Требования к ГИС класса защищённости К1
Что такое класс защищённости государственной информационной системы (ГИС), как он определяется и когда системе присваивается высший класс К1, а также какие требования предъявляет К1: полный набор мер защиты, сертифицированные средства защиты информации, приказ ФСТЭК №117 и числовой показатель защищённости КЗИ.
К1 — высший класс защищённости государственной информационной системы (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.), для которого установлены самые строгие требования к защите. Разберём, что такое класс защищённости ГИС, как он определяется, когда системе присваивается К1 и что этот класс требует.
Что такое класс защищённости ГИС
Для государственной информационной системы устанавливается класс защищённости — К1 (высший), К2 или К3 (низший). Класс определяет минимально необходимый набор организационных и технических мер защиты и определяется оператором при формировании требований к защите информации (при создании или модернизации системы).
Как определяется класс и когда это К1
Класс защищённости зависит от двух параметров:
- уровень значимости информации (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-1 — высокий, УЗ-2 — средний, УЗ-3 — низкий) — определяется степенью возможного ущерба от нарушения конфиденциальности, целостности или доступности информации;
- масштаб системы — федеральный, региональный или объектовый.
Высший класс К1 устанавливается при высоком уровне значимости информации (УЗ-1) при любом масштабе системы, а также при среднем уровне значимости (УЗ-2) для системы федерального масштаба. Полная таблица соответствия уровня значимости и масштаба классам — в статье «Класс защищённости ГИС (К1–К3)».
Важно: если в ГИС обрабатываются персональные данные, требования к защите применяются в совокупности, а меры не могут быть ниже необходимых для соответствующего уровня защищённости ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)..
Что требует класс К1
- Наиболее полный набор мер защиты. Для К1 базовый состав мер самый широкий; конкретные меры выбираются и адаптируются под класс, актуальные угрозы и архитектуру системы.
- Сертифицированные средства защиты информации с классом защиты (уровнем доверия), соответствующим классу ГИС, виду средства (межсетевой экран, средство обнаружения вторжений, антивирус и т. д.) и условиям применения.
- Приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №117. С 1 марта 2026 года защита ГИС регулируется приказом №117 (вместо №17). Классы К1–К3 и аттестация сохранены, но помимо аттестации и контроля вводятся регулярные показатели состояния защиты — КЗИПоказатель состояния защищённости информации — Числовой показатель технической защиты от типовых актуальных угроз по методике ФСТЭК (2025, приказ №117); нормированное значение КЗИ = 1 — минимальный уровень обеспечен. (рассчитывается не реже одного раза в 6 месяцев) и зрелости защиты ПЗИПоказатель уровня зрелости защиты информации — Показатель достаточности и эффективности мер защиты по приказу ФСТЭК №117; оценивается не реже одного раза в два года. — и непрерывное управление защищённостью. Для К1 требуется наиболее полный и строгий набор мер. Что изменилось — в статье «Приказ №117 вместо №17», как считается КЗИ — в статье об оценке защищённости.
Как выполнить требования К1
- определите класс защищённости по уровню значимости информации и масштабу системы;
- постройте модель угроз и определите актуальные угрозы;
- сформируйте полный набор мер защиты под класс К1 и реализуйте их;
- примените сертифицированные средства защиты информации нужного класса;
- организуйте оценку защищённости и контроль (показатель КЗИ по приказу №117).
Главное
К1 — высший из трёх классов защищённости ГИС (К1–К3). Класс определяется уровнем значимости обрабатываемой информации и масштабом системы; К1 устанавливается при высоком уровне значимости (УЗ-1) при любом масштабе, а также при среднем уровне значимости для системы федерального масштаба. Для К1 нужен наиболее полный набор мер защиты и сертифицированные средства защиты информации с уровнем, соответствующим классу системы. С 1 марта 2026 года защита ГИС строится по приказу ФСТЭК №117: классы и аттестация сохранены, но добавлены регулярные показатели защищённости (КЗИ, ПЗИ) и непрерывный контроль. Если в системе есть персональные данные, требования применяются в совокупности с требованиями к их защите.