Классификация автоматизированной системы

При определении режима обработки информации в автоматизированной системе учитывается, что однопользовательским режимом обработки считается режим, при котором ко всей обрабатываемой информации, к программным средствам и носителям информации этой АС допущен только один пользователь.

В том случае, когда в автоматизированной системе обработку информации осуществляет несколько пользователей, с учетом администратора и обслуживающего персонала, такой режим считается многопользовательским. Следует отметить, что если пользователи осуществляют обработку информации в одной автоматизированной системе, но в разное время, такой режим тоже считается многопользовательским.

Автоматизированные системы, обрабатывающие коммерческую тайну, считается целесообразным относить к классам 3Б, 2Б или не ниже 1Д. Однако собственник информации может выдвинуть более жесткие требования к ее защите, в таком случае автоматизированной системе может быть присвоен более высокий класс.

Автоматизированным системам, обрабатывающим служебную тайну присваивается класс 3Б, 2Б или не ниже 1Г.

Автоматизированные системы, ведущие обработку персональных данных, относятся к классам 3Б, 2Б и не ниже 1Д.

Пересмотр класса защищенности автоматизированной системы производится в том случае, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

В том случае, если речь идет о классификации информационных систем, применяются правила классификации, описанные в Приказе "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" от 11.02.2013 № 17 и в методическом документе "Меры защиты информации в государственных информационных системах", утвержденном ФСТЭК России 11.02.2014.

Устанавливаются три класса защищенности информационной системы: самый низкий класс - третий, самый высокий - первый. Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый). Класс защищенности информационной системы определяется в соответствии с таблицей 2:

Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.

Степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть:

увеличить изображение
Рис. 5. Характеристика степеней возможного ущерба

Информация имеет высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.

Информация имеет средний уровень значимости (УЗ 2), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.

Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.

При обработке в информационной системе двух и более видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа) уровень значимости информации (УЗ) определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации.

Для определения степени возможного ущерба от нарушения конфиденциальности, целостности или доступности информации могут применяться национальные стандарты и (или) методические документы, разработанные и утвержденные ФСТЭК России.

Масштаб информационной системы определяется назначением и распределенностью сегментов информационной системы:

увеличить изображение
Рис. 6. Классификация информационной системы по масштабу

Класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации. Результаты классификации информационной системы также оформляются актом классификации.

При обработке персональных данных в информационной системе определение класса защищенности информационной системы осуществляется с учетом требуемого уровня защищенности персональных данных, установленного в соответствии с "Требованиями к защите персональных данных при их обработке в информационных системах персональных данных", утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17.

Как правило, заявитель своими силами предварительно проводит классификацию своих автоматизированных систем, а окончательно присвоение класса защищенности автоматизированной системы от несанкционированного доступа к информации осуществляется совместно заявителем и органом по аттестации с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", утвержденного решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992 г., а также с учетом "Специальных требований и рекомендации по технической защите конфиденциальной информации", утвержденных приказом Гостехкомиссии России от 30 августа 2002г. № 282

Для проведения классификации автоматизированной системы (информационной системы, информационной системы персональных данных) заявитель издает приказ (исходя из типа классифицируемой системы) следующего содержания:

"Для проведения процедуры классификации автоматизированной системы (информационной системы, информационной системы персональных данных) наименование автоматизированной системы, расположенной в помещении (помещениях) №____ наименование организации-заявителя на соответствие требованиям по безопасности информации приказываю назначить комиссию в составе______. Комиссии в срок до ____ провести классификацию автоматизированной системы (информационной системы, информационной системы персональных данных) в соответствии с перечень нормативно-методических документов, на соответствие которым производится классификация.

По результатам проведения классификации подготовить и предоставить для утверждения "Акт классификации автоматизированной системы (информационной системы, информационной системы персональных данных)".

Контроль исполнения приказа возложить на заместителя руководителя организации, ответственного за защиту информации в организации."

Акт классификации автоматизированной системы содержит данные:

• состав комиссии, проводившей процедуру классификации, со ссылкой на приказ о назначении комиссии;
• наименование автоматизированной системы, место расположения, состав автоматизированной системы;
• указание документов, в соответствии с которыми осуществлялась классификация, а также основных параметров системы, повлиявших на присвоение того или иного класса;
• режим работы системы и количество пользователей;
• решение о присвоении автоматизированной системе того или иного класса защищенности.

Форма акта классификации приведена в "Специальных требованиях и рекомендациях по технической защите конфиденциальной информации", утвержденных приказом Гостехкомиссии России от 30 августа 2002г. № 282

Акты классификации для иных видов систем оформляется аналогично. Акт классификации подписывается всеми членами комиссии, назначенной приказом.

Итоги: классификации подлежат автоматизированные системы любого уровня и назначения, ранее не проходившие процедуру классификации и предназначенные для обработки информации ограниченного доступа. Определяющими признаками, по которым производится классификация АС являются: наличие в автоматизированной системе информации различного уровня конфиденциальности; уровень полномочий субъектов доступа автоматизированной системы на доступ к конфиденциальной информации и режим обработки данных в автоматизированной системе - коллективный (многопользовательский) или индивидуальный (однопользовательский).

Руководящими документами установлено девять классов защищенности автоматизированных систем от несанкционированного доступа к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в автоматизированной системе.

Пересмотр класса защищенности автоматизированной системы производится в том случае, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

Для информационной системы устанавливаются три класса защищенности, которые присваиваются информационной системе в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).

По результатам проведения процедуры классификации оформляется акт классификации автоматизированной системы.

Ключевые слова: автоматизированная система, акт классификации автоматизированной системы, многопользовательский режим обработки информации, однопользовательский режим обработки информации, уровень значимости информации.