Классы безопасности информационных систем - SearchInform
+7 (495) 721-84-06
+7 (495) 721-84-06
ОФОРМИТЬ ЗАЯВКУ
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
ГлавнаяИнформационная безопасностьОсновы ИБИнформационная безопасность в отрасляхБезопасность информационных системКлассы безопасности информационных систем
ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Классы безопасности информационных систем

Защита информации
с помощью DLP-системы
КИБ SEARCHINFORM
DLP-системы
Принцип работы DLP-системы
Как выбрать DLP-систему
Внедрение DLP-систем
Настройка DLP
Стоимость DLP-систем
Управление инцидентами информационной безопасности
Основы ИБ
Основные аспекты информационной безопасности
Документы по информационной безопасности
Угрозы информационной безопасности
Профайлинг
Информационная безопасность в отраслях
Информационная безопасность предприятий
Правила информационной безопасности на предприятии
Информационная безопасность на предприятии: с чего начать
Внутренняя безопасность предприятия
Информационная безопасность промышленных предприятий
Техническое обеспечение информационной безопасности предприятия
Примеры информационной безопасности предприятия
Корпоративная безопасность предприятий
Корпоративная информационная безопасность
Безопасность информационных систем
Архитектура безопасности информационных систем
Разработка систем информационной безопасности
Механизмы обеспечения безопасности информационных систем
Информационная безопасность телекоммуникационных систем
Обеспечение информационной безопасности банковской системы
Безопасность информационных технологий в правоохранительной сфере
Обеспечение информационной безопасности ФСБ РФ
Информационная безопасность экономической деятельности
Информационная безопасность АСУ
Информационная безопасность баз данных
Информационная безопасность бизнеса
Информационная безопасность в корпорации
Информационная безопасность в системе национальной безопасности
Информационная безопасность в финансовых системах
Информационная безопасность документооборота
Информационная безопасность компьютерных сетей и систем
Информационная безопасность электронных платежных систем
Классы безопасности информационных систем
Информационная безопасность на производстве
Информационная безопасность офиса
Комплексные системы обеспечения информационной безопасности
ИБ в России и в мире
Защита информации
Способы защиты информации
Аналитика в области ИБ
Защита от утечек информации
Защита информации, составляющей коммерческую тайну
Защита информации на флешке

Системы информационной безопасности делятся по степени обеспечения защиты баз данных. Установление класса действительной защищенности помогает определить, для каких целей и уровня информации их можно использовать. Стандарты международного уровня помогают создать модель защиты для большинства ИС государственных органов и компаний, описывая различные стандарты безопасности.

Что содержится в стандарте

Руководящий документ, устанавливающий требования к ИС предприятий и организаций и классам их защищенности, чтобы называться стандартом, должен определять:

  • общий и воспринимаемый специалистами всех уровней понятийный аппарат;
  • единую шкалу измерения классов информационной безопасности;
  • общую для сообщества специалистов – разработчиков, пользователей, регуляторов технологию оценки уровня защищенности;
  • уровень совместимости программных и технических средств, обеспечивающих работу действующей модели информационной безопасности;
  • не только рекомендации, но и нормы, обязательные для применения всеми участниками рынка.

Российские стандарты ФСТЭК РФ созданы во многом на базе международных. Но отличие российской модели ИБ от, например, американской в том, что в США стандарты для частного бизнеса, определяющие степени информационной безопасности, являются рекомендательными, а для российских бизнес-субъектов – операторов персональных данных– обязательными.  

Устанавливающие степени ИБ-стандарты позволяют решить следующие задачи:

  • для производителей –  определяют наборы требований, помогают улучшить качество программного обеспечения, дают возможность получить новейшие данные о безопасности конфиденциальной информации;
  • для потребителей – помогают создать ИС гарантированного качества, уточнив требования к программным и техническим средствам.

При определении типов информационной безопасности стандарты устанавливают требования к:

  • аудиту безопасности конфиденциальных данных, включающему аудит доступа, аудит инцидентов ИБ, аудит работоспособности инфраструктуры;
  • моделям безопасности, включая модель рисков и модель инфраструктуры ИС;
  • методам и средствам создания архитектуры информационной безопасности;
  • используемым средствам криптографической защиты;
  • моделям защиты протоколов межсетевых взаимодействий;
  • логике управления архитектурой ИБ.

Классы безопасности ИС устанавливаются в стандартах, которые имеют отношение к построению ИС в целом, например, к государственным информационным системам (ГИС) в отношении информации, не относящейся к государственной тайне.

Международные стандарты в области описания типов защиты ИБ

Документы, описывающие классы систем ИБ, названы в нескольких международных стандартах, выпускаемых различными организациями, общественными и государственными. Часто в их основу ложится модель, предложенная в стандарте министерства обороны США «Критерии оценки доверенных компьютерных систем» (Trusted Computer System Evaluation Criteria, TCSEC). В среде специалистов по ИБ документация, предложенная TCSEC, часто называется «Оранжевой книгой».

ИС в данном стандарте подразделяются на четыре категории. Уровень защиты D признается низким, уровень А – высшим, а уровни В и С подразделяются на несколько подклассов по степени защищенности. Это значит, что американская модель предполагает наличие классов C1, C2, B1, B2, B3 и A1.

Уровень С

Чем выше уровень защиты, тем строже требования к ИС компании по различным критериям. Первоочередным из них становится требование к механизму управления доступом. Уровень С описывается как произвольное управление доступом. Первичный уровень безопасности обязан разделять уровни доступа для пользователей и файлов.

Для типа С1 должны реализовываться базовые требования:

  • модель разделения уровней доступа пользователей и уровня файлов реализована, механизм управления доступом максимально защищен от некорректных действий системных администраторов;
  • ИС способна максимально точно идентифицировать пользователей;
  • программа, обеспечивающая аутентификацию, исключает несанкционированный допуск;
  • программы управления вычислительными ресурсами запускаются в собственной среде, обеспечены защитой от внешних воздействий;
  • в ИС предусмотрены средства мониторинга работоспособности ее инфраструктуры;
  • защитные механизмы протестированы на отсутствие способов обхода или разрушения средств защиты доверенной вычислительной базы;
  • разработаны организационные документы, описывающие критерии работы ИС и регламент действий пользователей.

Для типа С2 внедрены требования, которые должны организовать систему ответственности пользователя за некорректные или несанкционированные действия:

  • права доступа уточнены для каждого пользователя и предоставлены ему по принципу минимальных необходимых прав, для любого объекта контролируются уровни доступа;
  • действия пользователей с объектами учитываются в журналах ОС;
  • все пользователи имеют точную идентификацию, программа учета действий позволяет определить каждого конкретного автора операций с файлом, базой, учетной записью;
  • тестирование подтверждает отсутствие видимых недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.

Эта модель защиты безопасности эффективна для ИС вплоть до среднего уровня конфиденциальности.

Уровень В

Для класса В необходимо реализовать более продвинутую архитектуру управления доступом. Для категории ИС типа В1 требуется выполнить следующие требования:

  • дифференцированная модель управления доступом позволяет присваивать каждому пользователю или файлу метки, при их совпадении доступ к файлу или ресурсу разрешается;
  • доступ всех субъектов ко всем объектам контролируется;
  • наиболее важные процессы изолируются в отдельных адресных пространствах;
  • регулярно проводится мониторинг архитектуры ИС, исходного кода и текущего состояния файлов программ, выявляя их несанкционированные изменения;
  • формальная модель политики безопасности полностью отражена в архитектуре системы.

Для типа информационной безопасности В2 возникают дополнительные задачи:

  • все ресурсы ИС получают метки конфиденциальности;
  • администратор, выполняющий настройки системы идентификации и аутентификации, имеет конфиденциальный и доверенный путь к ее ресурсам, решающим эти задачи;
  • все события регистрируются, доступ к архивам регистрации ограничивается;
  • в базе данных компании содержится структурированная информация, сама база разделена на независимые модули, в которых хранятся данные разной степени конфиденциальности или разной тематики;
  • разработчик, отвечающий за архитектуру ИС постоянно тестирует возможность организации тайных каналов обмена с памятью и оценивает максимальную пропускную способность каждого выявленного канала;
  • внутренний или внешний аудит протестировал базу данных на устойчивость к взломам и установил ее эффективность;
  • политика безопасности в полной мере отражает архитектуру системы;
  • в работе используется модель управления конфигурациями, обеспечивающая контроль изменений в файлах, инфраструктуре, исходных кодах, работающей версии объектного кода, тестовых данных и документации;
  • тесты подтверждают, что конфиденциальная информация передается по защищенным каналам.

Реализация рекомендованных решений помогает создать надежно защищенную инфраструктуру, обеспечить защиту ее работоспособности и отсутствие утечек данных. Тип защиты В3 позволяет реализовать еще более серьезные дополнительные требования:

  • создаются задокументированные списки управления доступом;
  • внедрена система мониторинга инцидентами компьютерной безопасности, уведомления о них немедленно приходят на почту доверенного сотрудника, события регистрируются, данные о них анализируются;
  • архитектура ИС компании позволяет реализовать наиболее легкие и простые механизмы защиты;
  • восстановление после сбоя происходит за минимальное время;
  • в системе есть доверенная роль администратора безопасности, допуск к ресурсам не смогут получить другие сотрудники ИТ-подразделения;
  • устойчивость базы к попыткам проникновения продемонстрирована регулятору.

Решение этих задач приводит к возможности использования созданной инфраструктуры для защиты конфиденциальной информации высокого уровня.

Уровень А

Для типа А реализуется система верифицированной безопасности, дополнительно к требованиям, созданным для класса В3, применяются следующие решения:

  • аудит показал, что архитектура информационной инфраструктуры соответствует формальным спецификациям верхнего уровня;
  • применяются современные методы верификации систем, применительно к российским реалиям это говорит об использовании сертифицированных решений;
  • система управляется и контролируется на всех этапах ее жизненного цикла.

Требования соответствуют тем, которые применяются для защиты государственных ИС.

Другие международные и национальные стандарты

Правила сертификации ИС, разработанные Министерством обороны США, не всегда соответствуют ИС, внедряемым в других государствах на уровне крупных компаний или правительств, которые хотели бы видеть более серьезные меры защиты. Европейские критерии» (Information Technology Security Evaluation Criteria, ITSEC), выпущенные в 1991 году, до сих пор применяются и формально соответствуют предъявляемым к ИС требованиям. По некоторым параметрам стандарты ITSEC соответствуют требованиям, выраженным в Оранжевой книге.

В России действуют стандарты, устанавливаемые ФСТЭК РФ. Приказ № 17 устанавливает классы информационной безопасности для государственных систем – ГИС. Они аттестуются по классу ИБ, определенному в приложении к приказу, и только потом вводятся в действие. 

Классы определяются на основе качества подготовки системы по следующим параметрам:

  • идентификация и аутентификация пользователей и информационных ресурсов;
  • управление дифференцированным доступом пользователей;
  • ограничение программной среды, запуск важных процессов в отдельном адресном пространстве;
  • защита носителей информации, съемных и жестких дисков;
  • регистрация инцидентов компьютерной безопасности;
  • антивирусная защита;
  • обнаружение внешних вторжений и их пресечение и предотвращение;
  • аудит защищенности данных;
  • целостность ИС и информации;
  • доступность информации;
  • защита среды виртуализации;
  • защита ИС, программных и технических средств защиты информации, систем связи и передачи данных.

Каждый компонент защиты системы также описывается по степени защиты, для системы определенного класса недопустимо применение программных или аппаратных средств, сертифицированных ниже класса самой системы. Всего предусмотрено три уровня защиты, и их типизация определяется по параметрам масштабов информационной системы (федеральная, региональная, муниципальная) и уровню конфиденциальности защищаемой информации. Введение такого типа классификации стандартизирует требования к разработчикам и заказчикам.

06.02.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.
Продукты
КИБ
ProfileCenter
FileAuditor
SIEM
TimeInformer
ИБ-аутсорсинг
DLP в облаке
СёрчИнформ
О компании
Лицензии
Оферта
Партнеры
Клиенты
Учебный центр
Вакансии
Контакты
Оценка условий труда
Новости и пресса
Новости компании
Новости продуктов
Новости учебного центра
Пресса о нас
Блог
Для прессы
Информационная безопасность
Отраслевые решения
Контроль сотрудников
© 2025 ООО «СёрчИнформ»
Условия использования
Лицензирование
Безопасность
Законы
Техническая поддержка
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.
Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:
  • Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
  • Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
  • Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
  • Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
  • Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
  • Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.