Журнал "Системы Безопасности" № 4‘2021

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я : A I , У М Н Ы Й Г О Р О Д , I o T 116 ции выбираются и реализуются в ГИС в рамках ее системы защиты информации. Классы защищенности ГИС Появление требований ФСТЭК к мобильным устройствам (в части ноутбуков, нетбуков, планшетов, смартфонов), требования к кото- рым ранее не были формализованы в других документах ФСТЭК, безусловно, является поло- жительным моментом. Согласно требованиям ФСТЭК установлены четыре класса защищенно- сти ГИС, определяющие уровни защищенности содержащейся в ней информации. Самый высокий, первый, – К1, а самый низкий класс, четвертый, – К4. Класс защищенности опреде- ляется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой ГИС, и ее масштаба (федерального, регионального, объектового). Класс защищенности (К) = [уровень значимости информации; масштаб системы]. Уровень значимости информации определяется степе- нью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомер- ные доступ, копирование, предоставление или распространение), целостности (неправомер- ные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации. Тогда УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)], где степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными мето- дами и может быть: 1. Высокой, если в результате нарушения одно- го из свойств безопасности информации (кон- фиденциальности, целостности, доступности) возможны существенные негативные послед- ствия в социальной, политической, междуна- родной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) опе- ратор (обладатель информации) не могут выполнять возложенные на них функции. 2. Средней, если в результате нарушения одно- го из свойств безопасности информации (кон- фиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций. 3. Низкой, если в результате нарушения одного из свойств безопасности информации (конфи- денциальности, целостности, доступности) воз- можны незначительные негативные послед- ствия в социальной, политической, междуна- родной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) опе- ратор (обладатель информации) могут выпол- нять возложенные на них функции с недоста- точной эффективностью или выполнение функ- ций возможно только с привлечением допол- нительных сил и средств. При обработке в ГИС двух и более видов информации (служебная тайна и иные виды информации ограниченного доступа) уровень значимости информации определятся отдельно для каждого вида информации. Итоговый уро- вень значимости информации устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциально- сти, целостности, доступности каждого вида информации. Класс защищенности ГИС опре- деляется в соответствии с табл. 1. Результаты классификации ГИС оформляются соответствующим актом. В приложении № 2 к Требованиям о защите информации, не составляющей государствен- ную тайну, содержащейся в государственных информационных системах, приведен состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы. В табл. 2 приведен фрагмент таблицы из вышеназванного прило- жения. Знак + означает, что данная мера защиты информации включена в базовый набор мер для соответствующего класса защищенности информационной системы. Меры защиты информации, не обозначенные знаком +, применяются при адаптации базово- го набора мер и уточнении адаптированного базового набора мер, а также при разработке компенсирующих мер защиты информации в информационной системе соответствующего класса защищенности. Реализация технических мер защиты информации (по классам защищенности ГИС) Технические меры защиты информации реали- зуются посредством применения средств защи- ты информации, имеющих необходимые функ- ции безопасности, на основании нормативных документов ФСТЭК. В ГИС 1 и 2 классов защи- щенности применяются средства защиты информации, программное обеспечение кото- рых прошло проверку не ниже чем по четвер- тому уровню контроля отсутствия недеклариро- ванных возможностей, а также: l средства вычислительной техники не ниже 5 класса; l системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса; l межсетевые экраны не ниже 3 класса в случае взаимодействия ГИС с информационно-теле- коммуникационными сетями международно- август – сентябрь 2021 www.secuteck.ru Таблица 1 Таблица 2 защита машинных носителей информации целостность информационной системы и информации Требования к организационным и техническим мерам защиты информации управление доступом субъектов доступа к объектам доступа идентификация и аутентификация субъектов доступа и объектов обнаружение (предотвращение) вторжений контроль (анализ) защищенности информации доступность информации защита среды виртуализации защита технических средств защита информационной системы, ее средств, систем связи и передачи данных антивирусная защита ограничение программной среды регистрация событий безопасности Рис. 3. Требования к организационным и техническим мерам защиты информации Уровень значимости информации Масштаб информационной системы Федеральный Региональный Объектовый УЗ 1 К1 К1 К1 УЗ 2 К1 К2 К2 УЗ 3 К2 К3 К3 УЗ 4 К3 К3 К4 Условное обозначение и номер меры Меры защиты информации в информационных системах Классы защищенности информационной системы 1 2 3 4 I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора + + + + ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных + +