Как определяется уровень защищённости информационных систем в зависимости от их масштаба и значимости обрабатываемой информации?

Согласно приказу ФСТЭК России от 11.02.2013 №17, уровень защищённости информационных систем (класс защищённости) определяется в зависимости от масштаба системы (федеральный, региональный, объектовый) и значимости обрабатываемой информации. blog.cortel.cloud sudact.ru

Уровень значимости определяется степенью возможного ущерба для обладателя информации и (или) оператора от нарушения конфиденциальности, целостности или доступности информации. blog.cortel.cloud sudact.ru Выделяют три степени ущерба: habr.com

1. Высокая. habr.com Наступает в результате нарушения конфиденциальности, целостности, доступности информации и влечёт за собой существенный ущерб для отрасли, региона, невозможность функционирования системы или выполнения оператором своих функций. habr.com
2. Средняя. habr.com Наступает в результате нарушения конфиденциальности, целостности, доступности информации и влечёт за собой умеренный ущерб для отрасли, региона, функционирование системы возможно, но с большими трудностями, невозможность выполнения некоторых функций оператора. habr.com
3. Низкая. habr.com Наступает в результате нарушения конфиденциальности, целостности, доступности информации и влечёт за собой несущественный ущерб для отрасли, региона, система функционирует, функции выполняются. habr.com

При обработке в системе двух и более видов информации (служебная тайна и иные виды информации ограниченного доступа) уровень значимости определяется отдельно для каждого вида. blog.cortel.cloud www.secuteck.ru Итоговый уровень значимости устанавливается по наивысшим значениям степени возможного ущерба, определённым для конфиденциальности, целостности, доступности каждого вида информации. blog.cortel.cloud www.secuteck.ru

Масштаб системы определяется в зависимости от охвата: www.itb.spb.ru

• Федеральный. sudact.ru www.secuteck.ru Система функционирует на территории РФ (в пределах федерального округа) и имеет сегменты в субъектах РФ, муниципальных образованиях и (или) организациях. sudact.ru www.secuteck.ru
• Региональный. sudact.ru www.secuteck.ru Система функционирует на территории субъекта РФ и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях. sudact.ru www.secuteck.ru
• Объектовый. sudact.ru www.secuteck.ru Система функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта РФ, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях. sudact.ru www.secuteck.ru

На пересечении значимости и масштаба по таблице устанавливается класс защищённости: www.itb.spb.ru

• Например, при высокой значимости информации система относится к К1 независимо от масштаба. www.itb.spb.ru
• При средней значимости — класс К1 на федеральном уровне и К2 на региональном/локальном. www.itb.spb.ru
• При низкой значимости — К2 на федеральном, К3 на региональном/локальном. www.itb.spb.ru