ГрамотаИБ ГрамотаИБ

Когда информационная система становится ГИС: признаки, кто определяет статус и последствия

Редакция ГрамотаИБ · Опубликовано 03.07.2026

Что делает информационную систему государственной (ГИС): признаки по 149-ФЗ, кто и как определяет статус, и какие наступают правовые и технические последствия — обязательная классификация (К1–К3), аттестация, сертифицированные средства защиты и требования приказов ФСТЭК №17 и №117. Разбираем и частую путаницу: делает ли подключение к чужой ФГИС вашу систему государственной.

Статус государственной информационной системы (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.) резко меняет требования к защите: появляются обязательная классификация, аттестация и сертифицированные средства защиты. Разберём, когда информационная система становится государственной, по каким признакам, кто определяет статус и какие наступают правовые и технические последствия.

Что делает систему государственной

Государственная информационная система — это информационная система, созданная на основании федеральных законов, законов субъектов Российской Федерации или правовых актов государственных органов (часть 1 статьи 13 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Цели ГИС — реализация полномочий государственных органов, обмен информацией между ними и иные цели, установленные федеральными законами (статья 14 149-ФЗ). Ключевые признаки ГИС:

  • система создаётся на основании нормативного правового акта (закона или акта государственного органа), а не по собственному коммерческому решению;
  • предназначена для реализации полномочий государственного органа, предоставления государственных услуг, информационного обмена между госорганами или иных установленных законом целей;
  • оператором выступает государственный орган либо организация, которой поручена эксплуатация (по общему правилу — заказчик, заключивший государственный контракт, если решением о создании не установлено иное; часть 5 статьи 14 149-ФЗ).

По решению органов местного самоуправления создаются муниципальные информационные системы; требования 149-ФЗ к ГИС, включая требования к защите информации, распространяются на них, если иное не предусмотрено законодательством о местном самоуправлении (часть 4 статьи 13 149-ФЗ).

Кто и как определяет статус

Статус ГИС вытекает из основания создания системы, а не из желания оператора: если система создана по нормативному акту для государственных функций, она является государственной. Решение о создании ГИС принимает соответствующий государственный орган; он же как оператор определяет требования к системе и её классификацию.

Класс защищённости (К1–К3) устанавливает оператор при создании или модернизации системы по требованиям ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. — по уровню значимости информации и масштабу системы (см. классы защищённости К1–К3 и требования к классу К1). Для отдельных категорий, прежде всего федеральных ГИС, предусмотрено внесение сведений в установленные реестры (учёт); универсального правила о регистрации любой ГИС в 149-ФЗ нет.

Частая путаница: подключение к ГИС не делает вашу систему государственной

Если коммерческая организация лишь подключается к чужой федеральной ГИС (например, для сдачи отчётности или получения сведений), её собственная информационная система от этого не становится государственной. Но оператор ФГИС вправе предъявить требования к защите рабочего места, с которого идёт подключение (аттестация АРМАвтоматизированное рабочее место — Рабочее место пользователя с программно-техническими средствами обработки информации., сертифицированные средства защиты) — подробнее в статье об аттестации рабочего места.

Правовые последствия статуса ГИС

  • применяются требования по защите информации в ГИС: приказ ФСТЭК №17, а с 1 марта 2026 года — приказ №117 (см. что изменилось);
  • обязательная аттестация системы на соответствие требованиям по защите информации до ввода в эксплуатацию;
  • классификация системы (класс защищённости К1–К3), а для отдельных категорий (прежде всего федеральных ГИС) — учёт в установленных реестрах;
  • если в ГИС обрабатываются персональные данные — выполняются требования и к ГИС, и к ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. (это разные шкалы: класс К1–К3 и уровень защищённости УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-1…УЗ-4), а набор мер выбирается совместимый и не менее строгий.

Технические последствия

  • определение класса защищённости по уровню значимости информации и масштабу системы;
  • построение модели угроз и определение актуальных угроз;
  • реализация базового набора мер под класс с адаптацией по модели угроз и архитектуре и применение сертифицированных средств защиты;
  • аттестация, а с 1 марта 2026 года по приказу №117 — ещё и регулярные показатели состояния защиты (КЗИПоказатель состояния защищённости информации — Числовой показатель технической защиты от типовых актуальных угроз по методике ФСТЭК (2025, приказ №117); нормированное значение КЗИ = 1 — минимальный уровень обеспечен.) и непрерывный контроль.

Главное

Информационная система становится государственной не по решению оператора, а когда она создана на основании нормативного акта для реализации полномочий государственного органа (149-ФЗ). Признаки — основание создания (закон или акт госоргана), государственные цели и оператор-госорган. Статус ГИС влечёт обязательную классификацию (К1–К3), аттестацию, применение сертифицированных средств защиты и требований приказа ФСТЭК (№17, с 2026 года — №117), а при наличии персональных данных — одновременное выполнение требований к ГИС и к ИСПДн. При этом простое подключение коммерческой системы к чужой ФГИС собственную систему государственной не делает.

Частые вопросы

Когда информационная система становится государственной (ГИС)?

Когда она создана или используется для реализации полномочий государственного органа на основании нормативного правового акта — федерального закона, закона субъекта РФ или акта госоргана (статьи 13 и 14 149-ФЗ). Признаки: основание создания (НПА), государственные цели и оператор-госорган.

Кто определяет статус ГИС?

Статус вытекает из основания создания системы, а не из желания оператора: решение о создании ГИС принимает государственный орган, он же как оператор определяет требования и класс защищённости (К1–К3) по уровню значимости информации и масштабу системы.

Делает ли подключение к чужой ФГИС мою систему государственной?

Нет. Если коммерческая организация лишь подключается к чужой федеральной ГИС (например, для сдачи отчётности), её собственная система государственной не становится. Но оператор ФГИС может потребовать защитить и аттестовать рабочее место подключения.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Аудит информационных систем: как часто, кем и чем регламентирован (ИСПДн, ГИС, КИИ)

Что понимают под аудитом информационных систем в сфере защиты информации, чем он регламентирован и как часто проводится. Разбираем отличия для ИСПДн, ГИС и КИИ, нужен ли аудит для ИСПДн малого бизнеса на уровнях защищённости УЗ-3 и УЗ-4 и можно ли проводить проверку самостоятельно или требуется лицензиат ФСТЭК.

Аттестация рабочего места для подключения к ГИС и ФГИС: нужна ли, что это и как часто

Что требуется для подключения к государственной информационной системе (ГИС) или федеральной ГИС (ФГИС): защищённый канал, сертифицированные средства защиты и аттестованное рабочее место. Разбираем, нужно ли аттестовывать АРМ, что такое аттестация объекта информатизации и кто её проводит, как часто и какой срок действия у аттестата, и нужно ли переделывать аттестацию при переносе рабочего места в другой кабинет или офис.

Требования к ГИС класса защищённости К1

Что такое класс защищённости государственной информационной системы (ГИС), как он определяется и когда системе присваивается высший класс К1, а также какие требования предъявляет К1: полный набор мер защиты, сертифицированные средства защиты информации, приказ ФСТЭК №117 и числовой показатель защищённости КЗИ.

УБИ ФСТЭК: расшифровка, список угроз и как посмотреть уязвимости (БДУ)

Что такое УБИ (угроза безопасности информации) и как расшифровывается аббревиатура, как связаны УБИ и Банк данных угроз (БДУ) ФСТЭК, где посмотреть список угроз и уязвимостей на bdu.fstec.ru и чем угроза (УБИ) отличается от уязвимости (BDU) и международного идентификатора CVE.