Как определить класс защищённости ГИС?
В декабре 2023 года был опубликован пакет законопроектов об ужесточении административной и уголовной ответственности за утечки персданных.
Штрафы для юрлиц и ИП составят:
- от 3 до 5 млн руб., если утечка касается от 1 до 10 тыс. субъектов ПДн;
- от 5 до 10 млн руб. за утечку от 10 до 100 тыс. данных;
- от 10 до 15 млн руб., если произошла утечка 100 тыс. и выше данных ИЛИ за утечку специальной информации, например, медицинского характера.
При повторном нарушении грозит штраф от 15 до 500 млн руб. Точную цифру предлагается рассчитывать исходя из суммы выручки за год, предшествующий нарушению — от 0,1 до 3%.
Прежде чем приступать к составлению документации и защите информационных систем, необходимо провести аудит. Для начала определяем уровень защищённости. Для государственных информационных систем также требуется определить Класс защищённости.
Сегодня разберёмся в аспектах государственных информационных систем — о каких классах идёт речь, как определить и осуществить требования к КЗ.
Законодательное основание
Определение класса защищенности ГИС осуществляется в соответствии с приказом ФСТЭК РФ от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Класс защищенности информационной системы — от первого до третьего — определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой ИС, и масштаба информационной системы — федеральный, региональный, объектовый.
Шаг 1. Определение уровня значимости ГИС
Уровень значимости информации определяется степенью возможного ущерба для обладателя информации и (или) оператора от нарушения:
- конфиденциальности — неправомерные доступ, копирование, предоставление или распространение;
- целостности — неправомерные уничтожение или модифицирование;
- доступности — неправомерное блокирование информации.
Таким образом, УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)],
где степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами. Может быть:
- высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ИС и (или) оператор не могут выполнять возложенные на них функции;
- средней, если в результате нарушения одного из свойств безопасности информации возможны умеренные негативные последствия в вышеперечисленных областях деятельности и (или) ИС и (или) оператор не могут выполнять хотя бы одну из возложенных функций;
- низкой, если в результате нарушения одного из свойств безопасности информации возможны незначительные негативные последствия в вышеперечисленных областях деятельности и (или) ИС и (или) оператор могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
Информация имеет:
- высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации определена высокая степень ущерба;
- средний уровень значимости (УЗ 2), если хотя бы для одного из свойств безопасности информации определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба;
- низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации определены низкие степени ущерба.
При обработке в ИС двух и более видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа) УЗ информации определятся отдельно для каждого вида. Итоговый уровень значимости устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности каждого вида информации.
Шаг 2. Определение масштаба ГИС
Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», приложение 1 п.3.
Информационная система имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
Информационная система имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
Шаг 3. Определение класса защищенности ГИС
Шаг 4. Составление акта классификации ГИС
Акт классификации составляется комиссией по результатам проведённого анализа данных. В нём необходимо указать:
- Степень возможного ущерба + обоснование
- Масштаб ИС + обоснование
- Наличие в ИС персональных данных
- Могут ли ПДн, обрабатываемые в системе, быть отнесены к специальным категориям, к биометрическим, к общедоступным или обезличенным персональным данным.
- Количество субъектов, чьи данные обрабатываются — более 100 ты или менее 100 тыс.
- Актуальный тип угроз
- Необходимый уровень защищённости ПДн.
- Класс защищённости ИС.
С полным перечнем документации для выполнения требований регуляторов в сфере персональных данных можно ознакомиться тут.
Оценить соответствие и внедрить недостающие меры можно как самостоятельно, так и с помощью профильных компаний.
Например, Safe Cloud 152-ФЗ является комплексным решением по реализации всех организационных и технологических требований законодательства по защите информации. В рамках сервиса «под ключ» компании получают возможность:
- Оформления полного пакета документов для выполнения 152-ФЗ
- Разделения ответственности за обработку ПДН
- Получения прямого доступа к экспертизе
- Легкой бесшовной миграции
Если у вас остались вопросы по выполнению требований законодательства, защите обработки персональных данных или Safe Cloud 152-ФЗ – просто напишите нам.