Компьютерная грамотность сотрудников
Узнать большеСуществует приказ ФСБ России №117 от 18.03.2025 г, определяющий критерии выбора средств криптографической защиты для обеспечения безопасности государственных информационных систем (ГИС). Предыдущий стандарт носил общий характер — в нем не было четких требований к внедряемым СКЗИ, из-за чего у организаций возникали сложности. Новые требования ФСБ России диктуют определенные критерии, которыми следует руководствоваться при построении защиты ГИС. В частности, организациям нужно пересмотреть существующие подходы и внедрить более надежные решения. В этой статье рассказываем об обновленных требованиях, основных положениях приказа, мерах ответственности за несоблюдение.
Ключевые пункты актуального приказа ФСБ России
Перечислим базовые регламенты, касающиеся нюансов защиты информации в ГИС:
- Обеспечивать при помощи инструментов криптозащиты безопасность данных, содержащихся в ГИС, нужно в том случае, если эти данные пересылаются по каналам связи, которые проходят вне периметра охраняемой организации и конкретных контролируемых зон. Также СКЗИ применяются в случае необходимости обеспечить юридическую значимость электронных документов, заверенных электронной подписью.
- Зачастую внедрение СКЗИ нужно обосновывать в модели угроз безопасности информации, которая в обязательном порядке проходит согласование с ФСБ России.
- Следует применять для защиты информации только решения, прошедшие сертификацию СКЗИ в ФСБ России.
- В модели угроз безопасности информации определяются типы потенциальных нарушителей в соответствии с их возможностями. Каждому типу нарушителей соответствует свой класс СКЗИ.
- Если это предусматривается требованиями регуляторов, необходимо выполнить оценку влияния среды функционирования. Компании должны оценить, как используемые аппаратные, программные и программно-аппаратные решения, в которых СКЗИ функционируют в штатном режиме, влияют на исполнение требований приказа ФСБ России.
- Необходимо обеспечивать специальный режим охраны для помещений, где хранятся средства криптозащиты и носители ключевой информации. Следует обозначить четкие правила доступа для круга лица, имеющих право работать с СКЗИ.
Перейдем к основным правилам выбора инструментов для обеспечения информационной безопасности ГИС:
- Класс средств криптозащиты определяется отдельно для каждой ГИС или ее сегментов с опорой на текущие задачи организации и территориальное расположение.
- Выбор класса СКЗИ зависит от обрабатываемых данных и конкретных требований ФСБ России. Важно, чтобы он был не ниже минимально разрешенного для конкретной ГИС.
- Если ГИС складывается из нескольких сегментов, степень важности данных и масштаб защиты информации устанавливаются отдельно для конкретных сегментов.
- Класс решений СКЗИ, применяемых для обеспечения безопасного взаимодействия граждан с ГИС или их сегментами, определяется на основе модели актуальных угроз безопасности информации.
В таблице мы перечислили, какие классы решений следует внедрить для защиты информации с учетом модели угроз безопасности, масштабов ГИС и значимости данных.
|
Уровень важности данных |
Масштаб ГИС или ее сегментов |
||
|---|---|---|---|
|
|
Выполнение задач на всей территории РФ, в пределах нескольких субъектов РФ |
Выполнение задач в пределах одного субъекта РФ |
Выполнение задач в конкретных организациях
|
|
Высокий |
КВ |
КСЗ |
КС2 |
|
Средний |
КСЗ |
КСЗ |
КС1 |
|
Низкий |
КС2 |
КС1 |
КС1 |
Применение СКЗИ высшего класса защиты (КА) не оговаривается. Чтобы внедрить такие решения, придется обосновать необходимость в модели угроз безопасности информации или сослаться на приказ ФСБ России № 378 от 10.07.2014 г.
Риски несоблюдения требований ФСБ
Какие последствия могут ожидать организацию, которая не соблюдает требования к защите ГИС:
- Утечка конфиденциальной информации.
- Нарушение работы ГИС.
- Санкции и штрафы со стороны отраслевых регуляторов.
- Утрата доверия со стороны граждан и организаций.
Если организации используют для защиты ГИС СКЗИ классом ниже, чем нужно, необходимо вывести решения из эксплуатации и списать или применить для других нужд, после чего внедрить и настроить новые криптографические средства, отвечающие требованиям приказа ФСБ России. Это не так просто с временной и финансовой точек зрения, но во избежание санкций регулятора регламенты придется выполнять.
Подходы к внедрению СКЗИ для защиты информации в ГИС
Возможные варианты:
- Внедрение СКЗИ на основе российских криптоалгоритмов, которые прошли сертификацию ФСБ России и соответствуют требуемому классу защиты.
- Использование облачных решений СКЗИ в рамках сервисной модели, то есть инструментов, развернутых на мощностях сервис-провайдера.
Выбор подхода к защите информации в ГИС и внедрению СКЗИ зависит от особенностей информационных систем, конкретных требований к безопасности с учетом специфики организации, бюджета.
Все больше организаций выбирают сервисную модель эксплуатации СКЗИ, поскольку это позволяет:
- Экономить на капитальных затратах и оплачивать только те услуги, которые фактически потребляются.
- Высвобождать трудовые ресурсы специалистов по информационной безопасности, поскольку за защиту ГИС с помощью СКЗИ отвечают эксперты на стороне провайдера.
- Смещать на сервис-провайдера ответственность за выполнение требований регуляторов, в том числе и ФСБ России.
Использование сервисов защиты по подписке не нарушает приказ ФСБ России. Главное, чтобы в выбранных решениях присутствовали российские криптоалгоритмы, была пройдена сертификация.
Практические рекомендации по обеспечению соответствия требованиям ФСБ
Какие меры необходимо предпринять:
- Провести аудит информационной безопасности ГИС с целью выявить, какие решения уже применяются, насколько они актуальны и эффективны.
- Разработать модель угроз информационной безопасности и технический проект по внедрению средств защиты.
- Разработать план внедрения СКЗИ или замены уже используемых решений на новые, соответствующие требованиям приказа ФСБ России.
- Обучить персонал работе со средствами криптозащиты, составить соответствующие акты, подготовить перечень ответственных лиц.
- Подготовить всю необходимую документацию по СКЗИ.
- Проводить регулярный мониторинг безопасности для отслеживания эффективности защиты информации в ГИС.
Следование этим рекомендациям поможет организациям эффективно обеспечивать соответствие требованиям ФСБ России, выстраивать надежную защиту ГИС и избегать санкций регулятора.
Как «Солар» поможет выстроить защиту ГИС в соответствии с приказом ФСБ России
Предлагаем в рамках сервисной модели подключить решение ГОСТ VPN от Solar MSS, которое работает на основе криптоалгоритмов от топовых российских вендоров и обеспечивает эффективное шифрование каналов связи. Его использование позволит организациям соответствовать требованиям, перечисленным в приказе ФСБ России, обеспечивать целостность и конфиденциальность передаваемых данных.
Преимущества нашего сервиса:
- Высокий уровень информационной безопасности ГИС благодаря надежному шифрованию данных, передаваемых по открытым каналам связи. Таким образом, обеспечивается безопасное взаимодействие между геораспределенными филиалами организации.
- Обеспечение соответствия требованиям ФСБ России и отраслевых регуляторов. В ГОСТ VPN включены СКЗИ, прошедшие сертификацию.
- Упрощенная аттестация ГИС благодаря тому, что сервис получил аттестат соответствия первому уровню защищенности персональных данных. Внедряя решение, которое соответствует столь высоким стандартам безопасности, компаниям проще пройти аттестацию собственных систем.
- Эффективная эксплуатация средств криптографической защиты. Эксперты ГК «Солар» полностью возьмут на себя настройку и обслуживание СКЗИ, «бумажную» работу.
Защита с помощью ГОСТ VPN возможна в двух вариантах — использование оборудования сервис-провайдера или администрирование оборудования клиента. Оптимальную схему можно выбрать на консультации с экспертами ГК «Солар».
