Новые требования к защите ГИС от ФСБ России

 

23 ноября 2020 на общественное обсуждение был выложен проект приказа ФСБ России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации".

7 декабря закончились обсуждения и вряд ли предвидятся серьезные изменения данного документа. У Валерия Комарова видел замечания только к терминологии и мелочам.

Я подготовил для вас видео обзор основных положений данного документа:

https://youtu.be/gdlwzo5-ors

Но здесь хочу обсудить несколько моментов которые не попали в видео:

·        В пункте 5 приказа ФСБ России №378 говорится об использовании использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации, но в пунктах 18, 21, 26 говорится о том, что для выполнения этого требования необходимо использовать СКЗИ класса КС1 и выше (то есть сертифицированные).

·        Хотя явных требований к оценке влияния среды функционирования не было в самом приказе №378, по эти требования были прописаны в документации на все СКЗИ, поэтому нельзя сказать что в новом приказе появились эти новые требования – скорее они теперь дублируются.

·        Ранее в ответах ФСБ России на вопросы по применению криптографии в ИСПДн получал аналогичную информацию о возможности определения угроз/нарушителей/класса СКЗИ для отдельных сегментов системы.

·        Сравнение правил выбора классов лишний раз показывает, что для ИСПДн были установлены слишком суровые классы криптозащиты. Фактически операторы случайно определившие у себя угрозы 1 и 2 типа автоматически ставили крест на своих ИСПДн. Для ГИС-ов минимальные классы сделали помягче.

·        Очевидно, что требование использовать максимальный класс СКЗИ при взаимодействии двух ИС приведет к тому, что когда все ИС будут соединены хотя бы в дерево (СМЭВ, ЕСИА, ЕБС, другие шины), то во всех таких системах должен будет применяться максимальный класс КА (при наличие хотя бы одной системы с КА).

·        Уже 6 лет прошло с момента утверждения приказа ФСБ России №378. Хорошо бы его привести к единому виду с новым приказом, для избежания двойных/несогласованных требований в случае когда ГИС – ИСПДн

 

 

Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3