Интеграция с ГИС: какие требования к ИБ нельзя игнорировать
Как на практике выстроить подключение к государственной информационной системе (ГИС) и не столкнуться с отказом в доступе?
В статье эксперты «Национального аттестационного центра» (НАЦ) проанализировали общую рамку требований по информационной безопасности при подключении к ГИС (в том числе ГИС ЦОДД, ГИС Миграционного учёта, ГИС МВД по проверке паспортных данных, ГИС ЕЦХД, СМЭВ и МЭДО).
Требования к защите информации в подключаемых к ГИС информационных системах со стороны операторов (обладателей информации) ГИС
В современном цифровом мире государственные информационные системы (ГИС) играют ключевую роль в обеспечении эффективного взаимодействия между государственными органами и бизнесом. Подключение к таким системам требует строгого соблюдения законодательных норм, требований регуляторов и операторов ГИС (далее - оператор (обладатель информации)) к защите информации.
Базовые требования по защите информации в ГИС установлены следующими Федеральными законами и нормативными правовыми актами (НПА):
- ФЗ от 27.07.2006 № 149 «Об информации, информационных технологиях и о защите информации» устанавливает обязательства по защите информации в ГИС, а также распространяет эти обязательства на информационные системы, которые осуществляют информационное взаимодействие с ГИС.
- Приказ ФСТЭК России от 11.02.2013 № 17 (с 01.03.2026 вступает в действие № 117 Приказ ФСТЭК России от 11.04.2025) определяет конкретные требования и меры для реализации положений 149-ФЗ.
- ФЗ от 27.07.2006 № 152 «О персональных данных» и Постановление Правительства РФ от 01.11.2012 № 1119, устанавливают обязательства по защите информации, если ГИС содержит персональные данные.
- Приказ ФСТЭК России от 11.04.2025 № 117 определяет требования по защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений.
Для понимания требований к взаимодействию информационных систем с ГИС ниже приведены ключевые выдержки из нормативных правовых актов.
- Выдержка из ФЗ № 149 статья 14 п. 8.1:
Не допускается передача информации из государственных информационных систем в иные информационные системы, не соответствующие требованиям о защите информации, установленным статьей 16 настоящего Федерального закона.
- Выдержка из Приказа ФСТЭК России № 117 п.2:
В случае передачи из государственной информационной системы информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации (далее - информация ограниченного доступа), информационная система, в которую передается информация ограниченного доступа, должна соответствовать требованиям о защите информации, установленным в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Состав передаваемой информации ограниченного доступа, цели ее защиты и уровень защищенности в соответствии с Требованиями должны устанавливаться обладателем информации, заказчиком, заключившим контракт на создание информационных систем, оператором информационных систем.
Таким образом, при передаче информации ограниченного доступа из ГИС в иную информационную систему принимающая сторона обязана обеспечить соответствие своей системы требованиям по защите информации, установленным оператором ГИС.
Требования операторов (обладателей информации) ГИС к подключению иных ИС
Как уже было отмечено, ключевым условием взаимодействия информационных систем с государственными информационными системами является соответствие подключаемых ИС требованиям по защите информации, установленным операторами (обладателями информации) ГИС. Эти требования распространяются не только на сам факт подключения, но и на архитектуру, среду функционирования и применяемые средства защиты информации.
Конкретные требования безопасности, предъявляемые операторами ГИС к подключаемым ИС, закрепляются в профильных документах: регламентах подключения, правилах информационного взаимодействия и иных аналогичных документах. При этом в рамках действующих нормативных правовых актов операторы ГИС вправе устанавливать дополнительные требования к организации подключения и обеспечению защиты информации в подключаемых ИС.
Механизм подключения наиболее прозрачен при непосредственном подключении ИС к ГИС. В этом случае после выполнения технических и организационных требований оператора ГИС и предоставления подтверждения выполнения требований по защите информации (в виде аттестата соответствия информационной системы требованиям безопасности) подключаемая ИС получает доступ к информации, обрабатываемой в ГИС.
Иная ситуация складывается при опосредованном взаимодействии, когда обмен информацией между ГИС и подключаемой ИС осуществляется через систему доставки информации, например, через защищенную сеть передачи данных (ЗСПД) системы межведомственного электронного взаимодействия (СМЭВ).
Согласно требованиям к сети передачи данных участников информационного обмена по подключению к ЗСПД, доступ к СМЭВ предоставляется участникам межведомственного взаимодействия при наличии подтверждения выполнения в их информационных системах требований по защите информации. В частности, требуется наличие аттестата соответствия информационной системы требованиям, предъявляемым к государственным информационным системам, не ниже третьего класса защищенности (К3).
ИС, выполнив требования по подключению к ЗСПД, предоставляет аттестат соответствия точки подключения требованиям безопасности третьего класса защищенности и получает доступ к СМЭВ. Однако в рамках реализуемых технологических процессов может возникнуть ситуация, при которой ИС потребуется доступ к информации ГИС, для которой установлен более высокий класс защищенности.
Практика последних лет наглядно демонстрирует важность соблюдения требований операторов ГИС к безопасности информации в самих подключающихся системах. Так, недавние случаи ограничения доступа ряда финансовых организаций к информации одной из ГИС МВД России по СМЭВ были обусловлены выявленными несоответствиями реализованных в подключаемых ИС мер защиты информации требованиям оператора ГИС. Указанные несоответствия и стали основанием для ограничения (отказа в предоставлении) доступа.
Таким образом, главным правилом взаимодействия ИС с ГИС является, как уже было процитировано выше, необходимость для ИС соответствовать установленным операторами ГИС требованиям к защите информации для подключающихся информационных систем.
На практике для оперативной интеграции с ГИС заказчики часто выбирают вариант аттестации шлюза передачи данных, реализованного на базе сертифицированной операционной системы и сертифицированных средств защиты информации. Для ГИС с высокими классами защищенности, как правило, применяются отказоустойчивые и (или) геораспределенные решения, обеспечивающие требуемый уровень доступности и надежности взаимодействия.
При отсутствии достаточных серверных мощностей многие заказчики используют виртуальную инфраструктуру, размещаемую в аттестованных центрах обработки данных, представленных на рынке облачных провайдеров. При этом сложившейся практикой является предоставление облачными провайдерами гибкой инфраструктуры (IaaS для виртуальных серверов и Collocation/ГОСТ VPN как сервис), а также необходимого комплекта документов (Выписка из модели угроз и Выписка по разграничению зон ответственности при размещении). Вместе с тем следует учитывать, что при реализации схемы с использованием шлюза требования по защите информации распространяются не только на сам шлюз, но и на основную информационную систему организации.
Отдельного внимания требует выполнение требований к среде функционирования при выборе класса средств криптографической защиты информации (СКЗИ). Так, для обеспечения класса СКЗИ КС2 и выше возникает требование к применению средства доверенной загрузки (СДЗ). В свою очередь, это обуславливает необходимость использования аппаратной реализации СКЗИ, поскольку требуется применение СДЗ с физическим датчиком случайных чисел.
В то же время необходимо учитывать, что в современных ИС для обработки информации активно применяется микросервисная архитектура, например, Docker контейнеры, следовательно, угрозы безопасности, связанные с применением технологий контейнеризации, следует учесть при разработке модели угроз безопасности. Технически выявленные актуальные угрозы, связанные с применением технологий контейнеризации, блокируются большинством современных операционных систем, сертифицированных по требованиям приказа ФСТЭК России № 118 от 4.07.2022.
ООО «НАЦ» при подготовке и проведении работ по аттестации объектов информатизации уделяет особое внимание анализу особенностей технологических процессов информационных систем заказчиков. Такой подход позволяет корректно определить необходимый и достаточный класс защищенности ИС в соответствии с требованиями операторов взаимодействующих ГИС и обеспечить выполнение требований безопасности информации для выбранного уровня защищенности.
В портфеле ООО «НАЦ» представлены успешно реализованные проекты по подготовке и проведению аттестационных испытаний информационных систем для взаимодействия, в том числе, с ГИС Департамента транспорта и развития дорожно-транспортной инфраструктуры города Москвы (ГИС ЦОДД), ГИС Департамента строительства города Москвы (ГИС ЕЦХД), а также с системами межведомственного электронного взаимодействия (СМЭВ) и межведомственного электронного документооборота (МЭДО). Среди наших заказчиков Яндекс, Золотое Яблоко, Ростелеком, Россельхозбанк.
Подключение к государственным информационным системам требует комплексного подхода, сочетающего строгое соблюдение требований регуляторов и операторов ГИС с учетом архитектурных и технологических особенностей подключаемых информационных систем. Корректно выстроенное взаимодействие с ГИС открывает широкие возможности для повышения эффективности взаимодействия с государственными органами и улучшения качества предоставляемых услуг.