Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все пр...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Виды информационных систем
•  Информационная система
...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Классификация информационных систем по ФЗ-149
•  Госу...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Что такое ГИС по закону?
•  Государственные информаци...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
3 цели создания и существования ГИС
1.  ИС обеспечива...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Что такое ГИС: позиция РАНХиГС
•  Все, что делается в...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Что такое ГИС: позиция РАНХиГС
•  Все, что делается в...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Что такое ГИС: позиция Минкомсвязи
•  Государственные...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Что такое ГИС: позиция Минкомсвязи
•  Частая отсылка ...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Почему ИС бухгалтерии не надо регистрировать?
•  ПП-...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Что такое ГИС: очередная версия
•  Любой госорган ос...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Что такое ГИС: еще две версии
•  К ГИС относятся «ин...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Что такое ГИС: немного практики
•  Согласно ПП-211 в...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
ГИС: краткое резюме
ГИС = создана в
государственном
...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Но для чего это все?
•  Многие государственные и мун...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Не 17-й приказ является главенствующим, а ФЗ-149
ФЗ-...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Другие требования для госорганов
•  Указ Президента ...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
ИС, подключаемые к инфраструктуре госуслуг
•  Информ...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
ИС общего пользования
•  Постановление Правительства...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
ИС общего пользования по версии Минкомсвязи
•  Требо...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
ИС общего пользования по версии Минкомсвязи
•  В зав...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
ИС общего пользования по версии ФСТЭК и ФСБ
•  Требо...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
ИС общего пользования по версии ФСТЭК и ФСБ
•  Инфор...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
ИС общего пользования: текущие сложности
Минкомсвязи...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
ИС открытых данных
•  Требования к средствам, необхо...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
ИС сайтов ФОИВ
•  Требования к средствам, необходимы...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Поправки в ФЗ-149 о техсредствах ГИС
•  Технические ...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
ИС для информирования о деятельности ФОИВ
•  Требова...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Резюме
•  В РФ существует множество различных класси...
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
Благодарю
за внимание
Upcoming SlideShare
Loading in …5
×

Что такое государственная информационная система?

Что такое государственная информационная система?

Что такое государственная информационная система?

  1. 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Что такое государственная информационная система? Алексей Лукацкий Бизнес-консультант по безопасности 22 January 2015
  2. 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Виды информационных систем •  Информационная система Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств •  Существуют разные классификации информационных систем ФЗ-149 Приказ ФСТЭК №17 РД ФСТЭК по автоматизированным системам (1Г, 2Б и т.д) РД ФСТЭК по ключевым система информационной инфраструктуры Постановление Правительства №1119 Совместный приказ ФСБ РФ и ФСТЭК РФ №416/489 от 31.08.2010 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования"
  3. 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Классификация информационных систем по ФЗ-149 •  Государственные информационные системы Федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов •  Муниципальные информационные системы Созданы на основании решения органа местного самоуправления Установленные требования к государственным информационным системам распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством РФ о местном самоуправлении •  Иные информационные системы
  4. 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Что такое ГИС по закону? •  Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов п.1 ст.13 149-ФЗ •  Муниципальные информационные системы, созданные на основании решения органа местного самоуправления п.1 ст.14 149-ФЗ •  Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях п.1 ст. 14 149-ФЗ
  5. 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 3 цели создания и существования ГИС 1.  ИС обеспечивает реализацию полномочий 2.  ИС обеспечивает информационный обмен между госорганами 3.  ИС обеспечивает достижение иных установленных федеральными законами целей
  6. 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Что такое ГИС: позиция РАНХиГС •  Все, что делается в государственном органе (поскольку вся его деятельность - суть публичная сфера правоотношений), делается в силу закона Иная деятельность по определению незаконна (публичному органу запрещено все, что прямо не предписано законодательством) Ведение бухгалтерии (кадрового учета и др.), вообще - любая иная обеспечивающая деятельность осуществляется также только в силу требований тех или иных законов То, что такого рода деятельность прямо не описана в Положении о том или ином ведомстве, фактор неспецифический Ведомства реализуют множество полномочий, которыми их наделили вне Положений (например, федеральными законами и указами президента)
  7. 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Что такое ГИС: позиция РАНХиГС •  Все, что делается в государственном органе (поскольку вся его деятельность - суть публичная сфера правоотношений), делается в силу закона Отсутствие тех или иных полномочий в положении о госоргане дело, конечно, «неопрятное», но, если они проистекают из законодательства, они все равно полномочия •  Тем самым, ИС бухгалтерии госоргана создается На основании закона (общего для любой организации в стране) На основании правового акта госоргана (вводится в эксплуатацию приказом, скорее всего, министра) Она нужна для реализации полномочий госоргана («нужна» = без нее невозможно реализовать иные полномочия ведомства)
  8. 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Что такое ГИС: позиция Минкомсвязи •  Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов Обратите внимание, не нормативных, а правовых актов, т.е. на основании любого правомочного решения государственного органа, например, обычного приказа или решения/протокола совещания Такое правомочное решение может принять не орган исполнительной власти, не орган власти вообще, а любой обычный государственный орган
  9. 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Что такое ГИС: позиция Минкомсвязи •  Частая отсылка к ПП-723 о регистрации отдельных видов ГИС имеет отношение не ко всем ГИС, а только к некоторым из них По мнению Минкомсвязи ПП-723 обязательно только для ФОИВов и только для ГИС, предназначенных для оказания государственных функций или предоставления государственных услуг При этом отсутствие регистрации не меняет статус незарегистрированной ГИС, как государственной •  Иными словами, наличие обычного приказа о вводе в эксплуатацию информационной системы в госоргане делает ее государственной, а в муниципальном учреждении – муниципальной И никакая регистрация для этого не требуется (исключая федеральные ГИС определенных типов)
  10. 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Почему ИС бухгалтерии не надо регистрировать? •  ПП-723 ограничивает свою юрисдикцию только ГИС, которые предназначены для оказания госуслуг •  Регистрация осуществляется в целях организации доступа граждан и организаций, органов государственной власти и органов местного самоуправления к информации об эксплуатируемых федеральных государственных информационных системах, в том числе о составе содержащейся в них информации, информационных технологиях и технических средствах, обеспечивающих обработку информации п.4 ПП-723 •  ИС бухгалтерии не попадает в перечень ИС, которые надо регистрировать, т.к. она создается не для оказания госуслуг Но создается на основании правового акта госоргана
  11. 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Что такое ГИС: очередная версия •  Любой госорган осуществляет свою деятельность на основании Положения о нем В этом положении, как правило, прописывается структура, в том числе кадры и т.п. Это структурное подразделение госоргана и неотрывно от него •  Госорган выполняет ряд функций в обеспечение всей деятельности В том числе обеспечивает соблюдение трудового законодательства при реализации правовых отношений со своими сотрудниками Это как раз и есть та самая «иная установленная федеральным законом цель» (ст 14 ФЗ-149) •  Следовательно ИС «Кадры», впрочем как и ИС «Бухгалтерия» в госоргане - ГИС
  12. 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Что такое ГИС: еще две версии •  К ГИС относятся «информационные системы, создаваемые и приобретаемые за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов» Постановление Правительства РФ от 26.06.2012 №644 •  «Государственные информационные системы - федеральные информационные системы и региональные информационные системы…» Важен масштаб ИС è ИС бухгалтерии или ИС кадров не является ГИС
  13. 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Что такое ГИС: немного практики •  Согласно ПП-211 все государственные органы власти и муниципальные учреждения должны принять внутренний правовой документ под названием «Перечень информационных систем персональных данных» Этот документ в обязательном порядке смотрит РКН при надзоре •  Данный перечень является правовым актом, содержащим список ИС госоргана •  Все системы в нем - ГИС!
  14. 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 ГИС: краткое резюме ГИС = создана в государственном органе ГИС = есть приказ о ее создании (вводе в эксплуатацию) ГИС = зарегистрирована в реестре
  15. 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Но для чего это все? •  Многие государственные и муниципальные органы стараются уйти от обнаружения у себя ГИС с целью невыполнения 17-го приказа ФСТЭК Для ПДн/ИСПДн есть более «демократичный» 21-й приказ ФСТЭК Но как тогда защищать конфиденциальную информацию? Особенность Приказ по защите ПДн Приказ по защите ГИС/МИС Оценка соответствия В любой форме (нечеткость формулировки и непонятное ПП-330) Только сертификация Аттестация Коммерческий оператор - на выбор оператора Госоператор - аттестация Обязательна Контроль и надзор Прокуратура – все ФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн) ФСТЭК
  16. 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Не 17-й приказ является главенствующим, а ФЗ-149 ФЗ-149 Постановления Правительства РФ НПА Минкомсвязи НПА Минэкономразвития НПА ФСО НПА ФСТЭК НПА ФСБ НПА … •  Требование защиты определяется ФЗ-149, во исполнение которого разрабатываются подзаконные акты – Постановления Правительства, приказы Минкомсвязи, Минэкономразвития, ФСТЭК, ФСО, ФСБ и т.п. •  Отдельные требования к информационным системам госорганов и обрабатываемой в них информации устанавливаются иными законами, а также указами Президента
  17. 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Другие требования для госорганов •  Указ Президента РФ от 17 марта 2008 № 351 «О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» •  Постановление Правительства РФ от 18 мая 2009 года № 424 «Об особенностях подключения федеральных государственных систем к информационно-телекоммуникационным сетям» •  Приказ Минкомсвязи от 9 декабря 2013 № 390 «Об утверждении требований к информационным системам организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» •  Приказ Минкомсвязи от 27 июня 2013 № 149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования» •  Совместный приказ ФСБ и ФСТЭК от 31 августа 2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования» •  Приказ Минкомсвязи от 25 августа 2009 № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования» •  Приказ Минэкономразвития от 16 ноября 2009 № 470 «О Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти» •  Приказ ФСО от 07 августа 2009 № 487 «Об утверждении Положения о сегменте информационно-телекоммуникационной сети «Интернет» для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации»
  18. 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 ИС, подключаемые к инфраструктуре госуслуг •  Информационные системы организаций, подключаемых к инфраструктуре, обеспечивающей информационно- технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме •  Приказ Минкомсвязи от 9 декабря 2013 г. №390 •  Приравнены к ГИС по 17-му приказу, но имеют особые требования по сертификации средств защиты информации в ФСБ
  19. 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 ИС общего пользования •  Постановление Правительства от 18 мая 2009 г. №424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям» Минкомсвязь ФСБ/ФСТЭК
  20. 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 ИС общего пользования по версии Минкомсвязи •  Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети «Интернет», утвержденном постановлением Правительства Российской Федерации от 12 февраля 2003 года №98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» Приказ Минкомсвязи от 25 августа 2009 года №104 “Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»
  21. 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 ИС общего пользования по версии Минкомсвязи •  В зависимости от значимости информационные системы общего пользования разделяются на два класса К классу I относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам К классу II относятся информационные системы общего пользования федеральных органов исполнительной власти, за исключением перечисленных в подпункте 9.1 •  Приравнены к ГИС по 17-му приказу + описаны отдельные требования по безопасности + Особые требования по сертификации СрЗИ в ФСБ
  22. 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 ИС общего пользования по версии ФСТЭК и ФСБ •  Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно- телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»
  23. 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 ИС общего пользования по версии ФСТЭК и ФСБ •  Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти Ко II классу относятся информационные системы общего пользования, не указанные в предыдущем подпункте
  24. 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 ИС общего пользования: текущие сложности Минкомсвязи •  ГИС è приказ №17 •  2 класса ИСОП •  Есть дополнительные к 17- му приказу требования, но мало •  Требования по сертификации отдельных средств защиты в ФСБ ФСТЭК / ФСБ •  ГИС è приказ №17 •  2 класса ИСОП (отличных от Минкомсвязи) •  Есть дополнительные к 17- му приказу требования •  Требования по сертификации большинства средств защиты в ФСБ
  25. 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 ИС открытых данных •  Требования к средствам, необходимым для размещения открытых данных Приказ Минкомсвязи России от 27.06.2013 №149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования» •  Распространяются на госорганы и органы местного самоуправления •  Требования по безопасности ИСОП по приказу Минкомсвязи №104 и ФСБ/ФСТЭК №416/489 + некоторые дополнительные требования по защите информации
  26. 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 ИС сайтов ФОИВ •  Требования к средствам, необходимым для обеспечения пользования сайтами ФОИВ Приказ Минэкономразвития России от 16.11.2009 №470 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, обеспечения пользования официальными сайтами федеральных органов исполнительной власти» •  Требования по безопасности ИСОП по приказу Минкомсвязи №104 и ФСБ/ФСТЭК №416/489
  27. 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Поправки в ФЗ-149 о техсредствах ГИС •  Технические средства государственных информационных систем, включая официальные сайты ФОИВ, должны размещаться на территории РФ
  28. 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 ИС для информирования о деятельности ФОИВ •  Требования распространяются на информационные системы, предназначенные для информирования общественности о деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации (ИСИОД) Проект Постановления Правительства •  ИСИОД, в зависимости от значимости содержащейся в них информации, разделяются на 3 класса: I, II, III
  29. 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 Резюме •  В РФ существует множество различных классификаций информационных систем Особенно для государственных органов и органов местного самоуправления •  В вопросе отнесения информационных систем госорганов к ГИС до сих пор остаются неясные моменты Несмотря на это существуют нормативные акты, не использующие понятия ГИС, но прямо отсылающие к требованиям ФСТЭК по защите информации •  Требования по безопасности прописаны преимущественно в ПП-424 и приказе ФСТЭК №17 Возможны и иные требования, специфичные для отдельных видов информационных систем
  30. 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 Благодарю за внимание

×