Документ описывает концепцию информационных систем (ИС) и их классификацию, основываясь на российском законодательстве. Он детализирует различные виды ИС, такие как государственные и муниципальные, а также определяет требования к их созданию, регистрации и защите информации. Также рассматриваются аспекты функционирования информационных систем общего пользования и их классификация в соответствии с правовыми актами.

1. Что такое информационная система?
Лукацкий Алексей, консультант по безопасности

2. ОБЪЕКТ ЗАЩИТЫ –
ИНФОРМАЦИОННАЯ
СИСТЕМА

3. Виды информационных систем
• Информационная система
– Совокупность содержащейся в базах данных информации и
обеспечивающих ее обработку информационных технологий и
технических средств
• Существуют разные классификации информационных систем
– ФЗ-149
– Приказ ФСТЭК №17
– РД ФСТЭК по автоматизированным системам (1Г, 2Б и т.д)
– РД ФСТЭК по ключевым система информационной
инфраструктуры
– Постановление Правительства №1119
– Совместный приказ ФСБ РФ и ФСТЭК РФ №416/489 от
31.08.2010 "Об утверждении Требований о защите информации,
содержащейся в информационных системах общего
пользования"

4. Классификация информационных систем по ФЗ-149
• Государственные информационные системы
– Федеральные информационные системы и региональные
информационные системы, созданные на основании
соответственно федеральных законов, законов субъектов
Российской Федерации, на основании правовых актов
государственных органов
• Муниципальные информационные системы
– Созданы на основании решения органа местного
самоуправления
– Установленные требования к государственным информационным
системам распространяются на муниципальные
информационные системы, если иное не предусмотрено
законодательством РФ о местном самоуправлении
• Иные информационные системы

5. Что такое ГИС по закону?
• Государственные информационные системы - федеральные
информационные системы и региональные информационные
системы, созданные на основании соответственно федеральных
законов, законов субъектов Российской Федерации, на основании
правовых актов государственных органов
– п.1 ст.13 149-ФЗ
• Муниципальные информационные системы, созданные на
основании решения органа местного самоуправления
– п.1 ст.14 149-ФЗ
• Государственные информационные системы создаются в целях
реализации полномочий государственных органов и обеспечения
обмена информацией между этими органами, а также в иных
установленных федеральными законами целях
– п.1 ст. 14 149-ФЗ

6. 3 условия существования ГИС
1. ИС обеспечивает реализацию полномочий
2. ИС обеспечивает информационный обмен между госорганами
3. ИС обеспечивает достижение иных установленных
федеральными законами целей

7. Что такое ГИС: позиция РАНХиГС
• Все, что делается в государственном органе (поскольку вся его
деятельность - суть публичная сфера правоотношений),
делается в силу закона
– Иная деятельность по определению незаконна (публичному
органу запрещено все, что прямо не предписано
законодательством)
– Ведение бухгалтерии (кадрового учета и др.), вообще - любая
иная обеспечивающая деятельность осуществляется также
только в силу требований тех или иных законов
– То, что такого рода деятельность прямо не описана в Положении
о том или ином ведомстве, фактор неспецифический
– Ведомства реализуют множество полномочий, которыми их
наделили вне Положений (например, федеральными законами и
указами президента)

8. Что такое ГИС: позиция РАНХиГС
• Все, что делается в государственном органе (поскольку вся его
деятельность - суть публичная сфера правоотношений),
делается в силу закона
– Отсутствие тех или иных полномочий в Положении дело,
конечно, "неопрятное", но, если они проистекают из
законодательства, они все равно полномочия
• Тем самым, ИС бухгалтерии госоргана создается
– на основании закона (общего для любой организации в стране)
– на основании правового акта госоргана (вводится в эксплуатацию
приказом, скорее всего, министра)
– она нужна для реализации полномочий госоргана ("нужна" = без
нее невозможно реализовать иные полномочия ведомства)

9. Что такое ГИС: позиция Минкомсвязи
• Государственные информационные системы - федеральные
информационные системы и региональные информационные
системы, созданные на основании соответственно федеральных
законов, законов субъектов Российской Федерации, на основании
правовых актов государственных органов
– Обратите внимание, не нормативных, а правовых актов, т.е. на
основании любого правомочного решения государственного
органа, например, обычного приказа или решения/протокола
совещания
– Такое правомочное решение может принять не орган
исполнительной власти, не орган власти вообще, а любой
обычный государственный орган

10. Что такое ГИС: позиция Минкомсвязи
• Частая отсылка к ПП-723 о регистрации отдельных видов ГИС
имеет отношение не ко всем ГИС, а только к некоторым из них.
– По мнению Минкомсвязи ПП-723 обязательно только для
ФОИВов и только для ГИС, предназначенных для оказания
государственных функций или предоставления государственных
услуг
– При этом отсутствие регистрации не меняет статус
незарегистрированной ГИС, как государственной
• Иными словами, наличие обычного приказа о вводе в
эксплуатацию информационной системы в госоргане делает ее
государственной, а в муниципальном учреждении –
муниципальной
– И никакая регистрация для этого не требуется (исключая
федеральные ГИС определенных типов)

11. Почему ИС бухгалтерии не надо регистрировать в
реестре?
• ПП-723 ограничивает свою юрисдикцию только ГИС, которые
предназначены для оказания госуслуг
• Регистрация осуществляется в целях организации доступа
граждан и организаций, органов государственной власти и
органов местного самоуправления к информации об
эксплуатируемых федеральных государственных
информационных системах, в том числе о составе содержащейся
в них информации, информационных технологиях и технических
средствах, обеспечивающих обработку информации
– п.4 ПП-723
• ИС бухгалтерии не попадает в перечень ИС, которые надо
регистрировать, т.к. она создается не для оказания госуслуг
– Но создается на основании правового акта госоргана

12. Что такое ГИС: очередная версия
• Любой госорган осуществляет свою деятельность на основании
Положения о нем
– В этом положении, как правило, прописывается структура, в том
числе кадры и т.п.
– Это структурное подразделение госоргана и неотрывно от него
• Госорган выполняет ряд функций в обеспечение всей
деятельности
– В том числе обеспечивает соблюдение трудового
законодательства при реализации правовых отношений со
своими сотрудниками
– Это как раз и есть та самая «иная установленная федеральным
законом цель» (ст 14 ФЗ-149)
• Следовательно ИС «Кадры», впрочем как и ИС «Бухгалтерия»" в
госоргане - ГИС

13. Что такое ГИС: еще две версии
• К ГИС относятся «информационные системы, создаваемые и
приобретаемые за счет средств федерального бюджета и
бюджетов государственных внебюджетных фондов»
– Постановление Правительства РФ от 26.06.2012 №644
• «Государственные информационные системы - федеральные
информационные системы и региональные информационные
системы…»
– Важен масштаб ИС è ИС бухгалтерии или ИС кадров не
является ГИС

14. Что такое ГИС: немного практики
• Согласно ПП-211 все государственные органы власти и
муниципальные учреждения должны принять внутренний
правовой документ под названием «Перечень информационных
систем персональных данных»
– Этот документ в обязательном порядке смотрит РКН при надзоре
• Данный перечень является правовым актом, содержащим список
ИС госоргана
• Все системы в нем - ГИС!

15. ГИС: краткое резюме
ГИС = создана в
государственном
органе
ГИС = есть
приказ о ее
создании (вводе в
эксплуатацию)
ГИС =
зарегистрирована
в реестре

16. Классификация информационных систем по приказу
ФСТЭК №17
• Информационная система имеет федеральный масштаб, если
она функционирует на территории РФ (в пределах федерального
округа) и имеет сегменты в субъектах Российской Федерации,
муниципальных образованиях и (или) организациях.
• Информационная система имеет региональный масштаб, если
она функционирует на территории субъекта РФ и имеет сегменты
в одном или нескольких муниципальных образованиях и (или)
подведомственных и иных организациях.
• Информационная система имеет объектовый масштаб, если она
функционирует на объектах одного федерального органа
государственной власти, органа государственной власти
субъекта РФ, муниципального образования и (или) организации и
не имеет сегментов в территориальных органах,
представительствах, филиалах, подведомственных и иных
организациях

17. ИС, подключаемые к инфраструктуре госуслуг
• Информационные системы организаций,
подключаемых к инфраструктуре,
обеспечивающей информационно-
технологическое взаимодействие
информационных систем, используемых
для предоставления государственных и
муниципальных услуг в электронной
форме
• Приказ Минкомсвязи от 9 декабря 2013
г. №390
• Приравнены к ГИС по 17-му приказу, но
имеют особые требования по
сертификации средств защиты
информации в ФСБ

18. ИС общего пользования
• Постановление Правительства от 18 мая 2009 г. №424 «Об
особенностях подключения федеральных государственных
информационных систем к информационно-
телекоммуникационным сетям»
Минкомсвязь
ФСБ/ФСТЭК

19. ИС общего пользования по версии Минкомсвязи
• Требования распространяются на федеральные государственные
информационные системы, созданные или используемые в целях
реализации полномочий федеральных органов исполнительной
власти и содержащие сведения, указанные в перечне сведений о
деятельности Правительства Российской Федерации и
федеральных органов исполнительной власти, обязательных для
размещения в информационно-телекоммуникационной сети
«Интернет», утвержденном постановлением Правительства
Российской Федерации от 12 февраля 2003 года №98 «Об
обеспечении доступа к информации о деятельности
Правительства Российской Федерации и федеральных органов
исполнительной власти»
– Приказ Минкомсвязи от 25 августа 2009 года №104 “Об
утверждении Требований по обеспечению целостности,
устойчивости функционирования и безопасности
информационных систем общего пользования»

20. ИС общего пользования по версии Минкомсвязи
• В зависимости от значимости информационные системы общего
пользования разделяются на два класса
– К классу I относятся информационные системы общего
пользования: Правительства Российской Федерации,
федеральных министерств, федеральных служб и федеральных
агентств, руководство деятельностью которых осуществляет
Президент Российской Федерации, федеральных служб и
федеральных агентств, подведомственных этим федеральным
министерствам
– К классу II относятся информационные системы общего
пользования федеральных органов исполнительной власти, за
исключением перечисленных в подпункте 9.1
• Приравнены к ГИС по 17-му приказу + описаны отдельные
требования по безопасности
– + Особые требования по сертификации СрЗИ в ФСБ

21. ИС общего пользования по версии ФСТЭК и ФСБ
• Требования распространяются на федеральные государственные
информационные системы, созданные или используемые в целях
реализации полномочий федеральных органов исполнительной
власти и содержащие сведения о деятельности Правительства
Российской Федерации и федеральных органов исполнительной
власти, обязательные для размещения в информационно-
телекоммуникационной сети Интернет, определяемые
Правительством Российской Федерации
– Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 «Об
утверждении о защите информации, содержащейся в
информационных системах общего пользования»

22. ИС общего пользования по версии ФСТЭК и ФСБ
• Информационные системы общего пользования в зависимости от
значимости содержащейся в них информации и требований к ее
защите разделяются на два класса.
– К I классу относятся информационные системы общего
пользования Правительства Российской Федерации и иные
информационные системы общего пользования в случае, если
нарушение целостности и доступности информации,
содержащейся в них, может привести к возникновению угроз
безопасности Российской Федерации. Отнесение
информационных систем общего пользования к I классу
проводится по решению руководителя соответствующего
федерального органа исполнительной власти
– Ко II классу относятся информационные системы общего
пользования, не указанные в предыдущем подпункте

23. ИС общего пользования: текущие сложности
Минкомсвязи
• ГИС è приказ №17
• 2 класса ИСОП
• Есть дополнительные к
17-му приказу
требования, но мало
• Требования по
сертификации
отдельных средств
защиты в ФСБ
ФСТЭК / ФСБ
• ГИС è приказ №17
• 2 класса ИСОП
(отличных от
Минкомсвязи)
• Есть дополнительные к
17-му приказу
требования
• Требования по
сертификации
большинства средств
защиты в ФСБ

24. ИС открытых данных
• Требования к средствам, необходимым для размещения
открытых данных
– Приказ Минкомсвязи России от 27.06.2013 №149 «Об
утверждении Требований к технологическим, программным и
лингвистическим средствам, необходимым для размещения
информации государственными органами и органами местного
самоуправления в сети «Интернет» в форме открытых данных, а
также для обеспечения ее использования»
• Распространяются на госорганы и органы местного
самоуправления
– Не является информационной системой
• Требования по безопасности ИСОП по приказу Минкомсвязи
№104 и ФСБ/ФСТЭК №416/489
– + некоторые дополнительные требования по защите информации

25. ИС сайтов ФОИВ
• Требования к средствам,
необходимым для обеспечения
пользования сайтами ФОИВ
– Приказ Минэкономразвития России
от 16.11.2009 №470 «Об
утверждении Требований к
технологическим, программным и
лингвистическим средствам,
обеспечения пользования
официальными сайтами
федеральных органов
исполнительной власти»
• Требования по безопасности ИСОП
по приказу Минкомсвязи №104 и ФСБ/
ФСТЭК №416/489

26. Проект ФЗ по сайтам ФОИВ
• Технические средства
государственных информационных
систем, включая официальные сайты
ФОИВ, должны соответствовать
требованиям ФЗ о техническом
регулировании и размещаться на
территории РФ

27. ИС для информирования о деятельности ФОИВ
• Требования распространяются на
информационные системы,
предназначенные для
информирования общественности
о деятельности федеральных
органов государственной власти и
органов государственной власти
субъектов Российской Федерации
(ИСИОД)
– Проект Постановления
Правительства
• ИСИОД, в зависимости от
значимости содержащейся в них
информации, разделяются на 3
класса: I, II, III

28. ИС для информирования о деятельности ФОИВ
I класс
• ИСИОД Президента Российской
Федерации;
• ИСИОД Администрации Президента
Российской Федерации;
• ИСИОД Председателя Правительства
Российской Федерации;
• ИСИОД Правительства Российской
Федерации;
• ИСИОД Федерального Собрания
Российской Федерации;
• ИСИОД Судебной власти Российской
Федерации (ИСИОД Конституционного
Суда Российской Федерации, ИСИОД
Верховного Суда Российской
Федерации, ИСИОД Высшего
Арбитражного Суда Российской
Федерации);
• ИСИОД Совета Безопасности
Российской Федерации;
• ИСИОД Генеральной прокуратуры
Российской Федерации;
• ИСИОД Федеральной службы
безопасности Российской Федерации;
• ИСИОД Федеральной службы охраны
Российской Федерации;
• ИСИОД Службы внешней разведки
Российской Федерации
II класс
• ИСИОД Счетной палаты Российской
Федерации;
• ИСИОД Уполномоченного по правам
человека в Российской Федерации;
• ИСИОД Центральной избирательной
комиссии Российской Федерации;
• ИСИОД федеральных органов
исполнительной власти, за
исключением перечисленных в пункте
2.1
III класс
• ИСИОД органов государственной
власти субъектов Российской
Федерации

29. Отнесение систем к КСИИ
• КСИИ делятся на группы
– Системы сбора открытой информации, на основании которой
принимаются управленческие решения
– Системы хранения открытой информации
– Системы управления СМИ
– Системы управления критически важным объектом
• Уровень важности КСИИ определяется в соответствии с
«Системой признаков критически важных объектов и критериев
отнесения функционирующих в их составе информационно-
телекоммуникационных систем к числу защищаемых от
деструктивных информационных воздействий», утвержденной
Секретарем Совета Безопасности 08.11.2005

30. Отнесение систем к КСИИ
• КСИИ делятся на группы
– Системы сбора открытой информации, на основании которой
принимаются управленческие решения
– Системы хранения открытой информации
– Системы управления СМИ
– Системы управления критически важным объектом
• Требования по обеспечению безопасности информации в КСИИ
отличаются в зависимости от их типа и между собой не
пересекаются (!!!)
– 1-й тип – системы сбора и хранения открытой информации, а
также системы управления СМИ
– 2-й тип – системы управления критически важными объектами

31. АСУ ТП – это подмножество КСИИ
• Ключевая (критически важная) система информационной
инфраструктуры – информационно-управляющая или
информационно-телекоммуникационная система, которая
осуществляет управление КВО (процессом), или
информационное обеспечение таким объектом (процессом), или
официальное информирование граждан и в результате
деструктивных действий на которую может сложиться
чрезвычайная ситуация или будут нарушены выполняемые
системой функции управления со значительными негативными
последствиями
• Автоматизированная система управления производственными и
технологическими процессами КВО инфраструктуры РФ –
комплекс аппаратных и программных средств, информационных
систем и информационно-телекоммуникационных сетей,
предназначенных для решения задач оперативного управления и
контроля за различными процессами и техническими объектами в
рамках организации производства или технологического
процесса КВО

32. Класс ИСПДн или уровень защищенности?
Старый ФЗ
• Класс ИСПДн
определяется в
зависимости от
объема и типа ПДн
• Класс и модель
угроз определяют
защитные меры
• Класс определяется
оператором
Новый ФЗ
• Понятие
«классификации»
отсутствует
• Вводится понятие
«уровень
защищенности»
• Зависит от угроз
• Определяются
Правительством РФ

33. Приказ трех больше не действует
• «Приказ трех» формально не
действует с 01.11.2012
– Согласно нормам правам
• ФСТЭК специально
разработала проект приказа о
недействительности «приказа
трех»
– Утвержден 31 декабря 2013
года – №151/786/461
– Подписан руководителями
ФСТЭК, ФСБ и Минкомсвязи

34. Кто классифицирует сложную ИС, включая ИСПДн?
• Классификация информационных систем проводится
владельцами ИС
• Как классифицировать ИС, если
– Технические средства находятся во владении одного лица,
например, у хостинг-провайдера
– Прикладное ПО находится во владении второго лица, например,
у финансовой компании
– Защищаемая информация находятся во владении третьего лица,
например, у субъекта ПДн или обработчика ПДн
• Кто определяет цели, тот и классифицирует!

35. Границы ИС определяете вы самостоятельно!

36. Резюме
• В РФ существует множество различных классификаций
информационных систем
– Особенно для государственных органов и органов местного
самоуправления
• В вопросе отнесения информационных систем госорганов к ГИС
до сих пор остаются неясные моменты
• Требования по безопасности прописаны преимущественно в
ПП-424 и приказе ФСТЭК №17
– Возможны и иные требования, специфичные для отдельных
видов информационных систем

37. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 37
Благодарю вас
за внимание
security-request@cisco.com