Однокоренные слова, но...
Класс защиты и класс защищенности – это не одно и то же. Более того, ранжирование у них идёт в разных направлениях. Они лишь звучат похоже.
Из-за того, что эти понятия путают, получаются ситуации, когда два человека друг друга не понимают. Возникает такой конфуз на разных вебинарах и созвонах, затрагивающих обмен данными через СМЭВ.
Например, если микрофинансовой организации необходимо проводить проверку действительности паспорта заёмщика, то с этой целью её информационная система может через СМЭВ стучаться в МВД. Но просто так сходить туда нельзя – необходимо соблюсти определенные требования по информационной безопасности.
МВД требует от информационной системы подтверждения соответствия по шкале класса защищенности на уровне их ГИСа – это К1. При этом обмен данными в СМЭВ идёт по защищенной сети, участники которой используют криптосредства класса защиты КС3.
И на стыке этих тем начинаются попытки воткнуть "европейскую вилку в китайскую розетку". Один говорит, что первый класс защиты самый низкий, другой, наоборот, утверждает, что выше него только небо. Но чаще бывает, что заданный вопрос просто остаётся непонятым.
Так в чём разница?
Я объясню сильно по-простому и естественно это будет грубым объяснением, но достаточным для понимания различий. Данный пост написан для менеджеров, а не специалистов по информационной безопасности.
Класс защищенности (К1 > К2 > К3) – это шкала, которая применяется к государственным информационным системам (ГИСам). Чем выше число в обозначении, тем слабее. Данный класс относится ко всей информационной системе целиком (процессы, меры, средства защиты информации, сегментация, доступы, аудит, уязвимости, контроль, аттестацию и т.д.).
Определена эта шкала приказом ФСТЭК РФ от 11 апреля 2025 г. N 117 (вступает в силу с 01.03.2026 г.). Цитирую:
Самый низкий класс - третий, самый высокий - первый. Класс защищенности информационной системы (первый класс (далее - К1), второй класс (далее - К2), третий класс (далее - К3)) - определяется в зависимости от уровня значимости информации (далее - УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы.
Класс защиты (КС1 < КС2 < КС3 < КВ1 < КВ2 < КА) – это классы средств криптографической защиты информации (СКЗИ) – то есть стойкость к атаке и условия применения конкретной криптозащиты (VPN, криптошлюз, криптопровайдер, шифрование канала и т.п.), а не про защищенность всей информационной системы. И тут наоборот: чем больше цифра, тем сильнее.
Градируется класс защиты по модели атак приказами ФСБ РФ от 18 марта 2025 г. N 117 и от 27 декабря 2011 г. N 796:
КС1 – базовый класс: атаки вне контролируемой зоны, то есть нарушитель не имеет доступа в помещение, где размещены СКЗИ;
КС2 – сильнее: атаки в пределах контролируемой зоны, но без физического доступа к СКЗИ;
КС3 – еще сильнее: атаки в пределах контролируемой зоны с физическим доступом нарушителя к СКЗИ;
КВ – более высокий класс: высококвалифицированный нарушитель использующий недокументированные возможности ПО;
КА – наивысший класс: высококвалифицированный нарушитель использующий недокументированные возможности как ПО, так и железа.
P.S.: Наличие или отсутствие циферки у "КВ" и "КА" зависит от конкретного документа и упоминаемых в них СКЗИ.
Как запомнить и не перепутать?
Средства криптозащиты это лишь часть информационной системы, тогда как второе более широкое понятие. И чтобы не запутаться, проще всего запомнить разницу по длине слова: "защита" – короткое слово, значит, узкая тематика, относящаяся к классификации СКЗИ, "защищенность" – длинное слово, то есть более широкое понятие, относящееся к классификации информационных систем.
– – –
С вами был Неминущий Никита, ведущий инженер‑программист финансового маркетплейса «Выберу.ру»