Акт классификации информационной системы (ИС) оформляется в рамках требований по обеспечению безопасности информации и соблюдению законодательства, в частности – Федерального закона № 152-ФЗ «О персональных данных» и Постановления Правительства РФ № 1119. Документ подтверждает отнесение ИС к определенному классу безопасности и служит основанием для выбора мер защиты, включая технические и организационные.
Классификация проводится на этапе проектирования или при модернизации системы. Ответственность за ее корректность лежит на операторе ИС. В процессе необходимо определить, обрабатываются ли персональные данные, государственная тайна, коммерческая или служебная информация. На основании этих сведений заполняется акт, который включает описание ИС, цели обработки данных, состав информации и уровень угроз безопасности.
Рекомендуется сохранять копию акта вместе с документацией по ИБ и регулярно актуализировать при внесении изменений в состав ИС или при изменении режима обработки данных. Нарушения при оформлении акта могут повлечь за собой предписания надзорных органов и штрафы по статье 13.11 КоАП РФ.
Когда требуется оформление акта классификации ИС
Акт классификации информационной системы оформляется в случаях, когда необходимо определить уровень защищённости персональных данных или иной охраняемой информации, обрабатываемой в ИС. Основная причина – исполнение требований законодательства, включая положения Федерального закона № 152-ФЗ «О персональных данных» и постановлений Правительства РФ.
Оформление акта требуется: при проектировании новых ИС, в которых предполагается обработка персональных данных; при модернизации существующих систем, если изменяются цели, состав информации или структура обработки; при переходе на облачные решения с передачей данных третьим лицам.
Также акт обязателен в случае, если организация получает статус оператора персональных данных и планирует подачу уведомления в Роскомнадзор. Без документа невозможно корректно определить необходимые меры защиты, что может привести к административной ответственности.
Если в ИС обрабатываются сведения, отнесённые к государственной тайне, коммерческой или служебной тайне, классификация проводится в соответствии с иными нормативными актами, включая требования ФСТЭК и ФСБ России.
Оформление акта необходимо до начала ввода системы в эксплуатацию. Отсутствие акта делает невозможной разработку модели угроз, проектирование системы защиты и проведение последующей аттестации.
Какие сведения включает акт классификации информационной системы
Акт классификации информационной системы составляется в соответствии с требованиями законодательства и включает конкретные сведения, подтверждающие принадлежность ИС к объектам критической информационной инфраструктуры или иным категориям, подлежащим защите.
- Наименование информационной системы – указывается точное название ИС, установленное в локальных нормативных документах организации.
- Цель функционирования системы – описывается, какие задачи решает ИС и в каких бизнес-процессах участвует.
- Владелец и эксплуатирующая организация – приводятся полные реквизиты юридических лиц, ответственных за ИС.
- Категория значимости – определяется на основании критериев ущерба при нарушении конфиденциальности, целостности и доступности информации.
- Основания для отнесения к определённой категории – обосновываются характеристики ИС и последствия инцидентов, подтверждающие выбранную категорию.
- Сведения о технической архитектуре – к
Кто отвечает за составление и подписание акта
Составление акта классификации информационной системы возлагается на владельца ИС – организацию или индивидуального предпринимателя, обладающего правами распоряжения системой. Ответственным назначается уполномоченное должностное лицо, как правило, руководитель структурного подразделения, эксплуатирующего или сопровождающего ИС.
В ряде случаев подготовка проекта акта поручается специалисту по информационной безопасности, который анализирует характеристики системы, устанавливает уровень защищаемой информации и формулирует классификационные признаки в соответствии с требованиями законодательства и внутренних регламентов организации.
Подписание акта осуществляется руководителем организации или иным лицом, действующим на основании доверенности. При наличии в организации комиссии по информационной безопасности или аттестации ИС, акт может согласовываться с ней до утверждения.
Рекомендуется закрепить порядок согласования, подготовки и подписания акта в локальных нормативных документах, чтобы исключить разночтения в распределении ответственности и обеспечить единообразие при оформлении классификации различных ИС.
Как правильно оформить акт классификации по ГОСТ и приказам
Акт классификации информационной системы должен соответствовать требованиям ГОСТ Р 57580.1-2017, а также нормативным правовым актам ФСТЭК России, в частности приказу № 235 от 11 июня 2021 года. Документ составляется в письменной форме и подписывается представителями организации, определёнными распорядительными документами.
В шапке акта указываются полное наименование организации, дата и номер документа. Далее следует название документа – «Акт классификации информационной системы». Обязательно фиксируются сведения об информационной системе: наименование, цели обработки информации, состав и структура, категории пользователей и перечень обрабатываемых данных.
Ключевой частью акта является обоснование отнесения системы к определённой категории защищённости. Указывается перечень угроз, возможные последствия их реализации, описание типов обрабатываемой информации (например, персональные данные, государственная тайна), а также ссылки на использованные методики анализа угроз и рисков.
На основании анализа устанавливается категория ИС в соответствии с методическими рекомендациями ФСТЭК. Необходимо чётко зафиксировать категорию (например, К1, К2, К3), указать основание выбора и описание модели нарушителя.
Заключительная часть акта содержит реквизиты ответственных лиц – должности, фамилии, инициалы и подписи. Подписи должны быть заверены печатью организации (при наличии). Рекомендуется приложить копии подтверждающих документов: приказа о назначении комиссии, расчётов оценки ущерба и других вспомогательных материалов.
Документ оформляется в бумажной форме или в виде электронного документа, подписанного усиленной квалифицированной электронной подписью. Хранение осуществляется согласно внутренним регламентам и требованиям законодательства по защите информации.
Какие документы нужно приложить к акту классификации
При оформлении акта классификации информационной системы важно приложить ряд документов, подтверждающих соответствие системы установленным требованиям безопасности информации. В число обязательных приложений входят следующие документы:
1. Техническое задание (ТЗ) на разработку или модернизацию системы, в котором подробно указаны все функции и цели информационной системы. ТЗ служит основой для определения уровня критичности и рисков для системы.
2. Документ, подтверждающий полномочия лица, подписавшего акт классификации. Это может быть приказ о назначении, доверенность или иной документ, подтверждающий, что лицо имеет право подписывать акт от имени организации.
3. Перечень угроз и уязвимостей, который анализирует потенциальные риски и указывает на слабые места системы, требующие особого внимания при классификации. Этот документ может быть подготовлен на основе аудита системы безопасности.
4. Результаты анализа воздействия на деятельность организации в случае утраты или повреждения данных. Это необходимо для обоснования уровня критичности системы и определения ее значимости для функционирования организации.
5. Заключение эксперта по безопасности, который проводил анализ системы на соответствие требованиям безопасности информации. Это может быть внешний или внутренний эксперт, аккредитованный для проведения подобных проверок.
6. Копия заключения о проведении оценки рисков, если такая оценка была проведена. Это поможет подтвердить, что меры по защите информации были тщательно проанализированы и соответствуют нормативным требованиям.
7. Согласования с соответствующими органами, если система связана с обработкой персональных данных или других критически важных данных. Это могут быть документы, подтверждающие соответствие требованиям законодательства о защите данных.
Предоставление этих документов позволит оформить акт классификации в соответствии с требованиями и обеспечить законность и прозрачность всего процесса.
Порядок регистрации акта в организации или у регулятора
Для регистрации акта классификации информационной системы в организации необходимо выполнить несколько обязательных шагов. В первую очередь, акт должен быть подписан уполномоченными лицами, что подтверждает его юридическую силу. После этого документ передается в соответствующий отдел для учета и регистрации. Важно, чтобы акт был зарегистрирован в журнале учета с присвоением уникального номера для дальнейшего контроля.
Если акт подлежит регистрации у регулятора, процесс включает подачу документа в соответствующую государственную или регулирующую организацию. Обычно такие акты направляются в органы, отвечающие за информационную безопасность, с приложением необходимых документов, таких как акты проверки, заключения экспертов и иные подтверждающие документы.
Регистрация акта у регулятора предполагает соблюдение определенной формы подачи. Часто это включает электронную форму отправки документа с цифровой подписью или же подачу в бумажном виде, в зависимости от требований конкретного регулятора. Важно также учитывать сроки подачи акта для выполнения обязательных регламентов.
После подачи акта регулятор либо подтверждает его принятие, либо запрашивает дополнительную информацию или изменения. После подтверждения акта регистрация считается завершенной, и документ официально вступает в силу.
Вопрос-ответ:
Какие шаги нужно предпринять для оформления акта классификации информационной системы?
Для оформления акта классификации необходимо определить, относится ли система к объектам, подлежащим классификации, согласно актуальным нормативным документам. После этого составляется сам акт, который включает описание функциональности системы, ее технические характеристики и степень важности для организации. Важно правильно заполнить все реквизиты документа и провести его согласование с уполномоченными органами. Также потребуется приложить все необходимые подтверждающие документы.
Какие документы обязательно должны быть приложены к акту классификации информационной системы?
К акту классификации необходимо приложить следующие документы: описание информационной системы, ее технические паспорта, отчеты о проведенных проверках и тестированиях, документы, подтверждающие степень важности и возможные последствия утраты данных системы. Все приложенные документы должны быть актуальны и соответствовать требованиям регуляторов.
Кто имеет право подписывать акт классификации информационной системы?
Акт классификации подписывают уполномоченные представители организации, обычно это директор или иное лицо, ответственное за информационную безопасность. В некоторых случаях акт также должен быть подписан представителем регулятора, если система имеет высокую степень важности или требует дополнительной проверки.
Какие санкции могут быть применены за несоответствие актов классификации информационных систем нормативным требованиям?
Несоответствие актов классификации может привести к административным санкциям, включая штрафы для организации. В случае если акт не соответствует стандартам или не был вовремя оформлен, регулятор может потребовать переработку документации, а также провести дополнительную проверку системы, что также может вызвать дополнительные расходы для организации.
Загрузка...
