Продолжение цикла о Приказе ФСТЭК №117. Раньше — внутренние документы. Сегодня — класс защищённости K1, K2 или K3 и акт классификации.
Зачем нужен класс защищённости
Класс защищённости (K1, K2 или K3) — база, от которой зависит:
- какие меры защиты вы обязаны реализовать;
- сколько времени у вас на восстановление работы ИС после сбоя (п. 53 №117):
K1 — не более 24 часов;
K2 — не более 7 календарных дней;
K3 — не более 4 недель;
- какой класс сертифицированных СЗИ допустим:
K1 — не ниже 4 класса защиты и уровня доверия;
K2 — не ниже 5;
K3 — 6 класс защиты и уровень доверия.
Без установленного класса нельзя последовательно выстроить защиту, выбрать СЗИ и корректно считать Кзи для отчётности во ФСТЭК (п. 32).
В Приказе №117 остались только три класса (K1–K3). Класс K4 из старого приказа №17 упразднён.
K1–K3 и категория КИИ — не одно и то же
Классы K1–K3 по №117 — это не то же самое, что категория значимости объекта КИИ (I, II, III) по 187-ФЗ.
МИС может быть объектом КИИ II категории и одновременно K2 по №117. Оба контура нужно вести параллельно.
Класс определяется отдельно для каждой информационной системы — и при необходимости по сегментам одной ИС.
Два параметра для расчёта: УЗ и масштаб
Класс зависит от двух независимых параметров:
- Уровень значимости информации (УЗ) — УЗ1, УЗ2 или УЗ3.
- Масштаб ИС — федеральный, региональный или объектовый.
Их комбинация даёт итоговый класс по таблице 2 приложения к Приказу №117.
Шаг 1. Уровень значимости информации (УЗ)
УЗ зависит от возможного ущерба при нарушении:
- конфиденциальности (утечка, несанкционированный доступ);
- целостности (изменение, уничтожение);
- доступности (блокирование для законных пользователей).
Ущерб оценивается отдельно по каждому свойству (C, I, A). Степени ущерба (табл. 1 приложения к №117):
Высокая — существенные негативные последствия в социальной, политической, экономической и др. сферах и/или организация не может выполнять возложенные функции.
Средняя — умеренные последствия и/или организация не может выполнить хотя бы одну из функций.
Низкая — незначительные последствия и/или функции выполняются с недостаточной эффективностью или только с дополнительными силами.
При оценке используйте в том числе перечень негативных последствий из банка данных угроз ФСТЭК (п. 2 приложения).
Как получить УЗ1, УЗ2, УЗ3
- УЗ1 (высокий) — высокая степень ущерба хотя бы для одного свойства (C, I или A).
- УЗ2 (средний) — средняя степень хотя бы для одного свойства, нет свойств с высокой степенью.
- УЗ3 (низкий) — для всех трёх свойств только низкая степень.
Автоматически УЗ1: информация ограниченного распространения с пометкой «Для служебного пользования» (п. 4 приложения) — не «любая служебная информация», а именно ДСП.
Несколько видов информации в одной ИС (п. 5 приложения)
Если в системе и ПДн пациентов, и кадры, и бухгалтерия — УЗ определяют по каждому виду, затем берут наивысший итог по степени ущерба для C/I/A.
Пример для МИС: утечка данных пациентов — высокий ущерб по конфиденциальности. Даже при низком ущербе по доступности итог скорее УЗ1 или УЗ2, но не УЗ3. Для типовой МИС с ПДн пациентов УЗ3 встречается редко.
Шаг 2. Масштаб ИС
Масштаб — по назначению ИС (для решения каких задач и на какой территории она создана), а не по уровню учреждения и не по месту установки сервера.
Федеральный — задачи на всей территории РФ или в двух и более субъектах РФ.
Региональный — задачи в пределах одного субъекта РФ (например, РМИС региона).
Объектовый — задачи в пределах одной организации, госоргана или муниципального образования (типичная МИС одной больницы или поликлиники).
Частая ошибка: «областная больница → региональный масштаб». Локальная МИС одного медорганизации почти всегда объектовый, даже если учреждение федеральное.
Шаг 3. Класс K1, K2 или K3
Правила (табл. 2 приложения к №117):
- УЗ1 → K1 при любом масштабе (федеральный, региональный, объектовый).
- УЗ2 → K1 (федеральный), K2 (региональный), K2 (объектовый).
- УЗ3 → K2 (федеральный), K3 (региональный), K3 (объектовый).
Примеры для медицины
- МИС больницы, УЗ2, объектовый масштаб → K2 (типичный случай).
- Та же МИС, но с ДСП или УЗ1 → K1.
- МИС с УЗ3 + объектовый → K3 (редко для систем с ПДн и приёмом пациентов).
Сегменты и «потолок» по инфраструктуре
Сегменты (п. 9 приложения)
Разным сегментам одной ИС можно присвоить разные классы — например, сегмент МИС K2, административный сегмент K3. Меры защиты назначаются по классу каждого сегмента.
Допускается единый акт классификации на несколько сегментов одной организации (п. 10).
«Потолок» по инфраструктуре (п. 8 приложения)
Класс ИС не может быть выше, чем класс информационно-телекоммуникационной инфраструктуры, на которой она функционирует. Если сеть/ЦОД — K2, МИС не классифицируют как K1 без приведения инфраструктуры в соответствие.
Когда пересматривать класс (п. 11 приложения)
Пересмотр обязателен, если изменились:
- масштаб ИС (или сегмента);
- значимость обрабатываемой информации (новые категории данных, ДСП, существенное расширение функций).
Также пересматривайте класс при модернизации ИС, смене архитектуры, выводе в федеральные/региональные контуры (ЕГИСЗ, РМИС).
Акт классификации (п. 10 приложения)
Результаты оформляются актом. Типовой формы нет, но содержание обязательное.
В акте указывают
- наименование ИС (и сегментов, если есть);
- УЗ (по системе и/или по сегментам);
- масштаб (по системе и/или по сегментам);
- присвоенный класс защищённости K1, K2 или K3.
Кто готовит и утверждает
- Готовит: ответственный за защиту информации (или комиссия по его поручению) на основании оценки ущерба и масштаба.
- Утверждает: оператор (обладатель информации) — на практике руководитель организации.
Храните акт вместе с политикой, стандартами, регламентами и материалами категорирования КИИ.
Пошаговый алгоритм
- Составьте перечень ИС (МИС, кадры, бухгалтерия, почта, сайт, интеграционные шины).
- Для каждой (или каждого сегмента) оцените ущерб по C, I, A — по каждому виду информации (п. 5).
- Определите УЗ1, УЗ2 или УЗ3; проверьте, есть ли ДСП.
- Определите масштаб по назначению системы.
- По таблице получите K1, K2 или K3; проверьте потолок по инфраструктуре (п. 8).
- Утвердите акт классификации.
- Обновите стандарты и регламенты под фактический класс (сроки восстановления, требования к СЗИ, объём мониторинга).
Что дальше
Класс защищённости определяет дальнейшие шаги:
- модели угроз — для ГИС обязательна при создании/развитии (п. 36–37); для иных ИС решение о разработке принимает руководитель, но для K1/K2 на практике модель почти неизбежна;
- выбора СЗИ;
- расчёта Кзи (не реже 1 раза в 6 месяцев, п. 32).
В следующем выпуске: модель угроз — зачем нужна, кому обязательна и как не утонуть в деталях.
Поможем с классификацией: аудит ИС, акты, политика, стандарты, регламенты — synlawtech.ru (экспресс-тест ~3 минуты, консультация).
Подписывайтесь на канал «Синтез закона и технологий», чтобы не пропустить продолжение серии.
Материал носит информационный характер и не заменяет консультацию юриста или специалиста по информационной безопасности. Для юридически значимых решений сверяйтесь с актуальными текстами законов и официальными разъяснениями.