Приложение. Акт классификации "Наименование информационной системы" по требованиям защиты информации. Приказ Министерства цифровых технологий и связи Калининградской области от 12.07.2021 N 273 "Об утверждении методических рекомендаций по обеспечению защиты информации в государственных информационных системах"

Приложение
к Протоколу заседания комиссии
по классификации информационных систем
по требованиям защиты информации
от ________________ 20__ г.
N ____________________

Утвержден
решением комиссии
по классификации информационных систем
по требованиям защиты информации
от ________________ 20__ г.
N ____________________

Акт
классификации "Наименование информационной системы" по требованиям защиты информации

1. Настоящий Акт составлен комиссией, созданной в соответствии с приказом "Наименование организации" от __________________ N ____________________ "О создании комиссии по классификации информационных систем по требованиям защиты информации" с целью определения класса защищенности "Наименование информационной системы" по требованиям защиты информации.

2. Определение класса защищенности "Наименование информационной системы" проводится в соответствии с "Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", утвержденными приказом ФСТЭК России от 11 февраля 2013 года N 17.

3. Масштаб "Наименование информационной системы" определен как ________________ (указать: федеральный, региональный, объектовый), исходя из того, что она функционирует ________________ (указать характеристики информационной системы по территориальному признаку в соответствии с приложением 1 к "Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", утвержденным приказом ФСТЭК России от 11 февраля 2013 года N 17).

4. Комиссия определила, что в результате нарушения конфиденциальности (при неправомерном доступе, копировании, предоставлении или распространении) обрабатываемой в "Наименование информационной системы" информации возможны __________________ (указать: существенные, умеренные, незначительные) негативные последствия в ________________ (выбрать: социальная, политическая, международная, экономическая, финансовая или иная область деятельности) сфере деятельности. При этом "Наименование информационной системы" __________________ (указать: не сможет выполнять возложенные на нее функции, не сможет выполнять хотя бы одну из возложенных на нее функций, сможет выполнять возложенные на нее функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств, сможет выполнять все свои функции).

5. Комиссия определила, что в результате нарушения целостности (при неправомерном уничтожении или модифицировании) обрабатываемой в "Наименование информационной системы" информации возможны __________________ (указать: существенные, умеренные, незначительные) негативные последствия в __________________ (выбрать: социальная, политическая, международная, экономическая, финансовая или иная область деятельности) сфере деятельности. При этом "Наименование информационной системы" __________________ (указать: не сможет выполнять возложенные на нее функции, не сможет выполнять хотя бы одну из возложенных на нее функций, сможет выполнять возложенные на нее функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств, сможет выполнять все свои функции).

6. Комиссия определила, что в результате нарушения доступности (при неправомерном блокировании) обрабатываемой в "Наименование информационной системы" информации возможны __________________ (указать: существенные, умеренные, незначительные) негативные последствия в ________________ (выбрать: социальная, политическая, международная, экономическая, финансовая или иная область деятельности) сфере деятельности. При "Наименование информационной системы" __________________ (указать: не сможет выполнять возложенные на нее функции, не сможет выполнять хотя бы одну из возложенных на нее функций, сможет выполнять возложенные на нее функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств, сможет выполнять все свои функции).

7. Результат определения итогового уровня значимости обрабатываемой информации с учетом степени возможного ущерба от нарушения конфиденциальности, целостности и доступности информации приведен в таблице:

Наименование системы	Степень возможного ущерба от нарушения			Уровень значимости информации
	конфиденциальности (при неправомерном доступе, копировании, предоставлении или распространении)	целостности (при неправомерном уничтожении или модифицировании)	доступности (при неправомерном блокировании)
"Наименование информационной системы"	Низкая	Низкая	Низкая	Низкий (УЗ3)

Примечание. Степень возможного ущерба от нарушения конфиденциальности, целостности, доступности информации и уровень значимости информации приведены для примера. Соответствующие графы заполняются в зависимости от специфики информационной системы и важности обрабатываемой в ней информации.

8. В "Наименование информационной системы" предполагается обработка персональных данных субъектов персональных данных. Требуемый уровень защищенности персональных данных при их обработке в "Наименование информационной системы" устанавливается в соответствии с "Требованиями к защите персональных данных при их обработке в информационных системах персональных данных", утвержденными постановлением Правительства Российской Федерации от 01 ноября 2012 года N 1119.

9. Рассмотрев исходные данные на "Наименование информационной системы", комиссия установила:

- в "Наименование информационной системы" обрабатываются персональные данные, отнесенные к "____________________" (выбрать: специальные категории персональных данных, биометрические персональные данные, общедоступные персональные данные, иные категории персональных данных);

- в "Наименование информационной системы" осуществляется обработка персональных данных ____________________ (указать: менее чем 10000, более чем 100000) субъектов персональных данных, ____________________ (указать: являющихся, не являющихся) работниками оператора "Наименование информационной системы".

10. На основании Модели угроз безопасности информации "Наименование информационной системы" и с учетом оценки возможного вреда субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 г. "О персональных данных" установлено, что для "Наименование информационной системы" актуальны угрозы, ____________________ (указать: связанные, не связанные) с наличием недокументированных (недекларированных) возможностей в _____________________ (указать: системном программном обеспечении, прикладном программном обеспечении, системном и прикладном программном обеспечении), используемом в "Наименование информационной системы", - угрозы ___ (указать: 1-го, 2-го, 3-го) типа.

11. Исходя из изложенного в п.п. 9-10 и на основании критериев, установленных постановлением Правительства Российской Федерации от 01 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", для "Наименование информационной системы" устанавливается необходимость обеспечения ___ (указать: 1-го, 2-го, 3-го) уровня защищенности персональных данных при их обработке в "Наименование информационной системы".

12. Исходя из масштаба "Наименование информационной системы" и уровня значимости обрабатываемой в ней информации, а также необходимого уровня защищенности персональных данных при их обработке в "Наименование информационной системы", руководствуясь "Требованиями по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", утвержденными Приказом ФСТЭК России от 11 февраля 2013 года N 17, Комиссия решила:

установить класс защищенности информационной системы "Наименование информационной системы" - К__.

Настоящий акт составлен в ____ экземпляре (ах).