Подготовка ИС к подключению к ГИС | 117 приказ ФСТЭК | NLSec

Аттестация при подключении к ГИС по 117 приказу ФСТЭК

Подготовка ИС к подключению к ГИС по 117 приказу ФСТЭК

Помогаем подготовить информационную систему к подключению и взаимодействию с государственной информационной системой: анализируем требования оператора ГИС, проверяем архитектуру, готовим модель угроз, документы, ПМИ, меры защиты и сопровождаем устранение замечаний.

117 приказ ФСТЭК
Подключение к ГИС
Модель угроз
ПМИ и испытания
СЗИ и документы
Сопровождение замечаний

Когда это актуально

  • ваша ИС подключается или должна подключаться к ГИС;
  • оператор ГИС выдал требования к защищенному взаимодействию;
  • нужно подготовить модель угроз, документы, ПМИ и отчетные материалы;
  • требуется внедрить меры защиты, а не просто оформить формальный комплект документов.

Что означает подготовка ИС к подключению к ГИС

Подключение к государственной информационной системе часто требует подтвердить, что подключаемая информационная система и контур обмена данными защищены должным образом. На практике это не сводится к одному документу: нужно проверить требования оператора ГИС, архитектуру, каналы связи, пользователей, интеграции, СЗИ, документы и готовность к испытаниям.

NLSec помогает пройти путь от первичного анализа до готовности к подключению: определить применимые требования, проверить текущую ИС, подготовить модель угроз, спроектировать меры защиты, подготовить ОРД и ПМИ, провести предварительную проверку и оформить отчетные материалы. Если аттестация или подтверждение соответствия требуется условиями проекта, сопровождаем подготовку и устранение замечаний.

Точный состав работ определяется после анализа требований оператора ГИС, статуса подключаемой ИС, архитектуры обмена и текущего состояния документов и средств защиты.

Нормативная и проектная база

Для проектов с ГИС важно не ограничиваться названием приказа. На состав работ влияют требования ФСТЭК, требования к криптографической защите, правила оператора конкретной ГИС и архитектура подключения.

Документ / источник требованийЧто регулируетКак связано с услугой
Приказ ФСТЭК России №117 от 11.04.2025Утверждает требования о защите информации, содержащейся в ГИС и иных ИС государственных органов, ГУПов и госучреждений.Используется как основа для анализа требований, выбора мер защиты, подготовки документов, ПМИ и проверки выполнения мер.
Приказ ФСБ России №117 от 18.03.2025Регулирует защиту информации в ГИС и иных ИС с использованием шифровальных, криптографических средств.Учитывается, если в проекте используются СКЗИ, защищенные каналы, электронная подпись или криптографическая защита.
Требования оператора конкретной ГИСОпределяют условия подключения, формат обмена, документы, технические условия, каналы связи и порядок подтверждения готовности.Именно они часто задают практический объем работ для подключаемой ИС и контура взаимодействия.
Внутренние документы заказчикаОписание ИС, архитектура, пользователи, роли, регламенты, модель угроз, СЗИ, порядок эксплуатации и реагирования.Проверяются и актуализируются, чтобы документы совпадали с фактической инфраструктурой и процессами.

Решение необходимо, если…

Подготовку стоит начинать заранее, особенно если система уже работает, меняется архитектура, появляются интеграции или оператор ГИС требует подтвердить защищенность контура обмена.

01

ИС подключается к ГИС

Система должна передавать или получать данные через установленный контур взаимодействия с государственной информационной системой.

02

Оператор ГИС выдал требования

В условиях подключения указаны требования к документам, СЗИ, каналам связи, испытаниям или подтверждению готовности.

03

Нужна модель угроз

Требуется определить актуальные угрозы, нарушителей, риски и меры защиты для ИС или контура обмена.

04

Нет понятной архитектуры защиты

Не определены сегменты, каналы связи, точки подключения, СЗИ, журналирование, доступы и контроль изменений.

05

Документы не совпадают с реальной ИС

Регламенты, ПМИ, модель угроз и эксплуатационные документы есть частично или устарели после изменений.

06

Нужно закрыть замечания

После предварительной проверки, аудита или согласования с оператором ГИС появились замечания и нужен план исправления.

Логика услуги

Подготовка ИС к подключению к ГИС по 117 приказу ФСТЭК

Аттестация по 117

1. Требования 1. Требования
2. Инфраструктура 2. Инфраструктура
3. Защита 3. Защита
4. Проверка 4. Проверка

Работы идут от требований оператора ГИС и фактической инфраструктуры к мерам защиты, документам, испытаниям и подтверждению готовности.

Что входит

Разбираем условия подключения, регламенты, требования к защите информации, состав документов и порядок подтверждения готовности.

Анализ требований оператора ГИС

Разбираем условия подключения, регламенты, требования к защите информации, состав документов и порядок подтверждения готовности.

Проверяем архитектуру ИС, каналы взаимодействия с ГИС, пользователей, роли, интеграции, точки входа и текущие меры защиты.

Обследование ИС и контура подключения

Проверяем архитектуру ИС, каналы взаимодействия с ГИС, пользователей, роли, интеграции, точки входа и текущие меры защиты.

Формируем перечень требований к ИС, контуру обмена, доступам, журналированию, резервному копированию, СЗИ и эксплуатации.

Определение требований защиты

Формируем перечень требований к ИС, контуру обмена, доступам, журналированию, резервному копированию, СЗИ и эксплуатации.

Готовим модель угроз для подключаемой ИС или контура взаимодействия с ГИС, определяем актуальные угрозы и меры их нейтрализации.

Модель угроз

Готовим модель угроз для подключаемой ИС или контура взаимодействия с ГИС, определяем актуальные угрозы и меры их нейтрализации.

Описываем целевую схему защиты: сегменты, СЗИ, контроль доступа, регистрацию событий, межсетевое взаимодействие и точки контроля.

Архитектура защиты

Описываем целевую схему защиты: сегменты, СЗИ, контроль доступа, регистрацию событий, межсетевое взаимодействие и точки контроля.

Определяем необходимые средства защиты информации, помогаем с внедрением и настройкой технических мер под требования подключения.

Подбор и внедрение СЗИ

Определяем необходимые средства защиты информации, помогаем с внедрением и настройкой технических мер под требования подключения.

Готовим организационно-распорядительную документацию, регламенты, инструкции, матрицы доступа и эксплуатационные документы.

ОРД и комплект документов

Готовим организационно-распорядительную документацию, регламенты, инструкции, матрицы доступа и эксплуатационные документы.

Разрабатываем программу и методику испытаний, проводим проверку выполнения требований и фиксируем результаты.

ПМИ и испытания

Разрабатываем программу и методику испытаний, проводим проверку выполнения требований и фиксируем результаты.

Оформляем отчетные документы, помогаем устранить замечания и сопровождаем процесс до готовности к подключению.

Отчетные материалы и сопровождение

Оформляем отчетные документы, помогаем устранить замечания и сопровождаем процесс до готовности к подключению.

Что получает заказчик

Что нужно сделать для подключения к ГИС, в какой последовательности и с какими зависимостями.

Понятный план работ

Что нужно сделать для подключения к ГИС, в какой последовательности и с какими зависимостями.

Модель угроз, ОРД, ПМИ, регламенты, отчетные материалы и документы для согласования.

Комплект документов

Модель угроз, ОРД, ПМИ, регламенты, отчетные материалы и документы для согласования.

Технические и организационные меры, связанные с реальной ИС и контуром взаимодействия.

Внедренные меры защиты

Технические и организационные меры, связанные с реальной ИС и контуром взаимодействия.

Проверенная инфраструктура, закрытые замечания и материалы для подтверждения готовности.

Готовность к проверке

Проверенная инфраструктура, закрытые замечания и материалы для подтверждения готовности.

Пример обезличенного результата по ГИС/117

Пример результата после подготовки подключаемой ИС к согласованию с оператором ГИС. Итоговый состав зависит от требований оператора, архитектуры обмена и текущей готовности системы.

Матрица требований

Требования оператора ГИС сопоставлены с документами, СЗИ, настройками и фактическим состоянием ИС.

ПМИ и доказательства

Для проверок указаны методы, ожидаемые результаты, подтверждающие материалы и ответственные.

Реестр замечаний

Замечания сгруппированы по критичности, срокам, владельцам и необходимым действиям.

Пакет для согласования

Собраны актуальные схемы, регламенты, модель угроз, протоколы и отчетные материалы.

Документы и артефакты на выходе

АртефактЧто дает заказчикуКогда нужен
Отчет об обследовании ИСФиксирует текущее состояние ИС, контура подключения, пользователей, каналов связи и текущих мер защиты.На старте работ и перед проектированием защиты.
Матрица требованийПоказывает, какие требования нужно выполнить и какие пробелы остаются.После анализа приказа, требований оператора ГИС и текущей ИС.
Модель угрозОпределяет актуальные угрозы, нарушителей, риски и необходимые меры защиты.Для обоснования архитектуры защиты и состава СЗИ.
Архитектура защитыОписывает целевое состояние ИС: сегменты, СЗИ, доступы, журналирование, контроль и взаимодействие с ГИС.Перед внедрением технических мер.
Комплект ОРДЗакрепляет правила эксплуатации, роли, ответственность, доступы, реагирование и порядок контроля.Для управления защитой и подготовки к проверке.
ПМИОпределяет программу и методику испытаний, по которой проверяется выполнение требований защиты.Перед проведением испытаний и оформлением результатов.
Отчетные материалыФиксируют результаты испытаний, замечания, выполненные меры и готовность к следующему этапу подключения.По итогам проверок и перед передачей результата заказчику.

Что нужно от заказчика для старта

Чем полнее исходные данные, тем быстрее можно оценить требования, выявить пробелы и подготовить план работ.

Требования оператора ГИС

Условия подключения, технические требования, регламенты, перечень документов, порядок испытаний и согласования.

Описание подключаемой ИС

Назначение, данные, пользователи, роли, интеграции, контуры, серверы, рабочие места и владельцы процессов.

Схема архитектуры и обмена

Каналы связи, API, шлюзы, сегменты, сетевые зоны, точки подключения, внешние зависимости и подрядчики.

Текущие СЗИ и документы

Модель угроз, ОРД, регламенты, матрицы доступа, журналы, сведения о СЗИ и настройках защиты.

Текущие замечания

Результаты предыдущих проверок, замечания оператора ГИС, внутреннего аудита, интегратора или ИБ-службы.

Сроки и ограничения

Плановая дата подключения, окна внедрения, ограничения по доступу, тестовый контур и ответственные лица.

Типовые причины замечаний

Большая часть проблем возникает не из-за отсутствия одного документа, а из-за разрыва между требованиями, реальной инфраструктурой и эксплуатационными процессами.

Не описан контур обмена

Нет понятной схемы, какие данные передаются, через какие каналы, кто имеет доступ и где проходят границы ответственности.

Модель угроз не соответствует ИС

Документ сделан шаблонно и не учитывает реальные интеграции, пользователей, СЗИ, каналы связи и подрядчиков.

ПМИ не проверяет ключевые требования

Программа испытаний не связывает требования, методы проверки, доказательства и ожидаемые результаты.

Нет контроля доступов

Не определены роли, администраторы, порядок выдачи и отзыва прав, учет привилегированных пользователей.

Не настроено журналирование

События безопасности не регистрируются, не анализируются или не связаны с процессом реагирования на инциденты.

Документы не совпадают с инфраструктурой

После изменений в ИС документы, схемы, СЗИ, регламенты и матрицы доступа не были актуализированы.

Форматы работ

Формат зависит от стадии проекта: до получения требований, перед подключением, после замечаний или при необходимости полноценного сопровождения.

Предварительная оценка

Подходит, если требования оператора ГИС еще не получены или нужно заранее понять готовность ИС и вероятные пробелы.

Подготовка к подключению

Полный цикл: требования, обследование, модель угроз, архитектура защиты, документы, СЗИ, ПМИ и проверка готовности.

Закрытие замечаний

Подходит, если уже есть замечания оператора ГИС, аудитора, ИБ-службы или интегратора и нужен план исправлений.

Кому подходит услуга

Услуга подходит государственным и подведомственным организациям, а также коммерческим и иным заказчикам, чьи информационные системы подключаются к ГИС, обмениваются с ней данными или должны выполнить требования оператора ГИС.

Государственные организации

Когда ИС используется для оказания услуг, ведения реестров, учета, межведомственного обмена или взаимодействия с другими ГИС.

Подведомственные учреждения

Когда требуется подключение к ведомственной или федеральной ГИС и выполнение условий оператора.

Коммерческие подрядчики

Когда компания разрабатывает, эксплуатирует или сопровождает ИС, которая взаимодействует с ГИС заказчика.

Операторы информационных систем

Когда нужно подтвердить защищенность системы, сегмента или контура обмена данными.

Проекты с интеграциями

Когда ИС передает данные в ГИС, получает данные из ГИС или работает через API, защищенные каналы и шлюзы.

Организации после изменений

Когда система уже была подключена, но изменилась архитектура, регламент, СЗИ, интеграции или требования.

Как мы работаем

1

Заявка и уточнение сценария подключения

Уточняем, к какой ГИС подключается ИС, кто оператор, какие есть требования, сроки и текущая стадия проекта.

2

Сбор исходных данных

Запрашиваем схему ИС, описание интеграции, состав пользователей, каналы связи, документы и сведения о СЗИ.

3

Анализ требований и обследование

Сопоставляем требования ФСТЭК, условия оператора ГИС и фактическое состояние ИС.

4

Проектирование защиты

Готовим модель угроз, архитектуру защиты, перечень СЗИ и организационно-технические меры.

5

Внедрение мер и подготовка документов

Настраиваем процессы, готовим ОРД, ПМИ, эксплуатационные документы и материалы для испытаний.

6

Испытания и сопровождение замечаний

Проводим проверки, фиксируем результаты, помогаем закрыть замечания и подготовиться к подключению.

Почему NLSec

Для подключения к ГИС важно не только знать требования, но и уметь связать их с реальной инфраструктурой, документами, СЗИ, разработкой и процессами эксплуатации.

Начинаем с требований и архитектуры

Не готовим документы в вакууме: сначала разбираем условия подключения, контур обмена и фактическую ИС.

Разделяем подготовку и аттестацию

Показываем, какие работы нужны до испытаний, какие — для подтверждения готовности, а какие зависят от оператора ГИС.

Помогаем закрывать замечания

Формируем не просто список проблем, а понятный план исправления с приоритетами, ответственными и повторной проверкой.

Связываем документы с СЗИ

Модель угроз, ПМИ, регламенты и архитектура защиты привязываются к реальным средствам защиты и процессам.

Учитываем криптографическую защиту

Если в проекте используются СКЗИ, защищенные каналы или электронная подпись, это учитывается отдельно.

Работаем до понятного результата

Заказчик получает отчет, документы, ПМИ, план мер и понимание, что нужно сделать для подключения.

Как подтверждаем качество результата

В услугах по информационной безопасности важно заранее зафиксировать границы работ, ожидаемый результат, формат документов и ответственность сторон. Это снижает риск формальных отчетов, которые нельзя применить на практике.

Фиксируем рамки работ

До старта согласуются системы, процессы, документы, доступы, ограничения, сроки и ожидаемые артефакты.

Передаем применимые материалы

Отчеты, матрицы, модели, регламенты и рекомендации привязываются к реальной инфраструктуре и задачам заказчика.

Показываем следующие шаги

В результате есть не только описание текущего состояния, но и приоритеты: что сделать срочно, что планово, что проверить повторно.

Стоимость и сроки

Стоимость зависит от требований оператора ГИС, сложности ИС, количества интеграций, состава СЗИ, готовности документов и необходимости внедрения технических мер.

Что влияет на стоимость

  • тип ГИС и условия подключения;
  • количество ИС, сегментов, пользователей и интеграций;
  • наличие защищенных каналов, шлюзов, API и внешних контуров;
  • текущее состояние документов и модели угроз;
  • наличие или отсутствие необходимых СЗИ;
  • требуется ли внедрение, испытания и сопровождение замечаний.

Как получить расчет

Оставьте заявку и укажите, к какой ГИС планируется подключение, на какой стадии проект, есть ли требования оператора, схема ИС, модель угроз и действующие СЗИ. После уточнения вводных можно подготовить состав работ и коммерческое предложение.

Рассчитать стоимость

Важный момент: подключение к ГИС — это не только документы

Если ИС фактически не готова к требованиям защиты, один комплект документов не решит задачу. Перед подключением важно проверить архитектуру, СЗИ, доступы, журналирование, резервное копирование, каналы связи, порядок эксплуатации и соответствие требованиям оператора ГИС.

FAQ

  • Кому нужна подготовка ИС к подключению к ГИС?

    Она нужна организациям, чья информационная система подключается к ГИС, обменивается с ней данными или должна выполнить требования оператора ГИС к защищенному взаимодействию.

  • Всегда ли нужна аттестация при подключении к ГИС?

    Не всегда. Точный состав работ зависит от требований оператора ГИС, статуса подключаемой системы, архитектуры обмена, применимых требований и условий проекта. Иногда нужен полный цикл подготовки и подтверждения готовности, иногда — gap-аудит и закрытие конкретных замечаний.

  • Чем подготовка отличается от аттестации?

    Подготовка включает анализ требований, доработку ИС, документы, меры защиты и устранение пробелов. Аттестация или подтверждение соответствия фиксирует результат проверки по согласованным требованиям и методикам.

  • Что входит в подготовку к 117 приказу ФСТЭК?

    Обычно это анализ требований, обследование ИС, модель угроз, архитектура защиты, подбор и внедрение СЗИ, подготовка ОРД, ПМИ, испытания, отчетные материалы и сопровождение замечаний.

  • Что такое ПМИ?

    ПМИ — программа и методика испытаний. В ней описывается, что именно проверяется, по каким требованиям, какими методами и как фиксируются результаты испытаний.

  • Что делать, если требования оператора ГИС еще не получены?

    Можно начать с предварительной оценки ИС, архитектуры обмена, текущих документов, СЗИ и вероятных пробелов. После получения требований оператора состав работ уточняется.

  • Какие данные нужны для старта?

    Нужны требования оператора ГИС, описание подключаемой ИС, схема архитектуры и интеграций, сведения о пользователях, каналах связи, СЗИ, текущих документах, замечаниях и сроках проекта.

  • Можно ли начать только с gap-аудита?

    Да. Если текущее состояние неясно, разумно начать с обследования и gap-анализа: проверить требования, архитектуру, документы, СЗИ и подготовить дорожную карту исправлений.

Нужно подготовить ИС к подключению к ГИС?

Оставьте заявку — уточним требования оператора ГИС, текущую архитектуру, состав документов и подготовим понятный план работ.