Государственные информационные системы это кратко

Обновлено: 05.07.2024

Аттестация ГИС на соответствие требованиям по защите информации

Аттестация ГИС на соответствие требованиям по защите информации является с одной стороны заключительным мероприятием в части построения системы защиты информации в ГИС, с другой стороны .

Разработка технического (эскизного) проекта

Разработка технического (эскизного) проекта системы защиты информации в ГИС является завершающей стадией проектирования системы защиты информации. В целом суть содержания технического .

Разработка модели угроз безопасности информации

Определение модели угроз безопасности является первым шагом к проектированию системы защиты информации в ГИС. Необходимость разработки модели угроз безопасности информации для ГИС .

Разработка организационно-распорядительных документов по защите информации в ГИС

В соответствии с действующим законодательством по защите информации в ГИС оператор информационной системы должен принимать технические и организационные меры. Для выполнения .

Аудит государственных информационных систем

Любую большую работу с чего-то нужно начинать. Работы по созданию системы защиты информации в ГИС всегда начинаются с аудита государственной информационной системы и процессов обработки .

Взаимодействие с государством активно переводится в интернет. Это не только упрощает многие процессы, но и накладывает определенную ответственность на пользователей, так как большинство государственных информационных систем обрабатывает персональные данные.

Защита ГИС — не равно защите персональных данных

В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите. Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон. Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.

На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять. Тем не менее план проверок контролирующих органов растет, планомерно увеличиваются штрафы.

Как отличить ГИС от неГИС

Государственная информационная система создается, когда необходимо обеспечить:

реализацию полномочий госорганов;
информационный обмен между госорганами;
достижение иных установленных федеральными законами целей.

Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

Защитить информацию в ГИС и провести аттестацию помогут специалисты
Контур-Безопасность.

Это ГИС. Что делать?

Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

формирование требований к защите информации, содержащейся в информационной системе;
разработка системы защиты информации информационной системы;
внедрение системы защиты информации информационной системы;
аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

1. Провести классификацию ИС и определить угрозы безопасности.

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

Угрозы безопасности информации определяются по результатам

оценки возможностей нарушителей;
анализа возможных уязвимостей информационной системы;
анализа (или моделирования) возможных способов реализации угроз безопасности информации;
оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

2. Сформировать требования к системе обработки информации.

Требования к системе должны содержать:

цель и задачи обеспечения защиты информации в информационной системе;
класс защищенности информационной системы;
перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
перечень объектов защиты информационной системы;
требования к мерам и средствам защиты информации, применяемым в информационной системе.

3. Разработать систему защиты информации информационной системы.

Для этого необходимо провести:

проектирование системы защиты информации информационной системы;
разработку эксплуатационной документации на систему защиты информации информационной системы;
макетирование и тестирование системы защиты информации информационной системы.

4. Провести внедрение системы защиты информации информационной системы, а именно:

установку и настройку средств защиты информации в информационной системе;
разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
внедрение организационных мер защиты информации;
предварительные испытания системы защиты информации информационной системы;
опытную эксплуатацию системы защиты информации информационной системы;
проверку построенной системы защиты информации на уязвимость;
приемочные испытания системы защиты информации информационной системы.

5. Аттестовать ИСПДн:

провести аттестационные испытания;
получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому операторы ГИС зачастую пренебрегают внедрением средств защиты. Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

В состав основных объектов информационной системы могут быть включены средства, комплексы, сети и системы, которые возможно объединить в одну структуру для выполнения одной или нескольких из перечисленных функций: сбор, хранение (накопление), обработка (производство), поиск, распространение (распределение, передача), прием (потребление) информации и предоставление информационных услуг.

Приступая к изучению института государственных информационных систем следует иметь в виду, что в настоящее время единой модели установления правового режима таких систем не установилось, хотя внедрено и используется несколько тысяч государственных информационных систем, различные аспекты использования которых регулируются нормативными правовыми актами, включая более 50 федеральных законов. Некоторые самые общие нормы содержатся в законе об информации.

Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. Они создаются и эксплуатируются на основе статистической и иной документированной информации, предоставляемой гражданами, организациями, государственными органами, органами местного самоуправления. При этом перечни видов информации, предоставляемой в обязательном порядке, устанавливаются федеральными законами, условия ее предоставления – Правительством РФ или соответствующими государственными органами, если иное не предусмотрено федеральными законами.

Оператором информационной системы является гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. Если иное не установлено решением о создании государственной информационной системы, функции ее оператора осуществляются заказчиком, заключившим государственный контракт на создание такой информационной системы. При этом ввод государственной информационной системы в эксплуатацию осуществляется в порядке, установленном указанным заказчиком.

Несмотря на то, что единая модель правового регулирования пока отсутствует, можно выделить ряд относительно устойчивых элементов правового режима государственных информационных систем: 1) цель и принципы создания информационной системы; 2) информационный ресурс системы – категории информации, хранящейся в системе; 3) правовой статус поставщиков информации; 4) правовой статус пользователей информацией; 5) правовой статус оператора информационной системы; 6) требования к техническим, программным, лингвистическим средствам информационной системы, а также функциональные требования; 7) применение ИС для выполнения государственных функций (оказания государственных услуг).

Правовой статус поставщиков информации, как правило, включает:

– обязанность по представлению в систему определенной информации;

– сроки и порядок представления информации в систему;

– ответственность за непредставление информации, представление неполной или недостоверной информации.

Правовой статус оператора государственной информационной системы включает: обязанность по обеспечению бесперебойной работы информационной системы, обязанность обеспечить защиту информации (целостность, доступность, конфиденциальность) и другие права и обязанности.

Правовой статус поставщиков информации, как правило, включает:

– обязанность по представлению в систему определенной информации;

– сроки и порядок представления информации в систему;

– ответственность за непредставление информации, представление неполной или недостоверной информации.

Поводом к этой публикации является отсутствие конкретного определения такой сущности как ГИС (государственная информационная система) с одной стороны, и разнообразная (порой, недопустимая) трактовка этого понятия с другой стороны. Правильная классификация системы (ГИС или неГИС) имеет непосредственное практическое значение: если система неГИС, то ряд обязательных (порой серьезных) требований переходят в разряд рекомендаций.

Что же такое государственная информационная система? Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее — закона) содержит понятие информационной системы (в целом) и косвенно определяет ГИС.

С государственной информационной системой уже посложнее. Согласно пп.1 п.1. ст. 13 государственные информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. Какие выводы можно сделать из этого понятия?

Государственные системы бывают федеральные и региональные.
Федеральные государственные системы создаются на основании федерального закона или же акта федерального государственного органа.
Региональные государственные системы создаются на основании законов субъектов или же акта регионального государственного органа.

Единого перечня целей создания ГИС не существует, но cам закон определяет вполне себе очевидную цель как реализация полномочий и обмен информацией.

Пунктом 1(1) указанных Требований перечислены основные требования, которые должны осуществляться при создании, развитии, вводе в эксплуатацию, эксплуатации и выводе из эксплуатации ГИС:

требования регуляторов ФСБ и ФСТЭК;
требования к организации и мерам защиты информации, содержащейся в ГИС;
требования к защите к персональных данных, если таковые содержатся в ГИС.
В то же время, п. 5 ст. 16 закона устанавливает, что требования регуляторов (ФСБ и ФСТЭК) в отношении защиты информации в ГИС должны исполняться повсеместно, т.е. всеми органами. Налицо противоречие между Постановлением и законом, но закон имеет бОльшую юридическую силу со всеми вытекающими последствиями.

Какие из всего изложенного можно сделать выводы?

ГИС — это такая информационная система, которая обладает рядом характеристик:

Однако, эти 3 в чем то схожие позиции отличаются от того, что думают другие участники игры. Например, у коллег из РАНХиГС мнение совершенно иное. Оно более эмоциональная, но все-таки это позиция, к которой стоит прислушаться. Все-таки РАНХиГС активно участвует в нормотворческом процессе и сбрасывать со счетов их взгляд не стоит. Итак позиция дословно следующая: "Все, что делается в государственном органе (поскольку вся его деятельность - суть публичная сфера правоотношений), делается в силу закона. Иная деятельность по определению незаконна (публичному органу запрещено все, что прямо не предписано законодательством). Ведение бухгалтерии (кадрового учета и др.), вообще - любая иная обеспечивающая деятельность осуществляется также только в силу требований тех или иных законов. В случае бухгалтерии равно отнесенных к публичным и гражданским организациям. То, что такого рода деятельность прямо не описана в Положении о том или ином ведомстве, фактор неспецифический. Ведомства реализуют множество полномочий, которыми их наделили вне Положений (например, федеральными законами и указами президента). Отсутствие тех или иных полномочий в Положении дело, конечно, "неопрятное", но, если они проистекают из законодательства, они все равно полномочия. Тем самым, ИС бухгалтерии госоргана создается а) на основании закона (общего для любой организации в стране), б) на основании правового акта госоргана (вводится в экслуатацию приказом, скорее всего, министра, в) она нужна для реализации полномочий госоргана ("нужна" = без нее невозможно реализовать иные полномочия ведомства)". Если подытожить, то РАНХиГС считает, что любая информационная система в государственном органе является государственной.

На ФБ была длинная дискуссия на тему, что считать ГИС, а что нет. Прошедшие через горнило регистрации ГИС в реестрах считают, что регистрация является обязательной и без нее статуса государственной получить нельзя. При этом реестр, в котором хранится информация о ГИС, не один. Это по ПП-723 у нас реестр федеральных ГИС ведет Минкомсвязи. Но если погуглить, то почти в каждом субъекте РФ найдется свой нормативно-правовой акт о порядке учета и регистрации информационных систем. Названия могут меняться. Например, в Московской области он называется "О порядке учета и регистрации информационных систем", на Ямале - "О порядке учета и регистрации информационных ресурсов и систем", в Республике Коми - "О государственных информационных системах Республики Коми", в Мурманской области - "О порядке учета и регистрации государственных информационных систем". Все вразнобой, но суть при этом не меняется - коллеги считают, что статус государственной получает только та информационная система, которая занесена в реестр, порядок ведения которого утвержден постановлением правительства субъекта РФ.

Что мы имеем в сухом остатке? Есть несколько позиций по этому вопросу. Если следовать логике "нет регистрации в реестре - нет ГИС", то получается, что госорган или орган местного самоуправления должен следовать сразу нескольким наборам требований по защите - 17-й приказ, 21-й приказ, СТР-К. Это очень неудобно и возникнет несогласованность между различными требованиями; особенно СТР-Кшными, которые пока никто формально не отменял. Если же следовать логике Минкомсвязи (оно формальнее и нравится мне больше, чем та же позиция РАНХиГС), то невзирая на наличие регистрации в реестре любая ИС, созданная в любом госоргане или органе местного самоуправления будет считаться государственной (или муниципальной соответственно), если есть приказ о ее создании или, что более вероятно, о вводе ее в эксплуатацию. А значит, что сфера действия 17-го приказа гораздо шире, чем считалось раньше, и под его действие попадают почти все госорганы и муниципалитеты.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Боитесь что ANONYMOUS опустошат ваши счета ? Хакеры объявили Кибервойну России! Узнай первым , как выжить в цифровом кошмаре!

Читайте также: