Проведение опытной эксплуатации ГИС - Форум по вопросам информационной безопасности

Доброго времени суток, подскажите пожалуйста, возможно ли проведение опытной эксплуатации системы ГИС с перс данными ДО этапа аттестации системы по требованиям информационной безопасности? И какими нормами Закона это регулируется? Спасибо

Для Евгения:
Аттестация ГИС не проводится до (!) опытной эксплуатации системы (см. Требования, утв. ПП РФ от 06.07.2015 № 676, и Требования, утв. приказом ФСТЭК России от 11.02.2013 № 17). Опытная эксплуатация это вид испытания системы в ходе ее создания, наравне с предварительными и приёмочными испытаниями.
Основной состав мероприятий опытной эксплуатации для ГИС определен в п. 11 Требований, утв. ПП РФ от 06.07.2015 № 676. Запрета на использование в ходе опытной эксплуатации "боевых" сведений (служебной информации и персональных данных) нормативно не установлено. Поэтому их использование при опытной эксплуатации на Ваше решение.
Если речь о законодательстве, то в целом создание и эксплуатация ГИСов основывается на нормах Федерального закона от 27.07.2006 № 149-ФЗ и указанного постановления Правительства РФ, а обработка персональных данных - Федеральным законом от 27.07.2006 № 152-ФЗ.

То есть, различные компании которые непосредственно будут задействованы в этой системе, смогут предоставлять перс данные в ходе опытной эксплуатации ГИС ? Верно понимаю? или же нужно создавать некий реестр участников опытной эксплуатации ГИС?

Для СМ:
Например бухгалтерия фирмы сможет в стадии опытной эксплуатации использовать перс данные сотрудников?

Для Евгения:
ГИС создается не по желанию субъектов персональных данных, а по решению органа гос власти для исполнения своих полномочий, которые, как правило, включают в себя и обработку персональные данные. Иначе говоря, ГИС реализует технологический процесс обработки защищаемой информации в органе / учреждении / бюджетной организации.
Под "различными компаниями которые непосредственно будут задействованы в этой системе", скорее всего, понимаются участники информационного взаимодействия (УИВы), информационные системы которых осуществляют обмен данными с ГИС и по отношению к ГИС являются внешними.
Особенности опытной эксплуатации, как правило, прописывают в Программе опытной эксплуатации. В ней же можно определить перечень УИВов, внешних информационных систем и состав их персональных данных, которые будут использоваться в ходе опытной эксплуатации. Задачи опытной эксплуатации приближены к постоянной (она же техническая и промышленная). Сложно представить себе опытную эксплуатацию без обработки "боевых" данных или данных максимально приближенных к "боевым".
Возможность предоставления УИВами персональных данных для опытной эксплуатации ГИС включает в себя правовой и технический аспекты, которые должны решаться между сторонами в договорном порядке путём подписания соглашения (регламента) об информационном взаимодействии.

Для Евгения:
> Например бухгалтерия фирмы сможет в стадии опытной эксплуатации использовать перс данные сотрудников?
Как я писал выше: нормативного запрета нет, определяется владельцем / оператором ГИС, по решению которого создается информационная система.
Есть ли основания у задаваемого Вами вопроса? Кто-то запрещает обрабатывать ПДн в ходе опытной эксплуатации? Тогда надо смотреть его аргументы. Они могут быть связаны с особенностями ведомственных или иных нормативов для Вашей ГИС.

Для СМ:
Есть порядок Минцифры России о проведении опытной эксплуатации (ГИС "Тор Сэд") и в п.4. Обработка информации, подлежащей защите в установленном законом порядке, не допускается до ввода Системы в эксплуатацию. Не можем найти на что основано такая трактовка. Ведь если обработка Персданных не допускается до ввода системы ГИС, то как обрабатывать перс данные на этапе Опытной эксплуатации ?

Для Евгения:
На просторах Интернета смог найти только такую редакцию указанного Вами документа:
https://reg-torsed.voskhod.ru/files/PP_GIS_TOR_SED_EXP.docx
Раздел 4 данного документа оперирует и сокращением "ОЭ" и словами "эксплуатация". И, действительно, в нём указано требование по аттестации ГИС до перевода Системы в эксплуатацию. Слово "эксплуатция" (без сокращения) используется только в 3-х последних абзацах 4-го раздела, а по всему тексту этого раздела и по всему тексту документа используется сокращение "ОЭ".
Если считать, что их смысловые значения равны (т.е. ОЭ = эксплуатация), то логика последних 3-х абзацев выбивается из логики общенормативной (указаны в ранее в нашей переписке).
Если считать, что их смысловые значения разные (т.е. ОЭ это опытная эксплуатация, а под эксплуатацией понимается именно постоянная эксплуатация системы), то логика документа будет соответствовать требованиям общей нормативки по ГИСам в ПП-676 и Пр-17 ФСТЭК.
Можно сделать в Минцифры запрос о разъяснении требований раздела 4 принятого ими Порядка проведения опытной эксплуатации ГИС "ТОР СЭД". Ну, или проводить опытную эксплуатацию на сведениях максимально приближенных к "боевым", но по факту таковыми не являющимися.

*в сторону*
Просто оставлю это здесь (п. 4 Приказа 77 ФСТЭК России от 29.04.2021 о порядке аттестации):
"Аттестация объекта информатизации ... предусматривает проведение комплекса ... работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям ... в условиях его эксплуатации. Допускается проведение аттестации объекта информатизации на этапе его эксплуатации в случае, если владельцем объекта принято решение об обработке защищаемой информации после ввода в эксплуатацию объекта информатизации."