Классификация требований к безопасности информационных систем осуществляется на основе уровня значимости информации, обрабатываемой в системе, и её масштаба (федеральный, региональный, объектовый). 35

Уровень значимости определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности, целостности или доступности информации. 3 Степень возможного ущерба может быть: 3

• Высокая. 3 В результате нарушения одного из свойств безопасности информации возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности. 3
• Средняя. 3 В результате нарушения одного из свойств безопасности информации возможны умеренные негативные последствия. 3
• Низкая. 3 В результате нарушения одного из свойств безопасности информации возможны незначительные негативные последствия. 3

Масштаб информационной системы определяется назначением и распределённостью её сегментов. 3

На основе этих параметров устанавливаются классы защищённости информационной системы: первый (К1), второй (К2), третий (К3), четвёртый (К4). 35 Самый низкий класс — четвёртый, самый высокий — первый. 3

Правила и процедуры по реализации требований о защите информации и мер защиты информации в конкретной информационной системе определяются в эксплуатационной документации на систему защиты информации и организационно-распорядительных документах по защите информации. 5