Приказ ФСТЭК №117: руководство по информационной безопасности для государственного служащего

Курс разъясняет требования законодательства в области защиты информации через призму повседневных обязанностей чиновника. Обучающиеся научатся идентифицировать объекты защиты, соблюдать регламенты безопасности и правильно реагировать на инциденты в рамках своих полномочий.

1. Суть и назначение Приказа ФСТЭК №117 в системе государственного управления

Суть и назначение Приказа ФСТЭК №117 в системе государственного управления

Знаете ли вы, что в современной системе госуправления информация приравнивается к государственному имуществу, а её утечка по последствиям может быть сопоставима с утратой материальных ценностей? Приказ ФСТЭК России от 14 мая 2020 г. № 117 — это не просто очередной бюрократический документ, а «инструкция по эксплуатации» безопасности данных, которая касается каждого, кто имеет доступ к рабочему компьютеру в ведомстве.

Почему появился этот документ

Долгое время требования к защите информации воспринимались как сугубо техническая задача для системных администраторов. Однако практика показала: инцидентов безопасности связаны не с хакерскими атаками, а с организационными ошибками или неосведомленностью сотрудников.

Приказ № 117 был издан для того, чтобы создать единый стандарт «цифровой гигиены» в государственных органах. Он переводит требования федерального законодательства (в частности, ФЗ-149 «Об информации») на язык конкретных действий. Если раньше защита информации была «невидимым фронтом», то теперь это часть должностного регламента любого служащего.

Место Приказа № 117 в иерархии правил

Для госслужащего важно понимать, что этот приказ является связующим звеном между общими законами и локальными актами вашего министерства или департамента.

| Уровень документа | Что определяет | Примеры | | :--- | :--- | :--- | | Федеральный закон | Общие принципы и право на защиту | ФЗ-149, ФЗ-152 (о персональных данных) | | Приказ ФСТЭК № 117 | Методику и обязательный перечень мер | Правила классификации систем, требования к персоналу | | Локальный акт ведомства | Конкретные инструкции на местах | Приказ о назначении ответственных, регламент работы с паролями |

> «Защита информации — это не состояние, а процесс. Она обеспечивается на всех стадиях жизненного цикла информационной системы». > > Приказ ФСТЭК России от 14.05.2020 № 117

Главная цель: непрерывность госуслуг

Основная задача Приказа № 117 — обеспечить три ключевых параметра информации, которые критически важны для функционирования государства:

  • Конфиденциальность: данные не должны попасть к тем, кому они не предназначены (например, утечка данных из реестра льготников).
  • Целостность: данные не должны быть искажены или удалены без санкции (например, незаконное изменение суммы начисленной субсидии).
  • Доступность: информационная система должна работать всегда, когда она нужна гражданину или чиновнику (например, сайт Госуслуг должен быть доступен ).

    • Представьте, что информационная система — это служебный автомобиль. Технический осмотр (настройка серверов) важен, но если водитель (госслужащий) нарушает правила дорожного движения или оставляет ключи в замке зажигания, никакие технические системы не спасут от аварии или угона. Приказ № 117 устанавливает «правила вождения» в цифровой среде.

    Роль рядового сотрудника

    Многие полагают, что Приказ № 117 касается только ИТ-департамента. Это опасное заблуждение. Согласно документу, защита информации начинается с организационных мер. Это означает, что: * Именно вы подписываете обязательство о неразглашении. * Именно вы несете ответственность за сохранность своего ключевого носителя (флешки-токена). * Именно вы обязаны сообщить руководству, если заметили странное поведение компьютера.

    В следующих разделах мы подробно разберем, какие именно термины использует закон и как классифицируются системы, в которых вы работаете ежедневно. Понимание структуры Приказа № 117 поможет вам не только избежать штрафов, но и защитить результаты своего труда от случайного уничтожения или кражи.

    2. Основные понятия информационной безопасности: язык закона для госслужащего

    Основные понятия информационной безопасности: язык закона для госслужащего

    Знаете ли вы, что в юридическом поле «информация» — это не просто сведения, а полноценный объект обладания, почти как служебный автомобиль или здание ведомства? Если вы оставите ключи от кабинета в дверях, это будет нарушением дисциплины. Если вы оставите пароль на стикере под клавиатурой — вы нарушите федеральное законодательство. Чтобы понимать требования Приказа ФСТЭК №117, нужно научиться отличать «информационную систему» от компьютера и «угрозу» от «уязвимости».

    Информация и системы: где границы ответственности

    Для госслужащего важно понимать, что закон защищает не «железо», а данные, которые в нем находятся. Приказ №117 оперирует понятиями, которые превращают абстрактные файлы в защищаемые государством активы.

    | Понятие | Простое объяснение | Аналогия из документооборота | | :--- | :--- | :--- | | Объект защиты | То, что мы охраняем (данные, программы, техника). | Содержимое папки с грифом «Для служебного пользования». | | Информационная система (ИС) | Совокупность информации и технических средств. | Целый архив: стеллажи, картотека, правила выдачи дел и сами документы. | | Средства защиты информации (СЗИ) | Программы или устройства, которые «сторожат» данные. | Замки на шкафах, печать на конверте, пост охраны на входе. |

    > Информация — сведения (сообщения, данные) независимо от формы их представления. > > Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

    Угроза vs Уязвимость: в чем разница для сотрудника

    Часто госслужащие путают причину и следствие. В контексте Приказа №117 важно разделять внешние факторы и внутренние недостатки системы.

  • Уязвимость — это «слабое место» в защите. Например, отсутствие антивируса или привычка сотрудника открывать подозрительные письма из личной почты на рабочем месте. Это брешь в заборе.
  • Угроза — это потенциальная возможность использовать уязвимость. Например, хакерская атака или действия инсайдера. Это злоумышленник, который увидел брешь в заборе.

    • С точки зрения закона, ваша задача — не создавать новых уязвимостей. Если вы передаете свой логин и пароль коллеге «просто посмотреть отчет», вы создаете критическую уязвимость, за которую несете персональную ответственность.

    Модель угроз: почему нельзя игнорировать правила

    Приказ ФСТЭК №117 требует, чтобы в каждом ведомстве была утверждена Модель угроз. Это документ, в котором прописано, кто и как может попытаться украсть или уничтожить данные.

    Для рядового сотрудника это означает следующее:

  • Если в модели прописана угроза «кража носителя», вы обязаны убирать флешки в сейф.
  • Если прописана угроза «несанкционированный доступ», вы обязаны блокировать компьютер (), даже если отходите за водой на две минуты.

    • Математически вероятность реализации угрозы можно представить как зависимость от наличия уязвимостей и активности нарушителя :

    Где:

  • — количество и критичность уязвимостей (на которые вы напрямую влияете своим поведением);
  • — потенциал нарушителя (внешний фактор).

    • Следовательно, чем меньше «дыр» () вы оставляете в своей ежедневной работе, тем ниже вероятность того, что инцидент произойдет именно на вашем рабочем месте.

    Правовой статус пользователя

    В терминологии ФСТЭК вы — субъект доступа. Это значит, что закон наделил вас правом работать с определенным объемом информации, но строго в рамках ваших должностных обязанностей.

    Любое действие за пределами этих полномочий (например, попытка зайти в базу данных другого отдела из любопытства) квалифицируется как попытка нарушения безопасности. В следующих главах мы разберем, как эти понятия превращаются в конкретные пункты вашей должностной инструкции и почему «я не знал, что это нельзя» не является оправданием в суде.

    3. Объекты защиты в государственных информационных системах: что именно мы охраняем

    Объекты защиты в государственных информационных системах: что именно мы охраняем

    Знаете ли вы, что согласно Приказу ФСТЭК № 117, объектом защиты является не только секретный файл с пометкой «ДСП», но и сама клавиатура, на которой вы набираете текст, и даже монитор, отображающий данные? Многие сотрудники полагают, что безопасность касается только «цифр в компьютере», однако закон трактует это понятие гораздо шире. Если мы не понимаем, что именно подлежит охране, мы не сможем эффективно выстроить защиту.

    Три уровня объектов защиты

    Приказ № 117 структурирует всё рабочее пространство госслужащего, выделяя три ключевые группы объектов, которые требуют защиты. Представьте это как матрешку: данные находятся внутри программ, а программы — внутри «железа».

  • Информационные ресурсы. Это сама информация (данные), ради которой создана система. Сюда относятся базы данных, реестры, текстовые документы, электронные таблицы и даже служебная переписка.
  • Программное обеспечение (ПО). Это инструменты обработки. Сюда входят операционные системы (например, Astra Linux или Windows), офисные пакеты, антивирусы и специализированные ведомственные программы.
  • Технические средства. Это физические объекты: серверы, рабочие станции (компьютеры), принтеры, сканеры, сетевые кабели и роутеры.

    • > Объект защиты — это не только информация, но и средства её обработки, а также среда, в которой она циркулирует. > > Приказ ФСТЭК России от 14.05.2020 № 117

    Почему мы защищаем «железо» и программы?

    Казалось бы, зачем рядовому сотруднику отвечать за сохранность системного блока, если его главная задача — отчетность? Ответ кроется в неразрывной связи компонентов.

    | Объект защиты | Что именно защищаем? | Пример угрозы для госслужащего | | :--- | :--- | :--- | | Информация | Содержание и точность данных | Исправление суммы выплаты в реестре | | ПО | Корректность работы алгоритмов | Вирус-шифровальщик, блокирующий работу отдела | | Техника | Физическая целостность и доступ | Подключение «чужой» флешки с вредоносным кодом |

    Если нарушена целостность технического средства (например, в системный блок вставлено стороннее устройство), под угрозу попадает и информация, и программное обеспечение. Именно поэтому Приказ № 117 требует контроля над каждым элементом.

    Информация как главный актив

    В государственных системах информация делится на типы, и от этого зависит строгость мер. Наиболее часто госслужащий сталкивается с двумя видами: * Служебная информация: внутренние распоряжения, проекты актов, аналитические записки. * Персональные данные: сведения о гражданах (ФИО, СНИЛС, адрес), к которым у вас есть доступ по долгу службы.

    Важно понимать: защите подлежат не только итоговые документы, но и метаданные (сведения о том, кто, когда и с какого компьютера создал файл), а также архивные копии.

    Границы ответственности: рабочее место как периметр

    Для сотрудника «объектом защиты» на практике становится его автоматизированное рабочее место (АРМ). Согласно требованиям регулятора, вы несете ответственность за: * Состав оборудования: нельзя самостоятельно заменять мышь, клавиатуру или монитор на принесенные из дома. * Чистоту ПО: запрещена установка сторонних программ (плееров, мессенджеров, игр), так как они могут содержать уязвимости. * Целостность данных: вы отвечаете за то, чтобы информация в системе не была удалена или изменена случайно или намеренно из-за передачи вашего пароля коллеге.

    В следующей главе мы разберем, как эти объекты объединяются в системы разного уровня и почему требования к защите компьютера в сельской администрации могут отличаться от требований к серверу федерального министерства.