Информационная безопасность

Здесь Вы найдете только нужную информацию.

Классификация информационных систем (Приказ ОАЦ №66)

При реализации комплекса мероприятий по технической и криптографической защите информации, до проведения работ по проектированию, созданию и аттестации системы защиты информации необходимо провести отнесение информационной системы к классу типовых информационных систем. Причем ответственность за выполнения этого мероприятия по законодательству возложена на собственника (владельца) информационной системы, и ее нельзя переложить на лицензиата ОАЦ.

Алгоритм проведения классификации (отнесения) информационной системы к классу типовых информационных систем очень простой:

1) Издать приказ (распоряжение) по организации на проведение проведения работ по категорированию информации и отнесению информационной системы к классу типовых информационных систем.

2) Провести категорирование информации, которая будет обрабатываться (или уже обрабатывается) в информационной системе, в соответствии с законодательством об информации, информатизации и защите информации.

3) Сопоставить результаты категорирования информации и сведения об архитектуре вашей информационной системы с классами типовых информационных систем.

4) Результаты проведения классификации оформить Актом.

 

1. ПРОЕКТ ПРИКАЗА ПО ОРГАНИЗАЦИИ на проведение работ по классификации информационной системы можно скачать в Telegram-канале по ссылке.

 

2. ДЛЯ ПРОВЕДЕНИЯ КАТЕГОРИРОВАНИЕ ИНФОРМАЦИИ, которая будет обрабатываться (или уже обрабатывается) в информационной системе нам потребуются статьи 15 и 17 Закона Республики Беларусь “Об информации, информатизации и защите информации”. Так статья 15 гласит, что в зависимости от категории доступа выделяется общедоступная информация и информация, распространение и (или) предоставление которой ограничено (далее - информация ограниченного распространения). Далее переходим к статье 17, в которой приведены виды информации ограниченного распространения: 

  • Информация о частной жизни физического лица и персональные данные; 
  • Служебная информация ограниченного распространения; 
  • Информация, составляющая коммерческую, профессиональную, банковскую и иную охраняемую законом тайну; 
  • Информация, содержащаяся в делах об административных правонарушениях, материалах и уголовных делах органов уголовного преследования и суда до завершения производства по делу. 

Сложность сопоставления данных видов информации с той, что обрабатывается в Вашей системе, заключается в необходимости анализа иных нормативных правовых актов, в которых даны определения указанных терминов. Однако их количество не так велико, да многие из них интересны нам исключительно одной статьей.

Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (Закон Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных»). Для проведения дальнейшей классификации ИС нам необходимо также определить обрабатываются ли в нашей системе специальные персональные данные, и в частности биометрические и генетические персональные данные. Соответствующие определения есть в указанном выше законе РБ:

  • Специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
  • Биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое).
  • Генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.

Служебная информация ограниченного распространения (гриф ДСП) - сведения, распространение и (или) предоставление которых может причинить вред национальной безопасности Республики Беларусь, общественному порядку, нравственности, правам, свободам и законным интересам физических лиц, в том числе их чести и достоинству, личной и семейной жизни, а также правам и законным интересам юридических лиц. Общереспубликанский перечень таких сведений содержится в Постановлении Совета Министров Республики Беларусь от 12 августа 2014 г. № 783 “О служебной информации ограниченного распространения и информации, составляющей коммерческую тайну”

Коммерческая тайна - сведения, в отношении которых установлен режим коммерческой тайны. При этом такие сведения должны соответствовать требованиям Закона Республики Беларусь от 05.01.2013 № 16-З «О коммерческой тайне». В соответствии со статьей 5 указанного Закона режим коммерческой тайны может устанавливаться в отношении сведений, которые одновременно соответствуют следующим требованиям: 

  • не являются общеизвестными или легкодоступными третьим лицам в тех кругах, которые обычно имеют дело с подобного рода сведениями; 
  • имеют коммерческую ценность для их обладателя в силу неизвестности третьим лицам; 
  • не являются объектами исключительных прав на результаты интеллектуальной деятельности; 
  • не отнесены в установленном порядке к государственным секретам.  

В тоже время статья 6 Закона запрещает устанавливать режим коммерческой тайны в отношении широкого перечня сведений. В этом перечне следует особо выделить пункт о запрете отнесения к коммерческой тайне сведений, являющихся врачебной, адвокатской, банковской, налоговой или иной тайной. Данное обстоятельство явно свидетельствует о невозможности отнесения к коммерческой тайне всей информации, обрабатываемой в компании. Но, к сожалению, такая практика крайне распространена среди отдельных секторов белорусского бизнеса. 

Необходимо отметить, что кроме коммерческой есть и иные охраняемые законом виды тайн юридического лица, например, такие как банковская, налоговая, адвокатская, врачебная. Также к информации ограниченного распространения относятся материалы и уголовные дела органов уголовного преследования, а также дела об административных правонарушениях. Единственно возможная ситуация, при котором в вашей информационной системе окажутся такие сведения, это получение запроса от правоохранительного органа, который будет требовать от вас предоставления сведений, имеющих значение для уголовного дела либо дела об административном правонарушении.

 

3. ОТНЕСЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ К КЛАССУ ТИПОВЫХ ИНФОРМАЦИОННЫХ СИСТЕМ, проводится согласно приложению 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденному Приказом ОАЦ от 20.02.2020 № 66 (в редакции 195 Приказа). Отнесение информационной системы к классу типовых информационных систем проводится на основании результатов категорирования информации, с учетом формы собственности (государственная или негосударственная) владельца ИС, а также с учетом наличия подключений к открытым каналам передачи данных. Классы типовых информационных систем представлены в приложении 1 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденному Приказом ОАЦ от 20.02.2020 № 66 (в редакции 195 Приказа). Для сопоставления можно использовать следующую таблицу:

Классы типовых ИС

4. ПО РЕЗУЛЬТАТАМ ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ НЕОБХОДИМО ОФОРМИТЬ АКТ по форме согласно приложению 2 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденному Приказом ОАЦ от 20.02.2020 № 66 (в редакции 195 Приказа). Проект акта можно скачать в Telegram-канале по ссылке.