Аналитика

Порядок проведения классификации информационных систем по требованиям безопасности информации

  • Июл 06, 2018

Одним из ключевых элементов на начальном этапе обеспечения информационной безопасности является процесс проведения классификации защищаемой системы по требованиям безопасности информации. Данный процесс достаточно хорошо описан и регламентирован, однако он имеет свои тонкости. В предыдущей статье мы рассмотрели понятие классификации систем, основные, часто встречающиеся классификационные признаки, определили состав документов, на основании которых происходит классификация систем по требованиям безопасности информации, и прояснили отдельные вопросы по классификации информационных систем и объектов учета. В данной статье мы рассмотрим общий порядок проведения классификации информационных систем по требованиям безопасности информации на примере абстрактной государственной информационной системы, а также ряд основных моментов при проведении классификации.

Прежде чем приступить, необходимо очень четко понимать следующие основные моменты:

1. Под классификацией мы будем понимать разбиение общего множества объектов на подмножества - классы, сгруппированные по наиболее существенным признакам, при этом под классом мы будем понимать совокупность объектов, обладающих некоторыми признаками общности, которые, в свою очередь, будут являться признаком – критерием классификации.

2. Множественная классификация по требованиям безопасности информации не является ошибочной.

3. Выбор порядка классификации осуществляется исходя из целей создания системы, состава информации, подлежащей обработке и анализу нормативно-правовой, методической и иной документации, которой классифицируемая система должна соответствовать.

4. Результатом проведения классификации является акт классификации.

5. Результаты классификации не являются окончательными и могут быть пересмотрены.

6. Классификация осуществляется обладателем информации.

Вопросы с 1-го по 5-й были достаточно подробно рассмотрены в предыдущей статье, поэтому мы их опустим и более подробно рассмотрим другие.

Начнем с простого: «Результатом проведения классификации является акт классификации». Данный факт установлен требованиями п.14.2 приказа ФСТЭК России от 13.02.2013 г. №17, который устанавливает требования для любой государственной информационной системы.

Одна из распространенных ошибок при составлении акта относится к случаям, когда осуществляется множественная классификация систем. В этом случае, необходимо проводить классификацию независимо, не опираясь на результаты предыдущих классификаций (если это не противоречит порядку классификации), а результат оформлять отдельными актами классификации.

Стоит отметить, что не существует жесткого требования по наличию отдельных актов классификации. Вся информация по результатам множественной классификации может быть отражена в единственном акте. Однако зачастую это приводит к излишней путанице и неудобству для дальнейшей работы с документом. Именно поэтому мы рекомендуем оформлять акты классификации отдельными актами.

Перейдем к пункту 5: «Результаты классификации не являются окончательными и могут быть пересмотрены». Указанное утверждение следует исходя из формальной логики самого процесса, ведь могут измениться условия функционирования объекта классификации, его цели, задачи и другие аспекты. Могут измениться или преобразоваться сами классификационные признаки. Кроме того, в документе, устанавливающем порядок классификации, зачастую содержится информация о порядке пересмотра результатов классификации. Так, согласно п.14.2 приказа ФСТЭК России от 13.02.2013 г. №17 класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации. Порядок пересмотра результатов классификации практически ничем не отличается от самого процесса классификации.

Перейдем к последнему утверждению: «Классификация осуществляется обладателем информации». Вначале определим кто является «обладателем информации». Согласно ст. 2 Федерального закона Российской Федерации от 27.07.2006 г. «Об информации, информационных технологиях и защиты информации» №149-ФЗ «обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам». Права обладателя информации установлены статьей 6 вышеуказанного закона:

«1. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:

  • разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
  • использовать информацию, в том числе распространять ее, по своему усмотрению;
  • передавать информацию другим лицам по договору или на ином установленном законом основании;
  • защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
  • осуществлять иные действия с информацией или разрешать осуществление таких действий.

Обладатель информации при осуществлении своих прав обязан:

  • соблюдать права и законные интересы иных лиц;
  • принимать меры по защите информации;
  • ограничивать доступ к информации, если такая обязанность установлена федеральными законами».

Исходя из определения обладателя информации и его прав становится очевидным, что именно он вправе проводить классификацию, так как классификация является составляющей частью формирования требований к защите информации, содержащейся в информационной системе, что в свою очередь входит в состав работ по обеспечению информационной безопасности на её начальном этапе. Зачастую многие этот нюанс упускают из вида, что приводит к появлению ошибочных документов, на основании которых происходят, в том числе, дальнейшие работы по информационной безопасности, что является прямым нарушением законодательства Российской Федерации. Ряд регулирующих органов, для прояснения данного момента, однозначно указывает на это в своих нормативных документах, например, в п. 14 приказа ФСТЭК России от 13.02.2013 г. №17. Кроме того, следует понимать, что обладатель информации вправе делегировать свои обязанности, если это не противоречит законодательным или иным требованиям. В таком случае сам факт передачи данного права, например, подведомственному учреждению, должен быть зафиксирован надлежащим образом. Отдельно следует отметить, что проведение классификации информационной системы по требованиям безопасности информации в отсутствие законного права попросту лишено смысла.

Теперь перейдем к непосредственному порядку выполнения классификации. При проведении классификации рекомендуется придерживаться следующего порядка действий:

1. Приказом руководителя (уполномоченного заместителя) организации, являющейся на законных основаниях обладателем информации, обрабатываемой в классифицируемой информационной системе, назначить комиссию по проведению классификации. В приказе отразить:

  • состав комиссии с указанием ФИО, должности и функциональной роли для каждого из членов комиссии;
  • наименование классифицируемой системы (или нескольких систем);
  • документы, в соответствии с которыми должна производиться классификация;
  • сроки проведения классификации.

2. Ознакомить с приказом всех участников комиссии.

3. Установить время заседания комиссии.

4. Комиссии под протокол в установленное время заседания определить:

  • порядок проведения классификации в соответствии с требованиями документа, на основании которого проводится классификации;
  • определить состав классификационных признаков, значимых при проведении классификации;
  • определить значения классификационных признаков для классифицируемой системы;
  • установить класс информационной системы.

5. На основании протокола заседания классификационной комиссии зафиксировать итоговый результат классификации в акте классификации.

6. В установленном порядке передать акт классификации на утверждение руководителю (уполномоченному заместителю) организации.

Рассмотрим детально процесс проведения заседания комиссии по классификации. Классификацию мы будем проводить в соответствии с требованиями следующих документов:

Порядок проведения классификации в данных документах прописан однозначно, как и основные классификационные признаки:

    • уровень значимости информации, который определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации. Государственная информационная система может иметь один из следующих уровней значимости:
      • УЗ 1, если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба;
      • УЗ 2, если хотя бы для одного - определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба;
      • УЗ 3, если для всех - определены низкие степени ущерба.
      • При этом степень возможного ущерба определяется обладателем информации и (или) оператором самостоятельно экспертным или иными методами и может быть:

      • высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;
      • средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;
      • низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
    • масштаб системы:
      • Федеральный, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях;
      • Региональный, если она функционирует на территории субъекта Российской Федерации и обладает сегментами в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях;
      • Объектовый, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
    • тип актуальных угроз:
      • угрозы 1-го типа - актуальны для информационной системы, если для нее актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
      • угрозы 2-го типа - актуальны для информационной системы, если для нее актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
      • угрозы 3-го типа - актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
    • категория обрабатываемых персональных данных:
      • специальные категории персональных данных;
      • биометрические персональные данные;
      • иные;
      • общедоступные.
    • количество субъектов, персональные данные которых обрабатываются:
      • более 100 000;
      • менее 100 000.
    • принадлежность субъектов персональных данных:
      • сотрудники оператора;
      • не сотрудники оператора.
    • принадлежность субъектов персональных данных (не сотрудников оператора). Тут важно понимать, что если есть хоть один субъект ПДн, чьи персональные данные обрабатываются в системе и он не является сотрудником оператора, то можем принимать это значение по умолчанию;
    • количество субъектов ПДн: для нашей системы это число не будет превышать 100 000;
    • категория персональных данных: например, для нашей системы - иные персональные данных. При определении данного параметра достаточно понимать какая именно информация к какой категории ПДн относится. В случае если одновременно обрабатывается информация из разных категорий, то системе следует выбрать значение признака по наивысшему показателю, а именно:
      • специальные категории персональных данных, если обрабатывается информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни субъектов персональных данных;
      • биометрические персональные данные, если, во-первых, не обрабатываются сведения, относящиеся к специальным категориям персональных данных, во-вторых, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
      • общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона от 27.07.2006 г. «О персональных данных» №152-ФЗ;
      • иные, если в ней не обрабатываются персональные данные, указанные выше.
    • по типу угроз безопасности персональных данных. Данный параметр мы оставили напоследок не случайно, ведь он зависит от Модели угроз безопасности персональных данных, в которой должны быть указаны актуальные угрозы. Пусть для нашей системы это будут угрозы 3-го типа.

Процесс определения конечных значений каждого из классификационных признаков определяется экспертным путем, обычно в результате консолидированного экспертного мнения, поэтому перейдем сразу к определению данных признаков для нашей абстрактной государственной информационной системы федерального масштаба. Так, в соответствии с приказом ФСТЭК России от 13.02.2013 г. №17 определим максимальный ущерб от нарушения одного из свойств безопасности. При его определении достаточно обратится к полному составу функций, реализуемых системой, нарушение конкретного свойства приведет к невозможности выполнения как минимум одной из них. Рассматриваем каждую, оцениваем последствия, находим максимальный показатель и сравниваем его с перечнем значений УЗ. В нашем примере степень максимального ущерба будет средней, тогда УЗ 2 – искомый уровень значимости информации.

После определения значений указанных классификационных признаков, нам остается только установить класс защищенности нашей системы в соответствии с логикой рассмотренных выше документов и правильно отразить результат деятельности комиссии сначала в протоколе, а потом в акте классификации.

Таким образом, в данной статье мы рассмотрели общий порядок проведения классификации информационных систем по требованиям безопасности информации на примере абстрактной государственной информационной системы, рассмотрели ряд основных моментов и скрытых подводных камней при проведении классификации. В следующей статье мы рассмотрим порядок оформления типовых документов при проведении классификации (приказа о создании комиссии, протокола заседания комиссии и акта классификации), заполним их для нашей абстрактной системы и подготовим типовые шаблонные формы.

+7 (499) 600-11-22