Требования ФСТЭК России к подрядным организациям: как теперь защищать инфраструктуру при работе с ГИС
Главная » Практика » Решения
27 Марта 2026 - 13:25

Требования ФСТЭК России к подрядным организациям: как защищать инфраструктуру при работе с ГИС

Аватар пользователя Екатерина Быстрова
Екатерина Быстрова
Журналист Anti-Malware.ru
Вверх
Проголосовало: 15
...
Требования ФСТЭК России к подрядным организациям: как защищать инфраструктуру при работе с ГИС

Рост атак через подрядчиков превращает их в уязвимое звено государственной инфраструктуры. Новые требования ФСТЭК России вносят важные коррективы: безопасность теперь охватывает не только системы, но и всю ИТ-среду исполнителя.

 

 

 

 

 

 

  1. 1. Введение
  2. 2. Почему появились требования по защите к подрядным организациям
  3. 3. Что необходимо выполнять подрядным организациям
  4. 4. «Код Безопасности»
  5. 5. Выводы

Введение

Цифровизация государственного управления сопровождается стремительным ростом числа информационных систем и объёмов обрабатываемых данных. Для их разработки, сопровождения и защиты активно привлекаются подрядные организации, которые становятся неотъемлемой частью ИТ-экосистемы государства.

Одновременно с этим усложняется и ландшафт киберугроз. Нарушители все чаще выбирают косвенные пути проникновения — через партнёров и подрядчиков, чья инфраструктура зачастую защищена слабее, чем системы государственных органов. Это делает вопросы безопасности взаимодействия особенно критичными.

В ответ на новые вызовы регуляторы усиливают требования к защите информации, распространяя их не только на операторов государственных систем, но и на все вовлечённые стороны. Это требует пересмотра подходов к организации безопасности на стороне подрядчиков и внедрения комплексных мер защиты.

Почему появились требования по защите к подрядным организациям

В России более 4000 информационных систем, которые ежедневно обрабатывают данные, необходимые для работы органов государственной власти и подведомственных им структур. Для создания, функционирования, оказания услуг и выполнения работ по защите таких информационных систем привлекают подрядные организации.

В мире наблюдается большое количество атак на информационные системы государств. Условно их можно разделить на несколько основных векторов:

  • Атаки на пользователей: это фишинг, целевая рассылка вредоносных писем (Targeted Attacks) и социальная инженерия. Цель – получение учётных данных сотрудников госорганов или подрядчиков для последующего несанкционированного доступа в информационные системы.
  • Атаки на инфраструктуру через опубликованные приложения: эксплуатация уязвимостей в веб-сервисах, порталах государственных услуг и других системах, доступных из интернета. Это позволяет злоумышленникам проникать во внутреннюю сеть.
  • Атаки через подрядные организации: этот вектор становится всё более популярным. Хакеры выбирают целью менее защищённых подрядчиков, чтобы через них, как через «троянского коня», получить доступ к критически важным системам госорганов.

Яркие примеры – масштабная атака в начале 2024 года на суд округа Фултон (штат Джорджия), в результате которой были нарушены работа ведомства, налоговая система, системы выдачи разрешений на огнестрельное оружие и на брак. Кибератака в августе 2024 года на Порт Сиэтла, местное правительственное агентство, контролирующее морской порт Сиэтла и международный аэропорт Сиэтл-Такома (SEA), серьёзно нарушила сообщение между штатом и его окрестностями в преддверии Дня труда в США.

Ландшафт угроз информационной безопасности стремительно меняется, в том числе виден рост атак на информационные системы через подрядные организации.

Предоставление доступа подрядным организациям к информационным системам органов государственной власти и содержащейся в них информации может нести большие риски (кража, модификация, потеря данных), если не обеспечивать необходимую защиту. В связи с этим ФСТЭК России определил требования по защите для подрядных организаций в новом Приказе № 117 «Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», который вступил в действие с 1 марта 2026 года.

Для минимизации рисков при взаимодействии с подрядчиками государственным органам-операторам необходимо выстроить чёткую систему работы, которая включает:

  1. Регламентация требований доступа. Чёткое определение того, к каким именно ресурсам, данным и на каких условиях предоставляется доступ подрядной организации.
  2. Формирование требований к защите. Разработка и формальное закрепление в договорах и технических заданиях конкретных мер и средств защиты информации, которые должен реализовать подрядчик.
  3. Формирование требований к инфраструктуре безопасности подрядной организации. Установление стандартов для всей ИТ-инфраструктуры подрядчика, которая связана с обработкой государственной информации, а не только для её отдельного сегмента.
  4. Контроль и оценка соответствия этим требованиям. Проведение проверок (аттестация соответствия) для подтверждения, что подрядчик выполняет все установленные нормы безопасности.

Таким образом, требования регулятора формируют единый подход к защите, который должен быть реализован не только на стороне государственных органов, но и у всех подрядчиков, участвующих в обработке информации.

Что необходимо выполнять подрядным организациям

Мероприятия и меры по защите для подрядных организаций формируются оператором ГИС и устанавливаются в его внутренних стандартах и регламентах.

В Приказе ФСТЭК России № 117 прописан ряд требований по защите, предъявляемых к подрядным организациям.

Так, должны быть защищены информационные системы и отдельные программно-аппаратные средства, в которых осуществляется обработка и хранение полученной информации от информационных систем органов государственной власти. Необходимые меры защиты определяются на основании полученной от оператора информации. К средствам, обеспечивающим защиту ИС и ПАК, можно отнести:

  • Межсетевые экраны: обеспечат сегментирование сети и выделение отдельно ИС, работающих с ГИС, от всех ИС инфраструктуры подрядной организации.
  • Средства защиты АРМ пользователей: контролируют доступ пользователей на рабочую станцию, подключение внешних носителей, обеспечивают защиту от вредоносных программ и сетевых вторжений, а также доверенную загрузку ОС.
  • Средства защиты виртуализации: если обработка данных будет происходить на ресурсах виртуализованной инфраструктуры, то необходимо обеспечить защиту среды виртуализации и виртуальной машины (ВМ) от несанкционированного доступа, своевременное обнаружение скомпрометированных виртуальных машин, защиту сетевого трафика этой среды.

Также необходимо обеспечить защиту каналов передачи данных между информационными системами подрядной организации и государственного органа. Для этого потребуется использовать сертифицированные средства криптографической защиты информации (СКЗИ). Класс защиты таких средств определяется в зависимости от уровня значимости информации и масштаба информационной системы. Порядок выбора подходящего СКЗИ описан в Приказе ФСБ России № 117.

Не допускается копирование подрядными организациями информации, к которой им предоставлен доступ, если такое копирование не предусмотрено в документах оператора. Для ограничения копирования информации используются специальные классы средств защиты, которые контролируют действия пользователя с файлами, устройствами и данными. Среди таких решений:

  • DLP-системы, контролирующие утечки данных и запрещающие их копирование.
  • Защищённые рабочие места, совмещающие защитную функциональность операционной системы и прикладного средства защиты рабочих станций.
  • Терминальные среды, где пользователь работает с данными через виртуальный рабочий стол, с установкой запрета на локальный компьютер или съёмный носитель.
  • Шифрование контейнеров: работа только с зашифрованными данными и невозможность вынести информацию за пределы контейнера.

Для выполнения установленных требований подрядным организациям необходимы проверенные технологические решения, обеспечивающие комплексную защиту инфраструктуры и данных.

«Код Безопасности»

Продуктовый портфель компании «Код Безопасности» содержит 3 направления защитных средств, которые помогут защитить инфраструктуру подрядчика в части взаимодействия с информационными системами органов государственной власти.

Сетевая безопасность:

  • NGFW «Континент 4» для сегментации сети, защиты периметра и обнаружения сетевых вторжений.
  • «Континент 3» для защиты каналов передачи данных.
  • «Континент Web» для комплексной защиты веб-приложений.

Защита рабочих мест и серверов:

  • Secret Net Studio для комплексной защиты рабочих мест пользователей.
  • «Соболь» для доверенной загрузки операционной системы.

Защита виртуализации: vGate для защиты жизненного цикла виртуальных машин и микросегментации сети.

Выводы

Уже сейчас подрядным организациям стоит пересмотреть свой подход к защите при взаимодействии с информационными системами государственных организаций. Новые требования, утверждённые Приказом ФСТЭК России от 11 апреля 2025 года № 117, вступили в силу с 1 марта 2026 года. На текущий момент подрядным организациям необходимо не только усовершенствовать защиту инфраструктуры с учётом новых положений, но и быть готовыми пройти процедуры оценки соответствия, инициируемые государственными заказчиками.

Реклама, 18+. ООО «Код Безопасности». ИНН 7715719244
ERID: 2Vfnxw6rdut

Полезные ссылки: 
> Атаки через подрядчиков вошли в топ угроз для российских компаний
> Приказ ФСТЭК №117: что изменится для ГИС с 1 марта 2026 года
AM LiveРоссийские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.