8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

Определение класса защищенности информационной системы

Содержание данной статьи проверено и подтверждено:

Современное общество стремится автоматизировать процесс обработки информации. В связи с этим необходимо обеспечивать защиту обрабатываемых данных. Для этого были разработаны требования к защите информационных систем, которые организуют безопасность на нужном уровне.

 

Что такое класс защищённости информационной системы?

Информационные системы имеют различный масштаб и могут обрабатывать информацию разного уровня значимости. В зависимости от значений данных параметров и определяется класс защищенности информационной системы.

Для безопасности информации главными являются три составляющих: целостность, доступность и конфиденциальность. Соответственно, каждой из составляющих может быть нанесен ущерб. На основании этого определяется уровень значимости информации. Масштаб функционирования информационных систем делится на федеральный, региональный и объектовый.

ФСТЭК разработал Приказ № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», в котором определены три класса защищенности и соответствующие им требования.

 

Подробнее о классах защищённости информационных систем

Как ранее было сказано, классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы. Самым низким классом является третий, самым высоким —первый.

Уровень значимости обрабатываемой информации определяется по следующей формуле:

УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)]

Степень ущерба определяется влиянием нарушения одного из свойств безопасности на функционирование информационной системы и обеспечения деятельности в какой-либо области.

  • Первый уровень значимости присваивается информации, если определена высокая степень ущерба для одного из свойств безопасности.
  • Второй уровень значимости присваивается, если определена средняя степень ущерба и нет ни одного свойства, для которого была бы определена высокая.
  • Если для всех свойств определена низкая степень ущерба, то информации присваивается третий (низкий) уровень значимости.

Информационная система может обрабатывать информацию разных видов. В таком случае уровень значимости информации присваивается каждому виду, а итоговый определяется по наивысшему значению.

Обеспечить безопасность информации при ее обработке возможно выполнив соответствующие требования. Так применяемые средства защиты должны соответствовать определенному классу и быть сертифицированными на соответствие требованиям, установленным ФСТЭК.

Кроме того, необходимо, чтобы информационная система функционировала в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации.

После определения класса защищенности информационной системы, в случае изменения масштаба информационной системы или уровня значимости, обрабатываемой в ней информации, он подлежит пересмотру.

 

Как определяется класс защищённости ИС

Требования для определения класса защищенности информационной системы прописаны ФСТЭК в Приказе №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Классов защищенности всего три и зависят они от уровня значимости информации и масштабах применения информационной системы.

Информационная безопасность имеет три составляющих: целостность, доступность, конфиденциальность. По каждой составляющей может быть нанесен ущерб разной степени. Исходя из этого рассчитывается уровень значимости информации.

Задать вопрос эксперту