пятница, 12 июля 2013 г.

Негосударственные организации и 17 приказ ФСТЭК (на примере ВУЗов и ФИС ЕГЭ и Приема)

В свете скорого вступления в силу 17-го приказа ФСТЭК, утверждающего требования о защите информации в ГИСах, у нас с коллегами  возникло обсуждение о защите информации в негосударственных ВУЗах, которые осуществляют подключение к ГИС "ФИС ЕГЭ и Приема", который присутствует в Реестре федеральных государственных информационных систем и однозначно подпадает под действие 17-го приказа.

В комплекте документов по подключению к ФИС ЕГЭ есть документ "Технические условия для подключения к ЗКСПД ФГБУ ФЦТ". В этом документе рассматриваются три варианта подключения к ФИС ЕГЭ, но все они сводятся к тому, что в ВУЗе есть некая автоматизированная (информационная) система, которая сопрягается с ФИС ЕГЭ.
То, что АС ВУЗа должна быть защищена в соответствии с требованиями к ИСПДн по действовавшими на момент их создания требованиям, вопросов не вызывает. Основной вопрос - подпадает ли такая АС под действие 17-го приказа.

В 17-ом приказе указано:
3. Настоящие Требования являются обязательными при обработке
информации в государственных информационных системах
,
функционирующих на территории Российской Федерации, а также в
муниципальных информационных системах, если иное не установлено
законодательством Российской Федерации о местном самоуправлении.
 
Можно ли ВУЗ, который ведет обработку информации в ГИС, но из своей собственной АС, принудить к выполнению 17-го приказа на основании данного пункта? На мой взгляд, вопрос открытый и не имеет однозначного ответа.
По моему мнению, решить этот вопрос могут только корректировки технических условиях для подключения к ГИС, в которых прямо будет прописана необходимость выполнения требований 17-го приказа или отсутствие такой необходимости.
Я порекомендовал выполнять требования 17-го приказа в случае наличия финансовой возможности, и это не противоречит самому приказу:
6. По решению обладателя информации (заказчика) или оператора
настоящие Требования могут применяться для защиты информации,
содержащейся в негосударственных информационных системах.
Кроме того, как я уже упомянул, в данных АС обрабатываются персональные данные и, в любом случае, необходимо обеспечение защиты по требованиям 21-го приказа ФСТЭК (для создаваемых и модифицируемых АС), а выполнение требований 17-го приказа обеспечивают необходимый уровень защищенности ИСПДн (в соответствии с п. 27 17-го приказа).

Хотелось бы услышать мнение коллег и экспертов, как вы думаете, нужно ли выполнять требования 17-го приказа для самостоятельных АС, сопрягающихся с ГИС и обрабатывающих информацию из ГИС?

3 комментария:

  1. Я бы рекомендовал выполнять требования Приказа 17. Свое мнение по этому поводу уже писал http://80na20.blogspot.ru/2013/07/17-1.html

    ОтветитьУдалить
    Ответы
    1. Ваша статья прекрасна и лежит у меня в избранных, но там вы давали рекомендацию для всех гос.органов, а тут речь о негосах, но работающих с ГИС.

      Удалить
    2. Тут смотри какое дело: с точки зрения буквы закона им не надо выполнять требования Приказа 17. А вот для снижения риска негативных последствий со стороны регуляторов, я бы рекомендовал ориентироваться на его положения... Например, могут тупо отрубить доступ...

      Удалить