Когда защита ГИС становится управленческой задачей
ГИС — это не только портал или база данных, которую нужно «закрыть по приказу». Обычно вокруг государственной информационной системы есть пользователи, ведомственные процессы, интеграции, персональные данные, обмен с внешними сервисами, подрядчики, эксплуатация, закупки и ответственность руководителя. Поэтому защита ГИС быстро становится задачей уровня CISO, CIO, владельца системы, юристов, закупок и службы эксплуатации.
Страница полезна государственным заказчикам, подведомственным организациям, ГУП/ГБУ, крупным подрядчикам и enterprise-компаниям, которые создают, модернизируют или сопровождают государственные и окологосударственные ИТ-контуры. Главная ценность — понять, как превратить требования в архитектуру, документы, внедренные средства защиты и управляемую эксплуатацию, а не в отдельную папку для проверки.
Термины без тумана
| Термин | Расшифровка и смысл |
|---|---|
| ГИС | Государственная информационная система. По смыслу это информационная система, созданная или используемая для выполнения государственных функций, оказания услуг, ведения реестров, межведомственного обмена или иных публично значимых процессов. Для проекта важно определить не только название ГИС, но и границы, владельца, оператора, данные, интеграции и режим эксплуатации. |
| Оператор и обладатель информации | Роли, от которых зависят ответственность, доступы, договоры с подрядчиками, порядок обработки информации, требования к документам и принятие решений по защите. |
| СЗИ | Средства защиты информации: классы технических решений, которые помогают реализовать меры защиты — контроль доступа, антивирус/EDR, межсетевые экраны, WAF, DLP, SIEM, сканеры уязвимостей, защита виртуализации и другие компоненты. |
| СКЗИ | Средства криптографической защиты информации. Они применяются там, где нужны криптографические механизмы: защищенные каналы, VPN, электронная подпись, ГОСТ TLS, HSM/PKI и смежные сценарии. Требования к СКЗИ нужно проверять отдельно с учетом ФСБ, архитектуры и конкретного обмена. |
| ИСПДн и ПДн | ИСПДн — информационная система персональных данных, ПДн — персональные данные. Если ГИС обрабатывает персональные данные, контур защиты нужно связывать с 152-ФЗ и требованиями к ИСПДн, а не рассматривать ГИС изолированно. |
| КИИ | Критическая информационная инфраструктура. Если система влияет на значимые процессы в сферах 187-ФЗ, может потребоваться отдельная логика категорирования, защиты значимого объекта, мониторинга и реагирования. |
| HLD и LLD | HLD, High-Level Design, — архитектурный проект высокого уровня: зоны, потоки, классы решений, требования и зависимости. LLD, Low-Level Design, — детальный проект: компоненты, настройки, правила, интеграции, тесты и приемка. Для ГИС эти документы помогают связать регуляторику с реальной инфраструктурой. |
| SIEM, SOAR, SGRC | SIEM собирает и коррелирует события безопасности, SOAR автоматизирует реагирование, SGRC помогает управлять требованиями, рисками, контролями, исключениями и доказательствами. Для ГИС это не «модные аббревиатуры», а способ сделать эксплуатацию проверяемой. |
Российский контур требований
Защита ГИС начинается с юридической и архитектурной квалификации системы. Базовый закон об информации и защите информации — 149-ФЗ. Технические и организационные требования к защите информации в ГИС и информационных системах государственных органов, ГУП и государственных учреждений сегодня нужно сверять с приказом ФСТЭК России №117 от 11.04.2025. В старых документах по ГИС может встречаться приказ ФСТЭК №17, но для новых работ важно проверять актуальную нормативную рамку, а не механически переносить старые шаблоны.
Если в ГИС есть персональные данные, подключается 152-ФЗ и приказ ФСТЭК №21 по ИСПДн. Если система связана со значимыми процессами критической информационной инфраструктуры, нужно отдельно проверить применимость 187-ФЗ и требований к КИИ. РЕСТАРТ не обещает «соответствие по сайту»: итоговый набор требований, классов мер и документов определяется только после обследования конкретного контура.
| Контур | Что нужно определить | Что часто забывают |
|---|---|---|
| Границы ГИС | Системы, подсистемы, интеграции, среда эксплуатации, тестовые и резервные контуры, подрядчики, каналы обмена. | Тестовые стенды, сервисные учетные записи, выгрузки, интеграционные шины и внешние API. |
| Данные | Типы информации, персональные данные, служебная информация, документы, журналы, архивы и сроки хранения. | Данные в логах, BI-витринах, отчетах, резервных копиях, dev/test и файлообмене. |
| Меры защиты | Организационные и технические меры, СЗИ/СКЗИ, доступы, журналы, реагирование, резервирование, контроль изменений. | Эксплуатационные роли, SLA, регламенты администрирования, мониторинг и доказательства выполнения мер. |
| Документы и evidence pack | Модель угроз, проектные решения, регламенты, матрицы доступа, протоколы, журналы, акты, инструкции и план развития. | Связь документов с фактическими настройками и ответственными владельцами процессов. |
Где обычно ломается проект
Не определены границы
Команда защищает «систему вообще», но не фиксирует, какие серверы, интеграции, стенды, API, учетные записи и подрядчики входят в контур.
Документы живут отдельно
Модель угроз и регламенты есть, но они не совпадают с сетевой схемой, ролями, журналами, фактическими настройками СЗИ и процессом изменений.
Закупка опережает архитектуру
Сначала покупаются продукты, а уже потом выясняется, что они не закрывают нужный класс мер, конфликтуют с инфраструктурой или слишком тяжелы для эксплуатации.
Не спроектирована эксплуатация
После внедрения непонятно, кто анализирует события, обновляет правила, ведет исключения, пересматривает доступы и собирает доказательства к проверке.
Как работает РЕСТАРТ
Обследование
Фиксируем систему, владельцев, данные, интеграции, площадки, подрядчиков, документы, текущие СЗИ, сетевые потоки и ограничения эксплуатации.
Требования и модель угроз
Определяем применимые нормы, классы требований, угрозы, нарушителей, критичные сценарии, gaps и приоритеты устранения.
HLD/LLD
Проектируем целевую архитектуру защиты, зоны, потоки, классы СЗИ/СКЗИ, интеграции с SIEM/SOAR/SGRC, роли, журналы и приемочные критерии.
Внедрение
Подбираем продукты, проводим пилот, настраиваем средства защиты, интегрируем с инфраструктурой, готовим документы и передаем в опытную эксплуатацию.
Эксплуатация и развитие
Помогаем выстроить регламенты, контроль изменений, мониторинг, evidence pack, обучение команды и roadmap развития контура после запуска.
Мировые практики и бенчмарки
Международные рамки не заменяют российские требования к ГИС, но помогают говорить с руководством и архитекторами на языке зрелости, рисков и операционной устойчивости.
| Ориентир | Как применяем в проектах ГИС |
|---|---|
| NIST Cybersecurity Framework 2.0 | Используем как управленческую рамку: governance, идентификация активов, защита, обнаружение, реагирование, восстановление и связь киберриска с бизнес-риском. |
| NIST SP 800-53 Rev. 5 | Берем как международный каталог контролей для архитектурного мышления: access control, audit and accountability, configuration management, incident response, contingency planning и privacy controls. |
| NIST SP 800-207 Zero Trust Architecture | Используем как ориентир для отказа от неявного доверия к сети: доступ по роли, контексту, устройству, сегменту, журналам и проверяемым политикам. |
| CIS Controls v8.1 | Полезны для практической приоритизации: инвентаризация активов, управление уязвимостями, конфигурациями, доступами, логами и реагированием. |
| Verizon DBIR и IBM Cost of a Data Breach | Используем как внешний язык для разговора о рисках: инциденты, уязвимости, идентичности, третьи стороны, стоимость простоев, скорость обнаружения и влияние governance на стоимость ошибки. |
Как AI помогает в защите ГИС
AI не должен автоматически принимать регуляторные решения, менять политики доступа или «выдавать соответствие». Но в ГИС он может снять тяжелую ручную нагрузку: быстро искать требования в документах, сопоставлять меры и фактические настройки, готовить черновики evidence pack, объяснять расхождения, суммировать журналы, помогать с security questionnaires и подсказывать владельцам систем, что нужно уточнить.
Для таких сценариев РЕСТАРТ проектирует безопасный AI-контур: утвержденные источники, RAG по внутренним документам, права доступа, журналы запросов, проверка человеком, маскирование чувствительных данных и запрет на использование закрытой информации во внешних сервисах без согласованной архитектуры.
Что получает бизнес и государственный заказчик
| Результат | Что меняется на практике |
|---|---|
| Понятные границы ответственности | Видно, кто владелец системы, кто оператор, где зона подрядчика, какие данные и интеграции входят в контур, какие исключения нужно закрыть. |
| Проект вместо набора требований | Требования ФСТЭК, 152-ФЗ, КИИ при применимости и внутренние политики превращаются в архитектуру, настройки, документы и план внедрения. |
| Меньше переделок | СЗИ/СКЗИ подбираются под архитектуру, угрозы, эксплуатацию и закупку, а не покупаются заранее по общей формуле. |
| Готовность к проверке и сопровождению | Evidence pack, журналы, регламенты, роли и контрольные процедуры поддерживаются после проекта, а не собираются в авральном режиме. |
| Ускорение модернизации | Новые интеграции, AI-сценарии, BI-витрины, личные кабинеты и обмен с ведомствами можно запускать с заранее учтенными ИБ-ограничениями. |
Артефакты результата
- карта ГИС: системы, подсистемы, данные, интеграции, роли, площадки, подрядчики и среды;
- перечень применимых требований и gap analysis по документам, архитектуре и эксплуатации;
- модель угроз или контур требований к модели угроз, если полный документ входит в следующий этап;
- HLD/LLD по системе защиты информации: зоны, потоки, классы СЗИ/СКЗИ, интеграции, журналы и acceptance criteria;
- спецификация для закупки, пилота или внедрения средств защиты;
- пакет регламентов, матриц доступа, инструкций, протоколов и evidence pack;
- roadmap: быстрые меры, проектные работы, внедрение, опытная эксплуатация, сопровождение и развитие.
Первый практический шаг
Рационально начинать с короткой диагностики на 10-15 рабочих дней: собрать границы ГИС, владельцев, документы, архитектуру, доступы, интеграции, текущие СЗИ, персональные данные и смежные требования. После этого можно принимать управленческое решение: нужен ли полный проект СЗИ, актуализация документации, внедрение продуктов, аттестационная подготовка, SGRC-контур или roadmap модернизации.
Если система уже в промышленной эксплуатации, диагностика помогает не останавливать работу, а приоритизировать изменения: что критично закрыть быстро, что можно включить в план развития, что требует закупки, а что решается организационно.
Частые вопросы
ГИС и ИСПДн — это одно и то же?
Нет. ГИС — государственная информационная система, ИСПДн — информационная система персональных данных. Одна система может одновременно быть ГИС и обрабатывать ПДн, тогда требования нужно связывать.
Можно ли использовать старые документы по приказу №17?
Их можно использовать как исходный материал, но новые работы нужно сверять с актуальной нормативной рамкой, включая приказ ФСТЭК №117 от 11.04.2025 и применимые смежные требования.
РЕСТАРТ внедряет СЗИ или только готовит документы?
Мы закрываем оба слоя: обследование, требования, HLD/LLD, документы, подбор решений, пилот, внедрение, настройку, интеграцию и передачу в эксплуатацию.
Нужен ли SIEM для ГИС?
Не всегда как первый шаг, но журналирование, мониторинг и реагирование нужны почти всегда. SIEM/SOAR/SGRC рассматриваются после обследования: какие события есть, кто реагирует, какие отчеты и доказательства нужны.
Можно ли начать без большой закупки?
Да. Диагностика и архитектурная сессия помогают сначала понять разрывы, приоритеты и требования, а уже потом выбирать продукты и бюджет.
AI можно подключать к документам ГИС?
Можно только после проектирования безопасного режима: источники, права, журналы, маскирование, запреты на внешнюю передачу и обязательная проверка человеком для регуляторных выводов.
Обсудим ваш контур
Опишите задачу, текущие системы, ограничения и ожидаемый результат. Мы предложим первый практичный шаг: диагностику, пилот, аудит, дорожную карту или проектную команду.
