ОПРЕДЕЛЕНИЕ КЛАССА ЗАЩИЩЕННОСТИ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ, ОБРАБАТЫВАЮЩИХ ИНФОРМАЦИЮ, НЕ СОСТАВЛЯЮЩУЮ ГОСУДАРСТВЕННУЮ ТАЙНУ

НЕ СОСТАВЛЯЮЩУЮ ГОСУДАРСТВЕННУЮ ТАЙНУ

В соответствии с приказом № 17 от 11 февраля 2013 года «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» при обработке конфиденциальной информации в государственных информационных системах необходимо обеспечение мер защищенности в соответствии с выявленным классом.

Это означает, что при разработке и эксплуатации государственных ИС различного уровня необходимо соблюдать ряд требований и рекомендаций по обеспечению защищенности как процессов, так и составных частей ИС.

Данный процесс включает следующие этапы:

  • 1. Определение наступления возможных последствий при нарушении конфиденциальности, целостности или доступности информации — определение степени возможного ущерба и уровня значимости.
  • 2. Определение масштаба государственной информационной системы.
  • 3. Определение класса защищенности государственной ИС путем комбинирования данных параметров [9].

В Приказе № 17 от И февраля 2013 года дано следующее определение степень возможного ущерба — «... степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть:

  • - высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) нс могут выполнять возложенные на них функции;
  • - средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций:

- низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

Ввиду сложности приведения первой части формулировки определения степени ущерба (возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности) и отсутствия четкого аппарата определения таких последствий в представленной методике за основу будет взята вторая часть формулировки данного определения, а именно «информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции...».

В соответствии с обозначенным первым этапом (определение степени возможного ущерба путем анализа качества и количества выполняемых функций информационной системы или оператором) приведем пример ИС и выполняемых ими функций (табл. 37).

Таблица 37

Функции информационных систем

№, п/п

Система

Функция ИС

И

Автоматизированная информационная система оформления и учета паспортно-визовых документов в консульских загранучре-ждениях МИД России

1. Взаимодействие между консульским департаментом МИД России и дипломатическими представительствами. 2.Выдача виз иностранным гражданам и лицам без гражданства для въезда в Российскую Федерацию

2

Эиергосистема-Зима

  • 1. Анализ и мониторинг состояния готовности субъектов к осенне-зимнему периоду в территориальных управлениях Ростехнадзора.
  • 2. Анализ и мониторинг состояния готовности субъектов к осенне-зимнему периоду в центральном аппарате Ростехнадзора.

Система

№, п/п

Функция ИС

3

ЕСИМО

  • 1. Мониторинг состояния аппаратно-программных комплексов поддержки серверов поставщиков данных, сервера интеграции, портала ЕСИМО, картографического сервера, аналитического комплекса.
  • 2. Организация поддержки выполнения запросов пользователей в режиме он-лайн.
  • 3. Повышение эффективности использования информации об обстановке в Мировом оксане.
  • 4. Создание и поддержка в актуальном состоянии информационных ресурсов.
  • 5. Загрузка информационных ресурсов в базу интегрированных данных в соответствии с регламентом их пополнения.
  • 6. Контроль качества данных.

Таким образом, можем сформулировать следующее суждение:

Степень возможного ущерба ИС «Автоматизированная информационная система оформления и учета паспортно-визовых документов в консульских за-гранучреждениях МИД России» является:

  • - высокой, при невыполнении двух функций ИС;
  • - средней, при невыполнении хотя бы одной из функций ИС;
  • - низкой, при выполнении всех функций ИС с недостаточной эффективностью или выполнении функций только с привлечением дополнительных сил и средств.

Для представления математической модели процесса определения степени возможного ущерба целесообразно сформировать однозначные кортежи (табл. 38).

Формализация представления процесса определения степени возможного ущерба для ИС

Таблица 38

№, п/п

Степень ущерба

Условие получения степени ущерба

Обозначение

1

Определение высокой степени ущерба

SYv =

SYv=

SYv=

SYv=

SYv=

SYv=

SYv=

SYv — высокая степень ущерба, NK — нарушение конфиденциальности, ND — нарушение целостности, NC — нарушение доступности, NF, — невыполнение ИС или оператором всех функций

№, Степень п/п ущерба

Условие получения степени ущерба

Обозначение

2

Определение средней степени ущерба

SYs =2>

SYs=2>

SYs=2>

SYs=2>

SYs=2>

SYs=2>

SYs=2>

SYs — средняя степень ущерба, NF2 — не выполнение ИС или оператором хотя бы одной из функций

3

Определение низкой степени ущерба

SYn =3> SYn= SYn=3> SYn=(> SYn=3> SYn= SYn=3>

SYn — низкая степень ущерба, NF3 — выполнений всех функций ИС или оператора с недостаточной эффективностью или выполнение функций только с привлечением дополнительных сил и средств

Определение уровней значимости можно представить в виде следующих кортежей [12,13]:

YZ1 = ,,,

YZ2 = ,,,

YZ3 = ,,.

Правило определения уровня значимости (табл. 39) звучит следующим образом:

Информация имеет высокий уровень значимости (YZ 1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.

Информация имеет средний уровень значимости (YZ 2), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.

Информация имеет низкий уровень значимости (YZ 3), если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.

Таблица 39

Определение уровней значимости информации

Свойство информации

YZ]

YZ,

YZ3

Конфиденциальность

Высокая

Средняя

Низкая

Целостность

Высокая

Средняя

Низкая

Доступность

Высокая

Средняя

Низкая

Свойство информации

YZ,

YZ,

YZ,

Конфиденциальность

Высокая

Высокая

Высокая

Целостность

Низкая

Низкая

Низкая

Доступность

Высокая

Средняя

Низкая

Свойство информации

YZ,

YZ|

yz2

Конфиденциальность

Средняя

Средняя

Средняя

Целостность

Низкая

Низкая

Низкая

Доступность

Высокая

Средняя

Низкая

Свойство информации

YZ,

YZ,

YZ,

Конфиденциальность

Высокая

Высокая

Средняя

Целостность

Средняя

Средняя

Высокая

Доступность

Средняя

Низкая

Низкая

Свойство информации

YZ,

YZ,

YZ,

Конфиденциальность

Средняя

Высокая

Средняя

Целостность

Высокая

Средняя

Высокая

Доступность

Низкая

Низкая

Высокая

Свойство информации

YZ,

yz2

YZ,

Конфиденциальность

Низкая

Низкая

Низкая

Целостность

Средняя

Средняя

Высокая

Доступность

Средняя

Низкая

Низкая

Свойство информации

YZ(

YZj

YZ,

Конфиденциальность

Низкая

Низкая

Низкая

Целостность

Высокая

Средняя

Высокая

Доступность

Средняя

Высокая

Низкая

По масштабу государственные информационные системы подразделяются на федеральные, региональные и объектовые.

Пользуясь данными табл. 39 и иерархией, представленной на рис. 18, а также зная масштаб ИС, пользователь может определить класс защищенности и выполнить требования по обеспечению защищенности выявленного класса (табл. 40).

Определение классов защищенности государственной информационной системы

Таблица 40

Уровень значимости информации

Масштаб информационной системы

Федеральный

Региональный

Объектовый

УЗ 1

К1

К1

К1

УЗ 2

К1

К2

К2

УЗ 3

К2

КЗ

КЗ

Процесс определения класса защищенности ИС

Рис. 18. Процесс определения класса защищенности ИС

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >