Обеспечение ИБ государственных информационных систем (ГИС): требования ФСТЭК, ФСБ и комплексные решения

14 мая 202514 мая 2025

5 мин

Государственные информационные системы (ГИС) создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. Все ГИС должны соответствовать требованиям Приказа № 17 ФСТЭК России, согласно которому владельцы и операторы ГИС обязаны провести комплекс мероприятий, направленных на обеспечение информационной безопасности государственных информационных систем. Владельцы и операторы ГИС должны следить за соблюдением комплекса требований, регламентирующих процессы обеспечения информационной безопасности их информационных систем. Основными документами, содержащими эти требования, являются: - Федеральный закон 149-ФЗ: Общие требования к защите информации. - Федеральный закон 152-ФЗ: Правила обработки персональных данных. - Приказ ФСТЭК №17: Требования к защите информации в государственных информационных системах. - Приказ ФСТЭК №21: Об утверждении Состава и содержания организационных

Оглавление

Обеспечение информационной безопасности ГИС (ИБ ГИС) в таких учреждениях имеет несколько ключевых аспектов:
Требования к защите ГИС по ФСТЭК и ФСБ
Как Mask Safe может помочь

Государственные информационные системы (ГИС) создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. Все ГИС должны соответствовать требованиям Приказа № 17 ФСТЭК России, согласно которому владельцы и операторы ГИС обязаны провести комплекс мероприятий, направленных на обеспечение информационной безопасности государственных информационных систем.

Обеспечение информационной безопасности ГИС (ИБ ГИС) в таких учреждениях имеет несколько ключевых аспектов:

Защита персональных данных. Компании должны защищать личные данные студентов и сотрудников от утечки. Несанкционированный доступ к таким данным может повлечь за собой юридические проблемы и штрафы.
Соблюдение законов. Существуют строгие нормы, которые требуют от государственных учреждений обеспечивать защиту ГИС и безопасность конфиденциальной информации.
Поддержка рабочего процесса. Системы информационной безопасности не должны каким-либо образом мешать работе государственных учреждений.
Репутационные риски. Если в учебном заведении происходит утечка персональных данных в ходе кибератаки, это может негативно сказаться на репутации учебного заведения.

Требования к защите ГИС по ФСТЭК и ФСБ

Владельцы и операторы ГИС должны следить за соблюдением комплекса требований, регламентирующих процессы обеспечения информационной безопасности их информационных систем. Основными документами, содержащими эти требования, являются:

- Федеральный закон 149-ФЗ: Общие требования к защите информации.

- Федеральный закон 152-ФЗ: Правила обработки персональных данных.

- Приказ ФСТЭК №17: Требования к защите информации в государственных информационных системах.

- Приказ ФСТЭК №21: Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных.

- Приказ ФСБ №117: Меры безопасности, которые должны соблюдать госучреждения при использовании шифровальных (криптографических) средств.

Как Mask Safe может помочь

Один из наиболее ярких примеров нашей работы в данном направлении является наше сотрудничество с Томским областным институтом повышения квалификации и переподготовки работников образования (ТОИПКРО), которому необходима надежная защита государственных информационных систем, оператором которых он является. Благодаря реализации комплекса мероприятий по повышению уровня информационной безопасности, мы смогли значительно усилить защиту и минимизировать потенциальные риски нарушения конфиденциальности и целостности данных.

Цели создания системы защиты информации или почему госучреждения выбирают отечественные решения?

Приведение государственных информационных систем в соответствие с законодательством;
Переход на отечественные решения в соответствии с законодательством;
Создание уникальной системы защиты, учитывающей специфику работы ТОИПКРО.

Кейс: как мы защитили ТОИПКРО

Перед тем, как начать непосредственную работу над данным проектом, мы совместно с заказчиком разработали план обеспечения ИБ. Одним из первых шагов, помимо полного аудита всей информационной системы, стало полноценное погружение наших специалистов во все бизнес-процессы организации. Мы наблюдали, изучали, спрашивали, узнавали – делали все, чтобы понять как живет ТОИПКРО, что для них критически важно.

Ведь наш основной принцип внедрения средств защиты информации – это не навредить компании, а помочь максимально незаметно реализовать все требования по защите информации.

Нами был предложен поэтапный план работ:

определение актуальных угроз ИБ;
поиск и устранение уязвимостей компонентов ГИС, которые могут быть использованы для реализации угроз ИБ;
выполнение комплекса организационных и технических мероприятий, направленных на соблюдение требований Законодательства Российской Федерации;
Установка и настройка средств защиты информации, необходимых для противодействия актуальным угрозам ИБ;
Обучение сотрудников ТОИПКРО правилам работы с созданной системой защиты информации;
Постоянный мониторинг, обновление и обслуживание системы защиты информации.

Какие технические решения для выполнения поставленных целей были нами реализованы

Осуществили миграцию серверной части информационных систем с зарубежного средства виртуализации на отечественную с максимальным сохранением существующих конфигураций;
Помогли осуществить миграцию всех виртуальных серверов с операционной системы Windows на отечественную сертифицированную ОС;
Реализовали подсистему антивирусной защиты информации;
Реализовали подсистему межсетевого экранирования;
Настроили все используемые и внедренные средства защиты информации с учётом особенностей функционирования информационных систем ТОИПКРО и лучших мировых практик по обеспечения информационной безопасности.

Одним из вызовов проекта было то, что государственные информационные системы, оператором которых является ТОИПКРО, очень распределённые – в них входят более 800 объектов по всей Томской области.

Во время внедрения средств защиты информации мы столкнулись с нетривиальными задачами, которые требовали нестандартного подхода, совершенно новых решений. Однако наша главная ценность – это компетенции наших специалистов, что позволяет нам решать самые сложные задачи.

На этом наше сотрудничество с ТОИПКРО не заканчивается, потому что каждая система защиты информации требует постоянной модернизации, поддержки и совершенствования. Только так возможно достичь высокого уровня защиты ваших информационных систем.

Заключение

Обеспечение информационной безопасности ГИС — это сложная, но необходимая задача. Комплексный подход, который включает в себя законодательные меры, технические решения и организационные процессы, позволяет эффективно защищать данные и поддерживать рабочий процесс. В условиях увеличения числа кибератак и утечек данных, внимание к информационной безопасности становится неотъемлемой частью функционирования ГИСов.

Обеспечьте и вы своевременную и комплексную защиту своих систем, а мы возьмем на себя все технические и организационные вопросы:

- Повышение уровня защиты данных.

- Соответствие современным нормам и требованиям.

- Эффективное управление ресурсами.

Нужна защита ГИС по требованиям ФСТЭК? Оставьте заявку по телефону +7 (3822) 900-110, или по электронной почте info@masksafe.ru — проведем аудит и предложим решение!

Консультация бесплатно!

Строительство

46,4 тыс интересуются