В свете скорого вступления в силу 17-го приказа ФСТЭК, утверждающего требования о защите информации в ГИСах, у нас
с коллегами
возникло обсуждение о защите информации в негосударственных ВУЗах, которые осуществляют подключение к ГИС "ФИС ЕГЭ и Приема", который присутствует в Реестре федеральных государственных информационных систем и однозначно подпадает под действие 17-го приказа.
В комплекте документов по подключению к ФИС ЕГЭ есть документ "Технические условия для подключения к ЗКСПД ФГБУ ФЦТ". В этом документе рассматриваются три варианта подключения к ФИС ЕГЭ, но все они сводятся к тому, что в ВУЗе есть некая автоматизированная (информационная) система, которая сопрягается с ФИС ЕГЭ.
В 17-ом приказе указано:
3. Настоящие Требования являются обязательными при обработкеМожно ли ВУЗ, который ведет обработку информации в ГИС, но из своей собственной АС, принудить к выполнению 17-го приказа на основании данного пункта? На мой взгляд, вопрос открытый и не имеет однозначного ответа.
информации в государственных информационных системах,
функционирующих на территории Российской Федерации, а также в
муниципальных информационных системах, если иное не установлено
законодательством Российской Федерации о местном самоуправлении.
По моему мнению, решить этот вопрос могут только корректировки технических условиях для подключения к ГИС, в которых прямо будет прописана необходимость выполнения требований 17-го приказа или отсутствие такой необходимости.
Я порекомендовал выполнять требования 17-го приказа в случае наличия финансовой возможности, и это не противоречит самому приказу:
6. По решению обладателя информации (заказчика) или оператораКроме того, как я уже упомянул, в данных АС обрабатываются персональные данные и, в любом случае, необходимо обеспечение защиты по требованиям 21-го приказа ФСТЭК (для создаваемых и модифицируемых АС), а выполнение требований 17-го приказа обеспечивают необходимый уровень защищенности ИСПДн (в соответствии с п. 27 17-го приказа).
настоящие Требования могут применяться для защиты информации,
содержащейся в негосударственных информационных системах.
Хотелось бы услышать мнение коллег и экспертов, как вы думаете, нужно ли выполнять требования 17-го приказа для самостоятельных АС, сопрягающихся с ГИС и обрабатывающих информацию из ГИС?
Я бы рекомендовал выполнять требования Приказа 17. Свое мнение по этому поводу уже писал http://80na20.blogspot.ru/2013/07/17-1.html
ОтветитьУдалитьВаша статья прекрасна и лежит у меня в избранных, но там вы давали рекомендацию для всех гос.органов, а тут речь о негосах, но работающих с ГИС.
УдалитьТут смотри какое дело: с точки зрения буквы закона им не надо выполнять требования Приказа 17. А вот для снижения риска негативных последствий со стороны регуляторов, я бы рекомендовал ориентироваться на его положения... Например, могут тупо отрубить доступ...
Удалить