Определение класса защищенности АС

Для того чтобы сформировать набор требований по безопасности, которым должна отвечать АС, необходимо определить ее класс защищенности. Класс защищенности согласно руководящему документу ГТК «Классификация АС и требования по защите информации» определяется на основании:

- перечня защищаемых ресурсов АС и их уровней конфиденциальности;

- перечня лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;

- матрицы доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;

- режимов обработки данных в АС.

При исследовании или проектировании информационной архитектуры системы необходимо определить:

- режимы обработки информации (коллективный или индивидуальный), т.е. порядок использования АРМ или одним или несколькими пользователями;

- полномочия пользователей по доступу к конкретным информационным ресурсам (файлам, каталогам, дискам) и штатным средствам АС (АРМ, серверам, внешним каналам связи и т.п.);

- уровни секретности и категории защищаемой информации.

Для обработки секретной информации разрешается использовать только АС категорий 3А, 2А, 1В, 1Б, 1А.

Если АС состоит из одной или нескольких автономных АРМ, каждая из которых предназначена для индивидуального использования одним из пользователей, который допущен ко всей информации, располагаемой на этом АРМ и информация имеет один уровень секретности (не важно какой!), то АС относится к классу 3А.

Если в АС пользователи имеют одинаковые права доступа (полномочия) ко всей информации, обрабатываемой в АС и имеющей различные уровни секретности, то система относится к классу защищенности 2А.

Если в АС при тех же прочих условиях, что и для класса 2А, не все пользователи имеют доступ ко всей информации в системе, то система относится к первой группе. При этом отнесение АС к определенному классу производится на основании наличия информации определенного уровня конфиденциальности, соответственно, для обработки информации «особой важности» предназначены системы с классом защиты 1А, для «совершенно секретной» – 1Б и «секретной» – 1В.

 

Требуемый уровень защищённости информационной подсистемы персональных данных (ИСПДн) определяется согласно Постановлению Правительства РФ от 1 ноября 2012 года N 1119.

Для определения нужного уровня защищённости необходимо определить 3 входных параметра:

1. Тип ПДн в ИСПДн: специальные, биометрические, иные, общедоступные. (биометрические не могут быть и специальными, а вот все остальные типы могут и пересекаться (например: общедоступные биометрические - фото на сайте - и т.д.).

2. Количество ПДн субъектов. (Более 100 000 или менее 100 000).

3. Тип угроз: 1тип - защита от НДВ требуется в системном и прикладном ПО, 2 тип - защита от НДВ только в прикладном ПО, 3тип - игнорируем НДВ.

Таблица для определения уровня защищённости выглядит так:

 

Таблица 5 – Уровни защищенности ИСПДн

 

 

 

4 Формирование требований к построению СЗИ

Определение класса защищенности АС позволяет сформировать набор требований по безопасности, которые предъявляются к этому классу систем. Эти требования изложены в РД ГТК. Кроме того, на основе класса защищаемой АС выбираются средства вычислительной техники (СВТ), которые должны иметь соответствующие классы защищенности СВТ:

- для класса защищенности АС 1В используются СВТ не ниже 4 класса;

- для класса защищенности АС 1Б используются СВТ не ниже 3 класса;

- для класса защищенности АС 1А используются СВТ не ниже 2 класса.

Для классов защищенности АС 3А и 2А выбираются СВТ классов защищенности не ниже 4, 3, и 2 в зависимости от грифа секретности обрабатываемой информации, соответственно «секретной», «совершенно секретной» и «особой важности».

Полный набор требований по безопасности к АС по ГОСТ Р ИСО/МЭК 15408 называется Заданием по безопасности, выполнение которого должно дать определенные гарантии защищенности информации от НСД.

Для обеспечения 4 уровня защищенности персональных данных в информационных системах персональных данных должны применяться средства защиты информации 6 класса защиты.

Для обеспечения 3 уровня защищенности персональных данных в информационных системах, в которых не определены в качестве актуальных угрозы 2-го типа и которые не подключены к информационно-телекоммуникационным сетям международного информационного обмена, должны применяться средства защиты информации не ниже 5 класса защиты.

Для обеспечения 1 и 2 уровня защищенности персональных данных в информационных системах персональных данных, а также 3 уровня защищенности персональных данных в информационных системах, в которых определены в качестве актуальных угрозы 2-го типа или которые подключены к информационно-телекоммуникационным сетям международного информационного обмена, должны применяться средства защиты информации не ниже 4 класса защиты.

 

 

5 Определение уязвимостей автоматизированной системы и выбор средств защиты информации

Выделение угроз безопасности преследует цель ранжирования их по степени опасности для функционирования информационной системы в зависимости от возможного ущерба.