«Требования по защите информации — это не универсальный рецепт. Это точный ответ на три вопроса: кто создал систему, что в ней хранится и что произойдет, если она перестанет работать. Ошибешься в определении типа — либо потратишь деньги на лишнюю защиту, либо получишь штраф за недостаточную.»
Три оси классификации
Требования регуляторов формируются на пересечении трех независимых критериев. Нельзя рассматривать только один из них — итоговый профиль безопасности всегда комбинированный.
- Субъект создания: Создана ли система государственным органом для выполнения его функций или коммерческой организацией.
- Тип обрабатываемых данных: Являются ли данные персональными (ПДн), составляют ли коммерческую, государственную или иную охраняемую законом тайну.
- Критичность последствий сбоя: К чему приведет нарушение конфиденциальности, целостности или доступности информации — к локальным неудобствам, значительному ущербу или угрозе национальной безопасности.
Сочетание этих осей определяет, какие именно законы (152-ФЗ, 187-ФЗ), приказы ФСТЭК и методические указания будут применимы.
Сравнительный анализ критериев и требований
Взаимосвязь между характеристиками системы и мерами защиты можно представить в виде таблицы. Это позволяет увидеть логику регулятора.
| Критерий классификации | Варианты (типы систем) | Влияние на требования защиты |
|---|---|---|
| Субъект создания | Государственная информационная система (ГИС) | Обязательное применение Приказа ФСТЭК №17. Проведение аттестации, построение системы защиты по заданной модели. |
| Информационная система персональных данных (ИСПДн), коммерческая система | Применение 152-ФЗ и отраслевых стандартов. Базовый набор мер, определяемый уровнем защищенности (УЗ). | |
| Тип данных | Персональные данные (ПДн) | Определение уровня защищенности (УЗ-1-УЗ-4). Для специальных категорий ПДн (здоровье, биометрия) — усиленные требования к согласию и защите. |
| Сведения, составляющие тайну | Режим коммерческой тайны, работа с конфиденциальной документацией. Требования по ГОСТам и внутренним регламентам. | |
| Критичность | Объект критической информационной инфраструктуры (КИИ) | Подчинение закону о КИИ. Обязательное категорирование (К1-К3) и реализация мер защиты для присвоенной категории. |
| Некритичная, бизнес-система | Требования минимальны и в основном сводятся к обеспечению доступности и целостности по бизнес-необходимости. |
Сравнение требований на примере двух систем
Чтобы увидеть разницу, рассмотрим два полярных случая.
Интернет-магазин (типичная коммерческая ИСПДн)
- Закон: 152-ФЗ.
- Ключевые действия: Опубликованная политика обработки ПДн, сбор согласий на конкретные цели, уведомление Роскомнадзора.
- Защита: Базовые организационные и технические меры, соответствующие уровню УЗ-3 или УЗ-4 (шифрование каналов, антивирус, регламенты).
Портал государственных услуг (ГИС с ПДн)
- Закон: Приказ ФСТЭК №17, 152-ФЗ, закон о КИИ (если признан объектом).
- Ключевые действия: Обязательная аттестация, разработка детализированной модели угроз и модели нарушителя.
- Защита: Полный комплекс мер из приложений Приказа №17, использование сертифицированных средств криптографической защиты информации (СКЗИ).
Практический алгоритм определения типа системы
Следующая последовательность вопросов помогает избежать ошибок в классификации.
- Система создана или заказана государственным органом для исполнения его полномочий?
Да → Система является ГИС. Требуется выполнение Приказа ФСТЭК №17. Далее анализируем данные. - В системе обрабатываются персональные данные граждан?
Да → Система является ИСПДн. Применяется 152-ФЗ. Определяем уровень защищенности (УЗ) и проверяем наличие специальных категорий данных. - Нарушение работы системы может причинить ущерб критической инфраструктуре, безопасности государства или жизни граждан?
Да → Система подлежит категорированию в соответствии с законом о КИИ. Присваивается категория значимости (К1-К3). - Обрабатываются ли специальные категории ПДн (состояние здоровья, биометрические данные)?
Да → Требуется явное письменное согласие субъекта и реализация повышенных мер защиты, даже если общий уровень УЗ невысок.
Кейс: Три системы в одной организации
Медицинский центр использует несколько информационных систем, и каждая имеет свой правовой статус.
| Система | Ключевые данные / функции | Классификация и требования |
|---|---|---|
| 1. Сайт-визитка с формой записи | ФИО, телефон пациента (для связи) | ИСПДн (УЗ-4). Достаточно базовых мер: политика конфиденциальности, согласие, SSL-сертификат. |
| 2. Внутренняя медицинская информационная система | Истории болезни, диагнозы, результаты анализов | ИСПДн со спецкатегориями + вероятный объект КИИ. Обязательны: модель угроз, СКЗИ для передачи данных, категорирование на предмет КИИ. |
| 3. Система взаимодействия с фондом ОМС | Передача обезличенных или персонифицированных данных для отчетности | Может быть частью ГИС. Если система создана по техзаданию госоргана, на нее распространяются требования к ГИС, независимо от того, где она физически расположена. |
Типичные ошибки при классификации и их последствия
Неправильный выбор нормативной базы — основная причина неэффективных трат или внеплановых проверок.
| Ошибка | Причина возникновения | Последствия и решение |
|---|---|---|
| Механическое применение требований к ГИС для коммерческой системы | Путаница между «работой по госзаказу» и «созданием системы для госоргана». Например, разработка ПО для министерства по контракту vs. использование CRM в собственной деятельности. | Последствие: Колоссальные избыточные затраты на аттестацию и сертифицированные средства защиты. Решение: Четко анализировать учредительные документы, предмет договора и конечного правообладателя системы. |
| Игнорирование статуса «специальной категории» для ПДн | Данные о здоровье или биометрия учитываются как обычные ФИО и телефон. Не запрашивается отдельное согласие. | Последствие: Грубое нарушение 152-ФЗ, основание для крупного штрафа от Роскомнадзора. Решение: Сверить все поля в базах данных с формулировками статьи 10 152-ФЗ. |
| Непроведение оценки на предмет отнесения к КИИ | Уверенность, что «это просто наша внутренняя система». Не анализируется взаимосвязь с другими организациями и социально-экономические последствия сбоя. | Последствие: Внеплановая проверка ФСТЭК и ФСБ с предписанием в кратчайшие сроки провести категорирование и внедрить комплекс мер по КИИ. Решение: Применять методику оценки последствий даже для внутренних систем, особенно в здравоохранении, энергетике, связи. |
Точная классификация информационной системы — не бюрократическая формальность, а основа для разумного управления рисками и бюджетом на безопасность. Она позволяет выделить ресурсы именно на те направления, которые этого требуют по закону, и избежать ситуаций, когда система формально защищена, но не от тех угроз, которые для нее актуальны.