Решил я тут разобраться в том, что же такое государственная информационная система, для защиты которых разработан и 17-й приказ и методичка по защитным мерам. Оказалось это непросто. Существует несколько неоднозначных точек зрения по этому вопросу. Начну я с мнений коллег:
- Артем Агеев считает, что ГИСами по сути можно считать только те ИС, которые находятся в реестре Минкомсвязи.
- Андрей Прозоров считает, что не каждая ИС в госоргане является государственной и попадает под действие 17-го приказа.
- Михаил Новокрещенов считает аналогично, но при этом, если ИС вводится в действие приказом и вводится в госоргане, то это уже ГИС.
Однако, эти 3 в чем то схожие позиции отличаются от того, что думают другие участники игры. Например, у коллег из РАНХиГС мнение совершенно иное. Оно более эмоциональная, но все-таки это позиция, к которой стоит прислушаться. Все-таки РАНХиГС активно участвует в нормотворческом процессе и сбрасывать со счетов их взгляд не стоит. Итак позиция дословно следующая: "Все, что делается в государственном органе (поскольку вся его деятельность - суть публичная сфера правоотношений), делается в силу закона. Иная деятельность по определению незаконна (публичному органу запрещено все, что прямо не предписано законодательством). Ведение бухгалтерии (кадрового учета и др.), вообще - любая иная обеспечивающая деятельность осуществляется также только в силу требований тех или иных законов. В случае бухгалтерии равно отнесенных к публичным и гражданским организациям. То, что такого рода деятельность прямо не описана в Положении о том или ином ведомстве, фактор неспецифический. Ведомства реализуют множество полномочий, которыми их наделили вне Положений (например, федеральными законами и указами президента). Отсутствие тех или иных полномочий в Положении дело, конечно, "неопрятное", но, если они проистекают из законодательства, они все равно полномочия.
Тем самым, ИС бухгалтерии госоргана создается а) на основании закона (общего для любой организации в стране), б) на основании правового акта госоргана (вводится в экслуатацию приказом, скорее всего, министра, в) она нужна для реализации полномочий госоргана ("нужна" = без нее невозможно реализовать иные полномочия ведомства)". Если подытожить, то РАНХиГС считает, что любая информационная система в государственном органе является государственной.
Аналогичной позиции придерживается и Минкомсвязи. Их логика следующая. Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. Обратите внимание, не нормативных, а правовых актов. Т.е. на основании любого правомочного решения государственного органа, например, обычного приказа. И такое правомочное решение может принять не орган исполнительной власти, не орган власти вообще, а любой обычный государственный орган. Частая отсылка к ПП-723 о регистрации отдельных видов ГИС имеет отношение не ко всем ГИС, а только к некоторым из них. По мнению Минкомсвязи ПП-723 обязательно только для ФОИВов и только для ГИС, предназначенных для оказания государственных функций или предоставления государственных услуг. При этом отсутствие регистрации не меняет статус незарегистрированной ГИС, как государственной. Иными словами, наличие обычного приказа о вводе в эксплуатацию информационной системы в госоргане делает ее государственной, а в мцниципальном учреждении - муниципальной. И никакая регистрация для этого не требуется (исключая федеральные ГИС определенных типов).
На ФБ была длинная дискуссия на тему, что считать ГИС, а что нет. Прошедшие через горнило регистрации ГИС в реестрах считают, что регистрация является обязательной и без нее статуса государственной получить нельзя. При этом реестр, в котором хранится информация о ГИС, не один. Это по ПП-723 у нас реестр федеральных ГИС ведет Минкомсвязи. Но если погуглить, то почти в каждом субъекте РФ найдется свой нормативно-правовой акт о порядке учета и регистрации информационных систем. Названия могут меняться. Например, в Московской области он называется "О порядке учета и регистрации информационных систем", на Ямале - "О порядке учета и регистрации информационных ресурсов и систем", в Республике Коми - "О государственных информационных системах Республики Коми", в Мурманской области - "О порядке учета и регистрации государственных информационных систем". Все вразнобой, но суть при этом не меняется - коллеги считают, что статус государственной получает только та информационная система, которая занесена в реестр, порядок ведения которого утвержден постановлением правительства субъекта РФ.
Что мы имеем в сухом остатке? Есть несколько позиций по этому вопросу. Если следовать логике "нет регистрации в реестре - нет ГИС", то получается, что госорган или орган местного самоуправления должен следовать сразу нескольким наборам требований по защите - 17-й приказ, 21-й приказ, СТР-К. Это очень неудобно и возникнет несогласованность между различными требованиями; особенно СТР-Кшными, которые пока никто формально не отменял. Если же следовать логике Минкомсвязи (оно формальнее и нравится мне больше, чем та же позиция РАНХиГС), то невзирая на наличие регистрации в реестре любая ИС, созданная в любом госоргане или органе местного самоуправления будет считаться государственной (или муниципальной соответственно), если есть приказ о ее создании или, что более вероятно, о вводе ее в эксплуатацию. А значит, что сфера действия 17-го приказа гораздо шире, чем считалось раньше, и под его действие попадают почти все госорганы и муниципалитеты.
Аналогичной позиции придерживается и Минкомсвязи. Их логика следующая. Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. Обратите внимание, не нормативных, а правовых актов. Т.е. на основании любого правомочного решения государственного органа, например, обычного приказа. И такое правомочное решение может принять не орган исполнительной власти, не орган власти вообще, а любой обычный государственный орган. Частая отсылка к ПП-723 о регистрации отдельных видов ГИС имеет отношение не ко всем ГИС, а только к некоторым из них. По мнению Минкомсвязи ПП-723 обязательно только для ФОИВов и только для ГИС, предназначенных для оказания государственных функций или предоставления государственных услуг. При этом отсутствие регистрации не меняет статус незарегистрированной ГИС, как государственной. Иными словами, наличие обычного приказа о вводе в эксплуатацию информационной системы в госоргане делает ее государственной, а в мцниципальном учреждении - муниципальной. И никакая регистрация для этого не требуется (исключая федеральные ГИС определенных типов).
На ФБ была длинная дискуссия на тему, что считать ГИС, а что нет. Прошедшие через горнило регистрации ГИС в реестрах считают, что регистрация является обязательной и без нее статуса государственной получить нельзя. При этом реестр, в котором хранится информация о ГИС, не один. Это по ПП-723 у нас реестр федеральных ГИС ведет Минкомсвязи. Но если погуглить, то почти в каждом субъекте РФ найдется свой нормативно-правовой акт о порядке учета и регистрации информационных систем. Названия могут меняться. Например, в Московской области он называется "О порядке учета и регистрации информационных систем", на Ямале - "О порядке учета и регистрации информационных ресурсов и систем", в Республике Коми - "О государственных информационных системах Республики Коми", в Мурманской области - "О порядке учета и регистрации государственных информационных систем". Все вразнобой, но суть при этом не меняется - коллеги считают, что статус государственной получает только та информационная система, которая занесена в реестр, порядок ведения которого утвержден постановлением правительства субъекта РФ.
Что мы имеем в сухом остатке? Есть несколько позиций по этому вопросу. Если следовать логике "нет регистрации в реестре - нет ГИС", то получается, что госорган или орган местного самоуправления должен следовать сразу нескольким наборам требований по защите - 17-й приказ, 21-й приказ, СТР-К. Это очень неудобно и возникнет несогласованность между различными требованиями; особенно СТР-Кшными, которые пока никто формально не отменял. Если же следовать логике Минкомсвязи (оно формальнее и нравится мне больше, чем та же позиция РАНХиГС), то невзирая на наличие регистрации в реестре любая ИС, созданная в любом госоргане или органе местного самоуправления будет считаться государственной (или муниципальной соответственно), если есть приказ о ее создании или, что более вероятно, о вводе ее в эксплуатацию. А значит, что сфера действия 17-го приказа гораздо шире, чем считалось раньше, и под его действие попадают почти все госорганы и муниципалитеты.
73 коммент.:
А чего ты взял у меня не полный комментарий? Айайай. Вот оригинал "Итого, не каждая информационная система, которая используется гос.компаниями подпадает под сферу действия Приказа 17. Однако, чувствуя общий настрой регулятора (ФСТЭК), я бы рекомендовал специалистам оп ИТ и ИБ, работающим в гос.компаниях, ориентироваться на положения данного приказа или даже "принять решение о применении настоящих Требований"
Определение ГИС дано в 149-ФЗ "Об информации..." (ст.13, п.1). Этот же закон расширяет требования к ГИС на муниципальные ИС (ст.13, п.4).
ПП-723 ссылается на ст.14, п.6 149-ФЗ, а следовательно регистрации подлежат только отдельные виды ГИС, и сама регистрация в реестре не является обязательным условием отнесения системы к ГИС.
Приказ ФСТЭК №17 опирается на ст.16, п.5 149-ФЗ.
Вывод: логика Минкомсвязи "логична", и под действие 17 Приказа попадают практически все ИС госорганов и муниципалитетов...
Коллеги, по-моему, начинается спор ради спора. Ну, вот не о чем поспорить, так давайте выдумаем тему. На самом деле никакой проблемы с ГИС нет. Надо просто правильно читать документы. Итак, опрежделение ГИС дано в ФЗ-149 9ст. 130 и там ничего не сказано о привязке ГИС к обязательной их регистрации. Это первое. Далее. ПП-723 ограничивает свою юрисдикцию только ГИС, которые предназначены для оказания госуслуг. А если посмотреть на последний абзац п.2 Положения, введенного ПП-723, то там прямо сказано: "Не подлежат регистрации в соответствии с настоящим Положением федеральные государственные информационные системы, сведения о которых составляют информацию, доступ к которой ограничен федеральными законами". Так что уже есть по крайней мере одна категория ИС, которая с одной стороны являются ГИС, а с другой не подлежат регистраци по ПП-723.А если внимательно прочитать п. 4 Этого Положения ("Регистрация осуществляется в целях:
организации доступа граждан и организаций, органов государственной власти и органов местного самоуправления к информации об эксплуатируемых федеральных государственных информационных системах, в том числе о составе содержащейся в них информации, информационных технологиях и технических средствах, обеспечивающих обработку информации".), то становится ясно, что, например, бухгалтерские системы, эксплуатируемые в госорганах явно не подпадают под регистрацию по ПП-723, но, как правильно было замечено участниками дискуссии, они созданы на основе правового акта госоргана (без правового акта в госоргане ничего не делается, даже кофе не варится)и в силу ФЗ-149 относятся к ГИС. Вот и все.
Максим, не смешивайте муниципальные и ГосИС. В Приказе 17 они четко отделены "Настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении.". А 149-ФЗ тоже внятно говорит, что такое госИС и мун.ИС
Без правового акта в госоргане (внутри) и особенно в муниципальном - делается ВСЕ. Даже больше скажу в регионах даже региональные МИСы на сотни миллионов создаются на основании "решения/протокола совещания министерства здравоохранения РФ" без оформления какого-то ни было бы приказика о создании. И еще больше скажу, что проверяющие расходование средств всякие минфины, финнадзоры и т.п., живущие по тем же правилам, не считают наличие такого акта обязательным.
Теперь что касается НКО. Я, как прошедший процедуру создания своего фонда, четко представляю разницу в уставе НКО и всяких ООО и АО. Действительно, ВСЕ что НЕ указано в Уставе/Положении - незаконно. И для негосударственных НКО Минюст за этим следит ОЧЕНЬ жестко. Законом об НКО гос НКО выведены из-под надзора Минюста и введены в надзор своего учредителя и (боюсь соврать, кажется) минфина (у меня есть официальные письма-ответы с указанием сайта, где ведется вся отчетность всех госов).
Пример как всем пофиг на наши законы - это создание всяких ведомственных/региональных/пенсионных УЦ - ни один проверяющий еще к этому в стране не прикопался (опять же нецелевое расходование и т.п. проходят мимо).
А теперь про отнесение к ГИС. Как-то отвечал уже в блоге Артема Агеева http://www.itsec.pro/2013/06/17.html?showComment=1371578863958#c5439385955555393562
Так вот , насколько я понимаю, последним и правильным (и с точки зрения народа и законов и НПА об открытости НКО и госорганов) трендом является отнесение к ГИС "информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов" (Постановление Правительства РФ от 26.06.2012 N 644). Пусть даже это не совсем бьет с ФЗ149.
И еще раз отмечу, что ПП723 - это ВРЕМЕННЫЙ реестр, который должен быть заменен на реестр по ПП644. Кстати требования которые тормозили создание реестра по ПП644 минсвязи выпустило началом 2013 года, а Минюст зарегистрировал концом лета. Опять вопросы исполнения нашего законодательства.
На секлабе еще один коммент интересный (http://www.securitylab.ru/blog/personal/Business_without_danger/38311.php):
Возникает законный вопросы:
1) почему уцепились за п. 1 ст. 13 149-ФЗ и не читают этот закон внимательно и ПОЛНОСТЬЮ?
2) почему не анализируют содержание терминов?
Давайте ещё почитаем 149-ФЗ:
Пункт 1 ст. 14 149-ФЗ гласит: "Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях."
Здесь имеем 3 условия для отнесения к ГИС:
1. ИС обеспечивает реализацию полномочий.
2. ИС обсепечивает информационный обмен м/у гос.органами.
3. ИС обеспечивает достижение иных установленных федеральными законами целей.
Давайте разберем по порядку.
1. ИС обеспечивает реализацию полномочий.
Определимся с содержанием термина: полномочия — ограниченные права использовать ресурсы организации и направлять усилия некоторых сотрудников на выполнение определенных задач.
Теперь, для примера, возьмем Положение о Роскомнадзоре. В нем закреплено много полномочий данного федерального органа власти, НО нет ни одного, относящегося к вопросу труда, налогообложения, здравоохранениния и т.п. Почему?
Потому, что это обязанность, т.е. - безусловные для выполнения действия, по общественным требованиям или внутренним побуждениям.
Например, обязанности в области труда закреплены в абзаце 3 ст. 11 ТК РФ.
Т.о. получаем:
1) ИС "Реестр операторов, осуществляющих обработку персональных данных" созданная для реализации таких полномочий как "ведение реестра операторов, осуществляющих обработку персональных данных" является ГИС.
2) ИС "Кадры", созданная для выполнения обязанностей в области трудовых и непосредственно связанными с ними отношениями с работниками не является ГИС.
2. ИС обсепечивает информационный обмен м/у гос.органами.
Сюда, например, относятся такие системы как "СМЭВ", "МЭДО".
3. ИС обеспечивает достижение иных установленных федеральными законами целей.
Сюда отнятся системы соданные для обесепечения исполнения отдельных федеральных законов.
Например, Федерального закона от 18.07.2006 N 109-ФЗ (ред. от 28.12.2013) "О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации", в котором четко прописано использование ИС (п. 3 р. 4 ст. 4).
Алексей, анализ правильный, но, почему-то дает некоторый сбой. Соывершенно правильно сформулированы 3 условия отнесения к ГСИ. Исходим из этого. Смотрим условие 3 (ИС обеспечивает достижение иных установленных федеральными законами целей).
И это правильно. Но вот вывод - нет. Почему к "иным, установленным законом целям" мы относим миграционный учет, но не относим трудовые отношения? Это как раз и есть иные цели, установленные законом. Так что ИС "Кадры" в госоргане - тоже ГИС.
Добавлю еще одну сторону рассмотрения:
если я на машине таксую, но не зарегистрирован как таксист, при этом я заявляю, что не вожу людей, а перевожу платья и костюмы людям за деньги, а есть в них сами люди или нет - это меня не интересует.
ИЛИ
если я продаю ночью спички с доставкой задорого, а бутылка алкоголя - это подарок, т.е. я его не продаю
...
ИЛИ
если я, будучи главбухом/админов в госоргане (комитет области, комитет города, поселковый совет) покупаю и устанавливаю 1С и говорю, что это не гис, потому, что никакого приказа я на создание ГИС не оформлял
- ВСЕ это в любом случае действия, которые проверяющим/контролирующим/судьей, в конце концов, будут толковаться именно как занятие конкретным видом деятельности без выполнения требований. Посему НЕ издание приказа о создании ИС не является основанием такую созданную ИС не считать ИС. Именно для устранения этого словоблудия придумали формулировку "создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов".
Слава Богу, мнение РАНХиГС не является в данном вопросе определяющим. Академий у нас пруд пруди, и если прислушиваться к мнению каждой, ясности не будет.
Долгое время аналогично рассуждали в отношении обязательности СТР-К: "в любой гос. организации вся информация является гос. информационным ресурсом, а коли так - извольте выполнять требования СТР-К". Теперь этот же упрощенный подход хотят притянуть и под 17 приказ.
Насколько можно судить, органом, ведущим учет ГИС, является Минкомсвязи. Во всяком случае, это предусмотрено "Концепцией создания и развития государственной информационной системы учета информационных систем, разрабатываемых и приобретаемых за счет средств бюджетов бюджетной системы РФ". Постановление 644, собственно, вытекает из этой концепции. Т.о., ИС, не учтенные в соответствии с ПП-644 формально не могут считаться ГИС.
Следуя логике РАНХиГС, любой приказ любого гос. ведомства о закупке трех компьютеров следует считать правовым актом о создании ГИС. Со всеми вытекающими. Интересно, Академия уже посчитала, сколько денег потребуется на аттестацию ВСЕХ компьютеров гос. органов?
Еще интересный момент: сама ФСТЭК почему-то считает, что в ее ведении ГИС нет. Эта информация уже давно красуется на официальном сайте регулятора.
Свои мысли
1) может ли быть создана ИС в госоргане без приказа (например ИС бухгалтерии), на практике - да, по закону - не знаю, этот вопрос надо уточнять;
2) если система создается на госпредприятии или госучреждении без НПА о её создании (например, только на основании приказа директора этого учреждения, но не ведомственного приказа), то это не ГИС и не муниципальнная ИС;
3) По поводу уточнений термина ГИС в ФЗ-149. Это описание назначения системы, может ли данное условие считаться достаточным для причисления системы к ГИС или муниципальной - не уверен. Для меня условие через логическое "И", а не "ИЛИ" - соответствие условию создания (в плана наличия НПА) И соответствие указанным выше целям (хотя бы одной) создания ИС
Коллеги, позвольте не согласится с трактовкой:
3. ИС обеспечивает достижение иных установленных федеральными законами целей.
В 149-ФЗ указано:
Государственные информационные системы создаются в … иных установленных федеральными законами целях.
Т.е. в ФЗ должна быть установлена цель создания ГИС. Это не во исполнение/достижения ФЗ. Такой ФЗ - это ФЗ о создании ГИС.
Пример: Федеральный закон от 03.12.2011 N 382-ФЗ "О государственной информационной системе топливно-энергетического комплекса"
или
Проект Федерального закона "О государственной информационной системе жилищно-коммунального хозяйства"
в которых указано конкретное назначение и цели создания ГИС.
Поэтому не любая ИС госоргана является ГИС.
Это не верно. В Фз-149 сказано дословно:государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. То есть, ГИс это ИС созданные на ОСОНОВАНИИ правового акта, а не "в иных УСТАНОВДЕННЫХ законом целей"
"Здесь имеем 3 условия для отнесения к ГИС:
1. ИС обеспечивает реализацию полномочий.
2. ИС обеспечивает информационный обмен м/у гос.органами.
3. ИС обеспечивает достижение иных установленных федеральными законами целей."
Если рассмотреть данный вопрос с точки зрения бизнес-процессов системы, то получается, что в Организации могут быть ИС, относящиеся к: а) процессам управления; б) процессам основных функций; в) процессам обеспечения. Тогда: а)=1.=2.; б)=1.; в)=3.
Так, кадровый отдел не выполняет основных функций Организации, но обеспечивает выполнение этих функций(в.=3).
Если, конечно, мы рассматриваем Организацию как систему...
Тогда ИС "Кадры" может быть ГИС. Иначе, как мы будем защищать ИС Организации (в целом), если одни ИС в ее составе будут ГИС, другие нет... такое "лоскутное одеяло" неудобно. Если же исходить из основной основных)Цели (целей)Организации как государственного органа, а ИС рассматривать как средство достижение этой цели, то... может не усложнять дроблением сущностей, а представить ГИС как "ИС всея Организации органа гос власти и т.п.", состоящую, в свою очередь из подсистем (причем, не каждая из них была бы ГИС, если бы не использовалась в органе гос власти сама по себе)??
to Алексей Беседин
А бывает и хуже: гос. орган поручает обработку информации, необходимой для осуществления возложенных на него обязанностей, коммерческому ЦОД (скажем, ведение реестра или сбор данных о получателях госулуги). А этот ЦОД ведет обработку информации в интересах сразу нескольких гос. органов, причем все крутится на виртуальных серверах. Неплохая задачка по разграничению ИС, обрабатывающих информацию для каждого из гос. органов.
vsv, верны оба утверждения: и моё и Ваше.
Более того, они дополняют друг друга:
ГИС создаются на основании законов субъектов Российской Федерации и на основании правовых актов государственных органов в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами.
ГИС создаются на основании федеральных законов в иных установленных этими федеральными законами целях.
Таким образом, повторюсь, не все ИС госоргана являются ГИС. Бухгалтерия госоргана ГИС не является.
Приказ госоргана - это правовой акт. Создание ИС "Бухгалтерия" на основании приказа делает эту ИС сразу ГИС
Да, приказ - правовой акт, но ИС "Бухгалтерия" не предназначена для реализации полномочий государственных органов и обеспечения обмена информацией между этими органами. А ФЗ, в котором установлена цель создания ИС "Бухгалтерия" конкретного госоргана, нет.
Олегу Бойко
А разве Организация/орган власти может функционировать без обеспечивающих отделов? Правило Паретто никто не отменял. Большая часть Гос органа - это обеспечивающие отделы. Реализацию основной функции несет лишь малая часть Организации.
Алексею Германовичу.
Согласен, задача не из легких. Но тут надо правовыми актами,договорами, в русле НПА РФ, разграничивать обязанности. Что головная боль наемников по обработке информации, а за что ответственен Гос органа.
Позволю выразить мнение, солидарное с А.Лукацким, что всякая ИС в Гос учреждении, введеная приказом, (независимо, выполняет ИС основную функцию, или обеспечивает выполнение этой функции)будет ГИСом.
Алексей, конечно не может. Эти 80% нужны. Я где-то написал, что они не нужны? Нет.
Но как это с темой но как это с темой связано? :-)
Олегу Бойко
Нужны, конечно. ТЕМА "Что такое государственная информационная система или на кого рассчитан 17-й приказ ФСТЭК?"
Я вижу камнем преткновения разнородность ИС, используемых в Органе власти. Часть из них можно легко причислить к ГИС, часть - спорно.Так как же применять Приказ 17, только к тем ГИС, что не вызывают сомнения? А к спорным ГИС не применять? "лоскутное одеяло" применяемых НПА в одном учреждении, или же применим ко всем ИС в органе власти статус ГИС (после приказа, конечно) и будем защищать системно, дополняя и достраивая ИБ на прочном фундаменте?
Например, используем 17 приказ для ГИС органа власти, включающую в себя подсистемы ГИС.
Алексей Викторович, а если приказом госоргана образована не ИС бухгалтерии, а сама бухгалтерия? Тогда как? ИС становится ГИС? Или остается обычной ИСПДн? Или бухгалтерия становится гос. органом?
А на практике ИС бухгалтерий, отделов кадров и пр. не создаются приказами. Возможно, есть приказ, определяющий структуру этого гос. органа, в нем указано, что в состав входят бухгалтерия, ОК, архив и т.д. ИС создаются в результате закупки и установки компьютеров, и в приказе написано "выделить средства ...".
Алексей, да, в настоящее время применять 17-ый приказ к ГИС.
С остальными ИС работать по другой нормативке регулятора.
Конечно сейчас есть разнобой в нормативке и мерах. Но, учитывая, с какой скоростью ФСТЭК России выпускает документы, а также то, что меры обеспечения ИБ в этих документах сильно пересекаются, то через пару лет никакого "лоскутного одеяла" не будет.
Александру Герамновичу
полагаю, что создание бухгалтерии и создание ИС бухгалтерия хоть и разные действия, но все звенья одной цепи, где первично - правовое обоснование создания органа власти.
Олегу Бойко
Согласен, тенденции ведут к целостному правовому обеспечению ИБ.
Разносторонность наших взглядов обозначают колею развития НПА. на сегодняшний день мне же все-таки ближе представление всех ИС в гос органе как ГИС. Благо 17 приказ довольно объемен))
Теоретизировать можно сколько угодно, но чтобы заявлять о том, что в гос органах ничего без актов не делается, нужно в этих гос органах поработать, или оказать им услуги. Мы их уже кучу прошли, обращали на это внимание, и ни в одном гос или муниципальном органе не видели актов о создании ИС бухгалтерия и кадры и т.п. Пока не будет приказа о создании ИС кадры- такие ИС не будут ГИС.
Nikola
А при проведении классификации Акт Классификации может полностью закрыть вопрос?
На "Пока не будет приказа о создании ИС кадры- такие ИС не будут ГИС".
Ошибочное нарушение причинно-следственой связи. Кто-то совершенно правильно заметил, что любой госорган осуществляет свою деятельность на основании Положения о нем. В этом положении, как правило, прописывается структура, в том числе и кадры. Это структурное подразделение госоргана и неотрывно от него. Далее госорган выполняет ряд функций в обеспечение всей деятельности, в том числе беспечивает соблюдение трудового законодательства при реализации правовых отношений со своими сотрудниками. Это как раз и есть та самая "иная установленная федеральным законом цель" (ст 14 ФЗ-149). Следовательно ИС "Кадры", впрочем как и ИС "Бухгалтерия" в гососргане - ГИС.
to vsv
а если для обеспечения деятельности гос. органа используется мобильный телефон, он тоже ГИС?
А зачем вообще задумываться ГИС у тебя или не ГИС?
Принципиальное отличие 17 и 21, надеюсь никто спорить не бу, есть проведение процедуры аттестации, которую можно условно разбить на:
- испытания/измерения
- оформление протоколов
- составления заключения
- выдачи, при хорошем раскладе, бумажки под названием аттестат
и деланье защиты без привлечения сторонней организации-лицензиата.
Сразу опускаю всякие техпаспорта и иную орг документацию - она не входит в аттестацию и должна делаться при любом раскладе (при любом виде оценки соответствия, просто чтобы установить что вообще оценивается), ну может быть по разным формам.
Велико ли отличие в объеме работы между "любым видом оценки соответствия" и процедурой аттестации? ээээ... только бумажка "Аттестат"??? Ну еще некоторая свобода в выборе форм оформления документов (но боюсь, что проверяющим на данный момент вообще пофиг на формы - хоть что-то было бы сделано даже при аттестации). Итого цена вопроса 1000 руб.
Теперь привлечение лицензиата - ну ни разу я не видел, чтобы операционные люди могли сделать проектную работу, да еще в новой для них области, да еще без отвлечения от той самой операционной работы. Раздувание штаток - на данный момент огромная проблема. Так что в 9 случаях из 10, если только вообще что-то делается, это делается сторонней организацией (скорее всего лицензиатом :)).
Качество подготовки людей, особенно по ИБ, в госорганах (буду говорить о регионе и ниже) низкое (даже во все же созданных подразделениях по ИБ). Делать однотипные работы по разным документам, особенно самим??? Да нафиг это кому надо! Еще и вопросов потом море у проверяющих расходование средств - почему там не так как там, мол. Да еще разные ТЗ для контрактов составляй.
Опять же наличие аттестата почти всегда останавливает любого проверяющего от копания в мелочах. А уж люди государевы такими уязвимостями системы пользуются напропалую.
А если обратиться к цели защиты?
Мне как то попалась книжеца про наши постсовецкие горячие точки. Очень системно, хронологично и грамотно были изложены все основные события тех войн. Вот оттуда я понял ЗАЧЕМ надо защищать ВСЕ системы в госоргане ПО МАКСИМУМУ. Дело в том, что товарищам, например, в Приднестровье, работавшим в госорганах, и в голову не могло прийти, что у них на улице будут стрелять. И вот когда начали, те кто начали пошли именно в госорганы за каталогами. И начали вырезать людей по спискам: сначала всех госчиновников (бух системы и отделы кадров), потом всех русских, потом всех украинцев, всех не молдован и т.д. (тогдашние бумажные госуслуги помогали). Прям по спискам, по адресам.
Но мы как-то не учимся на чужих ошибках :( "Подумаешь! У нас то такого ТОЧНО не случится!!!"
Мы лучше до хрипоты будем спорить относить системы к ГИС или нет.
Принципальное отличие также в сертификации средств защиты. По 21-му приказу она необязательна, а по 17-му обязательна
Повторюсь. Орган Гос. власти (ОГВ) создается на основании соответствующего постановления. Создание соответствующих отделов, выполняющих функции ОГВ (как основных, так и функций-обеспечения) - все это звенья одной цепи. Если отделу необходима автоматизированная обработка информации - создается соответствующая ИС.
Да, обычно создают не по плану, компьютер одному сотруднику, второму, свяжут отдел в сеть, но потом все равно приходится составлять Акт, приказ и документировать как ИС, и коли это ОГВ, то и ИС = ГИС
Если для выполнения функции ОГВ необходимы мобильники? А планшеты,ноутбуки, содержащие ПДн, необходимые (!!!) для выполнения целей ОГВ? Содержат - надо защищать. Конечно же как ГИС, и по 17 Приказу, дополняя, где необходимо, требованиями 21 приказа.
VSV, а если бы госорган плевал бы на трудовое законодательство (представим такую гипотетическую ситуацию), он бы не смог бы реализовывать свои определенные ФЗ полномочия? Смог бы. Силой угрозами, но заставлял бы своих сотрудников делать работу. Значит исполнение трудового законодательства не является той самой "иной установленной федеральным законом целью". Значит кадры и бух не являются ГИС.
На "а если для обеспечения деятельности гос. органа используется мобильный телефон, он тоже ГИС?"
Если мобильный телефон используется как средство обращения с ГИс, то да, его надо рссматривать как элемент ГИС, обеспечивающий удаленный доступ к ресурсам.
На 2Принципальное отличие также в сертификации средств защиты. По 21-му приказу она необязательна, а по 17-му обязательна"
Алексей, мне кажется. что этот вопрос уже несколько раз лобъясняла ФСТЭК в своих информационных письмах. ДЛя ИС, обрабатывающих ПДн сертификация СрЗИ (если они используются) обязательна независимо от принадлежности.
Oleg Boyko: Если бы госорган плевал на закон, то мы бы получили Украину...
"Если мобильный телефон используется как средство обращения с ГИс, то да, его надо рссматривать как элемент ГИС, обеспечивающий удаленный доступ к ресурсам."
А если он куплен распоряжением мэра и вручен главбуху для служебных надобностей: звонить мэру по всем вопросам? По вашей логике это ГИС.
Нет, ели звонить, то не ГИС, а средство связи и там есть свои требования по защите, а вот если с этого смартфона главбух входит в ИС и работает там, то это элемент ГИС.
А почему, если звонить, то не ГИС?? В нем есть и ПДн, и информационные технологии, и технические средства. Это ИС в терминологии ФЗ-149, и ИСПДн в терминологии ФЗ-152.
Это ГИС! (по-вашей логике)
"Нет, ели звонить, то не ГИС, а средство связи и там есть свои требования по защите, а вот если с этого смартфона главбух входит в ИС и работает там, то это элемент ГИС."
Полностью согласен. Или кто-то считает, что ГИС - это прибитые к полу системные блоки, не объединенные даже в виртуальную сеть? ГИС - это использование ИТ, в том числе и СВТ. А на какой платформе они реализованы - не суть важно. Железо - вторично, первичен процесс, функция. Имеет значение лишь информационный обмен; если мобильник - часть распределенной системы ГИС,то о чем можно тогда спорить))
VSV, Сергей, Вы не ответили на вопрос. :-) Без исполнения трудового законодательства возможно исполнение госорганом своих полномочий.
И почему звонить - это не ГИС? Звонок - это обеспечивающее действие, которое позволяет, к примеру, ускорить процесс исполнения госорганом его полномочий.
На "А почему, если звонить, то не ГИС?? В нем есть и ПДн, и информационные технологии, и технические средства. Это ИС в терминологии ФЗ-149, и ИСПДн в терминологии ФЗ-152".
Давайте по-порядку.
1. Если с мобильнике есть адресная книга с ПДн и она используется в ЛИЧНЫХ целях, то она не подпадает под юрисдикцию ФЗ-152.
2. Если эта адресная книга используется для служебной связи, то должны применяться средства защиты как для средств связи.
3. Если в мобильнике используются функции взаимодействия с ИС то это элемент ГИС и его надо защищать, в том числе и сохздавать доверенный канал связи (по 17-му приказу).
Ну и в коннце: если Вы используете кухонный нож для самообороны, то он превращается в холодное оружие, а если для разделки шашлыков, то это кухонная утварь.
Алексей Беседин, а никто и не говорит, что ГИС - это прибитые к полу системные блоки. Да, ГИС - использование ИТ. Но, обычно, в госорганах у каждой ИС можно выделить точные границы, что позволяет классифицировать её и определить соответствующие защитные меры.
Да, сейчас это сильно размазывается из-за виртуализации и облаков. Но и здесь можно определить границы.
Конечно, если мобильник для доступа к ресурсам ГИС - он часть ГИС.
По-порядку.
На "VSV, Сергей, Вы не ответили на вопрос. :-) Без исполнения трудового законодательства возможно исполнение госорганом своих полномочий".
Нет, невозможно, так как это уже будут противоправные действия, нарушающие не только ТК РФ, но изакон о госслужбе.
На "И почему звонить - это не ГИС? Звонок - это обеспечивающее действие, которое позволяет, к примеру, ускорить процесс исполнения госорганом его полномочий".
Ответ в предыдущем комментарии...
"Нет, невозможно, так как это уже будут противоправные действия, нарушающие не только ТК РФ, но изакон о госслужбе"
А что, в ТК РФ указано, что его положения должны выполняться обязательно с применением ИС?
А при чем здесь ИС? Мы говорим об исполнении ТК РФ. А применение для этих целей ИС - дело руководителя госоргана...
Олегу Бойко
А если не для доступа к ресурсам ГИС (БД) то чем он отличается от собственного мобильника? Наверно ничем и не входит в состав ГИС. Давайте разделять личное от казенного. И если личным средством лезут в БД ОГВ, то это вопрос к службе ИБ
Александр Германович
Положения ТК должны (!!!) выполняться. А со средствами автоматизиации или нет, вопрос вторичный. Это лишь средства реализации функции.
Коллеги, перечитал ещё раз все комментарии (к сожалению, в FB залезть не могу - заблокирован :-) ), и сложилось впечатление, что причина спора, какая ИС госоргана является ГИС, а какая - нет, исходит из субъективных особенностей понимать написанное официальным языком в ФЗ.
То, что факт регистрации/не регистрации ИС по ПП-723 не является признаком отнесения ИС к ГИС, судя по всему, согласны все.
То, что для создания ГИС необходим НПА, согласны все.
Спор возникает из-за того, какой должен быть этот НПА.
Есть два пункта 149-ФЗ, от которых все отталкиваются:
- п.1 ст.13:
1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления
- п. 1 ст. 14:
Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.
Лично я читаю и понимаю эти два пункта следующим образом:
- ГИС создаются на основании ФЗ.
- ГИС создаются на основании законов субъектов Российской Федерации.
- ГИС создаются на основании правовых актов государственных органов.
- ГИС создаются в целях реализации полномочий государственных органов.
- ГИС создаются в целях обмена информацией между этими государственными органами.
- ГИС создаются в иных установленных федеральными законами целях.
Последний пункт лично я понимаю, что для создания ГИС должен быть выпущен отдельный ФЗ о создании (про которые говорится в первом пункте), в котором установлены цели создания, отличные от реализации полномочий государственных органов и обеспечения обмена информацией между этими органами. Ключевое слово "создаются", т.е. ФЗ должен определять ФАКТ СОЗДАНИЯ ИС.
Если бы было написано что-то вроде: "Государственные информационные системы…, а также должна обеспечивать исполнение федерального законодательства в государственных органах", - то я был согласен с вами, что любая ИС в госоргане является ГИС, т.к. в этом случае бухгалтерские, кадровые и пр. системы госоргана позволяют обеспечить исполнение федерального законодательства и, значит, являлись бы ГИС.
Также я исхожу из того, что у каждого госрагна чётко определены полномочия, в которые не входит бухгалтерский, кадровый и пр. учёт, а так как ФЗ о создании ГИС "Бух" госргана нет, то и автоматизация этой деятельности в виде создания ИС не будет являться фактом создания ГИС.
Согласен с Алексеем Бесединым, что в такой трактовке мы получаем "лоскутное одеяло": часть ИС - ГИС и защищены по 17-му, часть - ИСПДн и защищены по 21-му, часть - обрабатывающие ИОД, но не являющиеся ГИС и защищены по СТР-К и РД АС.
Но я уверен, что скоро ФСТЭК России подготовит документы, которые закрывают вопросы защиты ИОД в ИС, не являющихся ГИС, причём оно будет гармонично с существующими требованиями.
И да, "широкая" трактовка позволяет "окучивать" госорган почти бесконечно. Это напоминает эпопею с ПДн и техканалами.
На "Последний пункт лично я понимаю, что для создания ГИС должен быть выпущен отдельный ФЗ о создании (про которые говорится в первом пункте), в котором установлены цели создания, отличные от реализации полномочий государственных органов и обеспечения обмена информацией между этими органами. Ключевое слово "создаются", т.е. ФЗ должен определять ФАКТ СОЗДАНИЯ ИС".
И где логика? если ФЗ должен определять ФАКТ СОЗДАНИЯ ИС, то это подпадает под первое определение: ГИС, создаваемая по ФЗ.
А вот если посмотреть на ФЗ-58 (О госслужбе), то сановится ясно, что кадровая деятельность, формирование кадрового резерва и пр. - это прямая обязанность госоргана. И, например. для этих целей (установленных иными законами0 и может создаваться ИС, которая в госоргане превращается в ГИС.
Не надо смотреть слишком узко: функции госоргана определены не только его Положением, оно определяет его специальные функции. а общие цели и функции могутопределяться определяются(!)другими законами.
Согласен с Олегом.
"А вот если посмотреть на ФЗ-58 (О госслужбе), то сановится ясно, что кадровая деятельность, формирование кадрового резерва и пр. - это прямая обязанность госоргана"
Гос. орган создается и функционирует не в целях ведения кадрового или бухгалтерского учета. Его цели, функции и задачи определены законодательством. Среди его полномочий нет полномочия "бухгалтерский учет".
Точно так же, как кадровый учет не является целью деятельности коммерческого банка.
Вся проблема в русском языке:) тут не понятно как трактовать фразу 149-ФЗ: "созданные на основании". То есть, нужен ФЗ или акт именно о создании ГИС, в котором будет прописано что "ГИС кадры создается для...". Или имеется ввиду, что любой ФЗ или Акт является основанием для создания ГИС.
Александру Германовичу
Кадровая служба создается для того, чтобы Гос орган мог выполнять возложенные законом функции. Кадры несут обеспечивающую функцию и должны защищаться как ГИС. Или ПДн сотрудников, да и сам Кадровый отдел, будем хранить в отдельном здании??))
Перечитал комменты.
1) Обращу ещё раз внимание на 1 факт. На мой взгляд, исходя из содержания ФЗ-149, нельзя рассматривать принадлежность ИС к ГИС только при условии совпадения хотя бы по одному из приведенных признаков - по условию создания на основе ПА госоргана ИЛИ хотя бы по одному условию цели её создания. Необходимо чтобы условия выполнялись следующим образом - совпадение по условию создания (есть ПА госоргана) И любое из условий по цели создания. Таким образом, пока нет ПА о создании именно ИС бухгалтерии или кадров в госоргане, ссылаться на Положение госоргана, ТК или другие ФЗ где регламентируется эта деятельность (без упоминания о создании ИС) смысла не имеет. Деятельность - это ещё не ИС.
2) По поводу лоскутности защиты в этом случае. Выгода ясна - не надо обвешивать каждый компьютер сертифицированными средствами защиты, которые по факту только усложняют работу пользователей, не повышая уровень реальной защищенности. При этом парадигма выстраивания защиты по 17 и 21 закону одна, так что никаких логических раздвоений, требующих помнить, что здесь так, а вот здесь этак, при создании и эксплуатации двух разных СЗИ не возникнет.
Коллеги, при отнесении той или иной ИС к ГИС необходимо руководствоваться одновременно ВСЕМИ признаками, установленными ФЗ-149. Почему-то в жарких спорах забыт важный признак ГИС: это "федеральная или региональная ИС" (см. п. 1 ст. 13 ФЗ-149). Здесь речь идёт о масштабах и назначении ИС, а не просто о принадлежности ИС к тому или федеральному или региональному органу власти. А вот этот масштаб и назначение ИС должны быть определены в соответствующих правовых актах о создании ИС. Отсюда вывод: разнообразные внутренние кадрово-бухгалтерско-хозяйственные ИС органов госвласти однозначно не могут быть отнесены к ГИС, так как они не подпадают под этот классификационный признак.
Ивану Иванову
А с чего вы решили, что надо руководствоваться всеми тремя требованиями сразу?
VSV
Ваши слова:
"А вот если посмотреть на ФЗ-58 (О госслужбе), то сановится ясно, что кадровая деятельность, формирование кадрового резерва и пр. - это прямая обязанность госоргана." Полностью коррелируют с высказанным мной мнением о том, что системы созданные для исполнения ОБЯЗАННОСТЕЙ, например ИС "Кадры", не относятся к ГИС, но абсолютно противорячет последующим Вашим словам:
"И, например. для этих целей (установленных иными законами0 и может создаваться ИС, которая в госоргане превращается в ГИС."
Как понимать "превращается"? Как в сказке, из тыквы в карету? На основании чего? Изданного НПА? Так мы издадим НПА в котором будет написано:"во исполнение обязательных требований по ведению кадрового учета создается информационная система "Кадры"". Заметьте, ПРОСТО ИС и во исполненияе ОБЯЗАННОСТЕЙ. И с юр.точки зрения все будет "чисто", это ИНАЯ ИС, не ГИС.
VSV
На Ваше замечание: "Почему к "иным, установленным законом целям" мы относим миграционный учет, но не относим трудовые отношения? Это как раз и есть иные цели, установленные законом. Так что ИС "Кадры" в госоргане - тоже ГИС."
Согласно ст. 1 ТК РФ целями трудового законодательства являются установление государственных гарантий трудовых прав и свобод граждан, создание благоприятных условий труда, защита прав и интересов работников и работодателей.
Как видим в этих целях нет ничего от кадрового учета. И это закономерно, т.к. кадровый учет регламентируется Постановлением Госкомстата РФ от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты" и инструкциями по ведению унифицированных форм. Само Постановление Госкомстата издано:"В целях реализации требований Трудового кодекса Российской Федерации", а не целей.
Т.о. ИС кадрового учета (а также бухгалтерского) не относятся к ГИС.
Теперь про миграционный учет.
р. 4 ст. 4 Федерального закона от 18.07.2006 N 109-ФЗ (ред. от 28.12.2013) "О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации" в частности гласит: "4. Миграционный учет включает в себя:
....
3) ведение государственной информационной системы миграционного учета, содержащей сведения, предусмотренные настоящим Федеральным законом."
Разгадка кроется в Постановлении Правительства РФ №211.
Согласно ПП211 все государственные органы власти должны принять внутренний правовой документ под названием "Перечень информационных систем персональных данных".
Этот документ в обязательном порядке смотрит РКН при надзоре.
И вот как только Госорган принимает такой перечень, то незамедлительно ВСЕ ИСПДн становятся ОФИЦИАЛЬНО ГОСУДАРСТВЕННЫМИ.
Те, кто проходил надзор, знают об этом перечне и документ такой принимали. Только мало кто увязывает его с пунктом 149-ФЗ о ГИСах.
Сергей, не становятся ИСПДн ГИСами в соответствии с этим актом. ИСПДн и ГИС - это разные типы информационных систем вне зависимости от вида организации.
Кроме того, РКН не имеет никакого отношения к ГИС, ибо это вотчина ФСТЭК.
ИСПДн обладает следующими признаками (очень кратко):
1) в ней обрабатываеются ИСПДн;
2) она должна быть поименована в списке ИСПДн организации.
ГИС обладает следующими признаками (очень кратко):
1) она создана для обеспечения исполнения гос.органом функций и полномочий или исполнений целей федерального закона;
2) должен быть издан правовой акт гос.органа о ее создании как ГИС.
Гибридные системы ИСПДН/ГИС существуют, но это означает, что такая система должна удовлетворять и 152-ФЗ+21 Приказ и 149-ФЗ+17 Приказ. Т.е.она должна обладать следующими признаками:
1) в ней обрабатываеются ИСПДн;
2) она создана для обеспечения исполнения гос.органом функций и полномочий или исполнений целей федерального закона;
3) она должна быть поименована в списке ИСПДн организации;
4) должен быть издан правовой акт гос.органа о ее создании как ГИС.
Игорь, давайте по порядку распутаем клубок.
ГИСПДн - подмножество ГИС.
ГИС ПДн фигурирует в ФЗ-152.
Понятие ГИС определено в более общем ФЗ-149.
Из буквално русского языка этих понятий и общей юрисдикции обоих законов следует, что ВСЕ ГИС ПДн есть ГИС, НО из этого также следует, что лишь некоторые ГИС есть ИСПДн. Вы же их взаимоисключили, видимо считая, что ФЗ-149 и ФЗ-152 - законы из разных юрисдикций.
Не знаю, что Вам мешает правильно понимать это.
Далее, ответьте, как может ИСПДн обрабатывать ИСПДн? Может быть ПДн?
Далее, если по-Вашему ИСПДн не есть ГИС, то при чем тогда приказ 17, который чисто для ГИС?
Согласно Вашей логике остается для ГИСПДн применять приказ 21. Но то в корне расходится с позицией ФСТЭК.
Далее, Ваше определение:
"1) она создана для обеспечения исполнения гос.органом функций и полномочий или исполнений целей федерального закона;
2) должен быть издан правовой акт гос.органа о ее создании как ГИС."
Это не так. Правильно говорить "Создана в соответствии с ФЗ РФ, ФЗ субъекта РФ ИЛИ ПРАВОВЫМ АКТОМ ОВ".
Приказ или любой документ органа власти, утвержденный его руководителем, тем более обязательный согласно ПП 211 = правовой акт ОВ. Алексей Лукацкий выше уже давал такой комментарий.
Утвержденный органом власти перечень ИСПДн является для Вас, как безопасника ПРЯМЫМ РУКОВОДСТВОМ К ДЕЙСТВИЮ, т.е. к ЗАЩИТЕ ИХ КАК ОФИЦИАЛЬНЫХ ГИС.
И я не знаю, о каких гибридных ГИС/ИСПДн Вы говорите, если ФЗ-152 прямо говорит о ГИСПДн.
При этом по нормативке НИЧТО Вам не мешает их сегодня защищать, как одно целое, т.к. нормативака современная П21 и П17 составлены совершенно адекватно и единообразно. Многие лицензиаты благодаря этой адекватности уже так и делают.
Далее, открываю любое положение по любому органу власти и среди функций и полномочий вижу "Обеспечение государственной службы и кадрового резерва". Ну и попробуйте мне возразить, что это не функция и не полномочия, и что для этого ГИСПДн не применяются.
Сергей, Вы уж извините, но то, что Вы написали - это венигрет из всего, что написано в обсужении данной темы.
1. НЕТ ТОКОГО ПОНЯТИЯ ГИСПДн!
Есть ГИС и есть ИСПДн + частным случаем ГИС являются те ГИС в которых обрабатываются ПДн, именно их я назвал "гибридными".
2. НЕТ В ЗАКОНАХ И В ПОДЗАКОННИКАХ ТОЖДЕСТВА ГИС И ИСПДн.
Еще раз Вам отвечаю - ЭТО РАЗНЫЕ ВИДЫ СИСТЕМ, иначе не было бы отдельных НПА по их защите.
3. НЕ КАЖДЫЙ НПА ГОСОРГАНА ДЕЛАЕТ ИС ГИСом.
Если написано, что создается ГИС, то нет вопросов, но если написано, что создается ИС, ТО ЭТО ПРОСТО ИС.
4. Откуда Вы взяли противопоставление:"Создана в соответствии с ФЗ РФ, ФЗ субъекта РФ ИЛИ ПРАВОВЫМ АКТОМ ОВ"?
В законе это определено в двух отдельных статьях и, следовательно, применяются равнозначно (проконсультируйтесь у юристов).
5. Перечень ИСПДн является для меня, как для безопасника, всего лишь перечнем систем в которых обрабатываются ПДн. Это всего лишь один из примерно 30 документов (минимальный комплект) по вопросу защиты ПДн. К защите ГИС он отношения НЕ ИМЕЕТ.
6. Я уже устал писать, что ВСЕ ДЕЙСТВИЯ ЛЮБОЙ ОРГАНИЗАЦИИ ПО ВОПРОСАМ КАДРОВОГО УЧЕТА - ЭТО ИСПОЛНЕНИЕ ОБЯЗАННОСТЕЙ!!! Читайте НПА по госслужбе и КОНСУЛЬТИРУЙТЕСЬ С ЮРИСТАМИ!!!
Игорь! Соглашусь с тем, что Ваше облако на моё не похоже, а моё на Ваше. Моё - винегрет, а Ваше клубок :)
Теперь комментарии с выдержками.
1. Специально выделяю наличие в ФЗ-152 термина ГИСПДн.
ФЗ-152.Ст.19 п."8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных."
2. См. выше. Тождество я не ставлю, я лишь говорю, что ВСЕ ГИСПДн являются ГИС и к ним применим 17 приказ.
3. НПА? ФЗ-149 не требует НПА. Он требует всего лишь ПА.
4. ФЗ-149, статья 13, п.1, пп.1. "государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;"
Заметьте, что ничто тут не указывает на необходимость наличия понятия ГИС в самом правовом документе органа власти. Ибо это буквоедство. Юристы это любят. Но оно виртуализует, отрывает Вас от жизни. Т.к. если речь о полномочиях, для которых создана ИС, то пойдите докажите, что это по факту не ГИС? А по факту это ГИС! А если еще она как ИСПДн зафиксирована в перечне ИСПДн, то это ГИСПДн. И защищаем по П17.
5. Это Ваше дело считать внутренний правовой документ Органа власти не документом, а просто справкой, записью, аналогичной исходящему письму. Этим Вы нарушаете ПП211, в котором четко сказано, что Вы должны принять ВНУТРЕННИЙ ПРАВОВОЙ ДОКУМЕНТ, а не письмо в Правительство РФ или Роскомнадзор написать.
6. Насчет полномочий Вы возможно правы лишь в том, что кадры и гражданская служба являются обязанностью любого органа власти. Как и обращения граждан, к примеру.
Но это лишь две из ИСПДн.
Чтобы не быть голословными, дайте, пожалуйста, определение "полномочий".
Ведь у меня на руках ряд положений по органам власти, в которых эти обязанности записаны в полномочия.
И что делать? Положение не верное? Их юристы не правее ваших?
Более того, мы проводили аудиты органов власти. В некоторых обнаруживается более 20 видов деятельности, в которых обрабатываются ПДн для разных целей. И в каждом есть ИСПДн! Единицы из них - как Вы говорите, обязанности, а 80% - для реализации полномочий.
Давайте подробно разберем работу с обращениями граждан. Это обязанность по ФЗ-59. Она есть у всех! Категории там часто специальные. Часто обращение идет не по адресу, а орган власти имеет право переадресовать его (полномочия?). Как Вы думаете по каким нормам эту ИСПДн нужно защищать? Там где полномочия (п17) или там где обязанности - (21 приказ).
Сергей, я не буду длить с Вами спор по простой причине - я более 13 лет проработал в органах власти и более 8 в области ИБ, включая более 3 лет в качестве аудитора и инженера по проектированию систем защиты информации в фирме интеграторе. Все что Вы пишите - это софистика, свойственная для всех интеграторов, пытающихся "кошмарить" госорганы. Я и сам так умею, причём не плохо ;) Вот только такая позиция не имеет реального юридического основания. Все что я пишу не один раз проверено в "боевых" условиях (защита интересов проверяемых РКН-ом, ФСТЭК и ФСБ, протесты в прокуратуру, и я всем контролирующими органам искренне признателен за бесценный опыт).
А Вам, как бывшим коллегам советую - будьте честны с заказчиками и юридически грамотный, только тогда с Вами будут работать долго и с удовольствием.
Игорь, а Вы ведь ни одной цитаты и ссылки не привели и на вопросы не ответили... ;( Софистика?
Путаете ПДн с ИСПДн, НПА и ПА...
В этом отразился значительный опыт!?
Вы видимо куда-то спешите. Не буду вас больше отвлекать!
С уважением.
Сергей
1) Вы не удосужились прочитать все мои сообщения в данной теме, иначе Вам не потребовались аргументы которые здесь уже приводились.
2) Госорганом могут издаваться как ПА так и НПА (в зависимости от полномочий того кто издает).
Консультируйтесь с юристами.
3)"Буквоедство" применительно к правовым понятиям и нормативным документам - это единственное, что отделяет нас от анархии в трактовках как со стороны интеграторов, так и со стороны контролирующих органов. Нет в правовом поле понятия "по факту", есть только "по закону".
4) То, что Вы восприняли техническую ошибку за мою не способность разделить понятия ИСПДн и ПДн дает Вашему "знанию" +100500 баллов!
5) Я никуда не спешу, но тратить время на Вашу софистику, основанную на целенаправленном (понимаю мотивы, сам работал в коммерции) искажении правовых понятий желания нет.
Засим все.
Удачи в бизнесе!
Игорь, заметьте, не я эти эмоции начал.
Но Вы не удосужились опровергнуть содержательно моё сообщение о принимаемых органом власти правовых документах согласно ПП 211.
Я по-прежнему продолжаю считать, что "Перечень ИСПДн" - это правовой документ органа власти, обязательный к принятию.
Удачи в делах!
С уважением.
Сергей Викторович, исходя из вышесказанного получается, что система электронного документооборота ФОИВ является ГИС, поскольку обеспечивает достижение иных установленных федеральными законами целей в соответствии со 149-фз?
Интересная дискуссия, перечитал дважды. Считаю нужным отметить замечание Ивана Иванова, о том, что нужно рассматривать оба признака: "федеральные и региональные" и "созданные на основании правовых актов". Почему-то признак "федеральные и региональные" напрочь проигнорирован всеми собеседниками.
Можно ли считать ИС региональной, если она используется в отделе кадров районного подразделения гос.органа и только для внутренних целей? На мой взгляд, нет.
Уважаемый EO, позвольте высказать предположение, что система электронного документооборота ФОИВ относится к ГИС, если является федеральной. При этом, само собой, она создана на основании внутреннего правового акта, например, приказа руководителя.
Отправить комментарий