к Требованиям о защите информации,
содержащейся в государственных
информационных системах, иных
информационных системах государственных
органов, государственных унитарных
предприятий, государственных учреждений,
утвержденным приказом ФСТЭК России
от 11 апреля 2025 г. N 117
1. Оператором (обладателем информации) устанавливаются три класса защищенности информационных систем, определяющие уровни защищенности содержащейся в них информации.
Самый низкий класс - третий, самый высокий - первый. Класс защищенности информационной системы (первый класс (далее - К1), второй класс (далее - К2), третий класс (далее - К3) определяется в зависимости от уровня значимости информации (далее - УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы.
2. Уровень значимости информации определяется в зависимости от степени возможных негативных последствий (ущерба) для обладателя информации и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации. Негативные последствия (ущерб) определяются в том числе на основе перечня негативных последствий, включенных в банк данных угроз безопасности информации ФСТЭК России.
Степень возможного ущерба определяется обладателем информации или оператором (обладателем информации) в соответствии с таблицей 1:
3. Высокий уровень значимости (далее - УЗ 1) должен устанавливаться, если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.
Средний уровень значимости (далее - УЗ 2) должен устанавливаться, если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.
Низкий уровень значимости (далее - УЗ 3) должен устанавливаться, если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.
4. Для информации, которая отнесена к информации ограниченного распространения и для носителей которой установлена ограничительная пометка "для служебного пользования", должен быть установлен УЗ 1.
5. При обработке в информационной системе двух и более видов информации УЗ определяется отдельно для каждого вида информации. Итоговый УЗ, обрабатываемой в информационной системе, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации.
6. Для информационной системы должен быть определен федеральный масштаб, если она предназначена для решения задач на всей территории Российской Федерации или в пределах двух и более субъектов Российской Федерации.
Для информационной системы должен быть определен региональный масштаб, если она предназначена для решения задач в пределах одного субъекта Российской Федерации.
Для информационной системы должен быть определен объектовый масштаб, если она предназначена для решения задач в пределах объекта (объектов) одного государственного органа, муниципального образования, организации.
7. Класс защищенности информационной системы определяется в соответствии с таблицей 2:
8. Классы защищенности информационных систем, функционирующих на базе информационно-телекоммуникационной инфраструктуры, не должны быть выше класса защищенности этой информационно-телекоммуникационной инфраструктуры.
9. Допускается присвоение отдельным сегментам информационной системы разных классов защищенности. В этом случае меры по защите информации сегментов информационной системы и содержащейся в них информации должны приниматься в соответствии с присвоенными им классами защищенности.
10. Результаты классификации оформляются актом, который утверждается оператором (обладателем информации). Акт классификации должен содержать наименование классифицируемой системы и сегментов информационной системы при их наличии, УЗ или УЗ в сегментах информационной системы при их наличии, масштаб информационной системы и (или) сегментов информационной системы при их наличии, присвоенный класс защищенности информационной системе или сегментам информационной системы при их наличии. Допускается оформление единого акта классификации на несколько сегментов информационной системы одного оператора (обладателя информации).
11. Класс защищенности информационной системы (сегментов информационной системы) подлежит пересмотру при изменении масштаба информационной системы (сегментов информационной системы) или значимости содержащейся в ней информации (в сегментах информационной системы).
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875