ГрамотаИБ ГрамотаИБ

Аттестация рабочего места для подключения к ГИС и ФГИС: нужна ли, что это и как часто

Редакция ГрамотаИБ · Опубликовано 02.07.2026

Что требуется для подключения к государственной информационной системе (ГИС) или федеральной ГИС (ФГИС): защищённый канал, сертифицированные средства защиты и аттестованное рабочее место. Разбираем, нужно ли аттестовывать АРМ, что такое аттестация объекта информатизации и кто её проводит, как часто и какой срок действия у аттестата, и нужно ли переделывать аттестацию при переносе рабочего места в другой кабинет или офис.

При подключении к государственной информационной системе (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.) или федеральной ГИС (ФГИС) оператор такой системы почти всегда требует, чтобы рабочее место, с которого идёт подключение, было защищено и аттестовано. Разберём, что требуется для подключения, нужно ли аттестовывать рабочее место, что такое аттестация, как часто её проводить и нужно ли переделывать аттестат при переносе рабочего места в другой кабинет или офис.

Что требуется для подключения к ГИС и ФГИС

Конкретные требования устанавливает оператор ГИС/ФГИС в регламенте (порядке) подключения. Типовой набор:

  • защищённый канал связи — как правило, на сертифицированном ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. России средстве криптографической защиты (СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ.) требуемого класса (например, КС1–КС3), если это предусмотрено регламентом подключения;
  • сертифицированные средства защиты на рабочем месте, предусмотренные классом защищённости и регламентом (например, антивирус, средство защиты от несанкционированного доступа), с актуальными настройками;
  • аттестованное автоматизированное рабочее место (АРМАвтоматизированное рабочее место — Рабочее место пользователя с программно-техническими средствами обработки информации.) или сегмент, с которого выполняется подключение, — подтверждается аттестатом соответствия требованиям по защите информации;
  • назначенные ответственные, модель угроз и организационные документы.

Класс защищённости и состав мер зависят от того, к какой системе идёт подключение и какие данные обрабатываются, — см. требования к классу К1 и классы защищённости К1–К3.

Нужно ли аттестовывать рабочее место

Сама ГИС (объект информатизации в её границах) подлежит обязательной аттестации перед вводом в эксплуатацию. Для ГИС аттестация — это установленная форма подтверждения соответствия требованиям по защите информации: она была предусмотрена приказом ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России №17, а с 1 марта 2026 года — приказом №117 (аттестация сохранена). Аттестуется не «компьютер вообще», а объект информатизации — АРМ или сегмент в конкретных условиях размещения.

Отдельное рабочее место, которое лишь подключается к чужой ФГИС, не становится её частью автоматически. Обязанность аттестовать такое АРМ возникает, если это предусмотрено регламентом подключения (договором) оператора ФГИС или если рабочее место включено в состав (контур) ГИС. На практике регламенты подключения к федеральным системам такое требование, как правило, содержат.

Что подразумевает аттестация

Аттестация — это комплекс организационных и технических мероприятий, по результатам которых выдаётся аттестат соответствия, подтверждающий, что объект информатизации отвечает требованиям по защите информации. Проводит её орган по аттестации — организация с лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации и необходимыми полномочиями. Порядок аттестации установлен приказом ФСТЭК России №77 (2021 год). В работы обычно входят:

  • проверка правильности определения класса защищённости и актуальности модели угроз;
  • проверка реализованных мер и настроек средств защиты;
  • аттестационные испытания (проверка на соответствие требованиям и тестирование защищённости);
  • оформление протоколов, заключения и выдача аттестата соответствия.

Как часто проводить аттестацию и сколько действует аттестат

По действующему порядку (приказ ФСТЭК №77) аттестат соответствия выдаётся на весь срок эксплуатации объекта информатизации — при условии, что уровень защищённости поддерживается, а оператор ведёт периодический контроль защищённости (обычно не реже одного раза в два года, если иной срок не установлен в аттестате или документах на систему). Ранее по национальному стандарту ГОСТ РО 0043-003-2012 аттестат обычно оформлялся на срок до 3 лет — это прежняя практика, которая ещё встречается в старых регламентах и аттестатах.

Отдельно от аттестации приказ №117 (с 1 марта 2026 года) регулирует эксплуатационный контроль защищённости и показатели состояния защиты — КЗИПоказатель состояния защищённости информации — Числовой показатель технической защиты от типовых актуальных угроз по методике ФСТЭК (2025, приказ №117); нормированное значение КЗИ = 1 — минимальный уровень обеспечен. (рассчитывается не реже одного раза в 6 месяцев) и зрелости ПЗИПоказатель уровня зрелости защиты информации — Показатель достаточности и эффективности мер защиты по приказу ФСТЭК №117; оценивается не реже одного раза в два года.. Это самостоятельная регулярная оценка, а не переоформление аттестата: из-за неё аттестат каждые полгода переделывать не нужно.

Нужно ли переделывать аттестацию при переносе рабочего места

Зависит от того, меняются ли условия, влияющие на защищённость. Аттестат выдаётся на объект информатизации в конкретных условиях размещения: помещение, границы контролируемой зоны, состав технических средств.

  • Перенос в пределах той же контролируемой зоны без изменения состава средств и условий защиты — как правило, повторная аттестация не нужна; изменения отражают в документах на объект.
  • Перенос в другой кабинет, офис или здание, когда меняются границы контролируемой зоны и условия размещения, — использовать прежний аттестат без переоценки нельзя: как правило, нужны дополнительные аттестационные испытания на новом месте или повторная аттестация.
  • Изменение состава или настроек средств (замена АРМ, добавление оборудования, изменение мер защиты) — также требует переоценки и, при необходимости, дополнительных испытаний.

Точный порядок действий при изменениях определяют орган по аттестации и регламент подключения; безопаснее заранее уведомить их о планируемом переносе.

Как выполнить требования

  • получите у оператора ГИС/ФГИС регламент подключения и перечень требований;
  • определите класс защищённости и постройте модель угроз;
  • реализуйте меры защиты и примените сертифицированные СЗИСредство защиты информации — Техническое или программное средство, реализующее меры защиты; обычно требует сертификата ФСТЭК., а для канала — СКЗИ нужного класса;
  • привлеките орган по аттестации (с лицензией ФСТЭК на техническую защиту конфиденциальной информации) и получите аттестат соответствия;
  • поддерживайте защищённость и ведите периодический контроль; при переносе рабочего места или изменении условий — согласуйте дополнительные испытания или повторную аттестацию.

Главное

Для подключения к ГИС/ФГИС оператор системы, как правило, требует защищённый канал на сертифицированном СКЗИ, сертифицированные средства защиты и аттестованное рабочее место, если это предусмотрено регламентом подключения. Аттестация — это комплекс мероприятий с выдачей аттестата соответствия органом по аттестации (лицензиат ФСТЭК; порядок — приказ №77); для ГИС она была предусмотрена приказом №17 и сохранена в приказе №117. По приказу №77 аттестат действует на срок эксплуатации при условии периодического контроля защищённости (по прежней практике — обычно до 3 лет). Аттестат привязан к условиям размещения: перенос рабочего места в пределах той же контролируемой зоны без изменения условий обычно не требует переаттестации, а перенос в другой офис или здание — требует дополнительных испытаний или повторной аттестации.

Частые вопросы

Нужно ли аттестовывать рабочее место для подключения к ГИС или ФГИС?

Да, если этого требует регламент подключения оператора ГИС/ФГИС или если рабочее место входит в состав государственной информационной системы. Для ГИС аттестация — установленная форма подтверждения соответствия объекта информатизации требованиям по защите информации (приказы ФСТЭК №17, а с 1 марта 2026 года — №117).

Как часто проводить аттестацию и сколько действует аттестат?

По действующему порядку (приказ ФСТЭК №77) аттестат соответствия выдаётся на весь срок эксплуатации объекта при условии поддержания защищённости и периодического контроля. По прежнему стандарту ГОСТ РО 0043-003-2012 аттестат обычно выдавался на 3 года, что ещё встречается в старых регламентах.

Нужно ли переделывать аттестацию при переносе рабочего места в другой кабинет или офис?

Если условия размещения не меняются (перенос в пределах той же контролируемой зоны без изменения состава средств) — как правило, нет, изменения отражают в документах. Перенос в другой кабинет, офис или здание меняет границы контролируемой зоны и условия: использовать прежний аттестат без переоценки нельзя — нужны дополнительные аттестационные испытания или повторная аттестация.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Аудит информационных систем: как часто, кем и чем регламентирован (ИСПДн, ГИС, КИИ)

Что понимают под аудитом информационных систем в сфере защиты информации, чем он регламентирован и как часто проводится. Разбираем отличия для ИСПДн, ГИС и КИИ, нужен ли аудит для ИСПДн малого бизнеса на уровнях защищённости УЗ-3 и УЗ-4 и можно ли проводить проверку самостоятельно или требуется лицензиат ФСТЭК.

Требования к ГИС класса защищённости К1

Что такое класс защищённости государственной информационной системы (ГИС), как он определяется и когда системе присваивается высший класс К1, а также какие требования предъявляет К1: полный набор мер защиты, сертифицированные средства защиты информации, приказ ФСТЭК №117 и числовой показатель защищённости КЗИ.

УБИ ФСТЭК: расшифровка, список угроз и как посмотреть уязвимости (БДУ)

Что такое УБИ (угроза безопасности информации) и как расшифровывается аббревиатура, как связаны УБИ и Банк данных угроз (БДУ) ФСТЭК, где посмотреть список угроз и уязвимостей на bdu.fstec.ru и чем угроза (УБИ) отличается от уязвимости (BDU) и международного идентификатора CVE.

Квалификационные требования к специалистам по информационной безопасности (Указ №250, КИИ)

Какие требования к квалификации предъявляются к сотрудникам по информационной безопасности: профстандарты, лицензионные требования, силы безопасности значимых объектов КИИ (приказ ФСТЭК №235) и Указ Президента №250 с типовым положением (ПП №1272). Какое образование нужно заместителю руководителя по ИБ и работникам подразделения, зачем нужны профессиональная переподготовка и повышение квалификации и при чём здесь перечень программ, согласованных с ФСТЭК.