Автор: Евгений | 110948 | 14.06.2023 06:35 |
Доброго времени суток, подскажите пожалуйста, возможно ли проведение опытной эксплуатации системы ГИС с перс данными ДО этапа аттестации системы по требованиям информационной безопасности? И какими нормами Закона это регулируется? Спасибо
|
Автор: CM | 110949 | 14.06.2023 07:22 |
Для Евгения:
Аттестация ГИС не проводится до (!) опытной эксплуатации системы (см. Требования, утв. ПП РФ от 06.07.2015 № 676, и Требования, утв. приказом ФСТЭК России от 11.02.2013 № 17). Опытная эксплуатация это вид испытания системы в ходе ее создания, наравне с предварительными и приёмочными испытаниями. Основной состав мероприятий опытной эксплуатации для ГИС определен в п. 11 Требований, утв. ПП РФ от 06.07.2015 № 676. Запрета на использование в ходе опытной эксплуатации "боевых" сведений (служебной информации и персональных данных) нормативно не установлено. Поэтому их использование при опытной эксплуатации на Ваше решение. Если речь о законодательстве, то в целом создание и эксплуатация ГИСов основывается на нормах Федерального закона от 27.07.2006 № 149-ФЗ и указанного постановления Правительства РФ, а обработка персональных данных - Федеральным законом от 27.07.2006 № 152-ФЗ. |
Автор: Евгений | 110950 | 14.06.2023 07:44 |
То есть, различные компании которые непосредственно будут задействованы в этой системе, смогут предоставлять перс данные в ходе опытной эксплуатации ГИС ? Верно понимаю? или же нужно создавать некий реестр участников опытной эксплуатации ГИС?
|
Автор: Евгений | 110951 | 14.06.2023 07:58 |
Для СМ:
Например бухгалтерия фирмы сможет в стадии опытной эксплуатации использовать перс данные сотрудников? |
Автор: CM | 110952 | 14.06.2023 08:09 |
Для Евгения:
ГИС создается не по желанию субъектов персональных данных, а по решению органа гос власти для исполнения своих полномочий, которые, как правило, включают в себя и обработку персональные данные. Иначе говоря, ГИС реализует технологический процесс обработки защищаемой информации в органе / учреждении / бюджетной организации. Под "различными компаниями которые непосредственно будут задействованы в этой системе", скорее всего, понимаются участники информационного взаимодействия (УИВы), информационные системы которых осуществляют обмен данными с ГИС и по отношению к ГИС являются внешними. Особенности опытной эксплуатации, как правило, прописывают в Программе опытной эксплуатации. В ней же можно определить перечень УИВов, внешних информационных систем и состав их персональных данных, которые будут использоваться в ходе опытной эксплуатации. Задачи опытной эксплуатации приближены к постоянной (она же техническая и промышленная). Сложно представить себе опытную эксплуатацию без обработки "боевых" данных или данных максимально приближенных к "боевым". Возможность предоставления УИВами персональных данных для опытной эксплуатации ГИС включает в себя правовой и технический аспекты, которые должны решаться между сторонами в договорном порядке путём подписания соглашения (регламента) об информационном взаимодействии. |
Автор: CM | 110953 | 14.06.2023 08:15 |
Для Евгения:
> Например бухгалтерия фирмы сможет в стадии опытной эксплуатации использовать перс данные сотрудников? Как я писал выше: нормативного запрета нет, определяется владельцем / оператором ГИС, по решению которого создается информационная система. Есть ли основания у задаваемого Вами вопроса? Кто-то запрещает обрабатывать ПДн в ходе опытной эксплуатации? Тогда надо смотреть его аргументы. Они могут быть связаны с особенностями ведомственных или иных нормативов для Вашей ГИС. |
Автор: Евгений | 110954 | 14.06.2023 09:36 |
Для СМ:
Есть порядок Минцифры России о проведении опытной эксплуатации (ГИС "Тор Сэд") и в п.4. Обработка информации, подлежащей защите в установленном законом порядке, не допускается до ввода Системы в эксплуатацию. Не можем найти на что основано такая трактовка. Ведь если обработка Персданных не допускается до ввода системы ГИС, то как обрабатывать перс данные на этапе Опытной эксплуатации ? |
Автор: CM | 110955 | 14.06.2023 10:36 |
Для Евгения:
На просторах Интернета смог найти только такую редакцию указанного Вами документа: Раздел 4 данного документа оперирует и сокращением "ОЭ" и словами "эксплуатация". И, действительно, в нём указано требование по аттестации ГИС до перевода Системы в эксплуатацию. Слово "эксплуатция" (без сокращения) используется только в 3-х последних абзацах 4-го раздела, а по всему тексту этого раздела и по всему тексту документа используется сокращение "ОЭ". Если считать, что их смысловые значения равны (т.е. ОЭ = эксплуатация), то логика последних 3-х абзацев выбивается из логики общенормативной (указаны в ранее в нашей переписке). Если считать, что их смысловые значения разные (т.е. ОЭ это опытная эксплуатация, а под эксплуатацией понимается именно постоянная эксплуатация системы), то логика документа будет соответствовать требованиям общей нормативки по ГИСам в ПП-676 и Пр-17 ФСТЭК. Можно сделать в Минцифры запрос о разъяснении требований раздела 4 принятого ими Порядка проведения опытной эксплуатации ГИС "ТОР СЭД". Ну, или проводить опытную эксплуатацию на сведениях максимально приближенных к "боевым", но по факту таковыми не являющимися. |
Автор: oko | 110956 | 14.06.2023 13:17 |
*в сторону*
Просто оставлю это здесь (п. 4 Приказа 77 ФСТЭК России от 29.04.2021 о порядке аттестации): "Аттестация объекта информатизации ... предусматривает проведение комплекса ... работ (аттестационных испытаний), в результате которых подтверждается соответствие объекта информатизации требованиям ... в условиях его эксплуатации. Допускается проведение аттестации объекта информатизации на этапе его эксплуатации в случае, если владельцем объекта принято решение об обработке защищаемой информации после ввода в эксплуатацию объекта информатизации." |
Просмотров темы: 938