КЛАСС ЗАЩИТЫ ФСТЭК К1-К6 И 1Б: ЧТО ЗНАЧИТ КАЖДЫЙ И КАК ВЫБРАТЬ СЗИ
Когда заказчик пишет в ТЗ «требуется СЗИ класса К2», часто это не до конца осмысленное требование. Разберём, что стоит за каждым классом ФСТЭК и как правильно подобрать решение для вашего объекта защиты.
Откуда берутся классы защиты
Классификация утверждена приказом ФСТЭК России №17 от 11.02.2013 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Существует две системы:
- 1Б, 1В, 1Г — для автоматизированных систем, обрабатывающих гостайну (приказ ФСТЭК №80, частично сохранил силу)
- К1-К6 — для информационных систем персональных данных и для иных АИС, не обрабатывающих гостайну
1Б — высший класс для гостайны
Подходит для систем, обрабатывающих сведения, составляющие государственную тайну (включая «совершенно секретно»). Требуется обязательное использование сертифицированных средств от НСД, мандатный контроль, аппаратная защита загрузки.
Обязательные требования к классу 1Б
- Изоляция от сети интернет (физическая или логическая)
- Аппаратно-программный модуль доверенной загрузки (АПМДЗ)
- Мандатный контроль целостности на уровне ядра ОС
- Замкнутая программная среда (white-list разрешённых программ)
- Сертифицированная криптографическая защита (СКЗИ ФСБ КС3)
- Журналирование всех действий пользователей
- Контроль вывода информации на печать и съёмные носители
Примеры решений для класса 1Б
- Astra Linux SE «Смоленск» — единственная российская ОС с сертификатом 1Б
- Аккорд-АМДЗ или Соболь 4.0 — АПМДЗ
- Secret Net Studio LSP или Dallas Lock Linux — дополнительная СЗИ от НСД
- КриптоПро CSP КС3 — для криптографической защиты
К1 — высший класс для ПДн и ИОГТ
Применяется к информационным системам персональных данных «специальных» категорий: медицинские данные, биометрия, расовая принадлежность, состояние здоровья. Также — для коммерческой или служебной тайны высокой ценности.
Кому актуален К1
- Медицинские учреждения с электронными медкартами (ЕГИСЗ)
- Лаборатории биометрических данных
- Банки с операциями по картам (PCI DSS)
- Системы социального обеспечения
К2-К3 — средние классы
К2 — для финансовых систем (онлайн-банкинг, бухгалтерские АС), для некоторых АСУ ТП (энергетика, транспорт), для значимых объектов КИИ 2 категории.
К3 — для большинства корпоративных АИС с обработкой ПДн (типичная корпоративная сеть с CRM, ERP, кадровым учётом).
К4-К6 — низкие классы
К4-К5 — типовые офисные системы, корпоративная почта, файловые серверы общего пользования.
К6 — открытые системы (внешние сайты, публичные информационные сервисы без обработки ПДн).
Как определить класс для своей системы
Класс определяется в ходе категорирования — анализируется характер обрабатываемой информации, её ценность, объём, последствия утечки. Пошагово:
- Анализ типа обрабатываемой информации (ПДн? коммерческая тайна? служебная? гостайна?)
- Оценка объёма (сколько субъектов ПДн)
- Оценка последствий утечки (ущерб гражданам, организации, государству)
- Проверка отнесения объекта к КИИ (см. 187-ФЗ)
- Определение класса по таблице из приказа ФСТЭК №17
Упрощённая таблица соответствия
| Тип информации | Объём | Класс |
|---|---|---|
| Гостайна «совершенно секретно» | — | 1Б |
| Гостайна «секретно» | — | 1В |
| Гостайна «ДСП» | — | 1Г |
| ПДн «специальные» категории | >100 тыс. субъектов | К1 |
| ПДн «специальные» категории | ≤100 тыс. | К2 |
| ПДн «иные» категории | >100 тыс. субъектов | К2 |
| ПДн «иные» категории | ≤100 тыс. | К3 |
| ПДн «общедоступные» | — | К4-К6 |
Как выбрать СЗИ под класс
В реестре сертифицированных средств защиты ФСТЭК для каждого средства указан максимальный класс. Например, Secret Net Studio Edition сертифицирован до К1, а Dallas Lock 8.0 — до 1Б. При выборе СЗИ нужно учитывать:
- Сертификат ФСТЭК соответствует или выше требуемого класса
- Совместимость с операционной системой
- Сертификат на ОУД (оценка уверенности доверия)
- Срок действия сертификата
- Стоимость и условия поддержки
Что делать, если требования меняются
На практике класс может пересматриваться: например, в системе появились биометрические данные — требуется К1 вместо К3. Действия:
- Провести повторное категорирование
- Обновить акт категорирования и направить во ФСТЭК
- Заменить или дополнить СЗИ под новый класс
- Провести повторную аттестацию системы
FAQ по классам защиты
Что лучше — сертификат ФСТЭК на класс или ОУД?
Это разные сертификаты, лучше иметь оба. Класс защищённости (К1-К6, 1Б) — это требования к функциям. ОУД (1-7) — это уровень доверия к разработке (тестирование, документация). Для значимых объектов КИИ обычно требуется и то, и другое.
Сертификат ФСТЭК действует пожизненно?
Нет, обычно 3-5 лет. После истечения нужно либо переcертификация (сложно и долго), либо переход на новую версию продукта с актуальным сертификатом.
Можно ли использовать СЗИ без сертификата ФСТЭК?
Для значимых объектов КИИ и систем с гостайной — нет. Для систем класса К6 (открытые) — допустимо, но не рекомендуется. Для систем К3-К5 — формально можно, но при проверке ФСТЭК будут вопросы.
Кто аттестует систему по классу?
Аттестация — это процедура внешней оценки соответствия системы классу. Проводят аккредитованные ФСТЭК организации-аттестующие. Стоимость аттестации — от 200 тыс. ₽ для К6 до нескольких миллионов для 1Б.
Срок действия аттестата?
3 года. После — повторная аттестация.
Подберём СЗИ под ваш класс защиты
Поможем с выбором сертифицированных СЗИ под требования вашего объекта. Все продукты в каталоге — с актуальными сертификатами ФСТЭК. Запросить подбор или смотрите каталог СЗИ.
Купить упомянутые продукты
Товары, о которых рассказано в этом материале — все с сертификацией ФСТЭК и в реестре Минцифры.
