Классы безопасности информационных систем
План статьи
Многие руководители предприятий ставят перед собой задачу внедрить меры защиты, не имея четкого представления о стандартах, к которым нужно стремиться. Знаете ли вы, какой класс безопасности необходим именно вашему бизнесу? В этой статье мы разберем основные классы безопасности информационных систем (ИС), актуальные международные и российские стандарты, а также роль специализированного ПО в обеспечении соответствия этим требованиям.
Контекст 2026 года. В условиях текущей геополитической ситуации и роста киберугроз понимание классов защищенности перестало быть формальностью. Крупные предприятия, объекты КИИ (критической информационной инфраструктуры) и госсектор обязаны строго соответствовать регламентам ФСТЭК и международным практикам для защиты от хактивистов и промышленных шпионов.
Роль информационной безопасности в бизнесе
Ключевая задача информационной безопасности (ИБ) — обеспечение трех китов: конфиденциальности, целостности и доступности данных (CIA triad). Конфиденциальные данные (КД) включают коммерческую тайну, персональные сведения клиентов и финансовую отчетность.
| Цель внедрения ИБ | Практическая польза |
|---|---|
| Минимизация рисков | Сокращение вероятности несанкционированного доступа и утечек через инсайдеров. |
| Комплаенс (Compliance) | Соответствие требованиям регуляторов (ФСТЭК, ФСБ, GDPR) и избежание юридической ответственности и штрафов. |
| Репутация | Сохранение доверия клиентов. Утечка чувствительных данных гарантированно ведет к оттоку аудитории и потере прибыли. |
| Конкурентоспособность | Надежная защита ноу-хау и технологий позволяет удерживать лидерство на рынке. |
Совокупность мер безопасности уникальна для каждой системы, но базируется на проверенных классификациях. Опираясь на них, тысячи организаций по всему миру выстраивают архитектуру своих ИС.
Классификации: от «Оранжевой книги» к современности
Под информационной системой предприятия (ИС) мы понимаем совокупность программных и аппаратно-технических средств для хранения, обработки и передачи информации.
Фундаментом для большинства современных стандартов стали «Критерии определения безопасности компьютерных систем», опубликованные Министерством обороны США еще в 1983 году. Этот документ, известный как «Оранжевая книга» (The Orange Book), изначально предназначался для военных целей.
Хотя с развитием облачных технологий и IoT некоторые положения «Оранжевой книги» устарели, ее логика легла в основу современного стандарта ISO/IEC 15408 (Common Criteria). Этот стандарт использует структурированный подход к оценке безопасности продуктов, включая программное обеспечение и аппаратные комплексы.
Уровни и классы безопасности (по «Оранжевой книге»)
Классическая система описывает 4 уровня безопасности (D, C, B, A), которые делятся на 6 классов по возрастанию защищенности: от C1 до A1. Уровень D — это системы, не прошедшие проверку.
Уровень C: Дискреционная защита
Базируется на принципе избирательного доступа: пользователь имеет право доступа только к тем данным, которые ему явно разрешены. Этот уровень делится на два класса.
- Класс C1: Базовая защита
Требования:
- Внедрение дискреционной модели управления доступом.
- Обязательная идентификация и аутентификация пользователей.
- Изоляция доверенной вычислительной базы (защита ядра системы).
- Регулярный аудит эффективности средств защиты.
- Класс C2: Controlled Access Protection
В дополнение к C1, здесь вводится персональная ответственность (Audit Trail). Необходимо:
- Четко определять права доступа вплоть до конкретного пользователя.
- Вести журнал (логирование) действий: кто, когда и какой файл открыл.
- Использовать ПО для идентификации автора каждой операции.
- Защищать сами логи от модификации.
Важно. Для соответствия классу C2 проводить аудит выбранных мер безопасности и анализ журналов событий следует не реже одного раза в 6 месяцев.
Уровень B: Мандатная защита
Более строгий уровень, подразумевающий принудительное управление доступом (Mandatory Access Control). Основан на метках конфиденциальности («Секретно», «ДСП» и т.д.).
Класс B1 (Labeled Security Protection): Требует, чтобы система поддерживала метки безопасности. Каждый объект (файл) и субъект (пользователь) должны иметь метку уровня доступа. Система сама запрещает пользователю с низким уровнем доступа читать секретные документы, даже если владелец файла захочет дать доступ.
Класс B2 (Structured Protection): Требует формальной политики безопасности и инвентаризации всех активов. На этом этапе необходимо контролировать скрытые каналы утечки информации и регистрировать все события ИБ.
Класс B3 (Security Domains): Система должна быть максимально структурирована. Вводится роль администратора безопасности, который управляет журналами и инцидентами. Критическое требование — способность системы восстанавливаться после сбоев без ослабления защиты.
Уровень A: Верифицируемая безопасность
Высший уровень, представленный классом A1. Технически он идентичен B3, но требует математического доказательства соответствия архитектуры формальной модели безопасности. Весь цикл разработки (от спецификаций до доставки кода) должен быть строго контролируем и задокументирован. Обычно применяется в системах государственной тайны высшего уровня.
Российские стандарты: Приказ ФСТЭК №17
В Российской Федерации основным регулятором в этой области выступает ФСТЭК. Приказ №17 устанавливает требования к защите государственных информационных систем (ГИС), но де-факто является стандартом и для коммерческого сектора, работающего с персональными данными (ИСПДн).
Степень защиты классифицируется по наличию следующих мер:
- Строгая идентификация, аутентификация и управление доступом.
- Обеспечение целостности информационной системы.
- Мониторинг инцидентов и реагирование на них.
- Антивирусная защита и предотвращение вторжений (IPS/IDS).
- Защита среды виртуализации и технических средств.
Автоматизация безопасности с SecureTower
Для реализации требований классов C2, B1 и выше, а также выполнения приказов ФСТЭК, компаниям необходимы инструменты контроля. DLP-система (Data Loss Prevention) Falcongaze SecureTower закрывает ключевые задачи по мониторингу и защите от утечек.
Внедрение системы позволяет:
- Контролировать каналы коммуникации: почту, мессенджеры, облачные хранилища.
- Создать цифровой архив: вести полный журнал активности пользователей (требование класса C2).
- Работать с инцидентами: получать мгновенные уведомления о нарушениях политик безопасности.
- Блокировать угрозы: запрещать передачу конфиденциальных файлов в реальном времени.
При установке SecureTower нет необходимости изменять конфигурацию сети. Система работает автономно, данные сохраняются внутри периметра организации, что критично для безопасности. Вы можете изучить возможности системы бесплатно в пробной версии.
Часто задаваемые вопросы
- В чем разница между дискреционным и мандатным доступом?
Дискреционный доступ (уровень C) позволяет владельцу файла самому решать, кому дать права. Мандатный доступ (уровень B) использует жесткие метки секретности (например, «Секретно»), и система запрещает передачу данных пользователю с меньшим уровнем допуска, даже если владелец этого хочет.
- Какой класс безопасности нужен обычной коммерческой компании?
Для большинства коммерческих организаций достаточным является аналог уровня C2 (наличие парольной защиты, разграничение прав и ведение логов действий). Если компания работает с гостайной, требования повышаются до уровня B или A.
- Актуальна ли сейчас «Оранжевая книга» 1983 года?
Как юридический документ она устарела, но заложенные в ней принципы (классы C1, C2, B1 и т.д.) стали классикой и фундаментом для современных стандартов, таких как «Общие критерии» (ISO 15408).
- Зачем нужен аудит информационной безопасности каждые 6 месяцев?
Инфраструктура меняется: приходят новые сотрудники, обновляется ПО, появляются новые уязвимости. Регулярный аудит (требование класса C2) позволяет убедиться, что настроенные правила защиты все еще эффективны.
- Как DLP-система помогает соответствовать требованиям ФСТЭК?
DLP-системы, такие как SecureTower, закрывают требования по контролю утечек информации, мониторингу действий пользователей и регистрации событий безопасности, что является обязательной частью приказов ФСТЭК (№17 и №21).
.jpg)
