Прочел в твиттере Алексея Лукацкого замечательную новость о законопроекте, который посвящен «установлению требований о защите информации в информационных системах, используемых органами государственной власти».
Данная новость, вероятнее всего, ставит точку в дискуссии о том, что является Государственной информационной системой (ГИС) и как такие системы необходимо защищать.
Когда еще только вышел Приказ ФСТЭК №17, предъявляющий требования по классификации и защите ГИС, возникло много различных догадок о сфере его применения. Кто-то считал, что любая система в государственном органе относится к ГИС и должна защищаться в соответствии с Приказом 17. Кто-то считал, что к ГИС относятся только системы, внесенные в соответствующий реестр.
На практике многие перестраховывались: относили к ГИС любую информационную систему, создаваемую в гос. органе, классифицировали и защищали ее по 17 Приказу. По крайней мере лично я видел достаточно много систем, не включенных в реестр, но по которым применялся 17 Приказ.
Итак, в сообщении, размещенном на сайте Правительства, говорится следующее:
С самим законопроектом можно ознакомиться здесь. Согласно нему предлагается внести
изменения в ФЗ 149 "Об информации, информационных технологиях и о
защите информации" (которому недавно и так досталось, от «пакета
Яровой»):
Другими словами, констатируется, что информационные системы, не внесенные в
соответствующий реестр, к ГИС не относятся. Значит закрывается «дыра», связанная с непонятной областью действия 17 Приказа: теперь системы, явно не относящиеся к ГИС, также попадают под его действие (если, конечно, по ним не будет еще одного приказа ФСТЭК).
Те, кто раньше руководствовался 17 Приказом для всех гос. систем «по умолчанию» вряд ли что-то проиграли и работы у них будет поменьше. Чего не скажешь об остальных: похоже теперь требования Приказа 17 могут быть распространены и на информационные системы государственных корпораций... В общем, законопроект передан в Госдуму, скучно не будет. 
Булат, еще нужно осветить путь попадания в реестр ГИС. А то немного однобоко получается. Т.е. если заявку не подать по включению в реестр, то можно по 21 приказу защищаться? Или все-таки есть варианты...
ОтветитьУдалитьАлена, в реестр ФГИС попадают согласно ПП РФ N 723 от 10.09.2009. Но в регионах есть свои реестры и, соответственно, свои порядки.
ОтветитьУдалитьСудя по информационному сообщению (и самому факту необходимости правок в 149 ФЗ) - да, системы не внесенные в реестр, не попадали под 17 Приказ.
Но, все-таки даже тогда, рекомендовалось использовать 17 Приказ, и эта позиция поддерживалась рядом ведомств и экспертов.
А сейчас, после принятия законопроекта, вариантов для ГОСов похоже вообще не останется - только 17 Приказ.
Булат, день добрый. Получается, что теперь в гос организации любая ИС должна защищаться по 17 пр? Будь то 1С Бухгалтерия, кадровая система, сэд и тд? И как это будет биться с испдн? Т.е. для испдн в гос органе требуется и 21 и 17 одновременно?
ОтветитьУдалитьЕсли текст будет принят без изменений, то, да, все системы, обрабатывающие конфиденциальную информацию, даже если их нет в реестре ГИС, попадут под 17 Приказ.
УдалитьКасательно ИСПДн ФСТЭК уже ранее делал разъяснения: для обеспечения безопасности ПДн, обрабатываемых в ГИС, достаточно руководствоваться только требованиями 17 Приказа. Ссылка: http://fstec.ru/component/content/article/64-deyatelnost/tekushchaya/informatsionnye-i-analiticheskie-materialy/716-informatsionnoe-soobshchenie-fstek-rossii-1