понедельник, 21 марта 2016 г.

Шпаргалка по классам СКЗИ для защиты Персональных данных

В приказе ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер..." вышедшего в поддержку применения средств криптографической защиты информация (СКЗИ) для обеспечения защиты Персональных данных, в зависимости от выбранного уровня защищенности ИСПДн, содержаться требования к тому или ному классу СКЗИ. 
В данном статье мы в качестве шпаргалки приведем небольшую сводную таблицу по указанным классам 



С полным текстом приказа ФСБ России от 10.07.2014 N 378 можно ознакомиться тут
Так же можно почитать мнения Волкова и Алексея Лукацкого о данном документе, когда он еще готовился в печать.


Обратите особое внимание, на то, что вмененное в обязательном порядке требование "использовать средства защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз" (п.5г), рассматриваемого документа предполагается использование сертифицированных СКЗИ. 

А далее даются конкретные классы СКЗИ под уровни защищенности ПДн, которые мы и приведем в нашей таблице.


Таблица классов СКЗИ для защиты ПДн


Уровень защищенности
Класс СКЗИ
АУ 1 типа
АУ 2 типа
АУ 3 типа
1
КА1
КВ2+
-
2
КВ2+
КВ2+
КС1+
3
-
КВ2+
КС1+
4
-
-
КС1+



Напомним, что на данный момент есть 6 классов СКЗИ: КС1, КС2, КС3, КВ1, КВ2, КА1.
Класс определяется исходя из возможностей по реализации атак (т.е. по сути исходя из модели нарушителя), которые прописаны в документе.
Например, так :
  •  при КС3 злоумышленник имеет доступ к СВТ, на которых реализованы СКЗИ и СФ (среда функционирования)
  •  при КВ2 злоумышленники могут располагать исходными текстами входящего в СФ прикладного ПО, непосредственно использующего Вызовы программных функций СКЗИ
  •  при КА1 злоумышленники имеют возможность располагать всеми аппаратными компонентами СКЗИ и СФ


Интересно заметить, что, несмотря на то, что мы вроде как и разрабатываем модель нарушителя (в рамках модели угроз ПДн), и можем определить его возможности, но итоговый класс СКЗИ привязан к уровню защищенности ПДн. И снизить его в нашем случае никак не удастся.

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...