Как определить класс СКЗИ для ГИС без ПДн? - Форум по вопросам информационной безопасности

Здравствуйте!

Подскажите, пожалуйста, какими нормативными документами ФСБ руководствоваться при определении класса СКЗИ, используемых для защиты ГИС, в которой не обрабатываются персональные данные, но только лишь служебная тайна?

Могу я, например, для защиты ГИС класса К1 использовать СКЗИ класса КС1 и если нет, то почему? Как на это посмотрит регулятор?

Понимаю, что по тому же 378-му Приказу это будет не правильно, но ведь применение данного нормативного документа в случае отсутствия обработки персональных данных будет не обязательным.

to Деся
ФСТЭК и ФСБ до сих пор официально не свели воедино свои представления о нарушителях (свои классификаторы, разумеется). Поэтому де юре в вашей ИС могут быть актуальны нарушители со "средним потенциалом" по ФСТЭК и класса Н1 по ФСБ. В таком случае применяете КС1 (или выше) СКЗИ, исходя из Н1 класса нарушителя. И никто пока вам противного слова не скажет, если, конечно, класс нарушителя по ФСБ вы умышленно не занизили...
Исторически, если для защиты ИС применяются СКЗИ, то принято делать две модели: Модель угроз по ФСТЭК и Модель нарушителя по ФСБ. В последней модели и идет анализ с выбором результирующего класса нарушителя и, соответственно, требуемого класса применяемых криптосредств...
Сам класс нарушителя по ФСБ выбирается, исходя из предполагаемых его возможностей, а также ценности защищаемой информации. Для полного понимания картины "нарушитель - СКЗИ" читайте 378 Приказ ФСБ, старую методику ФСБ 149/54-144 за 2008 г. по ПДн и новую методику ФСБ за 2015 г. по ПДн...

Спасибо Вам за ответ! Но получается так:

Классификации нарушителей по классам Н1-Н6 давно нет в связи с отменой методики ФСБ 149/54-144 от 2008г. и В связи с отменой данной методики нет и необходимости разрабатывать модель нарушителя по ФСБ.

Потенциал нарушителей вещь не до конца ясная и ее суть раскрывается только в неутвержденной методике по моделированию угроз ФСТЭК. Связи потенциала нарушителей с классами СКЗИ опять же никакой нет - нет соответствующих нормативных документов.

378 Приказ, методика ФСБ за 2015 г. - эти документы относятся исключительно к ПДн, но в нашей ГИС нету ПДн.

В этом весь и вопрос - нужно ли пытаться скрестить ужа с ежом (ПДн с ГИС, в которой нет ПДн) и не лучше ли следовать букве закона / упирать на отсутствие такой буквы и просто выбрать тот класс СКЗИ, который посчитаем нужным?

to Деся
Primo, классификация Н1-Н6 как была, так и осталась. Методика 2008 отменена, но классы не изменились. Поэтому и рекомендую ее к прочтению, чтобы знать взаимосвязь нарушителей с классами СКЗИ...
Secundo, ФСТЭК к СКЗИ не имеет отношения. Поэтому де юре "их нарушитель", не обязательно должен совпадать с "нарушителем-по-ФСБ-для-СКЗИ". В этом и проблема, и отдушина. Поэтому, используя СКЗИ в своей ИС (любой), нужна-таки модель нарушителя по ФСБ...
Tertio, для ГИС ФСБ не написала конкретную методику *вырезано* потому что нет ФЗ, классификацию ГИС определила ФСТЭК, а это другая контора, и вообще, пусть сами теперь расхлебывают */вырезано*. Следовательно, модель нарушителя оформляется для конкретной ИС конкретными людьми на свое усмотрение. Но соотношение "возможности нарушителя => класс нарушителя => необходимый класс СКЗИ" неизменно. И просто так выбрать любые СКЗИ для своей ИС, внедрить их и радоваться жизни не получится. Должно быть обоснование. Иначе при проверках регулятора можно заработать втык от "экспертов". Вот такое у нас законодательство, ага...

Вы не могли бы пояснить по этому моменту - "классификация Н1-Н6 как была, так и осталась. "Методика 2008 отменена, но классы не изменились. Поэтому и рекомендую ее к прочтению, чтобы знать взаимосвязь нарушителей с классами СКЗИ..."
Возможно, я где-то что-то упускаю из виду - хотелось бы разобраться.
Если классификация осталась, то в каком нормативном документе она закреплена? Если этот документ имеет гриф ДСП и к нему нет доступа, то мы ведь не обязаны им руководствоваться.

to Деся
Если вы лицензиат ФСБ, то должны сами все прекрасно знать...
Если вы эксплуатант ИС, которому вменили разработать ЧМУ или подобрать нужные СКЗИ, то писать и придумывать можете что хотите и на базе любой подвернувшейся под руку документации, ссылаясь или не ссылаясь на отсутствие утвержденных источников, - без привлечения лицензиата все подобные действия с позиции ФСБ ликвидными не будут (особенно внедрение СКЗИ, ага)...
Если вам "чисто для себя", то ответ уже привел - читайте Методику 2008 (и проводите параллели с 378 Приказом и Методикой 2015), ее положения отменены в части описания, но подход "выбор СКЗИ, исходя из класса нарушителя" и классификаторы нарушителей и СКЗИ никуда не делись. К слову, до появления Методики 2008 информацию по классам нарушителей и СКЗИ (более-менее детальную) получить было, мягко говоря, очень сложно (если вы, конечно, не ходите в 8 Центр как к себе домой, ага)...

ЗЫ Проблема в том, что ФСБ мало интересуют КОНФИ-объекты. ГИС, по всей видимости, тоже. И методику отдельную для ГИС и других ИС, не имея четкого ФЗ или указания Правительства РФ, ФСБ делать не будет. Вот и приходится крутиться как можем. Ссылаться на Методики 2008/2015 ПДн в случае с ГИС, конечно, глупо. Но, imho, никто вас за такую отсылку не поругает. Потому что де факто подходы одинаковы, а де юре... скажем так, наши законы и регуляторы в особенности любят создавать ситуации с "подвешенным состоянием", чтобы позже в любой момент времени их трактовать в свою пользу, ага...