Приказ ФСБ России № 117 от 18.03.2025

1. Информация, содержащаяся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений <1>, подлежит защите с использованием шифровальных (криптографических) средств защиты информации <2> в случаях, если:

<1> Далее - ИС.

<2> Далее - СКЗИ.
<3> Далее - контролируемая зона.

2. Необходимость использования СКЗИ для защиты информации, содержащейся в ИС, подлежит обоснованию в модели угроз безопасности информации, техническом проекте и техническом задании на создание (развитие) ИС.

3. Для обеспечения защиты информации, содержащейся в ИС, должны использоваться СКЗИ, сертифицированные ФСБ России <2>.
<2> Подпункт 21 пункта 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960.

4. Для противодействия угрозам безопасности информации с использованием аппаратных, программно-аппаратных и (или) программных средств, направленным на нарушение безопасности защищаемой СКЗИ информации либо на создание условий для этого <3>, должны использоваться СКЗИ класса, определенного в соответствии с пунктами 7 - 18 настоящих Требований.
<3> Далее - атаки.

5. В случае если это предусмотрено документацией на СКЗИ в отношении аппаратных, программно-аппаратных и программных средств, с которыми в ИС предполагается штатное функционирование СКЗИ <4>, должна быть проведена оценка их влияния на выполнение предъявляемых к СКЗИ требований <1>.
Оценка влияния среды функционирования проводится организацией, уполномоченной на осуществление криптографических, инженерно-криптографических и специальных исследований СКЗИ (тематических исследований СКЗИ) в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 г. N 66 <2>.
Результаты оценки влияния среды функционирования, образцы СКЗИ, которые планируется использовать для защиты информации, содержащейся в ИС, и технических средств должны пройти экспертизу в ФСБ России <3>.
Обработка защищаемой информации в ИС при использовании для ее защиты СКЗИ совместно с иными техническими средствами допускается при наличии положительного заключения ФСБ России, подготовленного по результатам экспертизы.
<4> Далее - технические средства.

<1> Далее - оценка влияния среды функционирования.
<2> Зарегистрирован Минюстом России 3 марта 2005 г., регистрационный N 6382 (с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 г. N 173, зарегистрирован Минюстом России 25 мая 2010 г., регистрационный N 17350).

<3> Пункт 33 Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденного приказом ФСБ России от 9 февраля 2005 г. N 66.

6. В помещениях, в которых размещены и (или) хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, должен обеспечиваться режим, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в такие помещения, который достигается посредством:

Помещения, в которых размещены и (или) хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, предназначенные для защиты информации, содержащейся в ИС или составной части ИС <1>, предназначенной для решения задач ИС на всей территории Российской Федерации или в пределах двух и более субъектов Российской Федерации, обрабатывающей информацию высокого уровня значимости, должны соответствовать следующим требованиям:

<1> Далее - сегмент ИС.

7. Класс СКЗИ, подлежащих использованию для защиты информации, содержащейся в ИС, определяется для каждого сегмента ИС, предназначенного для решения задач ИС в пределах определенной территории или объекта (объектов).

В случае если ИС не содержит сегментов ИС, то класс СКЗИ, необходимый для защиты содержащейся в ней информации, определяется для ИС в целом.

9. В случае если ИС состоит из двух и более сегментов ИС, то уровень значимости информации и масштаб определяются для каждого сегмента ИС отдельно.

10. Класс СКЗИ, подлежащих использованию для защиты информации в ИС (сегменте ИС), при ее взаимодействии с другими ИС и (или) сегментами других ИС определяется по более высокому классу СКЗИ, используемому для защиты информации во взаимодействующих ИС и (или) сегментах ИС.

11. Класс СКЗИ, подлежащих использованию для защиты информации во взаимодействующих между собой сегментах одной ИС, определяется не ниже наименьшего класса СКЗИ, используемого для защиты информации в таких сегментах ИС.

12. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак самостоятельно осуществлять создание способов атак, подготовку и проведение атак только вне пределов контролируемой зоны, то для защиты информации в ИС (сегменте ИС) необходимо использовать СКЗИ класса КС1.

13. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования, то для защиты информации в ИС (сегменте ИС) необходимо использовать СКЗИ класса КС2.

14. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования, то для защиты информации в ИС (сегменте ИС) необходимо использовать СКЗИ класса КС3.

15. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак привлекать специалистов, имеющих опыт разработки и анализа СКЗИ, включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ и специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения, то для защиты информации в ИС (сегменте ИС) необходимо использовать СКЗИ класса КВ.

16. В случае если в модели угроз безопасности информации в качестве актуальной угрозы определена возможность источника атак привлекать специалистов, имеющих опыт разработки и анализа СКЗИ, включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ, то для защиты информации в ИС (сегменте ИС) необходимо использовать СКЗИ класса КА.

17. Класс СКЗИ, используемых для взаимодействия граждан (физических лиц) с ИС (сегментом ИС), определяется исходя из актуальных угроз безопасности информации и может быть ниже класса СКЗИ, определенного для ИС (сегмента ИС) в соответствии с настоящими Требованиями.

18. В случае если иными нормативными правовыми актами, устанавливающими требования о защите информации с использованием СКЗИ, предусмотрена необходимость использовать для защиты информации СКЗИ более высокого класса, чем класс СКЗИ, определенный в соответствии с настоящими Требованиями, то класс СКЗИ, подлежащих использованию в ИС (сегменте ИС), определяется в соответствии с такими нормативными правовыми актами.