среда, 18 февраля 2015 г.

Информационная система ГАУ - ГИС или не ГИС? - вот в чем вопрос

Государственные автономные учреждения (ГАУ) являются операторами персональных данных, а в соответствии с ФЗ-152 от 27.07.2006 г. "О персональных данных" эти данные необходимо защищать. Ключевой вопрос при организации системы защиты конфиденциальной информации в данном случае - "Каким приказом ФСТЭК руководствоваться: № 17 или № 21?". Напомню, приказ № 21 устанавливает требования к защите персональных данных (ПДн), обрабатываемых в информационных системах персональных данных (ИСПДн), а приказ № 17 устанавливает требования к защите информации, не составляющей государственную тайну, обрабатываемой в государственных информационных системах (ГИС), причем при обработке персональных данных приказ № 17 требует выполнения требований приказа № 21. Ответа на этот вопрос нет до сих пор, мало того что его нет у сотрудников госучреждений, так его нет даже у государственных органов власти, уполномоченных в сфере защиты информации.
Мнения разделились, одни говорят, что информационная система ГАУ - ГИС, так как, учреждение является государственным и вся вычислительная техника приобретена за счет государства. Другие говорят, что необходимо проверить зарегистрирована ли данная информационная система в реестре государственных информационных систем, а в 99,9% случаев - данной системы там нет, значит система не государственная.
Согласно ФЗ-149 "Об информации, информационных технологиях и о защите информации" ст. 13:
"Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов."
ст. 14:
"Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях."
Теперь обратимся к ФЗ-174 "Об автономных учреждениях":
"Автономным учреждением признается некоммерческая организация, созданная Российской Федерацией, субъектом Российской Федерации или муниципальным образованием для выполнения работ, оказания услуг в целях осуществления предусмотренных законодательством Российской Федерации полномочий органов государственной власти, полномочий органов местного самоуправления в сферах науки, образования, здравоохранения, культуры, средств массовой информации, социальной защиты, занятости населения, физической культуры и спорта, а также в иных сферах в случаях, установленных федеральными законами".
Можно ли сделать вывод из трех выше представленных выписок из законов о том, что информационная система, функционирующая в ГАУ, попадает под определение государственной - вопрос спорный. И даже если сами ГАУ определятся для себя с ответом на этот вопрос, не факт, что с этим ответом согласятся представители контролирующих органов в области защиты информации. Поэтому на сегодняшний день самым простым решением данного вопроса является официальный запрос руководителей ГАУ в контролирующие органы по защите информации, а именно в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций - уполномоченному органу по защите прав субъектов персональных данных, и Федеральную службу по техническому и экспортному контролю - Федеральному органу исполнительной власти, уполномоченному в области противодействия техническим разведкам и технической защиты информации, которые могут проводить проверки и которым, в случае чего, можно будет предоставить текст их официального ответа.

5 комментариев:

  1. Небольшая правка: приказ № 17 не требует выполнения требований приказа № 21. При обеспечении безопасности ПДн в ГИС в дополнение к требованиям из Приказа № 17 необходимо руководствоваться требованиями из постановления правительства № 1119.

    ОтветитьУдалить
  2. Все верно. Необходимо дополнительно применять требования, утвержденные постановлением правительства № 1119. А состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, установленных в требованиях, утвержденных этим постановлением, устанавливается приказом ФСТЭК № 21.

    ОтветитьУдалить
  3. В отношение ГИС 21 приказ применять не надо. Посмотрите разъяснение ФСТЭК по этому вопросу: Информационное сообщение от 15 июля 2013 г. № 240/22/2637 (п.2).

    ОтветитьУдалить
  4. Из информационного письма: "Учитывая, что меры по обеспечению безопасности персональных данных и порядок их выбора, установленные Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, аналогичны мерам защиты информации и порядку их выбора, установленным Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, для обеспечения безопасности персональных данных, обрабатываемых в государственных информационных системах, достаточно руководствоваться только Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17". Но если сравнить содержание мер двух приказов, то можно увидеть, что в приказе № 17 нет таких мер, как "Выявление инцидентов и реагирование на них (ИНЦ)" и "Управление конфигурацией информационной системы и системы защиты
    персональных данных (УКФ)", которые есть в приказе № 21 и которые, я считают тоже необходимо учитывать.

    ОтветитьУдалить
  5. Меры "Выявление инцидентов и реагирование на них (ИНЦ)" и "Управление конфигурацией информационной системы и системы защиты" присутствуют в 17 приказе (см. п. 18). Они просто прописаны по самому тексту приказа и не вынесены в таблицу в приложении.

    ОтветитьУдалить