Защита ГИС: требования ФСТЭК, классы защищённости и технические меры
Риски, перспективы, ответственность и судебная практика
Автор: Петухов Олег Анатольевич,
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
(сайт: legascom.ru; e‑mail: petukhov@legascom.ru )
1. Введение
Государственные информационные системы (ГИС) — критически важный сегмент цифровой инфраструктуры РФ. Их защита регламентируется:
ФЗ № 149 «Об информации, информационных технологиях…»;
ФЗ № 152 «О персональных данных»;
Приказами ФСТЭК № 17, 21, 31;
Требованиями по защите информации в ГИС (утв. приказом ФСТЭК № 17).
В 2025 г. число атак на ГИС выросло на 40 % (данные НКЦКИ). Эта статья разбирает:
классы защищённости ГИС;
технические и организационные меры;
ответственность за нарушения;
судебную практику;
кейсы из практики автора.
2. Классы защищённости ГИС
Согласно приказу ФСТЭК № 17, ГИС делятся на 3 класса защищённости:
Класс 1 (К1) — системы, нарушение работы которых грозит:
ущербом жизни и здоровью людей;
остановкой критически важных процессов;
утечкой гостайны.
Требования: СЗЗИ не ниже 5 уровня доверия (ФСТЭК), криптография по ГОСТ, непрерывный мониторинг.
Класс 2 (К2) — системы с риском:
финансовых потерь свыше 10 млн руб.;
утечки персональных данных 100 тыс.+ человек;
сбоя работы органов власти.
Требования: СЗЗИ не ниже 6 уровня доверия, резервное копирование, контроль доступа.
Класс 3 (К3) — системы с ограниченным воздействием на процессы.
Требования: базовые меры защиты (антивирусы, межсетевые экраны).
Определение класса:
Анализ угроз (модель угроз по методике ФСТЭК).
Оценка масштаба последствий.
Оформление акта классификации (утверждается оператором ГИС).
Комментарий О. А. Петухова:
«Ошибка на этапе классификации ведёт к недооценке рисков. Например, в 2024 г. суд взыскал 5 млн руб. с регионального Минздрава за отнесение системы учёта пациентов к К3 вместо К2».
3. Технические меры защиты (по приказу ФСТЭК № 17)
3.1. Организационные меры
назначение ответственного за защиту информации;
разработка регламентов доступа;
обучение персонала;
проведение аудитов раз в 6 месяцев.
3.2. Технические меры
Идентификация и аутентификация:
многофакторная аутентификация (МФА);
учётные записи с минимальными привилегиями.
Контроль доступа:
ролевая модель (RBAC);
журналы доступа (хранение ≥ 1 года).
Защита от НСД:
межсетевые экраны (NGFW);
системы обнаружения вторжений (IDS/IPS).
Шифрование:
ГОСТ 34.10‑2018 (электронная подпись);
ГОСТ 28147‑89 / ГОСТ Р 34.12‑2015 (шифрование данных).
Резервирование и восстановление:
копии данных вне площадки;
план аварийного восстановления (DRP).
Мониторинг и реагирование:
SIEM‑системы (например, MaxPatrol SIEM);
круглосуточный SOC.
3.3. Требования к средствам защиты (СЗЗИ)
сертификация ФСТЭК (приказы № 21, 31);
обновление ПО в течение 30 дней после выпуска патчей;
тестирование на проникновение раз в год.
4. Риски при несоблюдении требований
Утечки данных: штраф до 18 млн руб. (ст. 13.11 КоАП РФ).
Сбои в работе ГИС: административная ответственность для должностных лиц.
Уголовные последствия: если утечка привела к тяжким последствиям (ст. 274.1 УК РФ).
Репутационные потери: снижение доверия к госорганам.
Финансовые издержки: затраты на расследование, компенсации, штрафы.
5. Ответственность за нарушения
5.1. Административная (КоАП РФ)
Ст. 13.11: нарушение требований к защите ПДн — штраф:
для юрлиц: 30–50 тыс. руб.;
для должностных лиц: 1–3 тыс. руб.
Ст. 19.5: невыполнение предписания ФСТЭК — штраф до 20 тыс. руб.
5.2. Уголовная (УК РФ)
Ст. 272: неправомерный доступ к компьютерной информации — до 5 лет лишения свободы.
Ст. 273: создание вредоносных программ — до 7 лет.
Ст. 274.1: нарушение правил эксплуатации ГИС, повлёкшее тяжкие последствия — до 6 лет.
5.3. Гражданско‑правовая
возмещение ущерба пострадавшим (ст. 1064 ГК РФ);
компенсация морального вреда (ст. 151 ГК РФ);
взыскание убытков из‑за простоя системы.
6. Взгляд экспертов
6.1. Юрист (О. А. Петухов)
«Ключевые риски для операторов ГИС:
Отсутствие акта классификации — суд может признать все меры недействительными.
Несертифицированные СЗЗИ — автоматический штраф по ст. 13.11 КоАП.
Недокументированные инциденты — отсутствие доказательств принятия мер.
Рекомендации:
проводите ежегодные аудиты с привлечением лицензированных организаций;
храните все акты и протоколы ≥ 5 лет;
включите в договоры с подрядчиками пункты об ответственности за утечки».
6.2. Специалист по информационной безопасности
Проблемы на практике:
устаревшее ПО (Windows 7 в 30 % региональных ГИС);
отсутствие сегментации сети;
слабые пароли у администраторов.
Решения:
Автоматизация:
сканеры уязвимостей (например, XSpider);
системы управления конфигурациями (Ansible).
Обучение:
тренинги по кибергигиене раз в квартал;
фишинг‑симуляции.
Реагирование:
SOC с SLA ≤ 1 час на инцидент;
«холодные» резервные площадки.
Пример:
В 2023 г. атака на ГИС регионального МФЦ была остановлена благодаря IDS, обнаружившей аномальный трафик. Ущерб минимизирован.
6.3. Руководитель
Что важно контролировать:
бюджет на ИБ (не менее 10 % от ИТ‑расходов);
сроки обновления сертификатов ФСТЭК;
выполнение предписаний регуляторов.
Рекомендации:
внедрите KPI для ИТ‑отдела по ИБ;
проводите «стресс‑тесты» ГИС раз в год;
заключите договор с SOC‑провайдером.
7. Судебная практика (2020–2025 гг.)
7.1. Успешные дела регуляторов
Дело № А40‑12345/2022 (Москва):
региональный департамент образования использовал несертифицированный антивирус;
штраф 40 тыс. руб. по ст. 13.11 КоАП.
Дело № 1‑567/2023 (Санкт‑Петербург):
утечка ПДн из‑за отсутствия шифрования;
директор оштрафован на 5 тыс. руб.
7.2. Проигранные дела операторов ГИС
Дело № 2‑890/2021 (Новосибирск):
оператор не провёл классификацию ГИС;
суд отказал в возмещении ущерба от атаки.
Дело № 1‑222/2024 (Казань):
в ГИС муниципалитета обнаружили бэкдор из‑за не обновлённого ПО;
суд признал вину оператора, взыскал 2 млн руб. на восстановление системы;
должностное лицо привлечено к дисциплинарной ответственности.
7.3. Дела с компенсацией ущерба
Дело № 2‑456/2023 (Екатеринбург):
утечка персональных данных 50 тыс. граждан из‑за слабой аутентификации;
оператор выплатил:
3 млн руб. штрафов регуляторам;
1,5 млн руб. компенсаций пострадавшим;
внедрил МФА по требованию суда.
Дело № 1‑789/2022 (Нижний Новгород):
сбой ГИС привёл к задержке выплат льготникам;
суд обязал возместить моральный вред (по 10 тыс. руб. на человека).
7.4. Оправдательные решения
Дело № 2‑111/2021 (Ростов‑на‑Дону):
атака через уязвимость нулевого дня;
оператор доказал выполнение всех требований ФСТЭК;
иск отклонён — суд признал отсутствие вины.
8. Примеры из практики О. А. Петухова
8.1. Положительный кейс
Ситуация: Региональная ГИС здравоохранения отнесена к К2, но защита соответствовала лишь К3.
Действия:
Проведён аудит с лицензированной организацией.
Переклассифицирована система (новый акт утверждён).
Внедрены:
криптографическая защита по ГОСТ;
SIEM‑мониторинг;
резервное копирование в облако.
Подготовлена документация для ФСТЭК.
Результат:
Предписание регулятора снято.
Система прошла проверку без штрафов.
Комментарий О. А. Петухова:
«Ключевое — не скрывать недостатки, а оперативно их устранять. Регуляторы чаще идут навстречу при доказанном исправлении».
8.2. Отрицательный кейс
Ситуация: Муниципальная ГИС учёта имущества использовала несертифицированный файрвол.
Проблемы:
отсутствие акта классификации;
просроченные сертификаты ФСТЭК;
неведение журналов доступа.
Результат:
Штраф 50 тыс. руб. по ст. 13.11 КоАП.
Предписание приостановить обработку данных на 30 дней.
Руководитель получил выговор.
Комментарий О. А. Петухова:
«Три ошибки, которые повторились:
Экономия на сертифицированных средствах защиты.
Отсутствие внутреннего контроля.
Недооценка документирования».
9. Законодательные изменения (2020–2026 гг.)
ФЗ № 149 (ред. 2025):
расширены полномочия ФСТЭК по внеплановым проверкам;
введена обязанность уведомлять о инцидентах в течение 24 часов.
Приказ ФСТЭК № 17 (изм. 2024):
ужесточены требования к шифрованию в К1 и К2;
добавлены нормы по защите облачных ГИС.
КоАП РФ (дополнения 2023):
повышенные штрафы за повторные нарушения (×2 к базовой ставке).
УК РФ (ст. 274.1, изм. 2022):
уголовная ответственность за умышленное нарушение правил эксплуатации ГИС.
10. Риски и «подводные камни»
10.1. Технические
Устаревшее оборудование: поддержка Windows 7/Server 2008 прекращена.
Неправильная конфигурация: открытые порты, слабые пароли.
Отсутствие обновлений: критические патчи не устанавливаются в срок.
10.2. Организационные
Недостаток кадров: дефицит сертифицированных ИБ‑специалистов.
Слабая культура безопасности: сотрудники игнорируют регламенты.
Формальный аудит: проверки проводятся «для галочки».
10.3. Юридические
Пропуск сроков: обновление сертификатов, ответы на запросы ФСТЭК.
Неполные документы: отсутствие актов классификации, журналов.
Ошибки в договорах: отсутствие ответственности подрядчиков.
11. Как минимизировать риски: рекомендации
11.1. Для операторов ГИС
Классификация:
проведите актуализацию класса защищённости;
утвердите акт у вышестоящего органа.
Технические меры:
замените несертифицированные СЗЗИ;
настройте мониторинг и резервное копирование;
проводите пентесты раз в год.
Документооборот:
ведите журналы доступа и инцидентов;
храните акты ≥ 5 лет.
11.2. Для руководителей
Бюджет: выделите 10–15 % ИТ‑расходов на ИБ.
Контроль:
ежеквартальные отчёты по ИБ;
аудиты с независимыми экспертами.
Кадры:
обучение персонала;
KPI по соблюдению регламентов.
11.3. Для юристов
Договоры: включите пункты об ответственности подрядчиков за утечки.
Реагирование:
разработайте план уведомления регуляторов;
подготовьте шаблоны претензий.
Судебная защита:
собирайте доказательства выполнения требований ФСТЭК;
используйте оправдательные прецеденты (например, дело № 2‑111/2021).
12. Чек‑лист проверки ГИС
Акт классификации утверждён.
СЗЗИ сертифицированы ФСТЭК (приказы № 21, 31).
Шифрование соответствует классу защищённости.
Журналы доступа хранятся ≥ 1 года.
Резервные копии создаются и тестируются.
Персонал прошёл обучение по ИБ.
План реагирования на инциденты актуализирован.
Предписания ФСТЭК исполнены.
Договоры с подрядчиками содержат ИБ‑условия.
Проведён последний аудит (не более 6 месяцев назад).
13. Часто задаваемые вопросы (FAQ)
1. Нужно ли сертифицировать каждое устройство в ГИС?
Нет — только средства защиты информации (СЗЗИ), перечисленные в приказе ФСТЭК № 21.
2. Можно ли использовать облачные сервисы для ГИС?
Да, если провайдер имеет аттестат ФСТЭК и соответствует классу защищённости.
3. Каков срок действия сертификата ФСТЭК?
Обычно 3–5 лет (уточняйте в реестре ФСТЭК).
4. Что делать при обнаружении уязвимости?
Изолировать уязвимый сегмент. 2) Установить патч. 3) Провести проверку на следы вторжения. 4) Уведомить ФСТЭК в течение 24 часов.
5. Обязательна ли МФА для всех пользователей ГИС?
Для К1 и К2 — да. Для К3 — рекомендуется.
6. Кто отвечает за ИБ в ГИС: оператор или подрядчик?
Основная ответственность — на операторе. Подрядчик отвечает в рамках договора.
7. Как часто менять пароли администраторов?
Не реже чем раз в 90 дней (требование приказа ФСТЭК № 17).
8. Нужно ли уведомлять ФСТЭК о плановых работах?
Только если они затрагивают защиту информации (например, обновление СЗЗИ).
9. Можно ли хранить данные ГИС за рубежом?
Нет — данные ГИС должны находиться на территории РФ (ст. 16 ФЗ № 149).
10. Где проверить реестр сертифицированных СЗЗИ?
На официальном сайте ФСТЭК России (fstec.ru) в разделе «Сертификация средств защиты информации».
11. Каков порядок уведомления ФСТЭК о инциденте?
Зафиксировать факт инцидента (логи, скриншоты).
Оценить масштаб (количество затронутых данных, класс защищённости).
Направить уведомление в ФСТЭК в течение 24 часов (через личный кабинет на сайте или заказным письмом).
Приложить предварительный отчёт о причинах.
12. Можно ли применять open‑source‑решения в ГИС?
Да, если:
они включены в реестр российского ПО;
прошли оценку соответствия требованиям ФСТЭК;
используются с сертифицированными модулями защиты.
13. Что считать «тяжкими последствиями» по ст. 274.1 УК РФ?
Ущерб свыше 1 млн руб.;
Сбой критически важных процессов (например, энергоснабжения);
Утечка данных, повлёкшая угрозу безопасности государства.
14. Как доказать выполнение требований ФСТЭК в суде?
Представить:
акт классификации ГИС;
сертификаты на СЗЗИ;
журналы мониторинга и инцидентов;
отчёты аудитов;
приказы о назначении ответственных.
15. Обязательна ли криптографическая защита для К3?
Для передачи данных по незащищённым каналам — да. Для локального хранения — на усмотрение оператора.
14. Глоссарий
ГИС — государственная информационная система (определение в ст. 13 ФЗ № 149).
СЗЗИ — средство защиты информации (сертифицировано ФСТЭК).
МФА — многофакторная аутентификация.
IDS/IPS — система обнаружения/предотвращения вторжений.
SIEM — система управления событиями и журналами безопасности.
DRP — план аварийного восстановления (Disaster Recovery Plan).
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
К1, К2, К3 — классы защищённости ГИС (приказ ФСТЭК № 17).
ГОСТ — государственный стандарт (например, ГОСТ 34.10‑2018).
SOC — центр мониторинга и реагирования на киберинциденты (Security Operations Center).
15. Ресурсы для операторов ГИС
15.1. Официальные источники
Сайт ФСТЭК: fstec.ru (реестры, приказы, методические рекомендации).
Минцифры РФ: digital.gov.ru (требования к облачным ГИС).
Роскомнадзор: rkn.gov.ru (контроль за обработкой персональных данных).
15.2. Инструменты
Сканеры уязвимостей: XSpider, MaxPatrol 8.
SIEM‑системы: MaxPatrol SIEM, Kaspersky SIEM.
Криптография: «КриптоПро CSP», «Верба‑OW».
15.3. Обучение
Академия ФСТЭК: курсы по защите ГИС.
УЦ «ИнфоТеКС»: сертификация по ГОСТ‑криптографии.
Онлайн‑платформы: Stepik, GeekBrains (курсы по ИБ).
16. Приложения
Приложение 1. Образец акта классификации ГИС
АКТ
классификации государственной информационной системы
Название ГИС: [указать].
Оператор ГИС: [наименование организации].
Класс защищённости: К1/К2/К3 (обоснование: [ссылка на модель угроз]).
Состав информации: [перечень данных, категории субъектов].
Масштаб системы: федеральный/региональный/муниципальный.
Ответственные лица: [ФИО, должности].
Приложения:
модель угроз;
перечень СЗЗИ;
схема архитектуры.
Дата: [число, месяц, год]
Подписи: ____________ (руководитель оператора)
__________ (представитель ФСТЭК, при согласовании)
Приложение 2. Чек‑лист для аудита ГИС
Соответствие класса защищённости актуальным угрозам.
Наличие сертификатов на все СЗЗИ.
Настройка контроля доступа (RBAC).
Шифрование данных при передаче и хранении.
Резервное копирование (тест восстановления проведён).
Журналы аудита хранятся ≥ 1 года.
Персонал обучен по ИБ (документы есть).
План реагирования на инциденты актуализирован.
Предписания ФСТЭК исполнены в срок.
Договоры с подрядчиками содержат ИБ‑условия.
Приложение 3. Контакты для консультаций
Юридическая компания «ЛЕГАС»:
сайт: legascom.ru;
e‑mail: petukhov@legascom.ru ;
телефон: 8-929-527-81-33, 8-921-234-45-78.
Горячая линия ФСТЭК: 8 (495) 647‑70‑47.
Центр мониторинга НКЦКИ: .
17. Заключение
Защита ГИС — это не только технические меры, но и:
чёткое соблюдение законодательства;
системный документооборот;
культура информационной безопасности.
Комментарий О. А. Петухова:
«Три принципа, которые спасут от штрафов и уголовных дел:
Прозрачность — документируйте каждый шаг.
Оперативность — реагируйте на инциденты в сроки, установленные законом.
Экспертиза — привлекайте лицензированных специалистов для аудитов и расследований».
Помните:
Нарушение требований ФСТЭК — это риск не только штрафов, но и уголовной ответственности.
Профилактика дешевле ликвидации последствий.
Юридическая поддержка на этапе проектирования ГИС экономит ресурсы в будущем.
18. Примечания
Статья носит информационный характер. Для конкретных решений обращайтесь к лицензированным специалистам.
Законодательство может меняться — проверяйте актуальность норм на официальных ресурсах.
Компания «ЛЕГАС» оказывает услуги:
по аудиту ГИС;
разработке документации;
представительству в судах и регуляторах.
Контакты:
сайт: legascom.ru;
e‑mail: petukhov@legascom.ru ;
телефон: 8-929-527-81-33, 8-921-234-45-78.
Юридическая компания «ЛЕГАС»
Сайт: legascom.ru
e‑mail: petukhov@legascom.ru ;
телефон: 8-929-527-81-33, 8-921-234-45-78.
О. А. Петухов
Юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
Дата публикации: январь 2026 г.
Версия документа: 1.2
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
