Государственные информационные системы (ГИСы): практические вопросы защиты информации

Олег Нечеухин 18 февраля 2015

Взаимодействие с государством активно переводится в интернет. Это не только упрощает многие процессы, но и накладывает определенную ответственность на пользователей, так как большинство государственных информационных систем обрабатывает персональные данные.

3 комментария
Часть 2 статьи 13 149-ФЗ «Если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.»
То есть, при подключении к ГИС, компания не становится оператором. И регламент подключения к ЕГИСЗ или АИСТ ГБД, например, не требуется аттестации системы. Применение сертифицированных средств – да. Но не аттестации.
На каком основании компания, подключающаяся к ГИС, становится оператором и должна аттестовать свою систему?
П
Компания подключающаяся к ГИС не становится оператором такой ГИС. ГИС аттестуется оператором. оператором является собственник ГИС, если иное не установлено нормативно-правовым актом Субъекта РФ или нормативно-правовым актом Российской Федерации. Оператор ГИС обязан аттестовать ГИС и разработать Регламент подключения к такой ГИС. В Регламенте Оператор указывает порядок подключения к ГИС и средства ТЗИ которые применяются в соответствии с аттестатом. Соответственно любая организация или частное лицо, которое осуществляет подключение к ГИС, должно соблюдать требования Регламента подключения к ГИС. Подключение к ГИС не является основанием считать лицо осуществившем подключение Оператором такой ГИС.
ЭИ
Эксперт Иб 18 февраля
Павел, оператор ГИС в праве запросить у компании клиента как организована защита ПДн, аттестована ли система и вправе отказать в подключении клиента к ГИС. У вас теория у меня практика.

Читайте также