МИС согласование Модели угроз - Форум по вопросам информационной безопасности

Добрый день!

Есть объектовая МИС классифицированная по К3.
Необходимо ли для нее согласовывать Модель угроз и Тех задание со ФСТЭК?

В информационном сообщении ФСТЭК от 22 июня 2017 г. N 240/22/3031 указаны только Федеральные и Региональные ГИС/МИС, а как быть с объектовой?

"Рассмотрение и согласование моделей угроз безопасности информации и технических заданий на создание федеральных информационных систем осуществляется центральным аппаратом ФСТЭК России. Рассмотрение и согласование моделей угроз безопасности информации и технических заданий на создание региональных информационных систем осуществляется управлениями ФСТЭК России по федеральным округам."

to Antimik
Так, как указано в инфосообщении, т.е. "быть никак" и "согласовывать не нужно"...

Понял, спасибо!

2 Antimik

Данное информационное сообщение распространяется только на ГИС, откуда вы взяли МИС не совсем ясно.
ПП РФ 676 на основании которого и появилось информационное сообщение ФСТЭК тоже только про ГИС.

Дело не в том региональная у вас или объектовая система. А в том ГИС у вас или МИС.

Раз МИС, то к вам согласование МУ и ТЗ не относится.

Хотя я могу и ошибаться

ведь есть п.4 ст.13 ФЗ-149 которая говорит о том, что
Установленные настоящим Федеральным законом требования к государственным информационным системам распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении.

и есть п.6 ст.14 ФЗ-149
Что требования утверждает Правительство РФ

Тут надо мнение юриста.. Требования ведь установлены не ФЗ, а ПП РФ, а соотв. п.4 имеет место быть или нет?!

Но если так и 676 ПП РФ распространяется и на МИС тогда от согласования МУ и ТЗ с ФСТЭК и ФСБ вам не уйти.

to all
1. ГИС/МИС идут под одну гребенку (требования одинаковы), потому что ни ПП, ни ФСТЭК разницы в них не видят...
2. Если для ГИС объектового типа не установлено обязательное требование согласования со ФСТЭК ЧМУ и проч. документов, то и для МИС следует поступать аналогично (т.е. никак, ага)...
3. ФСТЭК делать больше нечего, как всякие мелкие объекты согласовывать (у них сейчас КИИ впереди планеты всей, ага). Послать на согласование (для очистки совести), конечно, можно, но ответ получится в стиле "я хз - все в КЗ"...
4. С ФСБ еще веселее - попробуйте ради интереса, имея ИС 3 класса и без СКЗИ (да даже если и "с"), получить конкретный ответ от 8 Центра. Ответы могут оказаться весьма любопытными. Через полгода-год, ага...

ЗЫ Это все, конечно, сарказм (так сказать, о наболевшем), но доля правды в нем есть. Фактически, обязаловки в ситуации тов. Antimik нет. Поэтому не стоит совершать лишних телодвижений. Исключения, правда, тоже бывают - если тов. Antimik что-то о своей системе не договаривает, и она не так уж проста (т.е. явно не вписывается в обычную МИС 3 класса защищенности или вообще неправильно классифицирована). Тут надо смотреть по ситуации, ага...

2 oko

Так а где вы увидели, что для ГИС объектового типа не установлено обязательное требование согласования?!

если идут под одну гребенку, то

главенствуют требования ПП РФ 676, в нем нет никаких разделений на типы. Соотв. уже изначально требования на согласование распространяется на все ГИС.

следующий документ по иерархии (хотя можно ли сказать, что информационное сообщение это правовой акт, навряд ли..)
информационное сообщении ФСТЭК от 22 июня 2017 г. N 240/22/3031

То есть вы предлагаете руководствоваться информационным сообщением ФСТЭК нежели ПП РФ?! оригинально..

И наконец, если уж совсем невмоготу можно перечитать текст сообщения -

"Рассмотрение и согласование моделей угроз безопасности информации и технических заданий на создание федеральных информационных систем осуществляется центральным аппаратом ФСТЭК России. Рассмотрение и согласование моделей угроз безопасности информации и технических заданий на создание региональных информационных систем осуществляется управлениями ФСТЭК России по федеральным округам."

Где тут сказано про то, что объектовые можно не согласовывать?! Ведь повторюсь, что согласно ПП РФ 676 согласуются МУ и ТЗ на ГИС.

Если ГИС и МИС идут под одну гребенку, то может показаться странным, почему Правительство Российской Федерации в пунктах 2 и 3 своего постановления от 6 июля 2015 г. № 676 (между прочим в соответствии с частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации") указывает:

2. Установить, что мероприятия, предусмотренные требованиями, утвержденными настоящим постановлением, осуществляются федеральными органами исполнительной власти В ПРЕДЕЛАХ БЮДЖЕТНЫХ АССИГНОВАНИЙ, предусмотренных федеральным законом о федеральном бюджете на соответствующий финансовый год и плановый период на руководство и управление в сфере установленных функций.

3. РЕКОМЕНДОВАТЬ иным государственным органам, помимо федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации, а также органам управления государственными внебюджетными фондами, органам местного самоуправления руководствоваться в своей деятельности требованиями, утвержденными настоящим постановлением.

Т.е. Правительство РФ говорит черным по белому: согласно закону 149-ФЗ Федеральные органы обязаны выполнять требования, но в пределах отведенного бюджета. А муниципалам, в частности, они рекомендованы.

Часть 4 статьи 13 Федерального закона от 27.07.2007 № 149-ФЗ определяет правовой статус МИС и правовой режим их использования, но не затраты на их создание и развитие.
В частности, это касается требований о необходимости надлежащего оформления прав на использование компонентов информационной системы, являющейся объектом интеллектуальной собственности (часть 7 статьи 14), требований к техническим средствам, предназначенным для обработки информации в информационных системах (часть 8 статьи 14). Подобный подход позволяет избежать пробелов в регулировании порядка использования МИС, поскольку далеко не каждое муниципальное образование обладает необходимыми ресурсами и компетенциями для разработки собственного правового регулирования в данной сфере. Однако при этом сохраняется возможности для адаптации такого регулирования в случаях, предусмотренных законодательством о местном самоуправлении, главным источником которого является Федеральный закон от 06.10.2003 № 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации".

Ёхорный бабай...
Primo, ПП РФ 676 говорит о ГИС ФОИВ и иных ОИВ only. К муниципалам не имеет никакого отношения...
Secundo, даже с учетом распространения требований и на муниципалов, ПП РФ всегда отдает вопросы согласования на откуп регулятору (в нашем случае, ФСТЭК)...
Tertio, ФСТЭК явно говорит: федералка через ЦА, регионалка через местные Управления...
Quatro, в части ЗИ ГИС ФСТЭК явно указала 17 Приказ, в котором сказано, что его требования распространяются и на МИС. Т.е. для регулятора МИС=ГИС...
Резюмируем: если ничего не сказано про объектовку (МИС, ГИС - без разницы), то и не стоит лезть в бутылку. Не ищите себе проблем, они вас сами найдут позже...
Слушать надо слова регулятора, а не Правительства. Как любит повторять тов. sekira - без домыслов, однозначно и буквально (в этой ситуации с ним полностью согласен). Почему регулятора? Потому что с ним непосредственно работать, а не с Правительством. Постановление 1119 это наглядно показало...

ЗЫ Все ПП в части ЗИ в последнее время - полумеры и полуслова. А ФСТЭК тоже не дураки - комментируют только "в пределах полномочий". Вот и получаем околесицу, в которой невозможно разобраться чисто юридически...