Добавить в корзинуПозвонить
Найти в Дзене

K1, K2 или K3: как определить класс защищённости ИС по №117

Продолжение цикла о Приказе ФСТЭК №117. Раньше — внутренние документы. Сегодня — класс защищённости K1, K2 или K3 и акт классификации. Класс защищённости (K1, K2 или K3) — база, от которой зависит: K1 — не более 24 часов;
K2 — не более 7 календарных дней;
K3 — не более 4 недель; K1 — не ниже 4 класса защиты и уровня доверия;
K2 — не ниже 5;
K3 — 6 класс защиты и уровень доверия.
Без установленного класса нельзя последовательно выстроить защиту, выбрать СЗИ и корректно считать Кзи для отчётности во ФСТЭК (п. 32). В Приказе №117 остались только три класса (K1–K3). Класс K4 из старого приказа №17 упразднён. Классы K1–K3 по №117 — это не то же самое, что категория значимости объекта КИИ (I, II, III) по 187-ФЗ. МИС может быть объектом КИИ II категории и одновременно K2 по №117. Оба контура нужно вести параллельно. Класс определяется отдельно для каждой информационной системы — и при необходимости по сегментам одной ИС. Класс зависит от двух независимых параметров: Их комбинация даёт итого
Оглавление

Продолжение цикла о Приказе ФСТЭК №117. Раньше — внутренние документы. Сегодня — класс защищённости K1, K2 или K3 и акт классификации.

Зачем нужен класс защищённости

Класс защищённости (K1, K2 или K3) — база, от которой зависит:

  • какие меры защиты вы обязаны реализовать;
  • сколько времени у вас на восстановление работы ИС после сбоя (п. 53 №117):

K1 — не более 24 часов;
K2 — не более 7 календарных дней;
K3 — не более 4 недель;

  • какой класс сертифицированных СЗИ допустим:

K1 — не ниже 4 класса защиты и уровня доверия;
K2 — не ниже 5;
K36 класс защиты и уровень доверия.

Без установленного класса нельзя последовательно выстроить защиту, выбрать СЗИ и корректно считать Кзи для отчётности во ФСТЭК (п. 32).

В Приказе №117 остались только три класса (K1–K3). Класс K4 из старого приказа №17 упразднён.

K1–K3 и категория КИИ — не одно и то же

Классы K1–K3 по №117 — это не то же самое, что категория значимости объекта КИИ (I, II, III) по 187-ФЗ.

МИС может быть объектом КИИ II категории и одновременно K2 по №117. Оба контура нужно вести параллельно.

Класс определяется отдельно для каждой информационной системы — и при необходимости по сегментам одной ИС.

Два параметра для расчёта: УЗ и масштаб

Класс зависит от двух независимых параметров:

  1. Уровень значимости информации (УЗ) — УЗ1, УЗ2 или УЗ3.
  2. Масштаб ИС — федеральный, региональный или объектовый.

Их комбинация даёт итоговый класс по таблице 2 приложения к Приказу №117.

-2

Шаг 1. Уровень значимости информации (УЗ)

УЗ зависит от возможного ущерба при нарушении:

  • конфиденциальности (утечка, несанкционированный доступ);
  • целостности (изменение, уничтожение);
  • доступности (блокирование для законных пользователей).

Ущерб оценивается отдельно по каждому свойству (C, I, A). Степени ущерба (табл. 1 приложения к №117):

Высокая — существенные негативные последствия в социальной, политической, экономической и др. сферах и/или организация не может выполнять возложенные функции.

Средняя — умеренные последствия и/или организация не может выполнить хотя бы одну из функций.

Низкая — незначительные последствия и/или функции выполняются с недостаточной эффективностью или только с дополнительными силами.

При оценке используйте в том числе перечень негативных последствий из банка данных угроз ФСТЭК (п. 2 приложения).

Как получить УЗ1, УЗ2, УЗ3

  • УЗ1 (высокий) — высокая степень ущерба хотя бы для одного свойства (C, I или A).
  • УЗ2 (средний) — средняя степень хотя бы для одного свойства, нет свойств с высокой степенью.
  • УЗ3 (низкий) — для всех трёх свойств только низкая степень.

Автоматически УЗ1: информация ограниченного распространения с пометкой «Для служебного пользования» (п. 4 приложения) — не «любая служебная информация», а именно ДСП.

Несколько видов информации в одной ИС (п. 5 приложения)

Если в системе и ПДн пациентов, и кадры, и бухгалтерия — УЗ определяют по каждому виду, затем берут наивысший итог по степени ущерба для C/I/A.

Пример для МИС: утечка данных пациентов — высокий ущерб по конфиденциальности. Даже при низком ущербе по доступности итог скорее УЗ1 или УЗ2, но не УЗ3. Для типовой МИС с ПДн пациентов УЗ3 встречается редко.

Шаг 2. Масштаб ИС

Масштаб — по назначению ИС (для решения каких задач и на какой территории она создана), а не по уровню учреждения и не по месту установки сервера.

Федеральный — задачи на всей территории РФ или в двух и более субъектах РФ.

Региональный — задачи в пределах одного субъекта РФ (например, РМИС региона).

Объектовый — задачи в пределах одной организации, госоргана или муниципального образования (типичная МИС одной больницы или поликлиники).

Частая ошибка: «областная больница → региональный масштаб». Локальная МИС одного медорганизации почти всегда объектовый, даже если учреждение федеральное.

Шаг 3. Класс K1, K2 или K3

Правила (табл. 2 приложения к №117):

  • УЗ1 → K1 при любом масштабе (федеральный, региональный, объектовый).
  • УЗ2 → K1 (федеральный), K2 (региональный), K2 (объектовый).
  • УЗ3 → K2 (федеральный), K3 (региональный), K3 (объектовый).

Примеры для медицины

  • МИС больницы, УЗ2, объектовый масштаб → K2 (типичный случай).
  • Та же МИС, но с ДСП или УЗ1K1.
  • МИС с УЗ3 + объектовый → K3 (редко для систем с ПДн и приёмом пациентов).

Сегменты и «потолок» по инфраструктуре

Сегменты (п. 9 приложения)

Разным сегментам одной ИС можно присвоить разные классы — например, сегмент МИС K2, административный сегмент K3. Меры защиты назначаются по классу каждого сегмента.

Допускается единый акт классификации на несколько сегментов одной организации (п. 10).

«Потолок» по инфраструктуре (п. 8 приложения)

Класс ИС не может быть выше, чем класс информационно-телекоммуникационной инфраструктуры, на которой она функционирует. Если сеть/ЦОД — K2, МИС не классифицируют как K1 без приведения инфраструктуры в соответствие.

Когда пересматривать класс (п. 11 приложения)

Пересмотр обязателен, если изменились:

  • масштаб ИС (или сегмента);
  • значимость обрабатываемой информации (новые категории данных, ДСП, существенное расширение функций).

Также пересматривайте класс при модернизации ИС, смене архитектуры, выводе в федеральные/региональные контуры (ЕГИСЗ, РМИС).

Акт классификации (п. 10 приложения)

Результаты оформляются актом. Типовой формы нет, но содержание обязательное.

В акте указывают

  • наименование ИС (и сегментов, если есть);
  • УЗ (по системе и/или по сегментам);
  • масштаб (по системе и/или по сегментам);
  • присвоенный класс защищённости K1, K2 или K3.

Кто готовит и утверждает

  • Готовит: ответственный за защиту информации (или комиссия по его поручению) на основании оценки ущерба и масштаба.
  • Утверждает: оператор (обладатель информации) — на практике руководитель организации.

Храните акт вместе с политикой, стандартами, регламентами и материалами категорирования КИИ.

Пошаговый алгоритм

  1. Составьте перечень ИС (МИС, кадры, бухгалтерия, почта, сайт, интеграционные шины).
  2. Для каждой (или каждого сегмента) оцените ущерб по C, I, A — по каждому виду информации (п. 5).
  3. Определите УЗ1, УЗ2 или УЗ3; проверьте, есть ли ДСП.
  4. Определите масштаб по назначению системы.
  5. По таблице получите K1, K2 или K3; проверьте потолок по инфраструктуре (п. 8).
  6. Утвердите акт классификации.
  7. Обновите стандарты и регламенты под фактический класс (сроки восстановления, требования к СЗИ, объём мониторинга).

Что дальше

Класс защищённости определяет дальнейшие шаги:

  • модели угроз — для ГИС обязательна при создании/развитии (п. 36–37); для иных ИС решение о разработке принимает руководитель, но для K1/K2 на практике модель почти неизбежна;
  • выбора СЗИ;
  • расчёта Кзи (не реже 1 раза в 6 месяцев, п. 32).

В следующем выпуске: модель угроз — зачем нужна, кому обязательна и как не утонуть в деталях.

Поможем с классификацией: аудит ИС, акты, политика, стандарты, регламенты — synlawtech.ru (экспресс-тест ~3 минуты, консультация).

Подписывайтесь на канал «Синтез закона и технологий», чтобы не пропустить продолжение серии.

-3

Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности. Для юридически значимых решений сверяйтесь с актуальными текстами законов и официальными разъяснениями.