Классификация информационных систем по безопасности

Согласно ГОСТ Р ИСО/МЭК ТО 19791-2008 “Информационная технология. Методы и средства обеспечения информационной безопасности. Оценка безопасности автоматизированных систем.”

Функциональные требования безопасности для автоматизированных систем, включенные в рассматриваемый регуляторам (административным и процедурным).

Они структурированы по трём характеристикам:

- субъект регулирования (руководство организации, производственные денные, системы ИТ);

- функциональная область (политика безопасности, оценка рисков);

- действия в заданной функциональной области (утверждение политики безопасности, доклад об обнаруженном нарушении безопасности и т. д.);

Субъект регулирования определяет класс функциональных требований, функциональную область, семейство в классе, компонент в семействе.

Класс FOD: администрирование

Семейство FOD_POL (администрирование политик)

Семейство FOD_PSN (администрирование персонала)

Семейство FOD_ORG (администрирование организации безопасности)

Класс FOA: пользовательские активы

FOA_PRO (защита конфиденциальных данных, включает в себя FOA_PRO.1)

FOA_INF (защита информации в пользовательских активах, включает в себя FOA_INF.1)

Класс FOS: системы ИТ

FOS_POL (политики систем ИТ)

FOS_CNF.1.4,2.1 (конфигурирование систем ИТ)

FOS_MON (мониторинг систем ИТ)

FOS_PSN (управление персоналом систем ИТ)

FOS_OAS (эксплуатационные активы систем ИТ)

Класс FOA: пользовательские активы

FOA_PRO (защита конфиденциальности данных, включает в себя FOA_PRO.1)

FOA_INF (защита информации в пользовательских активах, включает в себя FOA_INF.1)

Класс FOP: инфраструктура и оборудование

FOP_RMM (съемное оборудование, включает в себя FOP_RMM.1)

FOP_RMT (удаленное оборудование)

FOP_SYS (системное оборудование)

FOP_MNG (управление инфраструктурой)

Класс FOB: производственная деятельность

FOB_POL (политики производственной деятельности)

FOB_BCN (непрерывность производственной деятельности)