Сертифицированные СКЗИ для ГИС - Форум по вопросам информационной безопасности

Добрый день, коллеги!
Подскажите, а чем регламентировано использование сертифицированных СКЗИ при использовании ГИС ? Именно сертифицированных.
Нужно ли вообще сертифицированные использовать ?

1. Мера ЗИС.3 приказа № 17 ФСТЭК России. Там это говорится.
2. Приказ ФСБ России № 378. Пункт 5-г.

Это из того, что вспомнило с ходов.
А вообще запомните - в ГИС только сертифицированные ФСТЭК (ФСБ - криптография) СрЗИ. Иначе никак.

*в сторону*
А у нас разве нечто, не имеющее сертификата соответствия, вообще может называться СКЗИ? Не шифровальным средством, не криптографическим средством, не водой на киселе, а именно "средством криптографической защиты информации"? Но это так, именно что в сторону...

Так-то, насколько помню, прямого требования использования криптухи с сертификатом ФСБ России именно в ГИС нет. Приказы ФСТЭК вообще мимо (именно там явно про сертификацию), поскольку они криптографии не касаются. Однако... если ГИС попадает под 676 Постановление Правительства, то без сертифицированных СКЗИ будет, мягко говоря, крайне сложно что-либо согласовать. При условии, что вообще необходимо использовать криптографию, конечно...
А так, с 2020 г. ждем Приказ ФСБ России в части ГИС (аля 378 Приказ для ИСПДн). Там и про сертификацию имеется, и про классы, и про все остальное... Жаль, правда, что обещанного три года ждут, ага...

to Валерий

Нормативными документами ФСБ России СКЗИ разделяются по виду защищаемой ими информации - гостайна или "не гостайна" (информация, не содержащая сведений, составляющей государственную тайну). И не зависят от вида информационной системы: ГИС или не ГИС. Общее ведомственное требование для СКЗИ это проведение процедуры оценки соответствия в единственной форме - сертификации.
Основными документами здесь являются для гостайны - приказ от 13 ноября 1999 года № 564, а для сведений, относящимся к "не гостайне", это приказ от 9 февраля 2005 года № 66. В этих же документах прописаны виды средств, которые ведомством отнесены к СКЗИ и на которые, соответственно, распространяется сертификация.

Для ГИСов куда более интересен вопрос выбора и обоснования класса применяемого СКЗИ, а не его сертификация. Например, если в ГИС есть персональные данные, то "Составом и содержанием мер...", утвержденным приказом от 10 июля 2014 года № 378, выбор класса СКЗИ уже "сделан за вас". А в отношении других защищаемых "не гостайновских" сведений - обосновывается самостоятельно. Как правило, это делают в Модели угроз на создаваемую систему или определяют в соглашении информационного взаимодействия между Вашей ГИС и иной ИС.