Weitere ähnliche Inhalte
Ähnlich wie Что такое государственная информационная система? (20)
Mehr von Aleksey Lukatskiy (20)
Что такое государственная информационная система?
- 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Что такое государственная
информационная система?
Алексей Лукацкий
Бизнес-консультант по безопасности
26 January 2015
- 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Виды информационных систем
• Информационная система
Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку
информационных технологий и технических средств
• Существуют разные классификации информационных систем
ФЗ-149
Приказы ФСТЭК №17 м №31
РД ФСТЭК по автоматизированным системам (1Г, 2Б и т.д)
РД ФСТЭК по ключевым системам информационной инфраструктуры
Постановление Правительства №1119
Совместный приказ ФСБ РФ и ФСТЭК РФ №416/489 от 31.08.2010 "Об утверждении Требований о
защите информации, содержащейся в информационных системах общего пользования"
- 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Классификация информационных систем по ФЗ-149
• Государственные информационные системы
Федеральные информационные системы и региональные информационные системы, созданные на
основании соответственно федеральных законов, законов субъектов Российской Федерации, на
основании правовых актов государственных органов
• Муниципальные информационные системы
Созданы на основании решения органа местного самоуправления
Установленные требования к государственным информационным системам распространяются на
муниципальные информационные системы, если иное не предусмотрено законодательством РФ о
местном самоуправлении
• Иные информационные системы
- 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Что такое ГИС по закону?
• Государственные информационные системы - федеральные информационные
системы и региональные информационные системы, созданные на основании
соответственно федеральных законов, законов субъектов Российской Федерации,
на основании правовых актов государственных органов
п.1 ст.13 149-ФЗ
• Муниципальные информационные системы, созданные на основании решения
органа местного самоуправления
п.1 ст.14 149-ФЗ
• Государственные информационные системы создаются в целях реализации
полномочий государственных органов и обеспечения обмена информацией между
этими органами, а также в иных установленных федеральными законами целях
п.1 ст. 14 149-ФЗ
- 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Проблемы классификации ГИС
• Иногда ГИС явно определены на уровне различных федеральных законов
ГИС жилищно-коммунального хозяйства
ГИС топливно-энергетического комплекса
ГИС о государственных и муниципальных платежах
ГИС ЭРА-ГЛОНАСС
ГИС учета древесины и сделок с ней
ГИС территориального планирования
ГИС промышленности
ГИС миграционного учета
ГИС в области аккредитации
ГИС в области СМИ
ГИС «Единая система идентификации и аутентификации…»
• Является ли ГИС система, которая не описана в федеральном законе?
- 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
ИС бухгалтерии или отдела кадров
госоргана – это ГИС или нет?
- 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
3 цели создания и существования ГИС
1. ИС обеспечивает реализацию полномочий
2. ИС обеспечивает информационный обмен между госорганами
3. ИС обеспечивает достижение иных установленных федеральными законами
целей
- 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Что такое ГИС: позиция РАНХиГС
• Все, что делается в государственном органе (поскольку вся его деятельность - суть
публичная сфера правоотношений), делается в силу закона
Иная деятельность по определению незаконна (публичному органу запрещено все, что прямо не
предписано законодательством)
Ведение бухгалтерии (кадрового учета и др.), вообще - любая иная обеспечивающая деятельность
осуществляется также только в силу требований тех или иных законов
То, что такого рода деятельность прямо не описана в Положении о том или ином ведомстве, фактор
неспецифический
Ведомства реализуют множество полномочий, которыми их наделили вне Положений (например,
федеральными законами и указами президента)
Отсутствие тех или иных полномочий в положении о госоргане дело, конечно, «неопрятное», но, если
они проистекают из законодательства, они все равно полномочия
- 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Что такое ГИС: позиция РАНХиГС
• Тем самым, ИС бухгалтерии или любая иная ИС госоргана создается
На основании закона (общего для любой организации в стране)
На основании правового акта госоргана (вводится в эксплуатацию приказом, скорее всего, министра
или руководителя госоргана)
Она нужна для реализации полномочий госоргана («нужна» = без нее невозможно реализовать иные
полномочия ведомства)
- 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Что такое ГИС: позиция Минкомсвязи
• Государственные информационные системы - федеральные информационные
системы и региональные информационные системы, созданные на основании
соответственно федеральных законов, законов субъектов Российской Федерации,
на основании правовых актов государственных органов
Обратите внимание, не нормативных, а правовых актов, т.е. на основании любого правомочного
решения государственного органа, например, обычного приказа или решения/протокола совещания
Такое правомочное решение может принять не орган исполнительной власти, не орган власти
вообще, а любой обычный государственный орган
- 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Что такое ГИС: позиция Минкомсвязи
• Частая отсылка к ПП-723 о регистрации отдельных видов ГИС имеет отношение не
ко всем ГИС, а только к некоторым из них
По мнению Минкомсвязи ПП-723 обязательно только для ФОИВов и только для ГИС,
предназначенных для оказания государственных функций или предоставления государственных услуг
При этом отсутствие регистрации не меняет статус незарегистрированной ГИС, как государственной
• Иными словами, наличие обычного приказа о вводе в эксплуатацию
информационной системы в госоргане делает ее государственной, а в
муниципальном учреждении – муниципальной
И никакая регистрация для этого не требуется (исключая федеральные ГИС определенных типов)
- 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Почему ИС бухгалтерии не надо регистрировать?
• ПП-723 ограничивает свою юрисдикцию только ГИС, которые предназначены для
оказания госуслуг
• Регистрация осуществляется в целях организации доступа граждан и организаций,
органов государственной власти и органов местного самоуправления к информации
об эксплуатируемых федеральных государственных информационных системах, в
том числе о составе содержащейся в них информации, информационных
технологиях и технических средствах, обеспечивающих обработку информации
п.4 ПП-723
• ИС бухгалтерии не попадает в перечень ИС, которые надо регистрировать, т.к. она
создается не для оказания госуслуг
Но создается на основании правового акта госоргана
- 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Что такое ГИС: очередная версия
• Любой госорган осуществляет свою деятельность на основании Положения о нем
В этом положении, как правило, прописывается структура, в том числе кадры и т.п.
Это структурное подразделение госоргана и неотрывно от него
• Госорган выполняет ряд функций в обеспечение всей деятельности
В том числе обеспечивает соблюдение трудового законодательства при реализации правовых
отношений со своими сотрудниками
Это как раз и есть та самая «иная установленная федеральным законом цель» (ст.14 ФЗ-149)
• Следовательно ИС «Кадры», впрочем как и ИС «Бухгалтерия» в госоргане - ГИС
- 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Что такое ГИС: еще две версии
• К ГИС относятся «информационные системы, создаваемые и приобретаемые за
счет средств федерального бюджета и бюджетов государственных внебюджетных
фондов»
Постановление Правительства РФ от 26.06.2012 №644
• «Государственные информационные системы - федеральные информационные
системы и региональные информационные системы…»
Важен масштаб ИС è ИС бухгалтерии или ИС кадров не является ГИС
- 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Что такое ГИС: немного практики
• Согласно ПП-211 все государственные органы власти и муниципальные учреждения
должны принять внутренний правовой документ под названием «Перечень
информационных систем персональных данных»
Этот документ в обязательном порядке смотрит РКН при надзоре
• Данный перечень является правовым актом, содержащим список ИС госоргана
• è Все системы в нем - ГИС!
- 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Но для чего это все?
• Многие государственные и муниципальные органы стараются уйти от обнаружения у
себя ГИС с целью невыполнения 17-го приказа ФСТЭК
Для ПДн/ИСПДн есть более «демократичный» 21-й приказ ФСТЭК
Но как тогда защищать конфиденциальную информацию?
Особенность Приказ по защите ПДн Приказ по защите ГИС/МИС
Оценка соответствия В любой форме (нечеткость формулировки и
закрытое ПП-330)
Только сертификация
Аттестация Коммерческий оператор - на выбор
оператора
Госоператор - аттестация
Обязательна
Контроль и надзор Прокуратура – все
ФСТЭК/ФСБ – только госоператоры
(РКН не имеет полномочий проверять
коммерческих операторов ПДн)
ФСТЭК
- 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Не 17-й приказ является главенствующим, а ФЗ-149
ФЗ-149
Постановления
Правительства РФ
НПА Минкомсвязи
НПА
Минэкономразвития
НПА ФСО
НПА ФСТЭК
НПА ФСБ
НПА …
• Требование защиты определяется ФЗ-149,
во исполнение которого разрабатываются
подзаконные акты – Постановления
Правительства, приказы Минкомсвязи,
Минэкономразвития, ФСТЭК, ФСО, ФСБ и
т.п.
• Отдельные требования к
информационным системам госорганов и
обрабатываемой в них информации
устанавливаются иными законами, а также
указами Президента
- 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
Резюме
• В РФ существует множество различных классификаций информационных систем
Особенно для государственных органов и органов местного самоуправления
• В вопросе отнесения информационных систем госорганов к ГИС до сих пор
остаются неясные моменты
Несмотря на это существуют нормативные акты, не использующие понятия ГИС, но прямо
отсылающие к требованиям ФСТЭК по защите информации
• Требования по безопасности прописаны преимущественно во всех нормативных
актах, определяющих требования к различным типам информационных систем
Эти требования эпизодичны и не так детальны, как в 17-м приказе
В большинстве НПА устанавливается требование сертификации средств защиты информации по
требованиям, более жестким, чем в 17-м приказе
- 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Благодарю
за внимание
Еще больше информации вы найдете на http://lukatsky.blogspot.com/