Рекомендации по выбору класса защищенности государственных ИС

Для противостояния угрозам безопасности информации и их влиянию на риски организации требуется определить достаточность и адекватность состава и содержания мер защиты информации. Требования к системе защиты информации ИС, обрабатывающей государственные и муниципальные информационные ресурсы, определяются в зависимости от класса защищенности ИС и угроз безопасности информации, включенных в Модель угроз.

Класс защищенности ИС, обрабатывающей государственные и муниципальные информационные ресурсы, определяется в соответствии с методическими рекомендациями ФСТЭК России в зависимости от уровня значимости информации, обрабатываемой в этой ИС, и масштаба самой ИС.

НТЦ «Вулкан» выполняет в интересах заказчика разработку рекомендаций по выбору класса защищенности ИС, обрабатывающих государственные и муниципальные информационные ресурсы.

Состав работ

  • Описание ИС, обрабатывающей государственные и муниципальные информационные ресурсы:
    • цели и задачи, решаемые ИС;
    • границы объекта оценки;
    • технологии обработки информации;
    • анализ потоков информации;
    • масштаб ИС.
  • Описание информационных ресурсов, подлежащих защите:
    • виды и классификация информации;
    • уровень значимости информации;
    • степень возможного ущерба;
  • Выбор и обоснование класса защищенности ИС, обрабатывающей государственные и муниципальные информационные ресурсы.

Работы по выработке рекомендаций по выбору класса защищенности ИС, обрабатывающих государственные и муниципальные информационные ресурсы, выполняются в соответствии с требованиями и рекомендациями Приказа ФСТЭК России от 11.02.2013 г. № 17.

При классификации информации учитывается возможность обработки, информации, содержащей:

  • служебную тайну;
  • налоговую тайну;
  • персональные данные;
  • коммерческую тайну;
  • иные установленные законодательством виды информации ограниченного доступа, не содержащие сведения, составляющие государственную тайну.

Уровень значимости информации определяется степенью возможного ущерба для обладателя информации от нарушения:

  • конфиденциальности (неправомерные доступ, копирование, предоставление или распространение);
  • целостности (неправомерные уничтожение или модифицирование);
  • доступности (неправомерное блокирование) информации.

При обработке в ИС двух и более видов информации уровень значимости информации определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в ИС, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации.

Степень возможного ущерба определяется с привлечением специалистов заказчика.

Преимущества

Правильное определение класса защищенности ИС, обрабатывающих государственные и муниципальные информационные ресурсы, является важнейшим этапом создания системы защиты информации ИС и необходим для правильного выбора мер защиты информации в соответствии с Приказом ФСТЭК от 11.02.2013 г. № 17.