Глава 5. Сертификация информационных систем
5.2 Классификация автоматизированных систем
Одним из основных этапов подготовки объекта информатизации к аттестации является классификация автоматизированных систем.
Деление автоматизированных систем на соответствующие классы с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием автоматизированных систем по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала, что определено руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержденным решением председателя Гостехкомиссии России от 30 марта 1992 г.
Исходя из положений руководящего документа «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», утвержденного решением Гостехкомиссии России от 30 марта 1992 г., классификации подлежат автоматизированные системы любого уровня и назначения, ранее не проходившие процедуру классификации и предназначенные для обработки информации ограниченного доступа. В основу системы классификации автоматизированных систем положены следующие характеристики объектов и субъектов защиты, а также способов их взаимодействия:
Деление автоматизированных систем на соответствующие классы с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием автоматизированных систем по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала, что определено руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержденным решением председателя Гостехкомиссии России от 30 марта 1992 г.
Исходя из положений руководящего документа «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», утвержденного решением Гостехкомиссии России от 30 марта 1992 г., классификации подлежат автоматизированные системы любого уровня и назначения, ранее не проходившие процедуру классификации и предназначенные для обработки информации ограниченного доступа. В основу системы классификации автоматизированных систем положены следующие характеристики объектов и субъектов защиты, а также способов их взаимодействия:
- информационные, определяющие ценность информации, ее объем и степень конфиденциальности, а также возможные последствия неправильного функционирования автоматизированной системы из-за искажения (потери) информации;
- организационные, определяющие полномочия пользователей;
- технологические, определяющие условия обработки информации, например, способ обработки, вид автоматизированной системы (автономная, сеть, стационарная, подвижная и т. д.).
- анализ исходных данных;
- определение основных признаков автоматизированной системы, необходимых для классификации;
- проведение процедуры сравнения выявленных признаков автоматизированной системы с классифицируемыми;
- присвоение автоматизированной системе соответствующего класса защиты информации от несанкционированного доступа.
- перечень защищаемых информационных ресурсов автоматизированной системы и их уровень конфиденциальности;
- перечень лиц, имеющих доступ к штатным средствам автоматизированной системы, с указанием их уровня полномочий;
- матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам автоматизированной системы;
- режим обработки данных в автоматизированной системе.
К числу определяющих признаков, по которым производится группировка автоматизированных систем в различные классы, относят:
- наличие в автоматизированной системе информации различного уровня конфиденциальности;
- уровень полномочий субъектов доступа автоматизированной системы на доступ к конфиденциальной информации;
- режим обработки данных в автоматизированной системе — коллективный (многопользовательский) или индивидуальный (однопользовательский).
В том случае если происходит объединение автоматизированных систем различных классов защищенности, то вновь созданная автоматизированная система должна быть заново классифицирована. При этом такой автоматизированной системе присваивается высший класс защищенности входящих в нее автоматизированных систем, за исключением случаев их объединения посредством межсетевого экрана. Использование межсетевого экрана позволяет автоматизированным системам взаимодействовать между собой для обмена информацией, но в то же время каждая подсистема сохраняет свой класс защищенности.
Порядок и правила проведения классификации автоматизированных систем определены в руководящем документе «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержденном решением председателя Гостехкомиссии России от 30 марта 1992 г. В соответствии с данным решением установлено девять классов защищенности автоматизированных систем от несанкционированного доступа к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в автоматизированной системе. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности автоматизированных систем.
Первая группа включает в себя многопользовательские автоматизированные системы, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации автоматизированной системы. Группа содержит пять классов: 1Д, 1Г, 1В, 1Б и 1А.
Ко второй группе относят автоматизированные системы, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации автоматизированной системы, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса: 2Б и 2А.
Третья группа включает в себя автоматизированные системы, в которых работает один пользователь, допущенный ко всей информации автоматизированной системы, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса: 3Б и 3А.
Классы 3А, 2А, 1А, 1Б и 1В присваивают автоматизированным системам, обрабатывающим информацию, содержащую сведения, составляющие государственную тайну (секретная — С, совершенно секретная — СС и особой важности — ОВ).
При определении режима обработки информации в автоматизированной системе учитывается, что однопользовательским режимом обработки считается режим, при котором ко всей обрабатываемой информации, к программным средствам и носителям информации этой автоматизированной системы допущен только один пользователь.
В том случае, когда в автоматизированной системе обработку информации осуществляет несколько пользователей, с учетом администратора и обслуживающего персонала, такой режим считается многопользовательским. Если пользователи осуществляют обработку информации в одной автоматизированной системе, но в разное время, такой режим тоже считается многопользовательским.
Автоматизированные системы, обрабатывающие коммерческую тайну, считается целесообразным относить к классам 3Б, 2Б или не ниже 1Д. Однако собственник информации может выдвинуть более жесткие требования к ее защите, в таком случае автоматизированной системе может быть присвоен более высокий класс.
Автоматизированным системам, обрабатывающим служебную тайну, присваивается класс 3Б, 2Б или не ниже 1Г.
Автоматизированные системы, ведущие обработку персональных данных, относятся к классам 3Б, 2Б и не ниже 1Д.
Пересмотр класса защищенности автоматизированной системы производится в том случае, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.
В том случае если речь идет о классификации государственных информационных систем, применяют правила классификации, описанные в приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и в методическом документе «Меры защиты информации в государственных информационных системах», утвержденном ФСТЭК России 11 февраля 2014 г.
Ко второй группе относят автоматизированные системы, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации автоматизированной системы, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса: 2Б и 2А.
Третья группа включает в себя автоматизированные системы, в которых работает один пользователь, допущенный ко всей информации автоматизированной системы, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса: 3Б и 3А.
Классы 3А, 2А, 1А, 1Б и 1В присваивают автоматизированным системам, обрабатывающим информацию, содержащую сведения, составляющие государственную тайну (секретная — С, совершенно секретная — СС и особой важности — ОВ).
При определении режима обработки информации в автоматизированной системе учитывается, что однопользовательским режимом обработки считается режим, при котором ко всей обрабатываемой информации, к программным средствам и носителям информации этой автоматизированной системы допущен только один пользователь.
В том случае, когда в автоматизированной системе обработку информации осуществляет несколько пользователей, с учетом администратора и обслуживающего персонала, такой режим считается многопользовательским. Если пользователи осуществляют обработку информации в одной автоматизированной системе, но в разное время, такой режим тоже считается многопользовательским.
Автоматизированные системы, обрабатывающие коммерческую тайну, считается целесообразным относить к классам 3Б, 2Б или не ниже 1Д. Однако собственник информации может выдвинуть более жесткие требования к ее защите, в таком случае автоматизированной системе может быть присвоен более высокий класс.
Автоматизированным системам, обрабатывающим служебную тайну, присваивается класс 3Б, 2Б или не ниже 1Г.
Автоматизированные системы, ведущие обработку персональных данных, относятся к классам 3Б, 2Б и не ниже 1Д.
Пересмотр класса защищенности автоматизированной системы производится в том случае, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.
В том случае если речь идет о классификации государственных информационных систем, применяют правила классификации, описанные в приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и в методическом документе «Меры защиты информации в государственных информационных системах», утвержденном ФСТЭК России 11 февраля 2014 г.
Класс защищенности информационной системы определяется в зависимости от уровня значимости информации, обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый). Определение класса защищенности информационной системы проводится в соответствии с п. 14.2 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17.
Устанавливаются четыре класса защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3), четвертый класс (К4)), определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс — четвертый, самый высокий — первый.
Уровень значимости информации определяется степенью возможного ущерба для обладателя информации и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.
Степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами.
Для определения степени возможного ущерба от нарушения конфиденциальности, целостности или доступности могут применяться методические документы, разработанные и утвержденные ФСТЭК России в соответствии с пп. 4 п. 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента РФ от 16 августа 2004 г. № 1085.
Масштаб информационной системы определяется назначением и распределенностью сегментов информационной системы.
Информационная система имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
Уровень значимости информации определяется степенью возможного ущерба для обладателя информации и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.
Степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами.
Для определения степени возможного ущерба от нарушения конфиденциальности, целостности или доступности могут применяться методические документы, разработанные и утвержденные ФСТЭК России в соответствии с пп. 4 п. 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента РФ от 16 августа 2004 г. № 1085.
Масштаб информационной системы определяется назначением и распределенностью сегментов информационной системы.
Информационная система имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
Информационная система имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
При обработке персональных данных в информационной системе определение уровня значимости информации осуществляется с учетом требуемого уровня защищенности персональных данных, установленного в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. № 1119. При этом в соответствии с п. 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение п. 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17.
При обработке в информационной системе двух и более видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа) уровень значимости информации определяется отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации.
Для определения степени возможного ущерба от нарушения конфиденциальности, целостности или доступности информации могут применяться национальные стандарты и (или) методические документы, разработанные и утвержденные ФСТЭК России.
Класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации. Результаты классификации информационной системы также оформляются актом классификации.
Как правило, заявитель своими силами предварительно проводит классификацию своих автоматизированных систем, а окончательно присвоение класса защищенности автоматизированной системы от несанкционированного доступа к информации осуществляется совместно заявителем и органом по аттестации с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
Для проведения классификации автоматизированной системы (информационной системы, информационной системы персональных данных) заявитель издает приказ исходя из типа классифицируемой системы.
Класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации. Результаты классификации информационной системы также оформляются актом классификации.
Как правило, заявитель своими силами предварительно проводит классификацию своих автоматизированных систем, а окончательно присвоение класса защищенности автоматизированной системы от несанкционированного доступа к информации осуществляется совместно заявителем и органом по аттестации с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
Для проведения классификации автоматизированной системы (информационной системы, информационной системы персональных данных) заявитель издает приказ исходя из типа классифицируемой системы.
