Кибероснова152-ФЗ
Приказ ФСТЭК 17 / 117

Защита информации в ГИС

Государственные информационные системы: Приказ ФСТЭК 17/117, аттестация, классы защищённости К1–К3, документы для оператора ГИС.

Что такое ГИС и зачем нужна защита

Государственная информационная система (ГИС) — информационная система, созданная на основании федерального или регионального закона, а также на основании правового акта государственного органа. ГИС включают: ГИС ЖКХ, ЕГИСЗ, АИС «Налог», ГИС «Энергоэффективность», ФГИС «Меркурий» и тысячи других.

Защита информации в ГИС регулируется Приказом ФСТЭК России от 11.02.2013 № 17. С 2026 года вступает в силу новый Приказ ФСТЭК № 117, который заменяет Приказ 17 и вводит показатель КЗИ (коэффициент защищённости информации) вместо классов защищённости.

Классы защищённости ГИС (Приказ 17)

КлассМасштаб ГИСУровень значимостиПримеры
К1ФедеральныйВысокий (УЗ-1)ЕГИСЗ, АИС «Налог», ГАС «Правосудие»
К2РегиональныйСредний (УЗ-2)Региональные порталы госуслуг, МФЦ
К3ОбъектовыйНизкий (УЗ-3, УЗ-4)ИС муниципальных учреждений

Документы для защиты ГИС

Модель угроз безопасности ПДн

Основа для определения мер защиты ГИС.

Открыть

Акт определения уровня защищённости

Определение УЗ для ИСПДн в составе ГИС.

Открыть

Политика информационной безопасности

Организационная основа системы защиты.

Открыть

Подробный разбор нового Приказа 117: Приказ ФСТЭК 117: что меняется для защиты ПДн в ГИС →

Частые вопросы о защите ГИС

Чем Приказ ФСТЭК 117 отличается от Приказа 17?

Приказ 117 заменяет Приказ 17 с 2026 года. Основные изменения: вместо классов защищённости (К1–К3) вводится показатель КЗИ (коэффициент защищённости информации), расширен перечень мер защиты, усилены требования к оценке защищённости.

Какие классы защищённости ГИС существуют?

По Приказу ФСТЭК 17 установлены 3 класса: К1 (максимальный) — для ГИС федерального масштаба с государственной тайной, К2 — региональные ГИС с конфиденциальной информацией, К3 (базовый) — локальные ГИС с общедоступной информацией.

Обязательна ли аттестация ГИС?

Да. В отличие от негосударственных ИС, государственные информационные системы подлежат обязательной аттестации по требованиям ФСТЭК перед вводом в эксплуатацию. Аттестацию проводит лицензиат ФСТЭК.

Какие документы нужны для аттестации ГИС?

Минимальный пакет: модель угроз, техническое задание на систему защиты, проектная документация, акт классификации ГИС, политика ИБ, регламенты безопасности, журналы учёта. Полный перечень зависит от класса защищённости.

Нужна ли лицензия ФСТЭК для разработки документов по ГИС?

Для разработки организационно-распорядительных документов (ОРД) — нет. Лицензия ФСТЭК требуется для проектирования и внедрения системы защиты, а также для проведения аттестации. ОРД можно разрабатывать самостоятельно.

Создайте документы для ГИС

Модель угроз, политика ИБ, акт определения УЗ — за 15 минут в конструкторе

Открыть конструкторВсе документы