Топ-10 ошибок при подключении к ГИС «Профилактика» — и как их избежать

ГИС «Профилактика» запущена в штатном режиме меньше полугода назад, но уже накопилась устойчивая статистика «провалов» на старте. Разбираем 10 самых частых — с конкретикой, почему это ошибка и что делать вместо.

1. «Купили Secret Net Studio без сертификата под нашу ОС»

Реестр ФСТЭК проверяет не только наличие сертификата на продукт, но и совместимость сертификата с конкретной версией ОС. Пример: купили Secret Net Studio 8.7, развернули на Astra Linux Special Edition 1.7 — формально СЗИ есть, но в сертификате указаны совместимые ОС до 1.6. На аттестации это забракуют.

Как избежать: перед закупкой сверьте связку СЗИ ↔ версия ОС ↔ версия ядра на сайте fstec.ru в разделе «Реестр сертифицированных СЗИ». Интегратор обязан это сделать до подписания договора поставки.

2. «Astra Linux скачали с торрентов»

Сертифицированные версии Astra Linux SE продаёт только ГК «Астра» и её партнёры. Сертификат привязан к дистрибутиву по контрольной сумме. «Такой же» дистрибутив с торрента — не сертифицирован, хотя внешне идентичен.

Как избежать: покупать лицензию, получать дистрибутив с депозитария партнёра с подписанной CD/DVD или USB, вшивать хеш в технический паспорт ИСПДн.

3. «Учётка ЕСИА физлица вместо юрлица»

Подключение к ГИС «Профилактика» идёт через Личный кабинет организации на Госуслугах, а не через обычный аккаунт сотрудника. Руководитель должен иметь подтверждённую учётную запись ЕСИА юрлица, с делегированием прав ответственным сотрудникам.

Как избежать: за 2–3 недели до подключения проверить, что у руководителя есть действующая УКЭП (квалифицированная электронная подпись) и он вошёл в Госуслуги как организация. Без этого регистрация в ГИС блокируется.

4. «Пропустили уведомление в Роскомнадзор»

Формально уведомление в РКН подаётся один раз при начале обработки ПДн — многие думают, что «если мы давно работаем, то уже поданное осталось». Но ГИС «Профилактика» — новая цель обработки, и по Приказу РКН № 274 это требует изменений в реестровой записи.

Как избежать: перед подключением актуализировать уведомление в РКН, указать ГИС «Профилактика» как новую цель обработки, дождаться подтверждения (обычно 5 рабочих дней).

5. «Модель угроз по шаблону 2015 года»

Многие учреждения имеют старые Модели угроз, написанные под 152-ФЗ в 2013–2015 годах. Методика ФСТЭК обновлена в 2021 году — старые документы не соответствуют текущим требованиям. При аттестации бракуется сразу.

Как избежать: заказать новую Модель угроз по методике 2021 г. с учётом угроз ГИС-среды, СМЭВ-интеграции и УКЭП. Старую — в архив.

6. «КриптоПро NGate Client на одной машине, а ГИС открываем с другой»

ГИС «Профилактика» требует защищённого канала. Если сотрудник открывает ГИС в обычном Chrome или Firefox на ноутбуке, где нет NGate Client, —просто не откроется, или откроется с warning «небезопасное соединение», что зафиксируется в логах.

Как избежать: NGate Client должен стоять на каждом АРМ, с которого возможен доступ к ГИС. Плюс сертификат УКЭП сотрудника должен быть проброшен в КриптоПро CSP.

7. «ПАК "Соболь" в коробке, но не установлен»

Частая ситуация: «Соболь» закупили, коробку открыли, лицензию ввели, но физически не установили в слот PCI-E или не активировали в BIOS. В паспорте ИСПДн — галочка стоит, по факту — защиты нет. На контрольной проверке (и при случайном сгорании БП) — провал.

Как избежать: акт приёмки СЗИ обязательно с фотографиями установленного модуля и дампом BIOS, где активирована проверка доверенной загрузки.

8. «Единственный администратор ИБ уволился — пароли потерялись»

Особенно в школах и маленьких учреждениях: всю настройку делал один системный администратор, никаких регламентов. Он уволился — пароль от Secret Net Studio и БИОС-пароль «Соболя» ушли с ним. Восстановление — через переустановку и повторную аттестацию.

Как избежать: Журнал учёта СКЗИ и паролей (ведётся в запечатанном виде в сейфе), минимум 2 администратора ИБ, разделение паролей по принципу «2 человека для восстановления».

9. «Передали данные из АИС региона как есть»

Данные в региональных АИС зачастую содержат мусор: дубли, неправильные даты рождения, СНИЛСы с опечатками, привязку к ликвидированным школам. ГИС «Профилактика» при первом же приёме это ловит и возвращает пачку ошибок, часто десятки тысяч записей.

Как избежать: перед миграцией — очистка данных: проверка СНИЛСов по ЕГИССО, дедупликация, исправление орфографии в ФИО, привязка к актуальному коду школы в ФИС ФРДО.

10. «Всё есть, но Заключение не заверено лицензиатом ФСТЭК»

Финальный документ — Заключение о соответствии 21 Приказу ФСТЭК — имеет юридическую силу только если выдан организацией с действующей лицензией ФСТЭК (ТЗКИ — техническая защита конфиденциальной информации). Фирма без лицензии — бумажка. Проверяющий это проверяет первым делом.

Как избежать: перед подписанием договора с интегратором запросите копию лицензии ФСТЭК и проверьте её статус в реестре ФСТЭК. Если лицензии нет или её срок истёк — отказ.

Резюме

Каждая из этих 10 ошибок стоит минимум месяца переделки и 50–200 тыс. ₽ повторных работ. Все они легко обходятся, если интегратор — это профильная ИБ-компания с лицензией ФСТЭК и опытом именно ГИС «Профилактика», а не общий ИТ-подрядчик, который «делал много проектов».

НПК «Оборон-Экран» работает в этом сегменте с 2019 года. Если у вас предписание на руках или просто сомнения в готовности — запишитесь на бесплатный аудит 30 минут, покажем пробелы и дадим дорожную карту.