Защита Государственных Информационных Систем (ГИС) любой сложности

Выполнение всех требований Приказа № 117 ФСТЭК России
Практический опыт защиты ГИС до 1 класса сложности
Наличие всех необходимых лицензий ФСБ и ФСТЭК
Мониторинг безопасности и сопровождение системы после ввода в эксплуатацию
Заказать экспресс-обследованиеЭтапы работы
30+ летна рынке ИБ, с 1993 года
ФСТЭК + ФСБлицензии на деятельность по защите информации
1 классмаксимальная сложность защищённых ГИС
ТОП-100ИБ-компаний РФ по версии TAdviser

Классы защищённости ГИС и состав мер защиты

Защита ГИС строится по классам защищённости. По приказу ФСТЭК России № 117, который с 1 марта 2026 года заменил приказ № 17, каждая государственная информационная система относится к одному из трёх классов. Классы защиты ГИС определяют, какие меры обязательны: чем выше класс, тем шире их состав и строже требования к защите ГИС. Класс присваивается по масштабу системы и уровню значимости обрабатываемой информации.

К1Высший класс. Максимальный состав мер защиты
К2Средний состав мер
К3Базовый состав мер

Состав мер защиты информации в ГИС для каждого класса задаёт приказ № 117: идентификация и аутентификация, управление доступом, антивирусная защита, обнаружение вторжений, контроль целостности, регистрация событий безопасности. Для систем класса К1 требования максимальны — вплоть до средств доверенной загрузки и усиленного контроля доступа. «Кредо-С» определяет класс ГИС, проектирует и внедряет систему защиты ГИС под требования приказа № 117.

Средства защиты информации для ГИС

Меры защиты ГИС реализуются только средствами защиты информации, сертифицированными ФСТЭК России. Применение несертифицированных СЗИ — нарушение требований приказа № 117. В систему защиты ГИС входят межсетевые экраны, средства антивирусной защиты, системы обнаружения вторжений, средства доверенной загрузки и контроля целостности, а при обработке сведений ограниченного доступа — средства криптографической защиты (с лицензией ФСБ или через лицензиата).

«Кредо-С» подбирает средства защиты ГИС под класс защищённости и архитектуру системы, поставляет и настраивает сертифицированные решения. После внедрения мер система проходит аттестацию по требованиям ФСТЭК — официальное подтверждение соответствия приказу № 117.

Этапы работы

Обследование и аудит
  • Сбор сведений об объектах информационной инфраструктуры и других информационных систем, находящихся в эксплуатации
  • Оценка существующей реализации процессов управления ИБ
  • Разработка итогового отчета об аудите ИБ
Организационные мероприятия
  • Определение и моделирование угроз безопасности, подготовка модели угроз
  • Определение требований к системе защиты информации
  • Разработка комплекта организационно-распорядительной документации и технического проекта по защите информации
Ввод в эксплуатацию системы защиты информации (СЗИ)
  • Установка, настройка, ввод в эксплуатацию СЗИ
  • Настройка и тестовые испытания на предмет корректного функционирования
  • Подготовка актов ввода в эксплуатацию СЗИ
Проведение сканирования сегмента сети заказчика на предмет обнаружения уязвимостей
  • Выделение сегмента сети заказчика для сканирования
  • Сканирование сегмента сети заказчика с помощью автоматизированных средств на предмет наличия уязвимостей
  • Определение найденных уязвимостей, уровня их опасности и методов их устранения
  • Составление отчета о найденных уязвимостях. Рекомендации по сокращению степени риска реализации выявленных уязвимостей
Проведение аттестационных испытаний
  • Разработка программы и методики проведения аттестационных испытаний
  • Оценка эффективности организационных мер защиты информации на объекте
  • Испытания средств защиты информации
  • Оформление заключения по результатам проведения аттестационных испытаний и выдача аттестата соответствия информационной системы
Техническая поддержка
  • Контроль за работоспособностью средств защиты, их корректной настройкой и нормальным функционированием ГИС;
  • Выполнение инструментального периодического контроля, предусмотренного нормативной документацией ФСТЭК.
  • Поддержание организационно-распорядительной документации в актуальном состоянии.

Миграция ГИС в облако

ПОЛНОЕ СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУБЕЗ ЗАТРАТ НА ЖЕЛЕЗО

Перенос части ИТ-инфраструктуры на удаленный защищенный сервер экономит вычислительные мощности и снижает затраты на развертывание, обслуживание и защиту вашей инфраструктуры.

"Кредо-С" имеет практический опыт переноса Государственных Информационных Систем в облачные Центры Обработки Данных, и полностью берет на себя реализацию защитных мер всей облачной инфраструктуры.

Заказать консультацию

Реализация единого подхода к обеспечению безопасности

Снижение юридических рисков невыполнения требований по защите информационных систем в соответствии с законодательством РФ, требованиями приказов ФСТЭК и ФСБ России

Минимизация затрат на создание и владение отказоустойчивой и защищенной IT-инфраструктурой

Сокращение стоимости защиты ГИС за счёт внедрения типовых сегментов

ГИС - динамически изменяемые системы, поэтому стоимость системы и сложность по аттестации может сильно варьироваться.

Подход выделения типовых сегментов ГИС и распространение на них аттестата соответствия позволяет сэкономить на работах по защите ГИС (разработка документации, замена тех. средств).

Для того, чтобы типовой сегмент считался соответствующим аттестованному, необходимо

Установить класс защищенности

Определить угрозы безопасности информации

Реализовать одинаковые проектные решения по самой системе и по системе защиты информации

Подтвердить соответствие нового сегмента уже выданному аттестату в ходе приемочных испытаний

Заказать консультацию

Ответственность за невыполнение требований по защите ГИС

В результате несоблюдения требований по защите информации и обеспечению безопасности персональных данных при их обработке в информационных системах ответственность лежит на операторе персональных данных и влечет за собой административные штрафы: за нарушение требований по защите информации в ГИС — для юридических лиц от 50 000 до 100 000 рублей (ст. 13.12 КоАП РФ); за нарушение требований к защите персональных данных — до 15 000 000 рублей (ст. 13.11 КоАП РФ, в ред. 420-ФЗ от 30.11.2024)

Типовыми нарушениями требований по защите информации в ГИС являются

Применение несертифицированных (или с истекшим сроком действия сертификата) средств защиты информации

Средства антивирусной защиты, установленные в информационных системах, используют устаревшие базы

Не проводится анализ уязвимостей информационных систем с целью определения актуальных угроз безопасности информации

Программная среда на автоматизированных рабочих местах не соответствует программной среде, зафиксированной в ходе аттестационных испытаний

Ответственными должностными лицами не проводится периодический анализ изменений угроз безопасности информации в информационных системах, в том числе не принимаются соответствующие меры защиты

КРЕДО-С оказывает услуги по защите информационных систем только в соответствии с действующим законодательством РФ и только с помощью сертифицированных средств защиты

Заказать аттестацию ГИС

«ГИС — самый зарегулированный класс систем: без аттестата по 117-му приказу эксплуатация просто незаконна. Типовая ошибка операторов — «аттестовали и забыли»: программная среда уезжает от зафиксированной на испытаниях, и первый же контроль ФСТЭК это видит. Мы сопровождаем систему после ввода — чтобы аттестат оставался не бумагой, а фактом.»

Часто задаваемые вопросы

Обязательно ли аттестовывать государственную информационную систему?
Да. ГИС должна пройти аттестацию по требованиям ФСТЭК России до ввода в эксплуатацию — без действующего аттестата соответствия эксплуатация не допускается. С 1 марта 2026 года требования к защите информации в ГИС установлены приказом ФСТЭК № 117.
Чем приказ ФСТЭК № 117 отличается от приказа № 17?
Приказ № 117 заменил приказ № 17: введена периодическая оценка защищённости (показатель КЗИ), уточнены группы критериев и состав мер защиты. Подробный разбор отличий и бесплатный калькулятор КЗИ — на нашем спецпроекте 117fstec.credos.ru.
Какие этапы включает создание системы защиты ГИС?
Обследование и классификация ГИС, разработка модели угроз, проектирование системы защиты, внедрение и настройка СЗИ, оценка эффективности и аттестация. «Кредо-С» выполняет полный цикл под ключ — от обследования до выдачи аттестата соответствия.
От чего зависит класс защищённости ГИС?
Класс защищённости (К1–К3) определяется при классификации и зависит от уровня значимости обрабатываемой информации и масштаба системы — федерального, регионального или объектового. От класса зависит состав обязательных мер защиты.
Что нужно от заказчика для начала работ?
Достаточно заявки: проведём экспресс-обследование, запросим сведения о системе (назначение, состав, обрабатываемая информация) и подготовим предложение с планом работ. Работаем с госорганами и учреждениями, в том числе по 44-ФЗ и 223-ФЗ.
Отзывы
5.0

МФЦ, г. Подольск

МБУ Городского округа Подольск «МФЦ» выражает благодарность Чекмареву Дмитрию Юрьевичу, специалисту по информационной безопасности ООО "КРЕДО-С", за высокий профессионализм и личные качества в решении общих рабочих задач по…

Благодарственное письмо
5.0

МАУ "МФЦ Коломенского городского округа"

Муниципальное автономное учреждение «Многофункциональный центр предоставления государственных и муниципальных услуг городского округа Коломна Московской области» выражает свою благодарность ООО «Кредо-С» за профессионализм в…

Благодарственное письмо
5.0

Администрация городского округа Красногорск

Администрация городского округа Красногорск Московской области выражает свою благодарность ООО «КРЕДО-С» за высокое качество оказания комплексных услуг по информационной безопасности, а также за внимательное отношение и…

Благодарственное письмо
Реализованные проекты
2019-2020 ТЕРРИТОРИАЛЬНЫЙ ФОНД ОБЯЗАТЕЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ ТУЛЬСКОЙ ОБЛАСТИ

ТЕРРИТОРИАЛЬНЫЙ ФОНД ОБЯЗАТЕЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ ТУЛЬСКОЙ ОБЛАСТИ

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Хочу получать новости и полезные материалы на email — необязательно

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва