ГрамотаИБ ГрамотаИБ

Требования к ГИС класса защищённости К1

Редакция ГрамотаИБ · Опубликовано 02.07.2026

Что такое класс защищённости государственной информационной системы (ГИС), как он определяется и когда системе присваивается высший класс К1, а также какие требования предъявляет К1: полный набор мер защиты, сертифицированные средства защиты информации, приказ ФСТЭК №117 и числовой показатель защищённости КЗИ.

К1 — высший класс защищённости государственной информационной системы (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.), для которого установлены самые строгие требования к защите. Разберём, что такое класс защищённости ГИС, как он определяется, когда системе присваивается К1 и что этот класс требует.

Что такое класс защищённости ГИС

Для государственной информационной системы устанавливается класс защищённости — К1 (высший), К2 или К3 (низший). Класс определяет минимально необходимый набор организационных и технических мер защиты и определяется оператором при формировании требований к защите информации (при создании или модернизации системы).

Как определяется класс и когда это К1

Класс защищённости зависит от двух параметров:

  • уровень значимости информации (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-1 — высокий, УЗ-2 — средний, УЗ-3 — низкий) — определяется степенью возможного ущерба от нарушения конфиденциальности, целостности или доступности информации;
  • масштаб системы — федеральный, региональный или объектовый.

Высший класс К1 устанавливается при высоком уровне значимости информации (УЗ-1) при любом масштабе системы, а также при среднем уровне значимости (УЗ-2) для системы федерального масштаба. Полная таблица соответствия уровня значимости и масштаба классам — в статье «Класс защищённости ГИС (К1–К3)».

Важно: если в ГИС обрабатываются персональные данные, требования к защите применяются в совокупности, а меры не могут быть ниже необходимых для соответствующего уровня защищённости ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)..

Что требует класс К1

  • Наиболее полный набор мер защиты. Для К1 базовый состав мер самый широкий; конкретные меры выбираются и адаптируются под класс, актуальные угрозы и архитектуру системы.
  • Сертифицированные средства защиты информации с классом защиты (уровнем доверия), соответствующим классу ГИС, виду средства (межсетевой экран, средство обнаружения вторжений, антивирус и т. д.) и условиям применения.
  • Приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №117. С 1 марта 2026 года защита ГИС регулируется приказом №117 (вместо №17). Классы К1–К3 и аттестация сохранены, но помимо аттестации и контроля вводятся регулярные показатели состояния защиты — КЗИПоказатель состояния защищённости информации — Числовой показатель технической защиты от типовых актуальных угроз по методике ФСТЭК (2025, приказ №117); нормированное значение КЗИ = 1 — минимальный уровень обеспечен. (рассчитывается не реже одного раза в 6 месяцев) и зрелости защиты ПЗИПоказатель уровня зрелости защиты информации — Показатель достаточности и эффективности мер защиты по приказу ФСТЭК №117; оценивается не реже одного раза в два года. — и непрерывное управление защищённостью. Для К1 требуется наиболее полный и строгий набор мер. Что изменилось — в статье «Приказ №117 вместо №17», как считается КЗИ — в статье об оценке защищённости.

Как выполнить требования К1

  • определите класс защищённости по уровню значимости информации и масштабу системы;
  • постройте модель угроз и определите актуальные угрозы;
  • сформируйте полный набор мер защиты под класс К1 и реализуйте их;
  • примените сертифицированные средства защиты информации нужного класса;
  • организуйте оценку защищённости и контроль (показатель КЗИ по приказу №117).

Главное

К1 — высший из трёх классов защищённости ГИС (К1–К3). Класс определяется уровнем значимости обрабатываемой информации и масштабом системы; К1 устанавливается при высоком уровне значимости (УЗ-1) при любом масштабе, а также при среднем уровне значимости для системы федерального масштаба. Для К1 нужен наиболее полный набор мер защиты и сертифицированные средства защиты информации с уровнем, соответствующим классу системы. С 1 марта 2026 года защита ГИС строится по приказу ФСТЭК №117: классы и аттестация сохранены, но добавлены регулярные показатели защищённости (КЗИ, ПЗИ) и непрерывный контроль. Если в системе есть персональные данные, требования применяются в совокупности с требованиями к их защите.

Частые вопросы

Как определяется класс защищённости ГИС?

По двум параметрам: уровню значимости обрабатываемой информации (по степени возможного ущерба конфиденциальности, целостности или доступности) и масштабу системы (федеральный, региональный, объектовый). По их сочетанию системе присваивается класс К1, К2 или К3.

Когда системе присваивается класс К1?

К1 — высший класс. Он присваивается при высоком уровне значимости информации, а также в ряде сочетаний уровня значимости и масштаба системы. Если в ГИС обрабатываются персональные данные, требования применяются в совокупности с требованиями к их защите.

Какие требования предъявляет класс К1?

Наиболее полный набор мер защиты и сертифицированные средства защиты информации с уровнем, соответствующим классу системы. С 1 марта 2026 года защита ГИС строится по приказу ФСТЭК №117 (вместо №17): классы К1–К3 и аттестация сохранены, но добавлены регулярные показатели состояния защиты (КЗИ — не реже одного раза в 6 месяцев, ПЗИ) и непрерывный контроль. Для К1 требуется наиболее полный и строгий набор мер.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Аудит информационных систем: как часто, кем и чем регламентирован (ИСПДн, ГИС, КИИ)

Что понимают под аудитом информационных систем в сфере защиты информации, чем он регламентирован и как часто проводится. Разбираем отличия для ИСПДн, ГИС и КИИ, нужен ли аудит для ИСПДн малого бизнеса на уровнях защищённости УЗ-3 и УЗ-4 и можно ли проводить проверку самостоятельно или требуется лицензиат ФСТЭК.

Аттестация рабочего места для подключения к ГИС и ФГИС: нужна ли, что это и как часто

Что требуется для подключения к государственной информационной системе (ГИС) или федеральной ГИС (ФГИС): защищённый канал, сертифицированные средства защиты и аттестованное рабочее место. Разбираем, нужно ли аттестовывать АРМ, что такое аттестация объекта информатизации и кто её проводит, как часто и какой срок действия у аттестата, и нужно ли переделывать аттестацию при переносе рабочего места в другой кабинет или офис.

УБИ ФСТЭК: расшифровка, список угроз и как посмотреть уязвимости (БДУ)

Что такое УБИ (угроза безопасности информации) и как расшифровывается аббревиатура, как связаны УБИ и Банк данных угроз (БДУ) ФСТЭК, где посмотреть список угроз и уязвимостей на bdu.fstec.ru и чем угроза (УБИ) отличается от уязвимости (BDU) и международного идентификатора CVE.

Квалификационные требования к специалистам по информационной безопасности (Указ №250, КИИ)

Какие требования к квалификации предъявляются к сотрудникам по информационной безопасности: профстандарты, лицензионные требования, силы безопасности значимых объектов КИИ (приказ ФСТЭК №235) и Указ Президента №250 с типовым положением (ПП №1272). Какое образование нужно заместителю руководителя по ИБ и работникам подразделения, зачем нужны профессиональная переподготовка и повышение квалификации и при чём здесь перечень программ, согласованных с ФСТЭК.