Согласно статье 13 части 1 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ (далее — 149-ФЗ), информационные системы включают в себя:
- государственные информационные системы (ГИС) — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
- муниципальные информационные системы (МИС), созданные на основании решения органа местного самоуправления;
- иные информационные системы.
В соответствии с 149-ФЗ при создании и эксплуатации ГИС меры, применяемые в целях защиты информации в ГИС, должны соответствовать требованиям приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»1.
Требования по защите информации в ГИС применимы к государственным и муниципальным органам государственной власти, а также государственным учреждениям, эксплуатирующим ГИС. Требования по защите информации в ГИС также должны соблюдаться организациями, которые подключаются к ГИС, например, к ЕГИСЗ, ФИС ГИА и Приёма, ЕИС ГА (ЕГИСМ), ФИС ФРДО и пр.
Предпосылки
- Государственное регулирование порядка создания и эксплуатации ГИС в соответствии с постановлением Правительства РФ № 676.
- Несоблюдение порядка влечет риски привлечения к ответственности, предписания со стороны надзорных органов, приостановку работы с ГИС.
- В организации эксплуатируются ГИС или создаются новые ГИС, соответственно, необходимо определить и реализовать требования по защите информации в ГИС.
- Производится модернизация ГИС, в связи с этим необходима модернизация существующей системы защиты информации в ГИС и ее переаттестация.
- Организация планирует подключаться к федеральной или региональной ГИС.
- Технические меры защиты информации в ГИС реализуются посредством применения сертифицированных средств защиты информации.
Наши услуги
- Формирование требований
- Обследование ГИС и классификация ГИС по требованиям защиты информации
- Определение угроз безопасности информации и разработка модели угроз безопасности информации
- Определение требований к системе защиты информации ГИС
- Участие в согласовании модели угроз и технического задания с регуляторам
- Разработка системы защиты
- Проектирование системы защиты информации ГИС
- Разработка эксплуатационной документации на систему защиты информации ГИС
- Макетирование и тестирование системы защиты информации ГИС
- Внедрение системы защиты
- Установка и настройка средств защиты информации в ГИС
- Разработка организационно-распорядительных документов по защите информации и внедрение организационных мер защиты информации
- Предварительные испытания, опытная эксплуатации, анализ уязвимостей и приемочные испытания системы защиты информации ГИС
- Аттестация ГИС
- Разработка программы и методики аттестационных испытаний ГИС
- Проведение аттестационных испытаний, оформление протоколов и заключения по результатам аттестационных испытаний
- Выдача аттестата соответствия в случае положительных результатов аттестационных испытаний
Эффект для бизнеса
 |
Обеспечение соответствия требованиям законодательства РФ по защите информации в ГИС. |
 |
Снижение рисков наложения санкций со стороны государственных надзорных органов (ФСТЭК, ФСБ). |
 |
Выполнение требований для подключения к ГИС. |
1 В соответствии со статьей 13 части 4 требования к ГИС распространяются и на МИС, если иное не установлено законодательством РФ о местном самоуправлении. Дополнительно вопросы защиты ГИС регулируются постановлением Правительства РФ от 06.07.2015 № 676, определяющим необходимость реализации органами исполнительной власти РФ в рамках мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации ГИС требований по защите информации.