Приказ Минцифры России от 26.01.2021 N 29 (ред. от 11.04.2025) "Об утверждении Единых функционально-технических требований по автоматизации видов регионального государственного контроля (надзора) в целях внедрения риск-ориентированного подхода"

Таблица - Возможности потенциальных нарушителей безопасности информации и требуемые классы СКЗИ/СЭП на стороне ОИ КНО (ВИС КНО), СВТ пользователей

Таблица - Возможности потенциальных нарушителей безопасности информации и требуемые классы СКЗИ/СЭП на стороне ОИ КНО (ВИС КНО), СВТ пользователей:

N п/п

Возможности потенциальных нарушителей безопасности информации (для ОИ КНО, ВИС КНО, СВТ пользователей)

Требуемый класс СКЗИ/СЭП

1

Возможность самостоятельного создания способов атак, подготовки и проведения атак, без привлечения специалистов в области разработки и анализа средств криптографической защиты информации (далее - СКЗИ) и средств электронной подписи (далее - СЭП)

КС1

2

Возможность осуществления действий на различных этапах жизненного цикла СЭП и СКЗИ, в т.ч. на этапах разработки (модернизации), производства, хранения, транспортировки, ввода в эксплуатацию (пусконаладочные работы), эксплуатации

КС1

3

Возможность проведение атаки извне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (из-за пределов контролируемой зоны)

КС1

4

Возможность проведения на этапах разработки (модернизации), производства, хранения, транспортировки и ввода в эксплуатацию (пусконаладочных работ) СКЗИ/СЭП следующих атак:

- внесение несанкционированных изменений в СКЗИ/СЭП и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ/СЭП и в совокупности представляющие среду функционирования СКЗИ/СЭП (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ/СЭП требований, в том числе с использованием вредоносных программ;

- внесение несанкционированных изменений в документацию на СКЗИ/СЭП и на компоненты СФ

КС1

5

Возможность проведения атак на этапе эксплуатации СКЗИ/СЭП на следующие объекты защиты:

- документация на СКЗИ/СЭП и на компоненты СФ;

- защищаемые электронные документы (защищаемую информацию);

- ключевая, аутентифицирующая и парольная информация СКЗИ/СЭП;

- СКЗИ/СЭП и его программные и аппаратные компоненты;

- аппаратные средства, входящие в СФ, включая микросхемы с записанным микрокодом BIOS, осуществляющей инициализацию этих средств (далее - аппаратные компоненты СФ);

- программные компоненты СФ, включая программное обеспечение BIOS;

- данные, передаваемые по каналам связи;

- помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ/СЭП и СФ

КС1

6

Возможность получения из находящихся в свободном доступе источников, включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, следующей информации:

- общие сведения об информационной системе, в которой используется СКЗИ/СЭП (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);

- сведения об информационных технологиях, базах данных, аппаратных средствах, ПО, используемых в информационной системе совместно с СКЗИ/СЭП, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, аппаратные средства, ПО, используемые в информационной системе совместно с СКЗИ/СЭП;

- содержание конструкторской документации на СКЗИ/СЭП;

- сведения о физических мерах защиты объектов, в которых размещены СКЗИ/СЭП;

- сведения о мерах по обеспечению контролируемой зоны объектов информационной системы, в которой используются СКЗИ/СЭП;

- сведения о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ/СЭП и СФ;

- содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ/СЭП и СФ;

- общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ/СЭП;

- все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационно-техническими мерами;

- сведения о каналах связи, по которым передается защищаемая СКЗИ/СЭП информация;

- сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационно-техническими мерами и техническими мерами, нарушениях правил эксплуатации СКЗИ/СЭП и СФ, неисправностях и сбоях аппаратных компонентов СКЗИ/СЭП и СФ;

- сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ/СЭП и СФ, которые может перехватить нарушитель

КС1

7

Возможность использования:

- находящихся в свободном доступе или используемых за пределами контролируемой зоны аппаратных средств и ПО, включая аппаратные и программные компоненты СКЗИ/СЭП и СФ;

- специально разработанных аппаратных средств и ПО

КС1

8

Возможность использования на этапе эксплуатации в качестве каналов атаки (среды переноса от субъекта к объекту, от объекта к субъекту) действий, осуществляемых при подготовке и (или) проведении атаки:

- каналов связи, не защищенных от несанкционированного доступа к информации организационно-техническими мерами (как вне контролируемой зоны, так и в ее пределах), по которым передается защищаемая СКЗИ/СЭП информация;

- каналов распространения сигналов, сопровождающих функционирование СКЗИ/СЭП и СФ

КС1

9

Возможность проведения атак из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц

КС2

10

Возможность использования на этапе эксплуатации аппаратных средств и ПО из состава средств информационной системы, используемых на местах эксплуатации СКЗИ/СЭП (далее - штатные средства) и находящихся за пределами контролируемой зоны

КС2

11

Возможность проведения атаки при нахождении как вне пределов, так и в пределах контролируемой зоны

КС2

12

Возможность получения в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

- сведения о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;

- сведения о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;

- сведения о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ/СЭП и СФ

КС2

13

Возможность использования штатных средств, ограниченная мерами, реализованными в информационной системе, в которой используются СКЗИ/СЭП, и направленными на предотвращение и пресечение несанкционированных действий

КС2

14

Возможность физического доступа к СВТ, на которых реализованы СКЗИ/СЭП и СФ

КС3

15

Возможность располагать аппаратными компонентами СКЗИ/СЭП, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ/СЭП, и направленными на предотвращение и пресечение несанкционированных действий

КС3

Определение требуемого класса СКЗИ/СЭП для применения на стороне ОИ КНО (ВИС КНО) и СВТ пользователей (сотрудников КНО), входящих в состав ОИ КНО (ВИС КНО), осуществляют ответственные лица, назначенные руководителем КНО, на основании экспертного анализа совокупности приведенных в пунктах 1 - 15 таблицы возможностей потенциальных нарушителей безопасности информации.

В случае, если для подготовки и проведения атак на ОИ КНО (ВИС КНО), в состав которых входят СВТ, с которых пользователи осуществляют удаленный доступ к ресурсам ГИС ТОР КНД, потенциальными нарушителями может быть использована любая из возможностей, приведенная в строках 1 - 8 таблицы, и не используется ни одна из возможностей, приведенная в строках 9 - 15 таблицы, на стороне ОИ КНО (ВИС КНО) должны применяться СКЗИ/СЭП класса КС1.

В случае, если для подготовки и проведения атак на ОИ КНО (ВИС КНО), в состав которых входят СВТ, с которых пользователи осуществляют удаленный доступ к ресурсам ГИС ТОР КНД, потенциальными нарушителями может быть использована любая из возможностей, приведенная в строках 9 - 13 таблицы, и не используется ни одна из возможностей, приведенная в строках 14 - 15 таблицы, на стороне ОИ КНО (ВИС КНО) должны применяться СКЗИ/СЭП класса КС2, либо СКЗИ/СЭП класса КС1 совместно с реализацией комплекса организационно-технических мер защиты информации, направленных на нейтрализацию возможностей, приведенных в строках 9 - 13 таблицы, в составе:

- организация пропускного и внутриобъектового режима по адресу расположения ОИ КНО (ВИС КНО), в состав которого входят СКЗИ/СЭП и СВТ, с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД;

- организация контролируемой зоны на ОИ КНО (ВИС КНО), в состав которых входят СКЗИ/СЭП и СВТ, с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД, и применяемые СКЗИ/СЭП;

- регламентация, предоставление и контроль прав (полномочий) сотрудников КНО по доступу к настройкам оборудования, СКЗИ/СЭП, программного обеспечения СВТ в составе ОИ КНО (ВИС КНО), с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД, с учетом принципа минимальной достаточности;

- утверждение руководителем КНО списка лиц, допущенных в помещения, в которых размещены СКЗИ/СЭП и СВТ в составе ОИ КНО (ВИС КНО), с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД, а также правил доступа в указанные помещения в рабочее время, нерабочее время и в нештатных ситуациях;

- контроль доступа лиц в помещения, в которых размещены СВТ в составе ОИ КНО (ВИС КНО), с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД и применяемые СКЗИ/СЭП;

- исключение пребывания в помещениях, в которых размещены СКЗИ/СЭП и средства СВТ в составе ОИ КНО (ВИС КНО), с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД, сотрудников сторонних организаций, а также сотрудников технических, обслуживающих и иных вспомогательных служб (электрики, уборщицы, сантехники и т.п.) в отсутствие контроля со стороны лиц, допущенных в указанные помещения;

- применение средств межсетевого экранирования и обнаружения вторжений на ОИ (ВИС КНО), в состав которых входят СКЗИ/СЭП и СВТ, с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД;

- учет и контроль вноса/выноса СКЗИ/СЭП и СВТ в составе ОИ КНО (ВИС КНО), с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД, за пределы контролируемой зоны ОИ КНО (ВИС КНО).

В случае, если для подготовки и проведения атак на ОИ КНО (ВИС КНО), в состав которых входят СВТ, с которых внешние непривилегированные пользователи осуществляют удаленный доступ к ресурсам ГИС ТОР КНД, потенциальными нарушителями может быть использована любая из возможностей, приведенная в строках 14 - 15 таблицы, на стороне ОИ КНО (ВИС КНО) должны применяться СКЗИ/СЭП класса КС3, либо СКЗИ/СЭП класса КС2 совместно с реализацией нижеперечисленных организационно-технических мер защиты информации, либо СКЗИ/СЭП класса КС1 совместно с реализацией комплекса организационно-технических мер защиты информации, приведенных в предыдущем абзаце и следующих нижеперечисленных дополнительных организационно-технических мер защиты информации, в составе:

- оборудование помещений, в которых размещены СКЗИ/СЭП и СВТ в составе ОИ КНО (ВИС КНО), с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД, системой охранной сигнализации, средствами контроля доступа, надежными дверьми и замками с опечатывающими устройствами;

- контроль доступа лиц к применяемым СКЗИ/СЭП и СВТ в составе ОИ КНО (ВИС КНО), с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД;

- контроль (опечатывание) неиспользуемых портов ввода-вывода и интерфейсов, а также корпусов СВТ в составе ОИ КНО (ВИС КНО), на которых установлены СКЗИ/СЭП и с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД;

- контроль состава (целостности) СКЗИ/СЭП, программного и аппаратного обеспечения СВТ в составе ОИ КНО (ВИС КНО), с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД;

- регистрация и учет действий сотрудников КНО, осуществляющих взаимодействие с ресурсами ГИС ТОР КНД с применением СКЗИ/СЭП и СВТ в составе ОИ КНО (ВИС КНО), с которых осуществляется удаленный доступ к ресурсам ГИС ТОР КНД.

Результаты определения требуемого класса СКЗИ/СЭП для применения на стороне ОИ КНО при подключении к ГИС ТОР КНД должны быть зафиксированы в отдельном документе, утвержденном руководителем КНО и подписанным членами комиссии.

Реализация организационно-технических мер защиты информации на стороне КНО на ОИ согласно установленному классу СКЗИ/СЭП должна быть обеспечена КНО до подачи заявки на подключение к ГИС ТОР КНД согласно Регламенту подключения к защищенной сети государственной информационной системы "Типовое облачное решение по автоматизации контрольной (надзорной) деятельности" (актуальные редакции размещаются на портале ГИС ТОР КНД по адресу https://knd.gov.ru).

ГИС ТОР КНД не поддерживает защищенное взаимодействие с ОИ КНО (ВИС КНО), защищенных с применением СКЗИ по классу выше КС3.

Приложение. Методика определения класса СКЗИ/СЭП, применяемых на стороне КНО при подключении к ГИС ТОР КНД