Защита данных в туризме: как избежать отключения от ГИС ЭП

В последние месяцы требования к защите информации в сфере туризма ужесточились — в том числе изменились требования, касающиеся подключения к Государственной информационной системе «Электронная путевка». С 1 ноября 2024 года туроператоры, не соответствующие новым правилам, будут отключены от ГИС ЭП. Эти изменения затрагивают как зарегистрированных в системе туроператоров, так и тех, кто планирует регистрацию. Процедура аттестации автоматизированных рабочих мест (АРМ) и информационных систем (ИС) уже стала обязательной и требует тщательной подготовки.

Почему это важно

С 1 сентября 2024 года начался контроль за выполнением новых требований. Игнорирование нововведений может привести к полной блокировке доступа к ГИС ЭП. В таком случае туроператоры понесут финансовые потери и не смогут легально работать.

Что нужно сделать

Как эксперт в области информационной безопасности, я  рекомендую предпринять следующие шаги:

1. Проведите аудит систем. Оцените, соответствуют ли ваши АРМ и ИС требованиям безопасности ФСТЭК: не ниже 3 класса защищенности информационных систем и 3 уровня защищенности персональных данных. Аудит системы выявит уязвимости и поможет сформировать план по их устранению.

2. Подготовьте систему к аттестации. Разработайте и внедрите систему защиты информации с сертифицированными средствами защиты (несанкционированный доступ, антивирусы, анализ защищенности, межсетевые экраны, криптопровайдеры и др.) в соответствии с установленными классом и уровнем защищенности. Это включает закупку и настройку средств защиты.

3. Подготовьте документы. Разработайте необходимые  документы для аттестации: акты классификации ИС, технический паспорт на ИС, акты настройки средств защиты информации (СЗИ), а также документы по защите информации ИС (приказы, инструкции и пр.).

4. Пройдите аттестацию. Аттестацию могут проводить только лицензированные компании. Если аттестация не будет пройдена с первого раза, у вас останется время на устранение проблем и доработку системы.

5. Обеспечьте поддержку и мониторинг. После получения аттестата регулярно проверяйте соответствие систем требованиям, чтобы избежать проблем в будущем.

Почему стоит начать уже сейчас

Аттестация — это комплексный процесс, от формирования требований до проведения аттестационных испытаний. Он может занять около месяца, поэтому не стоит откладывать подготовку. Чем раньше вы начнете, тем больше времени будет на устранение всех возможных проблем, чтобы избежать санкций и продолжить работу без перебоев.

Провести все необходимые процедуры, предшествующие аттестации можно самостоятельно: все требования и рекомендации опубликованы на сайте ГИС «Электронная путевка». Но в таком случае есть риски не успеть в срок, либо упустить что-то важное и не пройти аттестационные испытания с первого раза. Более оптимальный вариант — обратиться в профильную компанию для организации защиты системы под новые требования и проведения аттестации.