Приказ № 524

Приказ ФСБ России N 524 от 24 октября 2022 г
«Об утверждении требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств»

Приказ вступит в силу 23 ноября 2023 года.



Кого касается

  • Предприятие, подключенное к ГИС



Когда применяется

  • При работе с информацией, передаваемой в ГИС



Самое главное

  • Предприятие, являющееся оператором ГИС, в некоторых случаях обязано защищать обрабатываемую информацию при помощи средств криптографической защиты (СКЗИ)

  • В зависимости от значимости информации должны применяться СКЗИ соответствующего класса



Сокращения и термины, используемые в НПА


Государственные информационные системы (ГИС) — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов


СКЗИ — Средства криптографической защиты информации, в Приказе ФСБ №66 к ним относят:

  • средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации;

  • средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;

  • средства электронной цифровой подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;

  • средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

  • средства изготовления ключевых документов (независимо от вида носителя ключевой информации);

  • ключевые документы (независимо от вида носителя ключевой информации).



Модель угроз — согласно Методическим рекомендациям ФСБ, моделью угроз является перечень возможных угроз информационной безопасности компании.  В проекте методического документа ФСТЭК отмечается, что «целью моделирования угроз безопасности информации является выявление совокупности условий и факторов, которые приводят или могут привести к нарушению безопасности обрабатываемой в системах и сетях информации (нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и (или) средств её обработки), а также к нарушению или прекращению функционирования систем и сетей.



Краткое изложение

Приказ утверждает требования к защите информации в государственных информационных системах (ГИС)с использованием шифровальных (криптографических) средств.

  • Приказ не распространяется на государственные информационные системы Администрации Президента, Совета Безопасности, Федерального Собрания, Правительства, Конституционного cуда, Верховного cуда и Федеральной службы безопасности, на другие ГИС, содержащие гостайну.

  • Государственная информация, хранящаяся в государственных информационных системах (ГИС), требует защиты с использованием СКЗИ в следующих случаях: 

  • Законодательством или нормативными актами Российской Федерации установлена обязанность по защите информации в ГИС с использованием СКЗИ.

  • В ГИС передается информация по каналам связи, которые выходят за пределы охраняемой территории предприятия или учреждения.

  • Необходимо обеспечить юридическую значимость электронных документов и защиту их от подделки.

  • В ГИС хранятся данные на носителях информации, которые не могут быть защищены от несанкционированного доступа без использования криптографических методов.

  • Необходимость использования СКЗИ для защиты информации в ГИС должна быть обоснована в модели угроз безопасности информации, техническом проекте и техническом задании на создание или развитие ГИС. Модель угроз безопасности информации и техническое задание должны быть согласованы с ФСБ России.

  • Если в документации к СКЗИ сказано, что нужно проверить, как аппаратные, программно-аппаратные и программные средства влияют на работу средства защиты информации, то это должна сделать уполномоченная организация. Оценка влияния среды функционирования и образцы СКЗИ должны быть переданы в ФСБ России.

  • Если ГИС предназначена для решения задач на всей территории Российской Федерации или в пределах двух и более субъектов РФ, в помещениях с СКЗИ и носителями ключевой, аутентифицирующей и парольной информации должен обеспечиваться режим, препятствующий неконтролируемому проникновению лиц: металлические решетки, охранная сигнализация.

  • Класс СКЗИ устанавливается в зависимости от уровня значимости информации в ГИС и масштаба системы. Уровень значимости информации определяется степенью возможного ущерба для обладателя/оператора информации в случае ее утери или нарушения конфиденциальности. Для определения класса СКЗИ используется таблица ниже.

  • Информация имеет высокий уровень значимости, если в случае ее утери, нарушения конфиденциальности или целостности возможны существенные негативные последствия в различных областях деятельности (социальной, политической, экономической и т.д.).

  • Средний уровень значимости, если возможны умеренные негативные последствия.

  • Низкий уровень значимости, если возможны незначительные негативные последствия. 

  • Уровень значимости информации и масштаб определяются для каждого сегмента ГИС отдельно.

  • При взаимодействии двух и более ГИС для защиты информации выбирается наиболее высокий класс СКЗИ среди используемых во взаимодействующих ГИС.

  • Класс СКЗИ, используемых для взаимодействия граждан (физических лиц) с ГИС, может быть ниже класса, определенного для ГИС в соответствии с Требованиями.

  • Для защиты информации в ГИС необходимо использовать СКЗИ класса КС1, если источник атак может осуществлять создание способов атак только вне пределов контролируемой зоны.

  • Для защиты информации в ГИС необходимо использовать СКЗИ класса КС2, если источник атак может осуществлять создание способов атак в пределах контролируемой зоны без физического доступа к аппаратным средствам.

  • Для защиты информации в ГИС необходимо использовать СКЗИ класса КС3, если источник атак может осуществлять создание способов атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам.

  • Если в модели угроз безопасности информации указано, что возможны атаки со стороны специалистов, которые имеют опыт работы с СКЗИ, в том числе в области анализа сигналов и использования недокументированных возможностей программного обеспечения, то для защиты информации в системе ГИС необходимо использовать СКЗИ класса КВ.

  • Если в модели угроз безопасности информации указано, что возможны атаки со стороны специалистов, которые имеют опыт работы с аппаратными и программными компонентами криптографических средств, в том числе с использованием недокументированных возможностей, необходимо использовать СКЗИ класса КА.

  • Если другие нормативные акты требуют использования более высокого класса СКЗИ, чем указано в настоящих требованиях, то класс криптографических средств, используемых в системе ГИС, определяется согласно этим актам.

Полная версия документа

Оставьте заявку на  бесплатную консультацию