Contenu connexe
Similaire à Что такое государственная информационная система? (20)
Plus de Cisco Russia (20)
Что такое государственная информационная система?
- 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Что такое государственная
информационная система?
Алексей Лукацкий
Бизнес-консультант по безопасности
22 January 2015
- 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Виды информационных систем
• Информационная система
Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку
информационных технологий и технических средств
• Существуют разные классификации информационных систем
ФЗ-149
Приказ ФСТЭК №17
РД ФСТЭК по автоматизированным системам (1Г, 2Б и т.д)
РД ФСТЭК по ключевым система информационной инфраструктуры
Постановление Правительства №1119
Совместный приказ ФСБ РФ и ФСТЭК РФ №416/489 от 31.08.2010 "Об утверждении Требований о
защите информации, содержащейся в информационных системах общего пользования"
- 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Классификация информационных систем по ФЗ-149
• Государственные информационные системы
Федеральные информационные системы и региональные информационные системы, созданные на
основании соответственно федеральных законов, законов субъектов Российской Федерации, на
основании правовых актов государственных органов
• Муниципальные информационные системы
Созданы на основании решения органа местного самоуправления
Установленные требования к государственным информационным системам распространяются на
муниципальные информационные системы, если иное не предусмотрено законодательством РФ о
местном самоуправлении
• Иные информационные системы
- 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Что такое ГИС по закону?
• Государственные информационные системы - федеральные информационные
системы и региональные информационные системы, созданные на основании
соответственно федеральных законов, законов субъектов Российской Федерации,
на основании правовых актов государственных органов
п.1 ст.13 149-ФЗ
• Муниципальные информационные системы, созданные на основании решения
органа местного самоуправления
п.1 ст.14 149-ФЗ
• Государственные информационные системы создаются в целях реализации
полномочий государственных органов и обеспечения обмена информацией между
этими органами, а также в иных установленных федеральными законами целях
п.1 ст. 14 149-ФЗ
- 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
3 цели создания и существования ГИС
1. ИС обеспечивает реализацию полномочий
2. ИС обеспечивает информационный обмен между госорганами
3. ИС обеспечивает достижение иных установленных федеральными законами
целей
- 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Что такое ГИС: позиция РАНХиГС
• Все, что делается в государственном органе (поскольку вся его деятельность - суть
публичная сфера правоотношений), делается в силу закона
Иная деятельность по определению незаконна (публичному органу запрещено все, что прямо не
предписано законодательством)
Ведение бухгалтерии (кадрового учета и др.), вообще - любая иная обеспечивающая деятельность
осуществляется также только в силу требований тех или иных законов
То, что такого рода деятельность прямо не описана в Положении о том или ином ведомстве, фактор
неспецифический
Ведомства реализуют множество полномочий, которыми их наделили вне Положений (например,
федеральными законами и указами президента)
- 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Что такое ГИС: позиция РАНХиГС
• Все, что делается в государственном органе (поскольку вся его деятельность - суть
публичная сфера правоотношений), делается в силу закона
Отсутствие тех или иных полномочий в положении о госоргане дело, конечно, «неопрятное», но, если
они проистекают из законодательства, они все равно полномочия
• Тем самым, ИС бухгалтерии госоргана создается
На основании закона (общего для любой организации в стране)
На основании правового акта госоргана (вводится в эксплуатацию приказом, скорее всего, министра)
Она нужна для реализации полномочий госоргана («нужна» = без нее невозможно реализовать иные
полномочия ведомства)
- 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Что такое ГИС: позиция Минкомсвязи
• Государственные информационные системы - федеральные информационные
системы и региональные информационные системы, созданные на основании
соответственно федеральных законов, законов субъектов Российской Федерации,
на основании правовых актов государственных органов
Обратите внимание, не нормативных, а правовых актов, т.е. на основании любого правомочного
решения государственного органа, например, обычного приказа или решения/протокола совещания
Такое правомочное решение может принять не орган исполнительной власти, не орган власти
вообще, а любой обычный государственный орган
- 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Что такое ГИС: позиция Минкомсвязи
• Частая отсылка к ПП-723 о регистрации отдельных видов ГИС имеет отношение не
ко всем ГИС, а только к некоторым из них
По мнению Минкомсвязи ПП-723 обязательно только для ФОИВов и только для ГИС,
предназначенных для оказания государственных функций или предоставления государственных услуг
При этом отсутствие регистрации не меняет статус незарегистрированной ГИС, как государственной
• Иными словами, наличие обычного приказа о вводе в эксплуатацию
информационной системы в госоргане делает ее государственной, а в
муниципальном учреждении – муниципальной
И никакая регистрация для этого не требуется (исключая федеральные ГИС определенных типов)
- 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Почему ИС бухгалтерии не надо регистрировать?
• ПП-723 ограничивает свою юрисдикцию только ГИС, которые предназначены для
оказания госуслуг
• Регистрация осуществляется в целях организации доступа граждан и организаций,
органов государственной власти и органов местного самоуправления к информации
об эксплуатируемых федеральных государственных информационных системах, в
том числе о составе содержащейся в них информации, информационных
технологиях и технических средствах, обеспечивающих обработку информации
п.4 ПП-723
• ИС бухгалтерии не попадает в перечень ИС, которые надо регистрировать, т.к. она
создается не для оказания госуслуг
Но создается на основании правового акта госоргана
- 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Что такое ГИС: очередная версия
• Любой госорган осуществляет свою деятельность на основании Положения о нем
В этом положении, как правило, прописывается структура, в том числе кадры и т.п.
Это структурное подразделение госоргана и неотрывно от него
• Госорган выполняет ряд функций в обеспечение всей деятельности
В том числе обеспечивает соблюдение трудового законодательства при реализации правовых
отношений со своими сотрудниками
Это как раз и есть та самая «иная установленная федеральным законом цель» (ст 14 ФЗ-149)
• Следовательно ИС «Кадры», впрочем как и ИС «Бухгалтерия» в госоргане - ГИС
- 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Что такое ГИС: еще две версии
• К ГИС относятся «информационные системы, создаваемые и приобретаемые за
счет средств федерального бюджета и бюджетов государственных внебюджетных
фондов»
Постановление Правительства РФ от 26.06.2012 №644
• «Государственные информационные системы - федеральные информационные
системы и региональные информационные системы…»
Важен масштаб ИС è ИС бухгалтерии или ИС кадров не является ГИС
- 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Что такое ГИС: немного практики
• Согласно ПП-211 все государственные органы власти и муниципальные учреждения
должны принять внутренний правовой документ под названием «Перечень
информационных систем персональных данных»
Этот документ в обязательном порядке смотрит РКН при надзоре
• Данный перечень является правовым актом, содержащим список ИС госоргана
• Все системы в нем - ГИС!
- 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
ГИС: краткое резюме
ГИС = создана в
государственном
органе
ГИС = есть
приказ о ее
создании (вводе в
эксплуатацию)
ГИС =
зарегистрирована
в реестре
- 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Но для чего это все?
• Многие государственные и муниципальные органы стараются уйти от обнаружения у
себя ГИС с целью невыполнения 17-го приказа ФСТЭК
Для ПДн/ИСПДн есть более «демократичный» 21-й приказ ФСТЭК
Но как тогда защищать конфиденциальную информацию?
Особенность Приказ по защите ПДн Приказ по защите ГИС/МИС
Оценка соответствия В любой форме (нечеткость формулировки и
непонятное ПП-330)
Только сертификация
Аттестация Коммерческий оператор - на выбор
оператора
Госоператор - аттестация
Обязательна
Контроль и надзор Прокуратура – все
ФСТЭК/ФСБ – только госоператоры
(РКН не имеет полномочий проверять
коммерческих операторов ПДн)
ФСТЭК
- 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Не 17-й приказ является главенствующим, а ФЗ-149
ФЗ-149
Постановления
Правительства РФ
НПА Минкомсвязи
НПА
Минэкономразвития
НПА ФСО
НПА ФСТЭК
НПА ФСБ
НПА …
• Требование защиты определяется ФЗ-149,
во исполнение которого разрабатываются
подзаконные акты – Постановления
Правительства, приказы Минкомсвязи,
Минэкономразвития, ФСТЭК, ФСО, ФСБ и
т.п.
• Отдельные требования к
информационным системам госорганов и
обрабатываемой в них информации
устанавливаются иными законами, а также
указами Президента
- 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Другие требования для госорганов
• Указ Президента РФ от 17 марта 2008 № 351 «О мерах по обеспечению информационной безопасности российской федерации при
использовании информационно-телекоммуникационных сетей международного информационного обмена»
• Постановление Правительства РФ от 18 мая 2009 года № 424 «Об особенностях подключения федеральных государственных систем к
информационно-телекоммуникационным сетям»
• Приказ Минкомсвязи от 9 декабря 2013 № 390 «Об утверждении требований
к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое
взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг
в электронной форме»
• Приказ Минкомсвязи от 27 июня 2013 № 149 «Об утверждении Требований
к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и
органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования»
• Совместный приказ ФСБ и ФСТЭК от 31 августа 2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в
информационных системах общего пользования»
• Приказ Минкомсвязи от 25 августа 2009 № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования
и безопасности информационных систем общего пользования»
• Приказ Минэкономразвития от 16 ноября 2009 № 470 «О Требованиях к технологическим, программным и лингвистическим средствам
обеспечения пользования официальными сайтами федеральных органов исполнительной власти»
• Приказ ФСО от 07 августа 2009 № 487 «Об утверждении Положения о сегменте информационно-телекоммуникационной сети «Интернет»
для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации»
- 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
ИС, подключаемые к инфраструктуре госуслуг
• Информационные системы организаций, подключаемых к
инфраструктуре, обеспечивающей информационно-
технологическое взаимодействие информационных систем,
используемых для предоставления государственных и
муниципальных услуг в электронной форме
• Приказ Минкомсвязи от 9 декабря 2013 г. №390
• Приравнены к ГИС по 17-му приказу, но имеют особые
требования по сертификации средств защиты информации
в ФСБ
- 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
ИС общего пользования
• Постановление Правительства от 18 мая 2009 г. №424 «Об особенностях
подключения федеральных государственных информационных систем к
информационно-телекоммуникационным сетям»
Минкомсвязь
ФСБ/ФСТЭК
- 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
ИС общего пользования по версии Минкомсвязи
• Требования распространяются на федеральные государственные информационные
системы, созданные или используемые в целях реализации полномочий
федеральных органов исполнительной власти и содержащие сведения, указанные в
перечне сведений о деятельности Правительства Российской Федерации и
федеральных органов исполнительной власти, обязательных для размещения в
информационно-телекоммуникационной сети «Интернет», утвержденном
постановлением Правительства Российской Федерации от 12 февраля 2003 года
№98 «Об обеспечении доступа к информации о деятельности Правительства
Российской Федерации и федеральных органов исполнительной власти»
Приказ Минкомсвязи от 25 августа 2009 года №104 “Об утверждении Требований по обеспечению
целостности, устойчивости функционирования и безопасности информационных систем общего
пользования»
- 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
ИС общего пользования по версии Минкомсвязи
• В зависимости от значимости информационные системы общего пользования
разделяются на два класса
К классу I относятся информационные системы общего пользования: Правительства Российской
Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство
деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и
федеральных агентств, подведомственных этим федеральным министерствам
К классу II относятся информационные системы общего пользования федеральных органов
исполнительной власти, за исключением перечисленных в подпункте 9.1
• Приравнены к ГИС по 17-му приказу + описаны отдельные требования по
безопасности
+ Особые требования по сертификации СрЗИ в ФСБ
- 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
ИС общего пользования по версии ФСТЭК и ФСБ
• Требования распространяются на федеральные государственные информационные
системы, созданные или используемые в целях реализации полномочий
федеральных органов исполнительной власти и содержащие сведения о
деятельности Правительства Российской Федерации и федеральных органов
исполнительной власти, обязательные для размещения в информационно-
телекоммуникационной сети Интернет, определяемые Правительством Российской
Федерации
Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 «Об утверждении требований о защите
информации, содержащейся в информационных системах общего пользования»
- 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
ИС общего пользования по версии ФСТЭК и ФСБ
• Информационные системы общего пользования в зависимости от значимости
содержащейся в них информации и требований к ее защите разделяются на два
класса.
К I классу относятся информационные системы общего пользования Правительства Российской
Федерации и иные информационные системы общего пользования в случае, если нарушение
целостности и доступности информации, содержащейся в них, может привести к возникновению угроз
безопасности Российской Федерации. Отнесение информационных систем общего пользования к I
классу проводится по решению руководителя соответствующего федерального органа
исполнительной власти
Ко II классу относятся информационные системы общего пользования, не указанные в предыдущем
подпункте
- 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
ИС общего пользования: текущие сложности
Минкомсвязи
• ГИС è приказ №17
• 2 класса ИСОП
• Есть дополнительные к 17-
му приказу требования, но
мало
• Требования по
сертификации отдельных
средств защиты в ФСБ
ФСТЭК / ФСБ
• ГИС è приказ №17
• 2 класса ИСОП (отличных от
Минкомсвязи)
• Есть дополнительные к 17-
му приказу требования
• Требования по
сертификации большинства
средств защиты в ФСБ
- 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
ИС открытых данных
• Требования к средствам, необходимым для размещения открытых данных
Приказ Минкомсвязи России от 27.06.2013 №149 «Об утверждении Требований к технологическим,
программным и лингвистическим средствам, необходимым для размещения информации
государственными органами и органами местного самоуправления в сети «Интернет» в форме
открытых данных, а также для обеспечения ее использования»
• Распространяются на госорганы и органы местного самоуправления
• Требования по безопасности ИСОП по приказу Минкомсвязи №104 и ФСБ/ФСТЭК
№416/489
+ некоторые дополнительные требования по защите информации
- 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
ИС сайтов ФОИВ
• Требования к средствам, необходимым для обеспечения
пользования сайтами ФОИВ
Приказ Минэкономразвития России от 16.11.2009 №470 «Об
утверждении Требований к технологическим, программным и
лингвистическим средствам, обеспечения пользования
официальными сайтами федеральных органов исполнительной
власти»
• Требования по безопасности ИСОП по приказу
Минкомсвязи №104 и ФСБ/ФСТЭК №416/489
- 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Поправки в ФЗ-149 о техсредствах ГИС
• Технические средства государственных
информационных систем, включая официальные
сайты ФОИВ, должны размещаться на территории РФ
- 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
ИС для информирования о деятельности ФОИВ
• Требования распространяются на
информационные системы, предназначенные для
информирования общественности о
деятельности федеральных органов
государственной власти и органов
государственной власти субъектов Российской
Федерации (ИСИОД)
Проект Постановления Правительства
• ИСИОД, в зависимости от значимости
содержащейся в них информации, разделяются
на 3 класса: I, II, III
- 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Резюме
• В РФ существует множество различных классификаций информационных систем
Особенно для государственных органов и органов местного самоуправления
• В вопросе отнесения информационных систем госорганов к ГИС до сих пор
остаются неясные моменты
Несмотря на это существуют нормативные акты, не использующие понятия ГИС, но прямо
отсылающие к требованиям ФСТЭК по защите информации
• Требования по безопасности прописаны преимущественно в ПП-424 и приказе
ФСТЭК №17
Возможны и иные требования, специфичные для отдельных видов информационных систем
- 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
Благодарю
за внимание