Подключение к государственной информационной системе (ГИС) «Электронная путевка» является обязательным требованием для туроператоров в рамках реализации туристского продукта. Однако техническое подключение невозможно без соблюдения строгих требований по защите информации. Настоящая статья разбирает регуляторные требования, установленные Министерством экономического развития РФ и согласованные с ФСТЭК России, и предлагает пошаговый алгоритм действий для прохождения аттестации.
1. Нормативная база и область применения
Требования к защите информации автоматизированных рабочих мест (АРМ) и информационных систем (ИС) внешних пользователей утверждены Поручением Министерства экономического развития Российской Федерации от 04 апреля 2024 г. (Исх. №Д08и-10233) [Требования к защите информации АРМ и ИС внешних пользователей].
Документ обязателен для исполнения:
- Заказчиками: Туроператорами, заключившими контракт на создание информационной системы.
- Операторами: Лицами, эксплуатирующими информационные системы туроператоров.
- Уполномоченными лицами: Организациями, предоставляющими вычислительные ресурсы для обработки информации по договору.
Основная цель требований — защита информации ограниченного доступа (включая персональные данные), не содержащей государственную тайну, от несанкционированного доступа, уничтожения, искажения или блокирования.
Ключевые нормативные акты:
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Постановление Правительства РФ от 06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем»
- Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных»
- Приказ ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации»
- Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке с использованием средств криптографической защиты информации»
2. Ключевые требования к защищенности
Для подключения к ГИС «Электронная путевка» информационная система или автоматизированное рабочее место внешнего пользователя должно соответствовать следующим классам защищенности:
- Класс защищенности информационных систем: не ниже 3 класса (К3) согласно Приказу ФСТЭК России от 11.02.2013 № 17.
- Уровень защищенности персональных данных: не ниже 3 уровня согласно Постановлению Правительства РФ от 01.11.2012 № 1119.
Базовый состав средств защиты информации (СЗИ)
Для нейтрализации актуальных угроз безопасности минимально необходимый набор средств защиты включает:
- Средство защиты от несанкционированного доступа (СЗ от НСД).
- Средство антивирусной защиты.
- Средство обнаружения вторжений (СОВ).
- Средства межсетевого экранирования.
- Средство криптографической защиты информации (СКЗИ).
Важно: Все применяемые средства защиты информации должны быть сертифицированы ФСТЭК России или ФСБ России на соответствие обязательным требованиям. Например:
- Средства защиты от НСД — не ниже 5 класса защищенности согласно Руководящему документу Гостехкомиссии России от 30.03.1992.
- Средства антивирусной защиты — не ниже 5 класса защиты согласно Требованиям, утвержденным приказом ФСТЭК России от 20.03.2012 № 28.
- Средства обнаружения вторжений — не ниже 5 класса защиты согласно Требованиям, утвержденным приказом ФСТЭК России от 06.12.2011 № 638.
- Средства межсетевого экранирования — согласно Требованиям, утвержденным приказом ФСТЭК России от 09.02.2016 № 9.
3. Пошаговое руководство по аттестации
Аттестация подтверждает соответствие системы защиты информации установленным требованиям. Процесс регулируется Приказом ФСТЭК России от 29.04.2021 № 77.
Шаг 1. Организационные мероприятия
- Принятие решения: Издать приказ организации о необходимости защиты информации в ИС/АРМ.
- Назначение ответственных: Назначить структурное подразделение или должностное лицо, ответственное за защиту информации.
- Классификация: Провести классификацию ИС/АРМ по требованиям защиты информации. Результаты оформить Актом классификации. Класс защищенности должен быть не ниже К3.
Шаг 2. Моделирование угроз
- Разработать Модель угроз безопасности информации. Она должна содержать описание системы, возможности нарушителей, уязвимости и последствия нарушений.
- При разработке модели угроз рекомендуется использовать:
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСТЭК, 2008)
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСТЭК, 2008)
- «Методика оценки угроз безопасности информации» (ФСТЭК, 2021)
- Банк данных угроз ФСТЭК России
- При размещении системы в центре обработки данных (ЦОД) необходимо учитывать угрозы, актуальные для инфраструктуры ЦОД.
Шаг 3. Проектирование и внедрение
- Сформировать Техническое задание (ТЗ) на создание системы защиты информации с учетом:
- ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»
- ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»
- ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»
- Закупить и внедрить сертифицированные средства защиты информации.
- Настроить средства защиты согласно эксплуатационной документации.
- Оформить Акт установки/настройки средств защиты информации (форма акта приведена в приложениях к Требованиям).
Шаг 4. Разработка документации
Разработать комплект организационно-распорядительных документов (ОРД). Примерный перечень включает:
- Приказы о назначении ответственных за безопасность и обработку персональных данных.
- Политики и положения о защите информации и персональных данных.
- Инструкции пользователей и администраторов безопасности.
- Планы мероприятий по защите информации.
- Журналы учета (носителей, СЗИ, обращений пользователей и т.д.).
Полный перечень документов представлен в Приложении 2 к Требованиям.
Шаг 5. Испытания и анализ уязвимостей
- Провести предварительные и приемочные испытания системы защиты (с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем»).
- Провести анализ уязвимостей ИС/АРМ для оценки возможности преодоления защиты нарушителем.
Шаг 6. Проведение аттестации
- Привлечь организацию, имеющую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации (с правом проведения аттестационных испытаний) [Постановление Правительства РФ от 03.02.2012 № 79].
- Примечание: Проведение испытаний лицами, проектировавшими или внедрявшими защиту, не допускается.
- По результатам выдается Аттестат соответствия.
4. Подключение к ГИС «Электронная путевка»
После успешной аттестации для организации взаимодействия с ГИС необходимо предоставить эксплуатирующей организации скан-копии следующих документов:
- Технические паспорта на информационные системы.
- Действующие аттестаты соответствия (для ИС/АРМ туроператора).
- Акты установки/настройки средств защиты информации.
Срок предоставления: В случае повторной аттестации скан-копия действующего аттестата должна быть предоставлена в течение 5 рабочих дней с даты выдачи. Также необходимо сообщить о изменениях, повлекших повторную аттестацию.
5. Эксплуатация и поддержание актуальности
Аттестация не является разовым действием. В ходе эксплуатации оператор обязан обеспечивать защиту информации в соответствии с эксплуатационной документацией.
Обязательные мероприятия в ходе эксплуатации:
- Планирование: Утверждение плана мероприятий по защите информации.
- Управление доступом: Ведение учетных записей, разграничение прав.
- Обновление: Регулярное обновление ПО и средств защиты информации.
- Мониторинг: Анализ событий безопасности и реагирование на инциденты.
- Обучение: Информирование и обучение персонала (не реже 1 раза в 2 года).
- Контроль защищенности: Проведение контроля уровня защищенности (не реже 1 раза в 2 года для систем 2 и 3 классов).
Повторная аттестация требуется при изменении масштаба системы, значимости информации или внесении изменений в систему защиты, влияющих на безопасность.
6. Частые вопросы
Вопрос: Можно ли использовать облачную инфраструктуру?
Ответ: Да, но если ИС функционирует на базе инфраструктуры ЦОД уполномоченного лица, эта инфраструктура также должна быть аттестована по требованиям Приказа ФСТЭК России № 17. Класс защищенности ИС не должен быть выше класса защищенности инфраструктуры ЦОД.
Вопрос: Кто может проводить аттестацию?
Ответ: Только организация, имеющая лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации (с правом проведения аттестационных испытаний) [Постановление Правительства РФ от 03.02.2012 № 79].
Вопрос: Что делать, если система состоит из нескольких сегментов?
Ответ: Допускается аттестация на основе испытаний выделенного набора сегментов, реализующих полную технологию обработки. Распространение аттестата на другие сегменты возможно при условии их полного соответствия аттестованным сегментам (одинаковые классы, угрозы, проектные решения).
7. Полезные ресурсы
| Ресурс | Назначение | Ссылка |
|---|---|---|
| ФСТЭК России | Нормативные документы, реестры сертифицированных СЗИ, методические материалы | fstec.ru |
| Роскомнадзор | Реестр операторов персональных данных, уведомления об обработке ПДн | rkn.gov.ru / Реестр операторов |
| Банк данных угроз ФСТЭК | Актуальные угрозы безопасности информации для моделирования | bdu.fstec.ru |
| ГИС «Электронная путевка» | Требования к подключению, техническая документация | ev.tourism.gov.ru |
Заключение
Соответствие требованиям по защите информации для подключения к ГИС «Электронная путевка» — это обязательное условие легальной деятельности туроператора в цифровой среде. Процесс требует системного подхода: от классификации системы и выбора сертифицированных средств защиты до регулярного контроля в ходе эксплуатации. Своевременное прохождение аттестации и предоставление документов оператору ГИС позволит избежать блокировки доступа к системе и штрафных санкций со стороны регуляторов.
Важно: Данная статья носит информационный характер и не является официальным разъяснением регуляторов. При подготовке к аттестации рекомендуется консультироваться с лицензиатами ФСТЭК России и изучать актуальные версии нормативных документов на официальных сайтах ведомств.