|---|---|
| ГИС (сегмент ГИС), предназначенная для решения задач ГИС на всей территории Российской федерации или в пределах двух и более субъектов Российской Федерации | ГИС (сегмент ГИС), предназначенная для решения задач ГИС в пределах одного субъекта Российской Федерации | ГИС (сегмент ГИС), предназначенная для решения задач ГИС в пределах объекта (объектов) одного государственного органа, муниципального образования и (или) организации | |
| Высокий уровень значимости | КВ | КС3 | КС2 |
| Средний уровень значимости | КС3 | КС3 | КС1 |
| Низкий уровень значимости | КС2 | КС1 | КС1 |
- Уровень значимости информации и масштаб определяются для каждого сегмента ГИС отдельно.
- При взаимодействии двух и более ГИС для защиты информации выбирается наиболее высокий класс СКЗИ среди используемых во взаимодействующих ГИС.
- Класс СКЗИ, используемых для взаимодействия граждан (физических лиц) с ГИС, может быть ниже класса, определенного для ГИС в соответствии с Требованиями.
- Для защиты информации в ГИС необходимо использовать СКЗИ класса КС1, если источник атак может осуществлять создание способов атак только вне пределов контролируемой зоны.
- Для защиты информации в ГИС необходимо использовать СКЗИ класса КС2, если источник атак может осуществлять создание способов атак в пределах контролируемой зоны без физического доступа к аппаратным средствам.
- Для защиты информации в ГИС необходимо использовать СКЗИ класса КС3, если источник атак может осуществлять создание способов атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам.
- Если в модели угроз безопасности информации указано, что возможны атаки со стороны специалистов, которые имеют опыт работы с СКЗИ, в том числе в области анализа сигналов и использования недокументированных возможностей программного обеспечения, то для защиты информации в системе ГИС необходимо использовать СКЗИ класса КВ.
- Если в модели угроз безопасности информации указано, что возможны атаки со стороны специалистов, которые имеют опыт работы с аппаратными и программными компонентами криптографических средств, в том числе с использованием недокументированных возможностей, необходимо использовать СКЗИ класса КА.
- Если другие нормативные акты требуют использования более высокого класса СКЗИ, чем указано в настоящих требованиях, то класс криптографических средств, используемых в системе ГИС, определяется согласно этим актам.
