+7 (495) 980-23-45 доб. 05 Заказать звонок
+7 (495) 980-23-45 доб. 05
Если авторизоваться не получается, то попробуйте восстановить пароль. Если у вас нет аккаунта на сайте, то вы можете зарегистрироваться.
г. Москва, ул. Театральная аллея, д. 3, стр. 1
mail@attestation.ru
Пн–Пт 10:00–19:00
Задать вопрос

Защита и аттестация ГИС (государственных информационных систем)

Защита и аттестация ГИС (государственных информационных систем)
Заказать услугу

В соответствии с докладом об открытости государства в России, подготовленным Счетной палатой совместно с АНО «Информационная культура» и АНО «Центр перспективных управленческих решений», именно ГИС в России выступают агрегатором большинства собираемых и генерируемых государством данных. Например, Единая информационная система в сфере закупок (ЕИС) собирает данные о государственных и муниципальных контрактах; Единый государственный реестр объектов культурного наследия (ЕГРОКН) содержит информацию об объектах культуры на территории России; Федеральная информационная адресная система (ФИАС) – адреса и коды всех российских районов, населенных пунктов, улиц и т.д.

В России защита информации в ГИС регулируется на основе Федерального закона № 149‑ФЗ «Об информации, информационных технологиях и о защите информации», где описаны общие принципы защиты, а также рядом подзаконных актов, уточняющих обязательные меры и порядок их реализации. С 1 марта 2026 года главным таким документом стал Приказ ФСТЭК России № 117 от 11 апреля 2025 г. «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Он заменил устаревший Приказ № 17 и стал ориентиром для всех операторов ГИС и связанных с ними информационных систем.

Какие требования сегодня предъявляются к ГИС

Согласно Приказу ФСТЭК № 117, защита информации должна обеспечивать предотвращение несанкционированного доступа, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения, блокирования доступа к информации. Эти требования распространяются не только на сами ГИС, но и на другие системы государственных органов, государственных унитарных предприятий и учреждений, которые обрабатывают информацию ограниченного доступа.

Ключевых элементов сегодня несколько:

  • Организационный фундамент. Оператор обязан разработать и утвердить политику защиты информации, определить зоны ответственности, процессы мониторинга и управления безопасностью.
  • Управление доступом и идентификацией. Контроль доступа пользователей должен быть основан на принципах минимальных привилегий и непрерывного контроля.
  • Мониторинг и логирование. Сбор, анализ и реагирование на события безопасности – обязательные процессы.
  • Защита сетей и инфраструктуры. От контроля конфигураций сетевых устройств до сегментации, изоляции критичных систем и построения защищенных каналов связи.
  • Обучение и квалификация персонала. Приказ прямо требует наличия компетенций у специалистов, участвующих в обеспечении защищенности, что отражает растущую сложность и ответственность за процессы ИБ.

Несмотря на подробность регуляторных требований, практика реализации сталкивается с типовыми вызовами:

  • Интеграция со сторонними системами. Многие ГИС взаимодействуют с внешними ИС, где технические и правовые договоренности об уровне защиты еще требуют стандартизации.
  • Баланс между безопасностью и доступностью. Особенно в распределенных и высоконагруженных системах сложно обеспечить одновременно высокий уровень ИБ и удобство пользователей.
  • Квалификация специалистов. Недостаток компетенций в области ИБ остается барьером на пути к устойчивой защите.

Для реализации требований 149-ФЗ, приказа ФСТЭК России № 117 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и прочих нормативно-правовых актов в данной области, мы предлагаем проведение следующих необходимых работ:

  • Обследование (анализ) текущего состояния системы защиты;
  • Определение перечня и состава информационных систем (ИС), подлежащих аттестации (оценке);
  • Классификация ИС;
  • Определение возможных каналов утечки информации (актуальных угроз);
  • Разработка модели угроз (МУ) и модели нарушителя (МН) безопасности информации;
  • Согласование МУ и МН с регулятором;
  • Проектирование системы защиты информации;
  • Определение перечня мероприятий по исключению возможных каналов утечки информации (актуальных угроз);
  • Проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации);
  • Разработка комплекта проектов организационно-распорядительной документации на объект информатизации (приказы, распоряжения, инструкции, руководства, технических паспортов на ИС);
  • Проведение аттестационных испытаний.

Что вы получите в итоге?

Результатом построения системы защиты информации в государственной информационной системе становится управляемая и устойчивая ИТ-среда, обеспечивающая сохранность данных, стабильность функционирования сервисов и контролируемый уровень рисков. Такая модель повышает прозрачность процессов обработки информации, снижает вероятность инцидентов и регуляторных санкций, укрепляет доверие со стороны вышестоящих органов и пользователей системы, а также формирует основу для постоянного развития механизмов информационной безопасности и повышения зрелости всей цифровой инфраструктуры ведомства.

Нужна консультация?
Мы постараемся ответить на все ваши вопросы
Задать вопрос
+7 (495) 980-23-45 доб. 05
mail@attestation.ru
г. Москва, ул. Театральная аллея, д. 3, стр. 1
Пн–Пт 10:00–19:00
© 1995-2026, «Национальный аттестационный центр»
Политика обработки персональных данных | Политика обработки файлов cookie
Мы используем cookies
Продолжая пользоваться данным сайтом вы добровольно соглашаетесь на использование файлов cookie.