Чтоб ответить на этот вопрос надо перечитывать документ снова и снова... Если надергать табличек из разных статей, то в общих четртах получается следующее
Самостоятельно можно регламентировать только классы КС1, КС2, КС3.
КС1 - самый низкий, без особых требований. Ключи в памяти СКЗИ
КС2 - используется служба для работы с ключами. Пользователь изолирован от ключей. Нужно применять службы типа Аккорд или Соболь, хотя можно и что-то програмное, смотрите что может Ваше исполнение СКЗИ.
КС3 - СКЗИ работает в изолированной среде. Если нарушитель проникает к вашему серверу, не может получить доступ к данным.
КВ, КА требования назначают сертифицированные организации и ФСБ. https://infotecs.ru/upload/iblock/47b/47ba313cf776ffc83f707f9c95e56ea4.pdf
KC, KB, KA определяются исходя требуемого уровна защищенности и актуальных угроз вот тут есть табличка https://www.securitylab.ru/blog/personal/80na20/33503.php
Уровнь защищенности определяется из категории ПД и актуальных угроз https://it-security.admin-smolensk.ru/zinfo/klassi/klassifikaciya-ispdn/
Актуальные угрозы есть трех типов:
Угрозы 1 типа при обработке персональных данных в ИСПДн
К данной категории относятся комбинации факторов и условий, обусловленные наличием НДВ в системном, а иногда и в прикладном софте информационной системы ПДн. То есть используемые аппаратные возможности и утилиты могут стать причиной неправомерной блокировки, изменения, удаления и распространения личных сведений граждан.
Угрозы ИСПДн 2 типа
Выявляются в системах, где есть недекларируемые возможности в применяемых прикладных программах. Например, утилита, которая собирает и систематизирует ПДн, может быть использована для несанкционированного внесения изменений или уничтожения информации.
Угрозы 3 типа ИСПДн
Наиболее удачный вариант в плане затрат на защиту ИСПДн, когда отсутствует опасность получения доступа к персональным данным со стороны сотрудников и третьих лиц вследствие наличия НДВ в программном обеспечении.