3 этап: Проведение категорирования и классификации информационных ресурсов
На третьем этапе мы непосредственно переходим к категорированию ресурсов. С целью создания нормативно-методической основы для дифференцированного подхода к защите ресурсов и типизации принимаемых организационных мер в организации разрабатывается Положение об определении требований по защите (о категорировании) ресурсов автоматизированной системы организации. (Далее - Положение)
В разделе Положения 2.1. Категории конфиденциальности защищаемой информации, информация, циркулирующая в организации, раделена на 3 категории:
- «СТРОГО КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (коммерческая и банковская тайны, персональные данные и т.д.), а также информация, ограничения на распространение которой введены решениями руководства ОРГАНИЗАЦИИ, разглашение которой может привести к тяжким финансово-экономическим последствиям для Организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);
- «КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства Организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности ОРГАНИЗАЦИИ (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);
- «ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.
Переходя к классификации, необходимо отметить, что классификация информационных систем персональных данных стоит особняком и регламентирована Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Классификация Государственных информационных систем регламнтируется Приказом ФСТЭК от 11 февраля 2013 г. №17 "11 февраля 2013 г. N 17 Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
Для автоматизации процесса определения уровня защищенности и определения класса Государственной информационной системмы нами разработаны следующие сервисы:
1.Расчет уровня защищенности для ИСПДн.
2.Расчет класса защищенности для ГИС
Определение мероприятий по защите осуществляется с учетом модели угроз. В свою очередь порядок составления модели угроз указан в Методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и основывается на Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Также при использовании средств криптографической защиты на основании Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144) составляется Модель нарушителя.
Классификация информации ограниченого распространения, не содержащей персональных данных, производится на основании РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" (утв. решением Государственной технической комиссии при Президенте РФ от 30 марта 1992 г.)