В приказе ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер..." вышедшего в поддержку применения средств криптографической защиты информация (СКЗИ) для обеспечения защиты Персональных данных, в зависимости от выбранного уровня защищенности ИСПДн, содержаться требования к тому или ному классу СКЗИ.
Интересно заметить, что, несмотря на то, что мы вроде как и разрабатываем модель нарушителя (в рамках модели угроз ПДн), и можем определить его возможности, но итоговый класс СКЗИ привязан к уровню защищенности ПДн. И снизить его в нашем случае никак не удастся.
В данном статье мы в качестве шпаргалки приведем небольшую сводную таблицу по указанным классам
С полным текстом приказа ФСБ России от 10.07.2014 N 378 можно ознакомиться тут
Так же можно почитать мнения Волкова и Алексея Лукацкого о данном документе, когда он еще готовился в печать.
Обратите особое внимание, на то, что вмененное в обязательном порядке требование "использовать средства защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз" (п.5г), рассматриваемого документа предполагается использование сертифицированных СКЗИ.
А далее даются конкретные классы СКЗИ под уровни защищенности ПДн, которые мы и приведем в нашей таблице.
Таблица классов СКЗИ для защиты ПДн
Уровень защищенности
|
Класс СКЗИ
| ||
АУ 1 типа
|
АУ 2 типа
|
АУ 3 типа
| |
1
|
КА1
|
КВ2+
|
-
|
2
|
КВ2+
|
КВ2+
|
КС1+
|
3
|
-
|
КВ2+
|
КС1+
|
4
|
-
|
-
|
КС1+
|
Напомним, что на данный момент есть 6 классов СКЗИ: КС1, КС2, КС3, КВ1, КВ2, КА1.
Класс определяется исходя из возможностей по реализации атак (т.е. по сути исходя из модели нарушителя), которые прописаны в документе.
Например, так :
- при КС3 злоумышленник имеет доступ к СВТ, на которых реализованы СКЗИ и СФ (среда функционирования)
- при КВ2 злоумышленники могут располагать исходными текстами входящего в СФ прикладного ПО, непосредственно использующего Вызовы программных функций СКЗИ
- при КА1 злоумышленники имеют возможность располагать всеми аппаратными компонентами СКЗИ и СФ
Комментариев нет:
Отправить комментарий
Вы можете добавить свой комментарий...
Примечание. Отправлять комментарии могут только участники этого блога.