Государственные информационные системы (ГИСы): практические вопросы защиты информации — СКБ Контур

Государственные информационные системы (ГИСы): практические вопросы защиты информации

Олег Нечеухин 18 февраля 2015

Взаимодействие с государством активно переводится в интернет. Это не только упрощает многие процессы, но и накладывает определенную ответственность на пользователей, так как большинство государственных информационных систем обрабатывает персональные данные.

5 комментариев
Часть 2 статьи 13 149-ФЗ «Если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.»
То есть, при подключении к ГИС, компания не становится оператором. И регламент подключения к ЕГИСЗ или АИСТ ГБД, например, не требуется аттестации системы. Применение сертифицированных средств – да. Но не аттестации.
На каком основании компания, подключающаяся к ГИС, становится оператором и должна аттестовать свою систему?
П
Компания подключающаяся к ГИС не становится оператором такой ГИС. ГИС аттестуется оператором. оператором является собственник ГИС, если иное не установлено нормативно-правовым актом Субъекта РФ или нормативно-правовым актом Российской Федерации. Оператор ГИС обязан аттестовать ГИС и разработать Регламент подключения к такой ГИС. В Регламенте Оператор указывает порядок подключения к ГИС и средства ТЗИ которые применяются в соответствии с аттестатом. Соответственно любая организация или частное лицо, которое осуществляет подключение к ГИС, должно соблюдать требования Регламента подключения к ГИС. Подключение к ГИС не является основанием считать лицо осуществившем подключение Оператором такой ГИС.
ЭИ
Эксперт Иб 18 февраля 2021
Павел, оператор ГИС в праве запросить у компании клиента как организована защита ПДн, аттестована ли система и вправе отказать в подключении клиента к ГИС. У вас теория у меня практика.
С
Семен 11 марта
А какой именно ГИС должен аттестовать клиент к ГИС в этом случае - как часть (сегмент) ГИС оператора или свою отдельную ГИС? Если ГИС оператора, то клиентское рабочее место должно быть частью общей ГИС и на него оператор должен предоставить проектное решение (что маловероятно), а если оператор скажет, что клиентское место не входит в состав ГИС то получается, что нужно создавать новую ГИС у клиента с учетом ПП676 и 17 ФСТЭК (что опять же для рабочего места где нибудь в ЖЭКе маловероятно).
Вопрос по сути - а как нужно?
А
Анон 10 июля
Раздел "Это ГИС. Что делать?"
Пункт "аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;"
ЧТО? ИСПДн? С чего бы? Может ИС, как написано в приказе?

Читайте также