Подключение к ГИС: требования операторов по информационной безопасности и пути успешной аттестации

Подключение к государственным информационным системам (ГИС) остаётся одним из самых востребованных, но одновременно самых сложных направлений в сфере информационной безопасности. Операторы ГИС — от систем МВД, миграционного учёта, ГИС ЦОДД, ЕЦХД до СМЭВ и МЭДО — предъявляют строгие и постоянно детализирующиеся требования к защите информации в подключаемых системах. Несоблюдение этих требований почти всегда заканчивается отказом в доступе или его внезапным ограничением.

Нормативная основа включает Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Статьи 14 (п. 8.1) и 16 прямо запрещают передачу данных из ГИС в системы, которые не соответствуют установленным требованиям по защите. С 1 марта 2026 года вступил в силу Приказ ФСТЭК России № 117 от 11.04.2025, который полностью заменил прежний Приказ № 17 и существенно детализировал меры защиты для государственных информационных систем и систем, взаимодействующих с ними. Если в обмене участвуют персональные данные, дополнительно применяются Федеральный закон № 152-ФЗ и Постановление Правительства РФ № 1119.

Главное правило жёсткое и однозначное: информационная система организации, получающая доступ к данным ограниченного доступа из ГИС, обязана соответствовать тому уровню защищённости, который определяет именно оператор (обладатель) этой ГИС. Уровень фиксируется в регламентах подключения, правилах взаимодействия и технических требованиях конкретной системы. Операторы имеют полное право устанавливать дополнительные меры защиты, выходящие за рамки общих приказов ФСТЭК.

Существует два основных пути подключения:

• Прямое подключение. После выполнения всех технических условий и предоставления аттестата соответствия система получает доступ.
• Опосредованное подключение (самый распространённый вариант) — через СМЭВ и защищённую сеть передачи данных (ЗСПД). В этом случае минимальное требование — аттестат соответствия не ниже 3 класса защищённости (К3) для точки подключения. Однако если целевая ГИС устанавливает более высокий класс (К1 или К2), одного аттестата шлюза уже недостаточно: основная информационная система организации также должна быть аттестована на требуемый уровень.

Практика показывает, что самая частая причина блокировки доступа — именно несоответствие мер защиты в подключаемой информационной системе требованиям конкретного оператора ГИС. Классический пример: финансовые организации, которые внезапно теряли доступ к данным МВД через СМЭВ из-за того, что их система не соответствовала повышенным требованиям.

Успешное подключение требует индивидуального подхода. Необходимо провести анализ бизнес-процессов организации, точно определить требуемый класс защищённости с учётом регламентов конкретных ГИС, спроектировать оптимальную архитектуру защиты и грамотно провести аттестацию. Только такой комплексный подход позволяет избежать типичных ошибок, сэкономить время и бюджет и обеспечить стабильный, легитимный доступ к государственным данным без риска внезапных блокировок.

Ключевые требования операторов ГИС в 2026 году:

• Соответствие уровню защищённости, установленному оператором ГИС (регламенты, правила взаимодействия, технические требования).
• Право операторов вводить дополнительные меры защиты сверх общих приказов ФСТЭК.
• При обработке персональных данных — обязательное соблюдение 152-ФЗ и Постановления № 1119.
• Для опосредованного подключения через СМЭВ и ЗСПД — минимум К3 для точки подключения.
• При повышенных требованиях целевой ГИС (К1 или К2) — аттестация основной системы организации на соответствующий класс.

Основные шаги успешной аттестации:

1. Анализ бизнес-процессов и определение реального необходимого класса защищённости.
2. Проектирование оптимальной архитектуры защиты.
3. Подготовка и проведение аттестационных испытаний.
4. Получение аттестата соответствия и последующее подключение.

У нас есть комплексная услуга "Аудит ИТ-инфраструктуры". Это решение позволяет получить комплексную оценку состояния IT-системы, выявить потенциальные проблемы и риски, а также разработать стратегию оптимизации. Услуга актуальна для компаний, планирующих модернизацию IT-инфраструктуры. Свяжитесь с нами для консультации!