Как определить класс защищённости вашей информационной системы и оформить акт классификации?

Класс защищённости (К1, К2 или К3) — это база, от которой зависит:

• какие меры защиты вы обязаны применить;
• за сколько времени нужно восстановить работу ИС после сбоя (от 24 часов до 4 недель);
• какой уровень сертификации должны иметь средства защиты информации.

Без установленного класса вы не сможете правильно построить модель угроз, выбрать сертифицированные СЗИ и заполнить отчёты для ФСТЭК.

Класс защищённости определяется отдельно для каждой информационной системы.

Два параметра для расчёта

Класс защищённости зависит от:

1. уровня значимости информации в ИС (УЗ1, УЗ2, УЗ3)
2. масштаба ИС (федеральный, региональный, объектовый)

Параметры независимые. Их комбинация даёт итоговый класс.

Шаг 1. Определяем уровень значимости информации

Уровень значимости зависит от степени возможного ущерба при нарушении:

• конфиденциальности (информация стала доступна посторонним);
• целостности (информацию изменили или уничтожили);
• доступности (информацию заблокировали для законных пользователей).

Ущерб оценивается отдельно по каждому из трёх свойств. Итоговый уровень значимости берётся по наибольшей степени ущерба.

Степени ущерба:

• Высокая – существенные негативные последствия для экономики, политики, социальной сферы и т.п., либо организация не может выполнять возложенные функции.
• Средняя – умеренные негативные последствия, либо организация не может выполнять хотя бы одну из возложенных функций.
• Низкая – незначительные негативные последствия, либо организация выполняет функции с недостаточной эффективностью (или только с привлечением дополнительных сил).

После того как вы определили степень ущерба, соотнесите её с уровнем значимости:

• УЗ1 (высокий уровень значимости) – высокая степень ущерба хотя бы для одного из свойств (конфиденциальности, целостности, доступности). Либо в ИС есть информация ограниченного распространения с пометкой «ДСП».
• УЗ2 (средний уровень значимости) – средняя степень ущерба хотя бы для одного свойства, но нет ни одного свойства с высокой степенью.
• УЗ3 (низкий уровень значимости) – для всех трёх свойств определена низкая степень ущерба.

Пример: если утечка информации (конфиденциальность) принесёт высокий ущерб, а целостность и доступность — низкий, то уровень значимости всё равно будет УЗ1.

Шаг 2. Определяем масштаб ИС

Масштаб зависит от того, на какой территории решаются задачи с помощью ИС.

• Федеральный масштаб – ИС предназначена для работы на всей территории РФ или в двух и более субъектах РФ.
• Региональный масштаб – ИС предназначена для работы в пределах одного субъекта РФ.
• Объектовый масштаб – ИС работает в пределах одного госоргана, муниципального образования или организации.

Шаг 3. Сводим параметры – получаем класс защищённости

Правило такое:

• При высоком уровне значимости (УЗ1) ИС всегда получает класс К1, независимо от масштаба.
• При среднем уровне значимости (УЗ2):
  федеральный масштаб → К1
  региональный или объектовый масштаб → К2
• При низком уровне значимости (УЗ3):
  федеральный масштаб → К2
  региональный масштаб → К3
  объектовый масштаб → К3

Примеры:

• ИС с высоким уровнем значимости (УЗ1) всегда получает К1.
• ИС со средним уровнем и региональным масштабом → К2.
• ИС с низким уровнем и объектовым масштабом → К3.

Что делать, если у ИС несколько сегментов с разной значимостью?

Разным сегментам одной ИС можно присвоить разные классы защищённости. Тогда для каждого сегмента применяются меры защиты, соответствующие его классу.

Как часто пересматривать класс?

Класс защищённости нужно пересмотреть, если:

• изменился масштаб ИС (расширилась география работы);
• изменилась значимость информации (например, стали обрабатываться «ДСП» или новые виды чувствительных данных).

Оформляем акт классификации

Акт составляется в произвольной форме, но на каждую ИС отдельно.

Что обязательно указать в акте:

• наименование ИС (и её сегментов, если они есть);
• уровень значимости информации (УЗ1/УЗ2/УЗ3);
• масштаб ИС (федеральный/региональный/объектовый);
• присвоенный класс защищённости (К1/К2/К3).

Акт подписывается руководителем или ответственным за защиту информации. Хранится вместе с другой документацией по ИБ.

Коротко: пошаговый алгоритм

1. Для каждой ИС оцените возможный ущерб при нарушении конфиденциальности, целостности, доступности.
2. Определите уровень значимости (УЗ1, УЗ2, УЗ3).
3. Определите масштаб ИС (федеральный, региональный, объектовый).
4. По правилам из шага 3 найдите класс защищённости (К1, К2, К3).
5. Составьте и утвердите акт классификации для каждой ИС.

Поможем с классификацией и документацией

Если у вас нет времени или штатных специалистов — мы можем:

• провести аудит ИС и определить класс защищённости за вас;
• разработать акты классификации для всех ваших ИС;
• подготовить любые другие ОРД (политику, стандарты, регламенты).

✅ Пройдите экспресс-тест на нашем сайте — за 3 минуты узнаете, насколько ваша организация готова к требованиям №117.

👉 synlawtech.ru

Оставьте заявку на бесплатную консультацию — поможем разобраться с классами защищённости и всем объёмом документации.

Следующая статья: разберём, как разработать модель угроз — зачем она нужна, обязательно ли для всех ИС и как не утонуть в технических деталях. Подписывайтесь.