Как бизнесу сохранить доступ к ГИС «Миграционный учет» МВД России

В соответствии с Федеральным законом от 8 августа 2024 г. № 216-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации» частью 8.1 статьи 14 Федерального закона от 27 июля 2006 г. № 149-ФЗ установлен запрет на передачу сведений из государственных информационных систем в иные информационные системы, не соответствующие требованиям о защите информации, указанным в статье 16 Федерального закона № 149-ФЗ.

Согласно части 5 статьи 16 № 149-ФЗ, для получения данных из государственных информационных систем организации должны выполнить требования, установленные приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». При этом состав передаваемой информации ограниченного доступа, цели ее защиты и уровень защищенности устанавливается обладателем информации.

Первым органом государственной власти, реализовавшим эти нормы на практике, стало МВД России. Как владелец ГИС «Миграционный учет» МВД России установило следующие требования к информационным системам организаций, получающим сведения из указанной ГИС: класс защищенности — первый (К1), уровень защищенности персональных данных — первый (УЗ1). Для подтверждения выполнения этих требований организации по запросу МВД России должны предоставить аттестат соответствия требованиям по защите информации. 

Первые отключения от ГИС «Миграционный учет»

С сентября 2024 года МВД России перестало согласовывать доступ на подключение новых информационных систем при отсутствии у них аттестата соответствия требованиям по защите информации. Первые отключения коммерческих информационных систем, подключенных ранее без аттестата соответствия требованиям по защите информации, начались с июля 2025 года, что существенно повлияло на ключевой бизнес-процесс для банков, МФО, НПФ, операторов связи и страховых компаний — верификацию паспортных данных клиентов. Ожидаются отключения и других организаций.

Как сохранить доступ к получению видов сведений из системы МВД России

Компания может самостоятельно привести свою информационную систему в соответствие классу К1 для дальнейшей аттестации по требованиям защиты информации. Этот путь требует глубокой экспертизы в области защиты информации и предполагает несколько сложных этапов, включающих:

1. Разработку необходимой документации: модели угроз, организационно-распорядительной, проектной и эксплуатационной документации на систему защиты информации.
2. Создание информационной системы по требованиям защиты информации, установленным приказом ФСТЭК России от 11.02.2013 г. № 17 для класса защищенности К1.
3. Проведение аттестации информационной системы по требованиям защиты информации в соответствии с «Порядком организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну», утвержденным приказом ФСТЭК России от 29.04.2021 г. № 77.

Сам процесс занимает от 4 до 9 месяцев, требует привлечения высококвалифицированных и дорогостоящих специалистов и сопряжен с риском не пройти аттестационные мероприятия с первого раза из-за малейших несоответствий, что ведет к дополнительным затратам и, главное, к потере времени.

С целью выполнения вышеуказанных требований и сохранения ресурсов компании целесообразно обратиться в одну из лицензированных организаций, специализирующихся на защите информации и использующих современные интеграционные решения, которые соответствуют требованиям действующего законодательства.