Государственная информационная система (ГИС) — требования к защите, аттестация, обеспечение безопасности

Государственная информационная система (ГИС) — это информационная система, созданная на основании федеральных законов и законов субъектов РФ, а также правовых актов государственных органов. ГИС предназначены для реализации государственных функций и оказания государственных услуг в электронной форме.

К ГИС относятся: портал «Госуслуги» (ЕПГУ), ГАС «Выборы», ЕГАИС, ЕМИСС, системы межведомственного электронного взаимодействия (СМЭВ), ЕГРН, системы Росреестра, ФНС, Пенсионного фонда, МВД и других ведомств.

Правовое регулирование ГИС осуществляется на основании 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также отраслевых законов и приказов регуляторов.

ГИС классифицируются по нескольким признакам:

По уровню создания:

• Федеральные ГИС — создаются на основании актов Президента РФ и Правительства РФ (например, ГАС «Выборы», ЕПГУ)
• Региональные ГИС — создаются органами власти субъектов РФ
• Муниципальные информационные системы — создаются органами местного самоуправления

По категории информации:

• ГИС, обрабатывающие ПДн — системы с персональными данными граждан
• ГИС, обрабатывающие конфиденциальную информацию — служебная информация, коммерческая тайна
• ГИС для государственной тайны — системы, работающие со сведениями особой важности

Класс защищённости ГИС определяется в зависимости от объёма обрабатываемых данных и уровня возможного ущерба.

Защита информации в государственных информационных системах регламентируется Приказом ФСТЭК № 21 «Об утверждении требований к защите информации в государственных информационных системах».

Основные требования к защите ГИС включают:

Организационные меры:

• Назначение подразделения (должностного лица), ответственного за защиту информации
• Разработка политики информационной безопасности ГИС
• Разработка модели угроз и реестра рисков
• Планирование мероприятий по защите информации
• Обучение и повышение осведомлённости персонала

Технические меры:

• Идентификация и аутентификация пользователей (в т.ч. с использованием ЕСИА)
• Разграничение доступа (управление правами)
• Регистрация событий безопасности (аудит)
• Контроль целостности программного обеспечения
• Антивирусная защита
• Обнаружение атак (СОА/IDS)
• Шифрование каналов связи (СКЗИ, сертифицированные ФСБ России)

Для каждой ГИС определяется класс защищённости (1–4), в зависимости от которого устанавливается состав обязательных мер защиты.

Аттестация ГИС — это обязательная процедура подтверждения соответствия информационной системы требованиям безопасности информации. Аттестация проводится аккредитованной организацией, имеющей лицензию ФСТЭК.

Этапы аттестации ГИС:

1. Обследование — анализ инфраструктуры, документации, организационных и технических мер защиты
2. Разработка модели угроз и политики ИБ — определение актуальных угроз с использованием БДУ ФСТЭК
3. Выбор и внедрение средств защиты — подбор сертифицированных СЗИ, настройка
4. Проведение испытаний — функциональное тестирование, проверка эффективности мер защиты
5. Оформление аттестата соответствия — документ, подтверждающий соответствие требованиям (срок действия — до 3 лет)

АО «РНТ» оказывает полный комплекс услуг по аттестации ГИС, включая обследование, разработку документации, внедрение средств защиты и проведение испытаний.

За нарушение требований к защите информации в ГИС предусмотрена ответственность:

• Административная — ст. 13.12 КоАП РФ (нарушение правил защиты информации): штраф на должностных лиц до 50 000 руб., на юрлиц до 500 000 руб.
• Административная — ст. 13.13 КоАП РФ (незаконная деятельность в области защиты информации): штраф до 300 000 руб.
• Уголовная — ст. 274.1 УК РФ (неправомерное воздействие на КИИ), если ГИС классифицирована как объект КИИ

Кроме того, эксплуатация неаттестованной ГИС может быть приостановлена по предписанию ФСТЭК России или прокуратуры.