Согласно руководящему документу ФСТЭК: "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" все действующие и проектируемые автоматизированные системы (АС) учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию подлежат классификации. В статье ниже описана классификация АС и требования к ним по защите информации.

Используемые сокращения
АС - автоматизированные системы
НСД - несанкционированный доступ
ПД - персональные данные 
УЗ - уровень защищенности
РД - руководящий документ
СЗИ - система защиты информации
СЗИ НСД - система защиты информации от несанкционированного доступа

Деление АС на соответствующие классы по условиям их функционирования, необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации. Классификация определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.

Группировка может выполняться по следующим признакам:

• наличие в АС информации различного уровня конфиденциальности; 
• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации; 
• режим обработки данных в АС - коллективный или индивидуальный. 

Исходя из требований к группировке выделяют девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС:

• Первая группа - многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
• Вторая группа - многопользовательские АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
• Третья группа - однопользовательские АС, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А. 

Комплекс технических и организационных решений по защите информации от НСД условно состоит из следующих четырех подсистем:

• управления доступом; 
• регистрации и учета; 
• криптографической; 
• обеспечения целостности.

В зависимости от класса АС в рамках этих подсистем должны быть реализованы требования в соответствии с таблицей ниже:

Подсистемы и требования	Классы
	3Б	3А	2Б	2А	1Д	1Г	1В	1Б	1А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему	+	+	+	+	+	+	+	+	+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ	-	-	-	+	-	+	+	+	+
к программам	-	-	-	+	-	+	+	+	+
к томам, каталогам, файлам, записям, полям записей	-	-	-	+	-	+	+	+	+
1.2. Управление потоками информации	-	-	-	+	-	-	+	+	+
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа/выхода субъектов доступа в/из системы (узла сети)	+	+	+	+	+	+	+	+	+
выдачи печатных (графических) выходных документов	-	+	-	+	-	+	+	+	+
запуска/завершения программ и процессов (заданий, задач)	-	-	-	+	-	+	+	+	+
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей	-	-	-	+	-	+	+	+	+
изменения полномочий субъектов доступа	-	-	-	-	-	-	+	+	+
создаваемых защищаемых объектов доступа	-	-	-	+	-	-	+	+	+
2.2. Учет носителей информации	+	+	+	+	+	+	+	+	+
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей	-	+	-	+	-	+	+	+	+
2.4. Сигнализация попыток нарушения защиты	-	-	-	-	-	-	+	+	+
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации	-	-	-	+	-	-	-	+	+
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах	-	-	-	-	-	-	-	-	+
3.3. Использование аттестованных (сертифицированных) криптографических средств	-	-	-	+	-	-	-	+	+
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации	+	+	+	+	+	+	+	+	+
4.2. Физическая охрана средств вычислительной техники и носителей информации	+	+	+	+	+	+	+	+	+
4.3. Наличие администратора (службы защиты) информации в АС	-	-	-	+	-	-	+	+	+
4.4. Периодическое тестирование СЗИ НСД	+	+	+	+	+	+	+	+	+
4.5. Наличие средств восстановления СЗИ НСД	+	+	+	+	+	+	+	+	+
4.6. Использование сертифицированных средств защиты	-	+	-	+	-	-	+	+	+

Обозначения:
" - " - нет требований к данному классу;
" + " - есть требования к данному классу.

Также, в соответствии с документом РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться в соответствии на классы защищенности АС не ниже 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ:

• не ниже 4 класса - для класса защищенности АС 1В;
• не ниже 3 класса - для класса защищенности АС 1Б;
• не ниже 2 класса - для класса защищенности АС 1А.

Однако владелец информации вправе устанавливать более жесткие требования к ее защите.

Наглядно, отношение уровней конфиденциальности к классификации АС, показана в таблице ниже:
 

Уровень конфиденциальности информации
ОВ	СС	С	Информация ограниченного доступа (СТ, КТ)
1А, 2А, 3А	1Б, 2А, 3А	1В, 2А, 3А	2Б, 3Б, 1Г, 1Д

Пересмотр класса защищенности автоматизированной системы производится в том случае, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.