Определение класса защищенности информационной системы

Современное общество стремится автоматизировать процесс обработки информации. В связи с этим необходимо обеспечивать защиту обрабатываемых данных. Для этого были разработаны требования к защите информационных систем, которые организуют безопасность на нужном уровне.

Что такое классы защищённости информационной системы (ИС)?

Информационные системы имеют различный масштаб и могут обрабатывать информацию разного уровня значимости. В зависимости от значений данных параметров и определяется класс защищенности информационной системы.

Для безопасности информации главными являются три составляющих: целостность, доступность и конфиденциальность. Соответственно, каждой из составляющих может быть нанесен ущерб. На основании этого определяется уровень значимости информации. Масштаб функционирования информационных систем делится на федеральный, региональный и объектовый.

ФСТЭК разработал Приказ № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», в котором определены три класса защищенности и соответствующие им требования.

Подробнее о классах защищённости информационных систем: уровень значимости информации

Как ранее было сказано, классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы. Самым низким классом является третий, самым высоким —первый.

Уровень значимости обрабатываемой информации определяется по следующей формуле:

УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)]

Степень ущерба определяется влиянием нарушения одного из свойств безопасности на функционирование информационной системы и обеспечения деятельности в какой-либо области.

• Первый уровень значимости присваивается информации, если определена высокая степень ущерба для одного из свойств безопасности.
• Второй уровень значимости присваивается, если определена средняя степень ущерба и нет ни одного свойства, для которого была бы определена высокая.
• Если для всех свойств определена низкая степень ущерба, то информации присваивается третий (низкий) уровень значимости.

Информационная система может обрабатывать информацию разных видов. В таком случае уровень значимости информации присваивается каждому виду, а итоговый определяется по наивысшему значению.

Обеспечить безопасность информации при ее обработке возможно выполнив соответствующие требования. Так применяемые средства защиты должны соответствовать определенному классу и быть сертифицированными на соответствие требованиям, установленным ФСТЭК.

Кроме того, необходимо, чтобы информационная система функционировала в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации.

Класс защищенности ИС определяется в зависимости от уровня значимости информации, обрабатываемой в данной ИС:

• первый класс защищенности (К1);
• второй класс защищенности (К2);
• третий класс защищенности (К3).

После определения класса защищенности информационной системы, в случае изменения масштаба информационной системы или уровня значимости, обрабатываемой в ней информации, он подлежит пересмотру.

Определение класса защищённости ГИС

Требования для определения класса защищенности информационной системы прописаны ФСТЭК в Приказе №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Классов защищенности всего три и зависят они от уровня значимости информации и масштабах применения информационной системы.

Информационная безопасность имеет три составляющих: целостность, доступность, конфиденциальность. По каждой составляющей может быть нанесен ущерб разной степени. Исходя из этого рассчитывается уровень значимости информации.