Контакты
Подписка
МЕНЮ
Контакты
Подписка

Отнесение ИС к МИС - Форум по вопросам информационной безопасности

Отнесение ИС к МИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: xel | 106968 01.08.2019 10:48
Добрый день! Помогите, пожалуйста, разобраться с отнесением ИС к МИС. Путаница с определением "муниципальные информационные системы, созданные на основании решения органа местного самоуправления". Т.е. это должна быть разработанная "созданная" система специально для нужд муниципального органа или к МИС можно относить "Коробочные версии" готовых продуктов на которые допустим есть Постановления органа местного самоуправления "О внедрении программного продукта"?

Автор: oko | 106969 01.08.2019 11:58
*в сторону*

to xel
Чтобы не плодить лишних сущностей, захвачу заодно часть вопросов из соседней ветки форума...
ИС - это не просто программный продукт. Если простым человеческим языком, то ИС - это совокупность операционной среды, прикладного ПО для обработки (как тот же Excel), самой информации в электронном виде, которой присвоен условный статус "защищаемая", и, что бы там кто ни говорил, персонала, который эту информацию вводит/выводит/обрабатывает/etc (иначе получится как в песне: вкалывают роботы, счастлив человек, ага)...
Сиречь, МИС - это ИС, которая создана/введена в эксплуатацию муниципальным органом с целью:
- "...получения и обработки информации от..." (например, получение ПДн от физ.лиц, тогда ИС=ИСПДн);
- "...передачи информации в..." (например, ежеквартальное предоставление "закрытой" отчетности в вышестоящую организацию);
- "...предоставления услуг..." (например, всем известные Госуслуги или их "местный" и "частный" аналог);
- "...накопления баз данных по..." (например, фиксация каких-либо фактов без содержания ПДн, иначе ИС опять-таки будет равна ИСПДн, что является частным случаем);
- "...исполнения постановления/распоряжения/приказа/etc вышестоящей организации..." (тут комментарии излишне).
Список можно продолжать до бесконечности...
И любую ИС ее владелец имеет возможность поименовать как считает нужным, если на то нет постановления вышестоящей организации...

ЗЫ imho, не берите грех на душу. Если в 1С:Зарплата только зарплата - ведите ее по внутренним идентификаторам сотрудников и, соответственно, не присваивайте этой системе статус ИСПДн. Легче будет, ага...

Автор: xel | 106971 01.08.2019 16:37
Спасибо oko! А если имеются приложения для отправки сведений в банк (клиент - банк) или отправки отчетности в ФСС и другие организации (системы электронного обмена документами) их нужно указывать в списке ИСПДн по 211 ПП РФ, строить модели угроз, подавать по ним сведения в Роскомнадзор?

Автор: xel | 106974 02.08.2019 11:24
Прочитал мнение, что их все вместе с 1С можно назвать "ИСПДН Бухгалтерии" и построить одну модель угроз или вообще не трогать не свои системы......

Автор: oko | 106977 03.08.2019 05:41
to xel
Можно и обозвать, можно и единую. Вопрос в том, какие задачи, кем и есть ли между "кем-задача" полные пересечения? Если есть - смело именовать одной системой. Если нет - не советую...
Условно, если в 1С сидит одна группа сотрудников, а Банк-клиентом пользуется другая, и данные из 1С в Банк-клиент и обратно не выгружаются - разные этой системы...
И да, если вы для системы являетесь абонентом (удаленным сегментом), то, де юре, вам следует париться только в случае, когда владелец (уполномоченный оператор) системы выдает вам Базовую Модель (исключительно редко) / Требования по безопасности (несколько чаще). Хотя тут еще важен аспект регулятора и его видения ситуации в каждом конкретном случае, увы...

Автор: WORM, MK | 106982 04.08.2019 14:21
Во всех документах, начиная с закона 149-ФЗ, под ИС понимается железо + софт + информация.

Так что ИС это не коробочная версия и не операционка. ИС это железо, на котором установлены эти самые ОС и ППО. Вот с ним и надо разбираться (и защищать): чье оно, чьим решением создано, кто его эксплуатирует, кто обладатель информации и т.д.

Это же касается и ИСПДн. По определению ИСПДн есть железо + софт + ИСПДн.

Автор: xel | 106983 05.08.2019 09:20
Спасибо, картина проясняется! А если владелец железа, ИС, ПО один, а обладатель информации (лицо которое получает согласие у субъектов ПДн) другое лицо.....оператором будет тот кто определяет цели и состав ПДн?

Автор: WORM, MK | 106984 05.08.2019 09:42
to xel
По определению, да.

Но есть большая разница между понятиями "оператор (ПДн)" и "оператор ГИС (МИС)".

Автор: xel | 106985 05.08.2019 14:41
Спасибо. Под понятием "оператор (ПДн)" как я понял это тот кто является владельцем ПДн, определяет цели и состав, а "оператор ГИС(МИС)" это тот кто "эксплуатирует информационную систему" и это может быть как одно лицо так и разные, также оба сразу вместе могут быть в ИСПДн оператором ПДн.

Просмотров темы: 953

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*