Что такое государственная информационная система?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Что такое государственная информационная система? Алексей Лукацкий Бизнес-консультант по безопасности 22 January 2015


Виды информационных систем

•  Информационная система Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств

•  Существуют разные классификации информационных систем ФЗ-149 Приказ ФСТЭК №17 РД ФСТЭК по автоматизированным системам (1Г, 2Б и т.д) РД ФСТЭК по ключевым система информационной инфраструктуры Постановление Правительства №1119 Совместный приказ ФСБ РФ и ФСТЭК РФ №416/489 от 31.08.2010 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования"


Классификация информационных систем по ФЗ-149

•  Государственные информационные системы Федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов

•  Муниципальные информационные системы Созданы на основании решения органа местного самоуправления Установленные требования к государственным информационным системам распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством РФ о местном самоуправлении

•  Иные информационные системы


Что такое ГИС по закону?

•  Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов п.1 ст.13 149-ФЗ

•  Муниципальные информационные системы, созданные на основании решения органа местного самоуправления п.1 ст.14 149-ФЗ

•  Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях п.1 ст. 14 149-ФЗ


3 цели создания и существования ГИС

1.  ИС обеспечивает реализацию полномочий

2.  ИС обеспечивает информационный обмен между госорганами

3.  ИС обеспечивает достижение иных установленных федеральными законами целей


Что такое ГИС: позиция РАНХиГС

•  Все, что делается в государственном органе (поскольку вся его деятельность - суть публичная сфера правоотношений), делается в силу закона Иная деятельность по определению незаконна (публичному органу запрещено все, что прямо не предписано законодательством) Ведение бухгалтерии (кадрового учета и др.), вообще - любая иная обеспечивающая деятельность осуществляется также только в силу требований тех или иных законов То, что такого рода деятельность прямо не описана в Положении о том или ином ведомстве, фактор неспецифический Ведомства реализуют множество полномочий, которыми их наделили вне Положений (например, федеральными законами и указами президента)


Что такое ГИС: позиция РАНХиГС

•  Все, что делается в государственном органе (поскольку вся его деятельность - суть публичная сфера правоотношений), делается в силу закона Отсутствие тех или иных полномочий в положении о госоргане дело, конечно, «неопрятное», но, если они проистекают из законодательства, они все равно полномочия

•  Тем самым, ИС бухгалтерии госоргана создается На основании закона (общего для любой организации в стране) На основании правового акта госоргана (вводится в эксплуатацию приказом, скорее всего, министра) Она нужна для реализации полномочий госоргана («нужна» = без нее невозможно реализовать иные полномочия ведомства)


Что такое ГИС: позиция Минкомсвязи

•  Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов Обратите внимание, не нормативных, а правовых актов, т.е. на основании любого правомочного решения государственного органа, например, обычного приказа или решения/протокола совещания Такое правомочное решение может принять не орган исполнительной власти, не орган власти вообще, а любой обычный государственный орган


Что такое ГИС: позиция Минкомсвязи

•  Частая отсылка к ПП-723 о регистрации отдельных видов ГИС имеет отношение не ко всем ГИС, а только к некоторым из них По мнению Минкомсвязи ПП-723 обязательно только для ФОИВов и только для ГИС, предназначенных для оказания государственных функций или предоставления государственных услуг При этом отсутствие регистрации не меняет статус незарегистрированной ГИС, как государственной

•  Иными словами, наличие обычного приказа о вводе в эксплуатацию информационной системы в госоргане делает ее государственной, а в муниципальном учреждении – муниципальной И никакая регистрация для этого не требуется (исключая федеральные ГИС определенных типов)


Почему ИС бухгалтерии не надо регистрировать?

•  ПП-723 ограничивает свою юрисдикцию только ГИС, которые предназначены для оказания госуслуг

•  Регистрация осуществляется в целях организации доступа граждан и организаций, органов государственной власти и органов местного самоуправления к информации об эксплуатируемых федеральных государственных информационных системах, в том числе о составе содержащейся в них информации, информационных технологиях и технических средствах, обеспечивающих обработку информации п.4 ПП-723

•  ИС бухгалтерии не попадает в перечень ИС, которые надо регистрировать, т.к. она создается не для оказания госуслуг Но создается на основании правового акта госоргана


Что такое ГИС: очередная версия

•  Любой госорган осуществляет свою деятельность на основании Положения о нем В этом положении, как правило, прописывается структура, в том числе кадры и т.п. Это структурное подразделение госоргана и неотрывно от него

•  Госорган выполняет ряд функций в обеспечение всей деятельности В том числе обеспечивает соблюдение трудового законодательства при реализации правовых отношений со своими сотрудниками Это как раз и есть та самая «иная установленная федеральным законом цель» (ст 14 ФЗ-149)

•  Следовательно ИС «Кадры», впрочем как и ИС «Бухгалтерия» в госоргане - ГИС


Что такое ГИС: еще две версии

•  К ГИС относятся «информационные системы, создаваемые и приобретаемые за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов» Постановление Правительства РФ от 26.06.2012 №644

•  «Государственные информационные системы - федеральные информационные системы и региональные информационные системы…» Важен масштаб ИС è ИС бухгалтерии или ИС кадров не является ГИС


Что такое ГИС: немного практики

•  Согласно ПП-211 все государственные органы власти и муниципальные учреждения должны принять внутренний правовой документ под названием «Перечень информационных систем персональных данных» Этот документ в обязательном порядке смотрит РКН при надзоре

•  Данный перечень является правовым актом, содержащим список ИС госоргана

•  Все системы в нем - ГИС!


ГИС: краткое резюме

ГИС = создана в государственном

органе

ГИС = есть приказ о ее

создании (вводе в эксплуатацию)

ГИС = зарегистрирована

в реестре


Но для чего это все?

•  Многие государственные и муниципальные органы стараются уйти от обнаружения у себя ГИС с целью невыполнения 17-го приказа ФСТЭК Для ПДн/ИСПДн есть более «демократичный» 21-й приказ ФСТЭК Но как тогда защищать конфиденциальную информацию?

Особенность Приказ по защите ПДн Приказ по защите ГИС/МИС

Оценка соответствия В любой форме (нечеткость формулировки и непонятное ПП-330)

Только сертификация

Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация

Обязательна

Контроль и надзор Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн)

ФСТЭК


Не 17-й приказ является главенствующим, а ФЗ-149

ФЗ-149

Постановления Правительства РФ

НПА Минкомсвязи

НПА Минэкономразвития

НПА ФСО

НПА ФСТЭК

НПА ФСБ

НПА …

•  Требование защиты определяется ФЗ-149, во исполнение которого разрабатываются подзаконные акты – Постановления Правительства, приказы Минкомсвязи, Минэкономразвития, ФСТЭК, ФСО, ФСБ и т.п.

•  Отдельные требования к информационным системам госорганов и обрабатываемой в них информации устанавливаются иными законами, а также указами Президента


Другие требования для госорганов

•  Указ Президента РФ от 17 марта 2008 № 351 «О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

•  Постановление Правительства РФ от 18 мая 2009 года № 424 «Об особенностях подключения федеральных государственных систем к информационно-телекоммуникационным сетям»

•  Приказ Минкомсвязи от 9 декабря 2013 № 390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»

•  Приказ Минкомсвязи от 27 июня 2013 № 149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования»

•  Совместный приказ ФСБ и ФСТЭК от 31 августа 2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»

•  Приказ Минкомсвязи от 25 августа 2009 № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»

•  Приказ Минэкономразвития от 16 ноября 2009 № 470 «О Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти»

•  Приказ ФСО от 07 августа 2009 № 487 «Об утверждении Положения о сегменте информационно-телекоммуникационной сети «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации»


ИС, подключаемые к инфраструктуре госуслуг

•  Информационные системы организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме

•  Приказ Минкомсвязи от 9 декабря 2013 г. №390

•  Приравнены к ГИС по 17-му приказу, но имеют особые требования по сертификации средств защиты информации в ФСБ


ИС общего пользования

•  Постановление Правительства от 18 мая 2009 г. №424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»

Минкомсвязь ФСБ/ФСТЭК


ИС общего пользования по версии Минкомсвязи

•  Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети «Интернет», утвержденном постановлением Правительства Российской Федерации от 12 февраля 2003 года №98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» Приказ Минкомсвязи от 25 августа 2009 года №104 “Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»


ИС общего пользования по версии Минкомсвязи

•  В зависимости от значимости информационные системы общего пользования разделяются на два класса К классу I относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам К классу II относятся информационные системы общего пользования федеральных органов исполнительной власти, за исключением перечисленных в подпункте 9.1

•  Приравнены к ГИС по 17-му приказу + описаны отдельные требования по безопасности

+ Особые требования по сертификации СрЗИ в ФСБ


ИС общего пользования по версии ФСТЭК и ФСБ

•  Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»


ИС общего пользования по версии ФСТЭК и ФСБ

•  Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти Ко II классу относятся информационные системы общего пользования, не указанные в предыдущем подпункте


ИС общего пользования: текущие сложности

Минкомсвязи

•  ГИС è приказ №17 •  2 класса ИСОП • Есть дополнительные к 17-му приказу требования, но мало

• Требования по сертификации отдельных средств защиты в ФСБ

ФСТЭК / ФСБ

•  ГИС è приказ №17 •  2 класса ИСОП (отличных от Минкомсвязи)

• Есть дополнительные к 17-му приказу требования

• Требования по сертификации большинства средств защиты в ФСБ


ИС открытых данных

•  Требования к средствам, необходимым для размещения открытых данных Приказ Минкомсвязи России от 27.06.2013 №149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования»

•  Распространяются на госорганы и органы местного самоуправления

•  Требования по безопасности ИСОП по приказу Минкомсвязи №104 и ФСБ/ФСТЭК №416/489

+ некоторые дополнительные требования по защите информации


ИС сайтов ФОИВ

•  Требования к средствам, необходимым для обеспечения пользования сайтами ФОИВ Приказ Минэкономразвития России от 16.11.2009 №470 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, обеспечения пользования официальными сайтами федеральных органов исполнительной власти»

•  Требования по безопасности ИСОП по приказу Минкомсвязи №104 и ФСБ/ФСТЭК №416/489


Поправки в ФЗ-149 о техсредствах ГИС

•  Технические средства государственных информационных систем, включая официальные сайты ФОИВ, должны размещаться на территории РФ


ИС для информирования о деятельности ФОИВ

•  Требования распространяются на информационные системы, предназначенные для информирования общественности о деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации (ИСИОД) Проект Постановления Правительства

•  ИСИОД, в зависимости от значимости содержащейся в них информации, разделяются на 3 класса: I, II, III


Резюме

•  В РФ существует множество различных классификаций информационных систем Особенно для государственных органов и органов местного самоуправления

•  В вопросе отнесения информационных систем госорганов к ГИС до сих пор остаются неясные моменты Несмотря на это существуют нормативные акты, не использующие понятия ГИС, но прямо отсылающие к требованиям ФСТЭК по защите информации

•  Требования по безопасности прописаны преимущественно в ПП-424 и приказе ФСТЭК №17 Возможны и иные требования, специфичные для отдельных видов информационных систем


Благодарю за внимание

Technology

Что такое государственная информационная система?