Контакты
Подписка
МЕНЮ
Контакты
Подписка

ГИС ИСПДн - Форум по вопросам информационной безопасности

ГИС ИСПДн - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 >

Автор: monk1818 | 94706 13.06.2018 21:50
Коллеги, ну подскажите мне пожалуйста с одним вопросом. Работаю в муниципальном учреждении. Есть ИС с ПДн. разрабатываю проекты документов по защите с 0.(да, много работы) и сталкнулся с вопросом: по 149 ФЗ нам намекают, что все ИС в гос или мунициальном органе -ГИС. Так вот, есть ли способ рационально обосновать, что ИС не ГИС ИСПДн - а просто ИСПДн? мне как-то сказали, что можно, если обосновать, что ИС не выполняет гос.функцию (как сказано в 149 ФЗ - ГИС это ИС находящаяся в гос.органе и выполняющая гос.функцию.) оснований для введения ИС не было. в реестре их нет. Но ведь в случае проверки скажут: а почему у Вас не ГИС? как можно обосновать (с целью избежание излишних мер по 17-му приказу.)

P.S - во всех ИС только перс.данные. огромное спасибо за помощь!!!

Автор: Tarakan | 94709 13.06.2018 23:07
Силой убеждения - разные ФСТЭКи по-разному относятся

Автор: oko | 94714 14.06.2018 01:00
to Tarakan
+1

to monk1818
Если ИСПДн низкого уровня защищенности, то разница с ГИС аналогичного класса защищенности (а выше и не надо, ага) будет минимальна...
Если вы тем самым хотите уйти от сертифицированных СЗИ, то это и в ГИС можно сделать, грамотно составив ЧМУ...
Если хотите уйти от обязательной аттестации, то, судя по вашему сообщению, этого сделать не получится - модуль экстрасенсорики подсказывает, что для контрольных мероприятий в ключе ИСПДн вам все-равно дешевле и проще будет нанять лицензиата, который, легко махнув рукой, выдаст вам именно "Аттестат соответствия" (после приведения ИС в соответствие, разумеется), а не неведомый документ "Акт оценки эффективности/защищенности". Потому что так, повторюсь, проще...
Если же все-таки хотите, то по-тихому классифицируйте свою ИС как ИСПДн, проведите все необходимые мероприятия, составьте указанный выше Акт, завизируйте у всех, кому положено, и ждите. Проверка регулятора в максимуме выдаст рекомендацию, что "хотелось бы видеть ГИС, а не чисто ИСПДн". На исполнение оной рекомендации и срок появится новый, и, возможно, финансы выделят (все зависит от силы вашего убеждения)...
Короче. Хочется ИСПДн? Делайте ИСПДн. Это куда лучше, чем ничего не делать, но размышлять, как бы уйти от ГИС, как бы не наколоться, как бы еще что-нибудь бы...

ЗЫ Единственное исключение: если вы не в курсе, что ваша контора под оную ИС бабки получала из гос.бюджета конкретно под "ГИС/МИС", а не ИСПДн. Вот этот вопрос рекомендую провентилировать первоочередно...

Автор: monk1818 | 94717 14.06.2018 08:54
to oko

Спасибо за консультацию! Ну я ж не с целью ничего не делать....просто с одной стороны можно как ГИС...) просто в ИСПДн меньше заморочек в том плане, что пока прошибешь руководство на аттестацию...

Автор: Константин | 94718 14.06.2018 09:24
2 monk1818

Все гос органы работают согласно нормам законодательства. В законе написано, что МИС создаются на основании решения органа местного самоуправления. Соотв. должен быть муниципальный правовой акт о создании МИС. Если нет такого акта, то нет и МИС. Соотв. в случае проверки вы ссылаетесь на определение данное в ФЗ.
Если кого-то что-то не устраивает пусть докажут обратное и это должно быть выражено не на словах, а тоже отсылкой на норму закона.

Автор: monk1818 | 94724 14.06.2018 10:42
Константин, я так же думаю. Смутило то, что в 149 ФЗ сказано, что ГИС/МИС - это так же системы созданные для выполнения гос.органом своих полномочий....

Автор: Константин | 94729 14.06.2018 11:04
2 monk1818
Так, а что именно смутило? Что вы не гос. орган? Или что для выполнения своих полномочий?

Автор: monk1818 | 94731 14.06.2018 11:12
Константин
что для выполнения своих полномочий

Автор: Константин | 94734 14.06.2018 11:44
2 monk1818
То есть смущает, что контролирующие органы могут ткнуть в этот пункт? ну так этот пункт должен выполняться вместе с тем, где написано, что должен быть правовой акт. Правовой акт по МИС который нужно утвердить это можно сказать основное требование, которое следует из самого понятия МИС.
Ну, а то, что для выполнения своих полномочий. Ну так это верно всегда. Для всех систем.
Короче без правового акта, можно забыть о МИС-ГИС.
Тут ещё главное для себя понять, а точно ли это не МИС-ГИС. Я для себя разделил, что обычные ИСПДн это системы, типа 1С бухгалтерии, либо отдела кадров. Ну а ГИС-МИС это системы чаще всего предоставляющие услуги за рамки организации (услуги населению, либо другим орг-иям)

Автор: monk1818 | 94741 14.06.2018 12:11
Константин,
вот спасибо помощь в разъяснениях!!!) ну во многих ИС так и есть! (в смысле только пер.данные) услуги это уже на региональном уровне больше.

Страницы: 1 2 >

Просмотров темы: 3572

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*