среда, 14 декабря 2016 г.

ГИС или не ГИС, вот в чем вопрос


Прочел в твиттере Алексея Лукацкого замечательную новость о законопроекте, который посвящен «установлению требований о защите информации в информационных системах, используемых органами государственной власти».

Данная новость, вероятнее всего, ставит точку в дискуссии о том, что является Государственной информационной системой (ГИС) и как такие системы необходимо защищать.

Когда еще только вышел Приказ ФСТЭК №17, предъявляющий требования по классификации и защите ГИС, возникло много различных догадок о сфере его применения. Кто-то считал, что любая система в государственном органе относится к ГИС и должна защищаться в соответствии с Приказом 17. Кто-то считал, что к ГИС относятся только системы, внесенные в соответствующий реестр.

На практике многие перестраховывались: относили к ГИС любую информационную систему, создаваемую в гос. органе, классифицировали и защищали ее по 17 Приказу. По крайней мере лично я видел достаточно много систем, не включенных в реестр, но по которым применялся 17 Приказ. 

Итак, в сообщении, размещенном на сайте Правительства, говорится следующее:


С самим законопроектом можно ознакомиться здесь. Согласно нему предлагается внести изменения в ФЗ 149 "Об информации, информационных технологиях и о защите информации" (которому недавно и так досталось, от «пакета Яровой»):


Другими словами, констатируется, что информационные системы, не внесенные в 
соответствующий реестр, к ГИС не относятся. Значит закрывается «дыра», связанная с непонятной областью действия 17 Приказа: теперь системы, явно не относящиеся к ГИС, также попадают под его действие (если, конечно, по ним не будет еще одного приказа ФСТЭК).
Те, кто раньше руководствовался 17 Приказом для всех гос. систем «по умолчанию» вряд ли что-то проиграли и работы у них будет поменьше. Чего не скажешь об остальных: похоже теперь требования Приказа 17 могут быть распространены и на информационные системы государственных корпораций... В общем, законопроект передан в Госдуму, скучно не будет.

4 комментария:

  1. Булат, еще нужно осветить путь попадания в реестр ГИС. А то немного однобоко получается. Т.е. если заявку не подать по включению в реестр, то можно по 21 приказу защищаться? Или все-таки есть варианты...

    ОтветитьУдалить
  2. Алена, в реестр ФГИС попадают согласно ПП РФ N 723 от 10.09.2009. Но в регионах есть свои реестры и, соответственно, свои порядки.
    Судя по информационному сообщению (и самому факту необходимости правок в 149 ФЗ) - да, системы не внесенные в реестр, не попадали под 17 Приказ.
    Но, все-таки даже тогда, рекомендовалось использовать 17 Приказ, и эта позиция поддерживалась рядом ведомств и экспертов.
    А сейчас, после принятия законопроекта, вариантов для ГОСов похоже вообще не останется - только 17 Приказ.

    ОтветитьУдалить
  3. Булат, день добрый. Получается, что теперь в гос организации любая ИС должна защищаться по 17 пр? Будь то 1С Бухгалтерия, кадровая система, сэд и тд? И как это будет биться с испдн? Т.е. для испдн в гос органе требуется и 21 и 17 одновременно?

    ОтветитьУдалить
    Ответы
    1. Если текст будет принят без изменений, то, да, все системы, обрабатывающие конфиденциальную информацию, даже если их нет в реестре ГИС, попадут под 17 Приказ.
      Касательно ИСПДн ФСТЭК уже ранее делал разъяснения: для обеспечения безопасности ПДн, обрабатываемых в ГИС, достаточно руководствоваться только требованиями 17 Приказа. Ссылка: http://fstec.ru/component/content/article/64-deyatelnost/tekushchaya/informatsionnye-i-analiticheskie-materialy/716-informatsionnoe-soobshchenie-fstek-rossii-1

      Удалить