Что такое классы информационной безопасности и для чего они нужны?

Что такое классы информационной безопасности и для чего они нужны?

TL и DR
Классы информационной безопасности — это уровни защищенности информационных систем в России, установленные ФСТЭК. Они определяют, какие меры защиты нужно применять, чтобы предотвратить утечки и нарушения. Нужны для соответствия закону и минимизации рисков ущерба от угроз.
Основные типы информационных систем и их классы

В России классы защищенности зависят от типа системы. Регулирует это ФСТЭК через приказы.

  • Государственные информационные системы (ГИС)**: Приказ ФСТЭК №17 (от 11.02.2013, с изменениями до 2024). 3 класса: К1 (высочайший), К2, К3 (низший). Зависит от значимости информации и масштаба (федеральный, региональный, объектовый).
  • Информационные системы персональных данных (ИСПДн)**: Постановление Правительства №1119 и Приказ ФСТЭК №21. 4 уровня: У1 (высочайший), У2, У3, У4 (низший). Определяется по категории ПДн, объему и типу угроз.
  • Автоматизированные системы управления (АСУ ТП)**: Приказ ФСТЭК №31 (от 14.03.2014). 3 класса: 1 (высочайший), 2, 3 (низший). Учитывается потенциал ущерба (федеральный, региональный, локальный).

Кроме того, средства защиты информации (СЗИ) имеют классы от 1 (высокий) до 6 (низкий) по контролю НДВ (недекларированные возможности).
Сравнение классов по типам систем
Зачем нужны классы
Класс определяет набор мер защиты. Без правильного класса система не пройдет аттестацию, что грозит штрафами по 152-ФЗ (ПДн) или другим законам.
По данным ФСТЭК, в 2023–2024 годах сертифицировано тысячи СЗИ, но многие системы остаются уязвимыми из-за неверной классификации. Правильный класс снижает риски: например, в ГИС К1 предотвращает существенный ущерб на федеральном уровне.
Это обязательное требование для госорганов, операторов ПДн и объектов КИИ.


Как определяют класс

Процесс:
  1. Анализ обрабатываемой информации (конфиденциальность, целостность, доступность).
  2. Оценка актуальных угроз (модель угроз по методичкам ФСТЭК).
  3. Расчет по таблицам в приказах.

Для Телеком биржи (cirex.ru), которая строит оптоволоконные сети и предоставляет каналы связи для ЦОД, классы важны при передаче защищенных данных — их инфраструктура часто используется для ГИС или ИСПДн высокого уровня.


Что делать дальше
Определите тип вашей системы. Составьте модель угроз. Выберите меры по базовому набору ФСТЭК и адаптируйте их.
Если система критична, привлекайте лицензированных специалистов для классификации и аттестации. Это не разовая работа — класс пересматривают при изменениях.
Есть задача?
Отправьте заявку!