Upload
cisco-russia
View
619
Download
0
Embed Size (px)
Citation preview
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Что такое государственная информационная система? Алексей Лукацкий Бизнес-консультант по безопасности 22 January 2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Виды информационных систем
• Информационная система Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств
• Существуют разные классификации информационных систем ФЗ-149 Приказ ФСТЭК №17 РД ФСТЭК по автоматизированным системам (1Г, 2Б и т.д) РД ФСТЭК по ключевым система информационной инфраструктуры Постановление Правительства №1119 Совместный приказ ФСБ РФ и ФСТЭК РФ №416/489 от 31.08.2010 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования"
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Классификация информационных систем по ФЗ-149
• Государственные информационные системы Федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов
• Муниципальные информационные системы Созданы на основании решения органа местного самоуправления Установленные требования к государственным информационным системам распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством РФ о местном самоуправлении
• Иные информационные системы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Что такое ГИС по закону?
• Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов п.1 ст.13 149-ФЗ
• Муниципальные информационные системы, созданные на основании решения органа местного самоуправления п.1 ст.14 149-ФЗ
• Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях п.1 ст. 14 149-ФЗ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
3 цели создания и существования ГИС
1. ИС обеспечивает реализацию полномочий
2. ИС обеспечивает информационный обмен между госорганами
3. ИС обеспечивает достижение иных установленных федеральными законами целей
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Что такое ГИС: позиция РАНХиГС
• Все, что делается в государственном органе (поскольку вся его деятельность - суть публичная сфера правоотношений), делается в силу закона Иная деятельность по определению незаконна (публичному органу запрещено все, что прямо не предписано законодательством) Ведение бухгалтерии (кадрового учета и др.), вообще - любая иная обеспечивающая деятельность осуществляется также только в силу требований тех или иных законов То, что такого рода деятельность прямо не описана в Положении о том или ином ведомстве, фактор неспецифический Ведомства реализуют множество полномочий, которыми их наделили вне Положений (например, федеральными законами и указами президента)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Что такое ГИС: позиция РАНХиГС
• Все, что делается в государственном органе (поскольку вся его деятельность - суть публичная сфера правоотношений), делается в силу закона Отсутствие тех или иных полномочий в положении о госоргане дело, конечно, «неопрятное», но, если они проистекают из законодательства, они все равно полномочия
• Тем самым, ИС бухгалтерии госоргана создается На основании закона (общего для любой организации в стране) На основании правового акта госоргана (вводится в эксплуатацию приказом, скорее всего, министра) Она нужна для реализации полномочий госоргана («нужна» = без нее невозможно реализовать иные полномочия ведомства)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Что такое ГИС: позиция Минкомсвязи
• Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов Обратите внимание, не нормативных, а правовых актов, т.е. на основании любого правомочного решения государственного органа, например, обычного приказа или решения/протокола совещания Такое правомочное решение может принять не орган исполнительной власти, не орган власти вообще, а любой обычный государственный орган
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Что такое ГИС: позиция Минкомсвязи
• Частая отсылка к ПП-723 о регистрации отдельных видов ГИС имеет отношение не ко всем ГИС, а только к некоторым из них По мнению Минкомсвязи ПП-723 обязательно только для ФОИВов и только для ГИС, предназначенных для оказания государственных функций или предоставления государственных услуг При этом отсутствие регистрации не меняет статус незарегистрированной ГИС, как государственной
• Иными словами, наличие обычного приказа о вводе в эксплуатацию информационной системы в госоргане делает ее государственной, а в муниципальном учреждении – муниципальной И никакая регистрация для этого не требуется (исключая федеральные ГИС определенных типов)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Почему ИС бухгалтерии не надо регистрировать?
• ПП-723 ограничивает свою юрисдикцию только ГИС, которые предназначены для оказания госуслуг
• Регистрация осуществляется в целях организации доступа граждан и организаций, органов государственной власти и органов местного самоуправления к информации об эксплуатируемых федеральных государственных информационных системах, в том числе о составе содержащейся в них информации, информационных технологиях и технических средствах, обеспечивающих обработку информации п.4 ПП-723
• ИС бухгалтерии не попадает в перечень ИС, которые надо регистрировать, т.к. она создается не для оказания госуслуг Но создается на основании правового акта госоргана
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Что такое ГИС: очередная версия
• Любой госорган осуществляет свою деятельность на основании Положения о нем В этом положении, как правило, прописывается структура, в том числе кадры и т.п. Это структурное подразделение госоргана и неотрывно от него
• Госорган выполняет ряд функций в обеспечение всей деятельности В том числе обеспечивает соблюдение трудового законодательства при реализации правовых отношений со своими сотрудниками Это как раз и есть та самая «иная установленная федеральным законом цель» (ст 14 ФЗ-149)
• Следовательно ИС «Кадры», впрочем как и ИС «Бухгалтерия» в госоргане - ГИС
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Что такое ГИС: еще две версии
• К ГИС относятся «информационные системы, создаваемые и приобретаемые за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов» Постановление Правительства РФ от 26.06.2012 №644
• «Государственные информационные системы - федеральные информационные системы и региональные информационные системы…» Важен масштаб ИС è ИС бухгалтерии или ИС кадров не является ГИС
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Что такое ГИС: немного практики
• Согласно ПП-211 все государственные органы власти и муниципальные учреждения должны принять внутренний правовой документ под названием «Перечень информационных систем персональных данных» Этот документ в обязательном порядке смотрит РКН при надзоре
• Данный перечень является правовым актом, содержащим список ИС госоргана
• Все системы в нем - ГИС!
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
ГИС: краткое резюме
ГИС = создана в государственном
органе
ГИС = есть приказ о ее
создании (вводе в эксплуатацию)
ГИС = зарегистрирована
в реестре
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Но для чего это все?
• Многие государственные и муниципальные органы стараются уйти от обнаружения у себя ГИС с целью невыполнения 17-го приказа ФСТЭК Для ПДн/ИСПДн есть более «демократичный» 21-й приказ ФСТЭК Но как тогда защищать конфиденциальную информацию?
Особенность Приказ по защите ПДн Приказ по защите ГИС/МИС
Оценка соответствия В любой форме (нечеткость формулировки и непонятное ПП-330)
Только сертификация
Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация
Обязательна
Контроль и надзор Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн)
ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Не 17-й приказ является главенствующим, а ФЗ-149
ФЗ-149
Постановления Правительства РФ
НПА Минкомсвязи
НПА Минэкономразвития
НПА ФСО
НПА ФСТЭК
НПА ФСБ
НПА …
• Требование защиты определяется ФЗ-149, во исполнение которого разрабатываются подзаконные акты – Постановления Правительства, приказы Минкомсвязи, Минэкономразвития, ФСТЭК, ФСО, ФСБ и т.п.
• Отдельные требования к информационным системам госорганов и обрабатываемой в них информации устанавливаются иными законами, а также указами Президента
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Другие требования для госорганов
• Указ Президента РФ от 17 марта 2008 № 351 «О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
• Постановление Правительства РФ от 18 мая 2009 года № 424 «Об особенностях подключения федеральных государственных систем к информационно-телекоммуникационным сетям»
• Приказ Минкомсвязи от 9 декабря 2013 № 390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»
• Приказ Минкомсвязи от 27 июня 2013 № 149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования»
• Совместный приказ ФСБ и ФСТЭК от 31 августа 2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»
• Приказ Минкомсвязи от 25 августа 2009 № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»
• Приказ Минэкономразвития от 16 ноября 2009 № 470 «О Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти»
• Приказ ФСО от 07 августа 2009 № 487 «Об утверждении Положения о сегменте информационно-телекоммуникационной сети «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации»
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
ИС, подключаемые к инфраструктуре госуслуг
• Информационные системы организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме
• Приказ Минкомсвязи от 9 декабря 2013 г. №390
• Приравнены к ГИС по 17-му приказу, но имеют особые требования по сертификации средств защиты информации в ФСБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
ИС общего пользования
• Постановление Правительства от 18 мая 2009 г. №424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»
Минкомсвязь ФСБ/ФСТЭК
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
ИС общего пользования по версии Минкомсвязи
• Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети «Интернет», утвержденном постановлением Правительства Российской Федерации от 12 февраля 2003 года №98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» Приказ Минкомсвязи от 25 августа 2009 года №104 “Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
ИС общего пользования по версии Минкомсвязи
• В зависимости от значимости информационные системы общего пользования разделяются на два класса К классу I относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам К классу II относятся информационные системы общего пользования федеральных органов исполнительной власти, за исключением перечисленных в подпункте 9.1
• Приравнены к ГИС по 17-му приказу + описаны отдельные требования по безопасности
+ Особые требования по сертификации СрЗИ в ФСБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
ИС общего пользования по версии ФСТЭК и ФСБ
• Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
ИС общего пользования по версии ФСТЭК и ФСБ
• Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти Ко II классу относятся информационные системы общего пользования, не указанные в предыдущем подпункте
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
ИС общего пользования: текущие сложности
Минкомсвязи
• ГИС è приказ №17 • 2 класса ИСОП • Есть дополнительные к 17-му приказу требования, но мало
• Требования по сертификации отдельных средств защиты в ФСБ
ФСТЭК / ФСБ
• ГИС è приказ №17 • 2 класса ИСОП (отличных от Минкомсвязи)
• Есть дополнительные к 17-му приказу требования
• Требования по сертификации большинства средств защиты в ФСБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
ИС открытых данных
• Требования к средствам, необходимым для размещения открытых данных Приказ Минкомсвязи России от 27.06.2013 №149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования»
• Распространяются на госорганы и органы местного самоуправления
• Требования по безопасности ИСОП по приказу Минкомсвязи №104 и ФСБ/ФСТЭК №416/489
+ некоторые дополнительные требования по защите информации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
ИС сайтов ФОИВ
• Требования к средствам, необходимым для обеспечения пользования сайтами ФОИВ Приказ Минэкономразвития России от 16.11.2009 №470 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, обеспечения пользования официальными сайтами федеральных органов исполнительной власти»
• Требования по безопасности ИСОП по приказу Минкомсвязи №104 и ФСБ/ФСТЭК №416/489
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Поправки в ФЗ-149 о техсредствах ГИС
• Технические средства государственных информационных систем, включая официальные сайты ФОИВ, должны размещаться на территории РФ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
ИС для информирования о деятельности ФОИВ
• Требования распространяются на информационные системы, предназначенные для информирования общественности о деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации (ИСИОД) Проект Постановления Правительства
• ИСИОД, в зависимости от значимости содержащейся в них информации, разделяются на 3 класса: I, II, III
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Резюме
• В РФ существует множество различных классификаций информационных систем Особенно для государственных органов и органов местного самоуправления
• В вопросе отнесения информационных систем госорганов к ГИС до сих пор остаются неясные моменты Несмотря на это существуют нормативные акты, не использующие понятия ГИС, но прямо отсылающие к требованиям ФСТЭК по защите информации
• Требования по безопасности прописаны преимущественно в ПП-424 и приказе ФСТЭК №17 Возможны и иные требования, специфичные для отдельных видов информационных систем