Типы информационных систем и их уровни защищённости
Здравствуйте, сегодня я хочу рассказать о правовых аспектах информационной безопасности в России, именно правовых аспектах, потому что все типы ИС и уровни/классы защищённости приведены из официальных источников. В последнее время власти страны уделяют большое внимание сфере ИТ, информационная безопасность не осталась в стороне, появляется множество новых нормативно-правовых актов и вносятся изменения в существующие НПА, регулирующих ИБ. Данная тема очень обширная поэтому я хочу рассказать о классификации информационных систем, уровнях/классах защищенности каждой из типов ИС.
В России выделяют 4 типов информационных систем:
Информационная система персональных данных
Государственная информационная система
Автоматизированная система
Автоматизированная система управления техническим процессом
Критическая информационная инфраструктура
В этой статье я хочу рассказать о 3 информационный системах, а именно ИСПДн, ГИС, АС.
Информационная система персональных данных
«Информационная система персональных данных — это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств». Такое определение ИСПДн дает Федеральная служба по техническому и экспортному контролю РФ я считаю, что данное определение достаточно понятно и полно описывает понятие ИСПДн и не вижу смысла останавливаться и разбирать каждое слово в нем, лучше перейдём к более интересной части, а именно к определению уровня защищенности данного типа ИС.
В ИСПДн выделяют 4 уровня защищенности персональных данных. Для определения уровня защищенности используется определенный алгоритм, о котором я сейчас расскажу.
Этапы определения уровня защищенности персональных данных в информационной системе персональных данных:
1. Определение вида персональных данных циркулирующих в данной ИС
В ИСПДн выделяют 4 вида персональных данных.
Специальные (ИСПДн-С) к ним относится информация о расе, национальности, политических взглядах, философских взглядах, религии, состоянии здоровья, интимной жизни.
Биометрические (ИСПДн-Б) к ним относятся физиологические, биологические данные и данные для идентификации, если говорить о реальных примерах, то к биометрическим данным относятся: данные о ДНК, рост, вес, также все официальные документы имеющие в себе фотографию владельца этих документов (паспорт, водительское удостоверение) будут также относится к биометрическим персональным данным.
Общедоступные (ИСПДн-О) к ним относятся все данные которые публикуются субъектом и те которые обязательны к опубликованию, с первым типом понятно, всё, что вы сами где-либо опубликуете будет относится к ним, а вот примером данных обязательных к опубликованию могут служить данные о доходах государственных служащих.
Иные (ИСПДн-И) тут можно сказать, что всё что не относится к 3 выше перечисленным видам ПД будет относится сюда.
С первым шагом в классификации ИСПДн мы разобрались, переходим ко второму.
2. Определение субъекта ПД
С этим пунктом всё на много проще тут выделяют два типа субъектов:
Теперь разберёмся что такое оператор персональных данных. Если говорить простым языком, то любой работодатель будет являться оператором персональных данных. Если в ИС хранятся и обрабатываются персональные данные сотрудников данного работодателя, то это относится к 1 типу субъекта, если в ИС хранятся и обрабатываются данные людей, которые обращаются в какую-либо фирму или предприятие, то эти субъекты относятся ко второму типу, то есть не являются сотрудниками оператора ПД.
3. Количество субъектов
Количество субъектов в ИСПДн является 3 этапом в определении уровня защищенности.
Тут еще легче, чем в первых двух.
4. Определение типа актуальных угроз. Здесь выделяют 3 типа угроз
1 тип — не декларированные возможности в системном ПО.
2 тип — не декларированные возможности в прикладном ПО.
3 тип — отсутствие не декларированных возможностей.
Теперь я считаю, целесообразно будет рассказать, что же это за такие
не декларированные возможности, а это достаточно простое для понимания
понятие. НДВ — функционал незадекларированный производителем, совсем простым языком это так называемые бекдоры, то есть некая часть программы, через которую можно получить несанкционированный доступ к данным или к управления приложением.
Сейчас у вас может сложиться впечатление о том, что вы прочитали кучу
бесполезной информации, которую сложно понять, прочитав 1 раз. Поэтому, что бы не заставлять вас перечитывать все по несколько раз, предлагаю посмотреть мою mindmap, в которой все очень просто и понятно.
Определение УЗ ИСПДн
Теперь можно поговорить и о самих уровнях защищенности. Уровень защищённости персональных данных — это комплексный показатель, характеризующий выполнение неких требований направленных на нейтрализацию угроз безопасности информации. Как я уже говорил в ИСПДн выделяют 4 уровня защищённости, где самый высокий (то есть требующий наибольшей защиты) 1 уровень защищённости, ну, а самый низкий 4 уровень.
Самым простым и понятным способом определения уровня защищённости является таблица, которую я привел ниже.
Таблица определения уровня защищённости ИСПДн.
Государственные информационные системы
Государственные информационные системы — это федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов, ФЗ 149. Данные информационные системы создаются для пользования государственных органов. В ГИС выделяют 3 класса (К) защищенности информации: 1 класс (1К), 2 класс (2К), 3 класс (3К), где 1 класс требует наибольшей защиты, 2 класс средней защиты, 3 класс наименьшей защиты.
Для определения класса защищённости рассматривают всего 2 параметра.
1)Масштаб
Масштаб ГИС разделяется на 3 уровня:
Федеральный. К федеральному уровню относятся ИС, расположенные на всей территории РФ, на территории Федерального округа, на территории нескольких Федеральных округов.
Региональный. К региональному уровню относятся ИС, расположенные на территории субъекта РФ, на территории нескольких субъектов РФ.
Объектовый. К объектовому уровню относятся ИС, расположенные в пределах муниципального образования, в пределах 1 органа государственной власти.
2) Уровень значимости
Уровень значимости определяется исходя из степени ущерба от нарушения конфиденциальности, целостности, доступности. Выделяют 3 степени ущерба, которые определяются обладателем информации, оператором или экспертом.
Высокая
Высокая степень ущерба наступает в результате нарушение конфиденциальности, целостности, доступности информации и влечет за собой один или несколько вариантов развития событий, а именно
Существенный ущерб для отросли, региона.
Невозможность функционирования ГИС.
Невозможность выполнения оператором ИС своих функций.
Средняя
Средняя степень ущерба наступает в результате нарушения конфиденциальности, целостности, доступности информации и влечет за собой один или несколько вариантов развития событий, а именно:
Умеренный ущерб для отрасли, региона.
Функционирование ГИС возможно, но с большими трудностями.
Невозможность выполнения некоторых функций оператора.
Низкая
Низкая степень ущерба наступает в результате нарушения конфиденциальности, целостности, доступности информации и влечет за собой один или несколько вариантов развития событий, а именно:
Несущественный ущерб для отрасли, региона.
ГИС функционирует.
Функции выполняются.
Для тех кто не знает поясню о конфиденциальности, целостности, доступности. КЦД являются тремя основополагающими свойствами безопасности информации.
Конфиденциальность — это состояние информации, при котором доступ к информации есть только у тех лиц, которые имеют на это легальное право.
Целостность — это свойство информации быть изменённой легально.
Доступность — это свойство информации быть доступной и готовой к использованию по запросу в любой момент времени.
Информация имеет высокий уровень значимости (УЗ1), если хотя бы для одного из свойств безопасности информации (КЦД) определена высокая степень ущерба.
Информация имеет средний уровень значимости (УЗ2), если хотя бы для одного из свойств безопасности информации (КЦД) определена средняя степень ущерба.
Информация имеет низкий уровень значимости (УЗ3), если хотя бы для одного из свойств безопасности информации (КЦД) определена низкая степень ущерба.
Повторюсь степень ущерба определяется самим обладателем информации, оператором информации или экспертным методом.
Так же приведу mindmap и таблицу по определению класса защищённости ГИС.
Определение класса защищённости ГИС
Уровень значимости | Федеральный масштаб ИС | Региональный масштаб ИС | Объектовый масштаб ИС |
Уровень значимости 1 | Класс 1 | Класс 1 | Класс 1 |
Уровень значимости 2 | Класс 1 | Класс 2 | Класс 2 |
Уровень значимости 3 | Класс 2 | Класс 3 | Класс 3 |
Автоматизированная система
Автоматизированная система — это система состоящая из персонала и комплекса средств автоматизации его действий, реализующая информационную технологию выполнения установленных функций.
Класс защищённости автоматизированных систем определяется исходя из 4 параметров:
Режим доступа субъектов. Режим доступа субъектов подразделяется на однопользовательские и много пользовательские.
Уровень полномочий пользователей. Уровень полномочий подразделяется на одинаковые и разные.
Уровень конфиденциальности информации. Одинаковые или разные уровни.
Вид информации ограниченного доступа. Информация ограниченного доступа подразделяется на государственную тайну и конфиденциальную информацию. В свою очередь гос. тайга выделяет 3 уровня секретности: секретно, совершенно секретно, особой важности. К конфиденциальной информации относятся: персональные данные и служебная тайна.
Определение класса защищённости АС
Классы защищённости автоматизированных систем
В автоматизированных системах выделяют 3 группы защищённости и 9 классов защищённости: 1А, 1Б, 1В, 1Г, 1Д, 2А, 2Б, 3А, 3Б. Сейчас я расскажу обо всех класса и группах.
1. Группа
Многопользовательские автоматизированные системы, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации автоматизированной системы.
К перовой группе относятся классы 1А, 1Б, 1В, 1Г, 1Д.
Автоматизированные системы, в которых циркулирует информация, составляющая государственную тайну: 1А, 1Б, 1В.
1В — в случае обработки секретной информации с грифом не выше «Секретно».
1Б — в случае обработки секретной информации с грифом не выше «Совершенно секретно».
1А — в случае обработки секретной информации с грифом «Особая важность».
1Г — автоматизированные системы, в которых циркулирует служебная тайна.
1Д — автоматизированные системы, в которых циркулируют персональные данные.
2. Группа
Автоматизированные системы, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации автоматизированной системы, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности. Ко второй группе относятся классы: 2А — информация составляющая государственную тайну, 2Б — информация составляющая конфиденциальную информацию.
3. Группа
Автоматизированные системы, в которых работает один пользователь, допущенный ко всей информации автоматизированной системы, размещенной на носителях одного уровня конфиденциальности. К третьей группе относятся классы: 3А — информация составляющая государственную тайну, 3Б — информация составляющая конфиденциальную информацию.
В этой статье я рассказал о 3 типах информационных систем и о их классах/уровнях защищенности, данная информация будет полезна для людей, которые хотят стать хорошим специалистом по информационной безопасности, потому что нельзя построить хорошую систему защиты информации, без проведения аудита безопасности, а определение типа информационной системы и уровня/класса её защищённости является один из первых шагов по проведению аудита.