Акт классификации Приказ 77 ФСТЭК - Форум по вопросам информационной безопасности

В 77 приказе ФСТЭК установлена форма акта классификации ИС/АС. Раньше мы в акт классификации по ГИС, если она обрабатывает ПДн, к данным для классификации по 17 приказу добавляли данные об определении уровня защищенности ПДн по ПП РФ 1119.
Подскажите, пожалуйста, можно ли менять форму Акта классификации, добавляя пункты по определению уровня защищенности ПДн для ГИС, которая их обрабатывает? Или скажут, что надо делать строго по форме Приложения 3 к приказу 77?

Для Петра:

Формально статус формы (обязательная или рекомендуемая) у акта классификации Порядком, утв. приказом ФСТЭК от 29.04.2021 № 77, не установлен. Впрочем, как и у остальных форм документов в этом Порядке. Поэтому возможность изменения формы будет субъективной и зависеть от позиции проверяющего. Складывающаяся в регионах практика тому подтверждение.
Со своей работе всегда рекомендую акты классификации и установления уровня защищенности делать раздельными.
К сведению: по данному поводу в конце прошлого года официальный ответ ЦА ФСТЭК за подписью самого Дмитрия Шевцова гласил (цитирую дословно):
"По вопросу возможности внесения в акт классификации информационной (автоматизированной) системы дополнительного пункта 4, описывающего классификационные признаки для установления требуемого уровня защищенности персональных данных, сообщаем следующее.
В приложении № 3 к Порядку организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденному приказом ФСТЭК России от 29 апреля 2021 года № 77, приведен минимально необходимый перечень информации, который подлежит включению в акт классификации информационной (автоматизированной) системы.
Учитывая изложенное, включение в акт классификации информационной (автоматизированной) системы информации, описывающей классификационные признаки автоматизированной системы, возможно."

2 СМ Благодарю!

А могли бы прояснить следующую ситуацию. Есть исполнительный орган гос власти субъекта (ИОГВ), есть подведомственное учреждение (подвед). ИОГВ является владельцем-оператором-обладателем ГИС, подвед является уполномоченным лицом на сопровождение,развитие, защиту этой ГИС. Какие документы по ЗИ для ГИС должен утверждать ИОГВ, а какие подвед? по п.14 приказа 17 формирование требований осуществляет обладатель, включая Модель угроз (МУ) и ТЗ(ЧТЗ) на СЗИ. Но например в Методике оценки угроз приложение 3 титульный лист МУ утверждает Руководитель органа гос власти (организации) или иное уполномоченное лицо. Так кто в итоге должен утверждать владелец или уполномоченное лицо? А ТЗ на СЗИ ? И тот же вопрос по формам докуметнов 77 приказа. И форму тех паспорта и форму акта классификации должен утверждать руководитель (уполномоченное лицо) владельца объекта информатизации. Вот если все эти документы будет утверждать Уполномоченное лицо это будет нормально? Может есть мнения на этот счёт? Спасибо!

Для Петра:

> ИОГВ является владельцем-оператором-обладателем ГИС...
> Так кто в итоге должен утверждать владелец или уполномоченное лицо?...
У органов гос власти кто кем является определяют полномочия. Посмотрите соответствующие законы, уставы, положения и постановления, которыми определяются полномочия у ИОГВ. ГИСы же сами по себе не появляются, и обязанности быть оператором той или иной ГИС тоже. Решение об их создании принимается уполномоченным должностным лицом "ИОГВ" с оформлением постановления или приказа.
Владение возникает в силу создания. Если ГИС (как имущественный комплекс) создана за счет федеральных средств, то ее владельцем будет федеральный орган исполнительной власти, а если за счет средств субъекта РФ, то такая ГИС будет субъектовой (области, края, республики). Владея ими соответствующие правительства определяют "операторство", как правило, ещё при создании ГИС и своими постановлениями назначают операторами свои министерства / управления, иногда бюджетные учреждения. Могут быть и ведомственные ГИСы, созданные соответствующим ИОГВ на базе переданного ему в оперативное управление имущество с целью обеспечения исполнения своих ведомственных полномочий.
Поэтому Модели угроз и ТЗ на создание ГИС / СЗИ ГИС утверждаются теми же лицами, которые их создали, или теми, на кого возложены соответствующие полномочия. Оба варианта видятся приемлемыми. Акт классификации это документ, подписываемый комиссионно. По общему правилу: чья комиссия подписывает документ, тот его и утверждает.
На счет "обладателя ГИС": поскольку имущество у гос органов не личное, а находится у них в оперативном управлении, то здесь речь про обладание будет корректнее вести в отношении информации, обрабатываемой и хранящейся в ГИС. Это же будет справедливым ко всем формулировкам Требований, утв. приказом ФСТЭК России от 11.02.2013 № 17, а не только пункта 14. По тексту Требований слово обладатель указывается по отношению к информации, а сокращение "заказчик" и "оператор" введены пунктом 4 и рассматриваются по отношению к ГИС.

2 СМ спасибо, но какая тогда роль у уполномоченного лица из абзаца второго пункта 4 приказа 17 фстэк? Там же указано, что уполномоченное лицо должно обеспечивать ЗИ в соответствии с требованиями 17 приказа.

Для Петра:

Данный пункт не про роль уполномоченного, а про наличие у обязанностей по обеспечению защите информации при выполнении уполномоченных его функций: обработке гос информ ресурса или предоставление вычислит ресурса для его обработки. И такая обязанность должна быть предусмотрена в договоре.
Передача гос информ ресурса на обработку или предоставление для этого вычислит мощностей уполномоченного не ограничиваются только этими "полномочиями". Они "приходят" вместе с обязанностями защищать эту информацию согласно законодательства (отсылка на статью 16 Федерального закона от 27.07.2006 года № 149-ФЗ), которые должны также фиксироваться в договоре. Т.е. защита информации является неотъемлемой частью при "уполномочивании".

2 СМ Большое спасибо, с этим прояснили. Но тогда вытекающий вопрос. Кто из нас должен-может заключать контракт на аттестацию гис?

to Петр
imho, заключает контракт подвед (ибо ответственность за защиту, развитие, сопровождение) после резолюции ИОГВ (ибо владелец/эксплуатант объекта информатизации). Тем самым осуществляется распределение ответственности между всеми причастными. В противном случае, может проявиться Nное количество неприятных последствий: от назначения "левых" виновных (например, при отрицательных результатах аттестации) до пособничества "распилу" бюджетных средств (при сами понимаете каком варианте), ага...

Для Петра:

Ответ на Ваш вопрос в объеме переданных полномочий. Формально аттестация это оценка соответствия требованиям по защите информации до ввода в эксплуатацию.
На практике бывают случаи, когда ГИС (как имущественный комплекс) принадлежит Министерству, а подведомственное учреждение приказом просто назначено ответственным за обеспечение требований по защите информации. В таком случае полномочий для заключения договора на аттестацию ГИС у такого подведомственного учреждения не достаточно и контракты на аттестацию ГИС заключались с Министерством.
Поскольку здесь больше юридический вопрос, то рекомендую для получения ответа на него привлекать юристов ИОГВ и подведа, знающих особенности распределения полномочий в Вашем случае.