Когда информационная система становится ГИС: признаки, кто определяет статус и последствия
Что делает информационную систему государственной (ГИС): признаки по 149-ФЗ, кто и как определяет статус, и какие наступают правовые и технические последствия — обязательная классификация (К1–К3), аттестация, сертифицированные средства защиты и требования приказов ФСТЭК №17 и №117. Разбираем и частую путаницу: делает ли подключение к чужой ФГИС вашу систему государственной.
Статус государственной информационной системы (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.) резко меняет требования к защите: появляются обязательная классификация, аттестация и сертифицированные средства защиты. Разберём, когда информационная система становится государственной, по каким признакам, кто определяет статус и какие наступают правовые и технические последствия.
Что делает систему государственной
Государственная информационная система — это информационная система, созданная на основании федеральных законов, законов субъектов Российской Федерации или правовых актов государственных органов (часть 1 статьи 13 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Цели ГИС — реализация полномочий государственных органов, обмен информацией между ними и иные цели, установленные федеральными законами (статья 14 149-ФЗ). Ключевые признаки ГИС:
- система создаётся на основании нормативного правового акта (закона или акта государственного органа), а не по собственному коммерческому решению;
- предназначена для реализации полномочий государственного органа, предоставления государственных услуг, информационного обмена между госорганами или иных установленных законом целей;
- оператором выступает государственный орган либо организация, которой поручена эксплуатация (по общему правилу — заказчик, заключивший государственный контракт, если решением о создании не установлено иное; часть 5 статьи 14 149-ФЗ).
По решению органов местного самоуправления создаются муниципальные информационные системы; требования 149-ФЗ к ГИС, включая требования к защите информации, распространяются на них, если иное не предусмотрено законодательством о местном самоуправлении (часть 4 статьи 13 149-ФЗ).
Кто и как определяет статус
Статус ГИС вытекает из основания создания системы, а не из желания оператора: если система создана по нормативному акту для государственных функций, она является государственной. Решение о создании ГИС принимает соответствующий государственный орган; он же как оператор определяет требования к системе и её классификацию.
Класс защищённости (К1–К3) устанавливает оператор при создании или модернизации системы по требованиям ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. — по уровню значимости информации и масштабу системы (см. классы защищённости К1–К3 и требования к классу К1). Для отдельных категорий, прежде всего федеральных ГИС, предусмотрено внесение сведений в установленные реестры (учёт); универсального правила о регистрации любой ГИС в 149-ФЗ нет.
Частая путаница: подключение к ГИС не делает вашу систему государственной
Если коммерческая организация лишь подключается к чужой федеральной ГИС (например, для сдачи отчётности или получения сведений), её собственная информационная система от этого не становится государственной. Но оператор ФГИС вправе предъявить требования к защите рабочего места, с которого идёт подключение (аттестация АРМАвтоматизированное рабочее место — Рабочее место пользователя с программно-техническими средствами обработки информации., сертифицированные средства защиты) — подробнее в статье об аттестации рабочего места.
Правовые последствия статуса ГИС
- применяются требования по защите информации в ГИС: приказ ФСТЭК №17, а с 1 марта 2026 года — приказ №117 (см. что изменилось);
- обязательная аттестация системы на соответствие требованиям по защите информации до ввода в эксплуатацию;
- классификация системы (класс защищённости К1–К3), а для отдельных категорий (прежде всего федеральных ГИС) — учёт в установленных реестрах;
- если в ГИС обрабатываются персональные данные — выполняются требования и к ГИС, и к ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. (это разные шкалы: класс К1–К3 и уровень защищённости УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-1…УЗ-4), а набор мер выбирается совместимый и не менее строгий.
Технические последствия
- определение класса защищённости по уровню значимости информации и масштабу системы;
- построение модели угроз и определение актуальных угроз;
- реализация базового набора мер под класс с адаптацией по модели угроз и архитектуре и применение сертифицированных средств защиты;
- аттестация, а с 1 марта 2026 года по приказу №117 — ещё и регулярные показатели состояния защиты (КЗИПоказатель состояния защищённости информации — Числовой показатель технической защиты от типовых актуальных угроз по методике ФСТЭК (2025, приказ №117); нормированное значение КЗИ = 1 — минимальный уровень обеспечен.) и непрерывный контроль.
Главное
Информационная система становится государственной не по решению оператора, а когда она создана на основании нормативного акта для реализации полномочий государственного органа (149-ФЗ). Признаки — основание создания (закон или акт госоргана), государственные цели и оператор-госорган. Статус ГИС влечёт обязательную классификацию (К1–К3), аттестацию, применение сертифицированных средств защиты и требований приказа ФСТЭК (№17, с 2026 года — №117), а при наличии персональных данных — одновременное выполнение требований к ГИС и к ИСПДн. При этом простое подключение коммерческой системы к чужой ФГИС собственную систему государственной не делает.