2026 годОтвет: в настоящее время для объектов критической информационной инфраструктуры (далее – КИИ) отсутствует нормативно установленный порядок определения класса средств криптографической защиты информации (далее – СКЗИ), аналогичный порядку, предусмотренному для государственных информационных систем (
приказ ФСБ России от 18.03.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств») или информационных систем персональных данных.
В связи с этим выбор класса СКЗИ для объектов КИИ осуществляется экспертным путем. При определении достаточного класса рекомендуется учитывать совокупность факторов, в том числе:
- категорию значимости, присвоенную объекту КИИ;
- результаты моделирования угроз безопасности информации – актуальные угрозы и предполагаемые возможности нарушителя (в частности, нарушители условий и правил эксплуатации СКЗИ);
- архитектуру объекта КИИ и места применения криптографических средств (защита каналов связи, защита информации на носителях, организация удаленного доступа, применение электронной подписи и др.);
- характер защищаемой информации и возможные последствия нарушения ее конфиденциальности, целостности и доступности;
- условия и сценарии эксплуатации СКЗИ, включая особенности программной и аппаратной платформы, среды функционирования, а также предполагаемый срок эксплуатации системы.
При выборе класса СКЗИ целесообразно учитывать предполагаемые условия применения криптографических средств, архитектуру объекта КИИ, способы их использования, а также необходимость выполнения требований нормативных документов в области криптографической защиты информации. После определения требуемого класса осуществляется выбор конкретного сертифицированного СКЗИ, характеристики которого соответствуют установленным требованиям и условиям эксплуатации.
Поскольку нормативные требования к определению класса СКЗИ для объектов КИИ отсутствуют, рекомендуется фиксировать принятое решение и его обоснование в документации на систему безопасности значимого объекта КИИ (например, в техническом проекте, проектных решениях или иных организационно-распорядительных документах). В обосновании желательно отражать причины выбора конкретного класса СКЗИ и подтверждать, что он обеспечивает достаточный уровень защиты с учетом особенностей значимого объекта КИИ.
Следует учитывать, что при проведении оценки соответствия, государственного контроля или аудита ключевым является не выбранный класс СКЗИ, а наличие аргументированного обоснования того, что применяемые криптографические средства закрывают актуальные угрозы и обеспечивают выполнение требований по безопасности значимого объекта КИИ.
Таким образом, при отсутствии прямого нормативного механизма, определение необходимого класса СКЗИ для объекта КИИ осуществляется на основе экспертной оценки с учетом рисков, угроз, архитектуры объекта, особенностей и сценариев применения криптографических средств.