Приказ ФСТЭК №117: Практическое руководство для государственного служащего

Курс адаптирует требования регулятора под ежедневные задачи чиновника, формируя навыки безопасной работы с информацией. Обучение фокусируется на личной ответственности сотрудника и алгоритмах соблюдения режима конфиденциальности на рабочем месте.

1. Введение в Приказ ФСТЭК №117: правовые основы и значимость для госслужащего

Введение в Приказ ФСТЭК №117: правовые основы и значимость для госслужащего

Представьте, что вы передаете коллеге важный бумажный документ в запечатанном конверте. Вы уверены, что его не прочитает посторонний, пока он в пути. Но как только этот документ превращается в файл на вашем компьютере, «конверт» становится невидимым, а риски возрастают в геометрической прогрессии. Приказ ФСТЭК России №117 — это, по сути, свод правил о том, как правильно «запечатывать» цифровые конверты в государственном ведомстве, чтобы не стать виновником утечки государственной тайны или служебной информации.

Почему это касается каждого сотрудника?

Многие госслужащие ошибочно полагают, что информационная безопасность (ИБ) — это забота системных администраторов или «айтишников» из соседнего отдела. Однако статистика показывает, что более инцидентов безопасности в госсекторе связаны не с хакерскими атаками, а с неосторожными действиями рядовых сотрудников.

Приказ ФСТЭК №117 от 14 мая 2020 года устанавливает требования по защите информации в значимых объектах критической информационной инфраструктуры (КИИ). Для вас, как для государственного служащего, это означает следующее:

* Юридическая ответственность: Незнание положений приказа не освобождает от дисциплинарной, административной или даже уголовной ответственности при утрате данных. * Служебная дисциплина: Требования приказа интегрируются в ваши должностные регламенты. * Безопасность ведомства: Вы — «крайнее звено» в цепи защиты. Любая открытая ссылка в сомнительном письме или оставленный в компьютере токен (флешка-ключ) сводит на нет работу дорогостоящих систем защиты.

Место Приказа №117 в системе права

Приказ №117 не возник в вакууме. Он является инструментом реализации Федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры РФ».

> Безопасность КИИ — это состояние защищенности, обеспечивающее устойчивое функционирование информационных систем, имеющих важное значение для экономики, обороны или управления государством. > > Федеральный закон №187-ФЗ

Если ваше ведомство относится к субъектам КИИ (а большинство органов власти ими являются), то соблюдение Приказа №117 становится обязательным условием вашей работы. Он определяет, как именно должна быть организована система безопасности: от назначения ответственных лиц до правил реагирования на компьютерные атаки.

Иерархия ответственности: от директора до специалиста

В рамках Приказа №117 выстраивается четкая вертикаль. Важно понимать свое место в ней, чтобы знать, к кому обращаться и за что отвечать.

| Уровень | Роль | Основная задача по Приказу №117 | | :--- | :--- | :--- | | Руководитель ведомства | Ответственный субъект | Обеспечение ресурсами и утверждение актов. | | Отдел ИБ (ИТ) | Администраторы защиты | Техническая настройка и контроль систем. | | Госслужащий (Вы) | Пользователь / Распорядитель | Соблюдение регламентов и немедленное уведомление об инцидентах. |

Ваша роль — прикладная. Вы не обязаны знать, как работает брандмауэр, но вы обязаны знать, что нельзя передавать свой пароль коллеге, даже если он «очень просит по делу».

Практический смысл: «Цифровая гигиена»

Для госслужащего Приказ №117 трансформируется в набор простых, но жестких правил. Это похоже на правила пожарной безопасности: мы не задумываемся о физике горения, но знаем, что нельзя загромождать запасной выход.

В контексте информационной безопасности это означает:

  • Работа только под своей учетной записью.
  • Использование только разрешенных (служебных) носителей информации.
  • Запрет на установку стороннего ПО (игр, мессенджеров, расширений браузера) без согласования.
  • Своевременное ознакомление с внутренними приказами по ИБ под подпись.

    • Именно подпись в листе ознакомления с инструкцией, разработанной на базе Приказа №117, делает вас юридически ответственным лицом. С этого момента любые действия в системе, совершенные под вашим логином, считаются совершенными вами лично.

    В следующей главе мы подробно разберем, что именно является объектом защиты в вашей ежедневной работе и какие данные требуют особого внимания согласно букве закона.

    2. Основные понятия и объекты защиты в контексте вашей повседневной служебной деятельности

    Основные понятия и объекты защиты в контексте вашей повседневной служебной деятельности

    Представьте, что ваш рабочий компьютер — это не просто инструмент для набора текста, а «цифровая крепость», внутри которой хранятся ключи от государственных секретов, персональные данные граждан и финансовые отчеты ведомства. Приказ ФСТЭК №117 четко определяет, что именно в этой крепости подлежит защите. Если вы не понимаете, что именно защищаете, вы не сможете заметить угрозу, даже если она возникнет прямо у вас на мониторе.

    Объекты защиты: на что направлен Приказ №117

    Многие ошибочно полагают, что «информационная безопасность» касается только программного кода или серверов в подвале здания. На самом деле, с точки зрения регулятора, объект защиты — это комплексное понятие.

    В вашей повседневной деятельности объектами защиты являются:

  • Информация (данные): сведения о гражданах, служебная переписка, проекты приказов, базы данных.
  • Технические средства: системные блоки, мониторы, клавиатуры, принтеры и сканеры.
  • Программное обеспечение: от операционной системы Windows или Astra Linux до офисных пакетов и специальных ведомственных программ.
  • Съемные носители: USB-флешки, внешние жесткие диски, токены (ключи) электронной подписи.

    • > Объект защиты — это не только «цифра», но и физическое устройство, на котором эта цифра обрабатывается или хранится. Повреждение принтера, на котором распечатывается конфиденциальный документ, — это такой же инцидент, как и взлом почты.

    Информация как главный актив

    Приказ №117 классифицирует информацию не по её «интересности», а по последствиям, которые наступят в случае её утечки или искажения. Для госслужащего критически важно различать три состояния информации, которые требуют защиты:

    | Состояние информации | Что это значит для сотрудника | | :--- | :--- | | Конфиденциальность | Информация доступна только тем, кто имеет на это право. Пример: вы не показываете экран монитора посетителю. | | Целостность | Информация защищена от случайного или намеренного изменения. Пример: данные в реестре не могут быть «подправлены» без следа. | | Доступность | Информация доступна законному пользователю в нужный момент. Пример: база данных не «лежит», когда нужно выдать справку гражданину. |

    Если хотя бы одно из этих свойств нарушается (например, база данных работает, но данные в ней искажены), требования Приказа №117 считаются невыполненными.

    Значимые объекты КИИ: ваш компьютер в системе координат

    Как мы уже знаем, Приказ №117 регулирует безопасность КИИ. Но как понять, является ли ваш конкретный компьютер «объектом КИИ»?

    В каждом ведомстве составляется перечень объектов, подлежащих защите. Обычно это информационные системы, которые обеспечивают выполнение государственных функций.

  • Если вы работаете в системе «Электронный бюджет», ГИС ЖКХ или ведомственной системе регистрации обращений — вы работаете с объектом КИИ.
  • Если ваш компьютер подключен к внутренней сети ведомства, он становится «узлом» этой инфраструктуры.

    • Это означает, что любое ваше действие — установка «безобидной» игры из интернета или подключение личного смартфона для зарядки к USB-порту — напрямую влияет на безопасность всей государственной системы.

    Кто есть кто: роли в системе защиты

    Приказ №117 вводит иерархию, где у каждого своя роль. Для простоты восприятия сравним это с эксплуатацией служебного автомобиля:

    * Субъект КИИ (Ведомство): Владелец автопарка. Отвечает за наличие страховки, техосмотр и общие правила. * Администратор безопасности (ИТ-отдел): Механик. Он настраивает «двигатель» (антивирусы, пароли), следит за датчиками и устраняет поломки. * Пользователь (Вы): Водитель. Вы не обязаны знать, как работает инжектор, но обязаны соблюдать ПДД, не передавать ключи посторонним и не оставлять машину открытой.

    > Пользователь — это основное звено, на котором держится (или рушится) безопасность. Администратор может поставить самую дорогую сигнализацию, но она бесполезна, если водитель оставил ключ в замке зажигания.

    В следующей главе мы детально разберем, как эта иерархия закрепляется в документах и где заканчиваются полномочия системного администратора и начинается ваша персональная ответственность.