Автор: xel | 106968 | 01.08.2019 10:48 |
Добрый день! Помогите, пожалуйста, разобраться с отнесением ИС к МИС. Путаница с определением "муниципальные информационные системы, созданные на основании решения органа местного самоуправления". Т.е. это должна быть разработанная "созданная" система специально для нужд муниципального органа или к МИС можно относить "Коробочные версии" готовых продуктов на которые допустим есть Постановления органа местного самоуправления "О внедрении программного продукта"?
|
Автор: oko | 106969 | 01.08.2019 11:58 |
*в сторону*
to xel Чтобы не плодить лишних сущностей, захвачу заодно часть вопросов из соседней ветки форума... ИС - это не просто программный продукт. Если простым человеческим языком, то ИС - это совокупность операционной среды, прикладного ПО для обработки (как тот же Excel), самой информации в электронном виде, которой присвоен условный статус "защищаемая", и, что бы там кто ни говорил, персонала, который эту информацию вводит/выводит/обрабатывает/etc (иначе получится как в песне: вкалывают роботы, счастлив человек, ага)... Сиречь, МИС - это ИС, которая создана/введена в эксплуатацию муниципальным органом с целью: - "...получения и обработки информации от..." (например, получение ПДн от физ.лиц, тогда ИС=ИСПДн); - "...передачи информации в..." (например, ежеквартальное предоставление "закрытой" отчетности в вышестоящую организацию); - "...предоставления услуг..." (например, всем известные Госуслуги или их "местный" и "частный" аналог); - "...накопления баз данных по..." (например, фиксация каких-либо фактов без содержания ПДн, иначе ИС опять-таки будет равна ИСПДн, что является частным случаем); - "...исполнения постановления/распоряжения/приказа/etc вышестоящей организации..." (тут комментарии излишне). Список можно продолжать до бесконечности... И любую ИС ее владелец имеет возможность поименовать как считает нужным, если на то нет постановления вышестоящей организации... ЗЫ imho, не берите грех на душу. Если в 1С:Зарплата только зарплата - ведите ее по внутренним идентификаторам сотрудников и, соответственно, не присваивайте этой системе статус ИСПДн. Легче будет, ага... |
Автор: xel | 106971 | 01.08.2019 16:37 |
Спасибо oko! А если имеются приложения для отправки сведений в банк (клиент - банк) или отправки отчетности в ФСС и другие организации (системы электронного обмена документами) их нужно указывать в списке ИСПДн по 211 ПП РФ, строить модели угроз, подавать по ним сведения в Роскомнадзор?
|
Автор: xel | 106974 | 02.08.2019 11:24 |
Прочитал мнение, что их все вместе с 1С можно назвать "ИСПДН Бухгалтерии" и построить одну модель угроз или вообще не трогать не свои системы......
|
Автор: oko | 106977 | 03.08.2019 05:41 |
to xel
Можно и обозвать, можно и единую. Вопрос в том, какие задачи, кем и есть ли между "кем-задача" полные пересечения? Если есть - смело именовать одной системой. Если нет - не советую... Условно, если в 1С сидит одна группа сотрудников, а Банк-клиентом пользуется другая, и данные из 1С в Банк-клиент и обратно не выгружаются - разные этой системы... И да, если вы для системы являетесь абонентом (удаленным сегментом), то, де юре, вам следует париться только в случае, когда владелец (уполномоченный оператор) системы выдает вам Базовую Модель (исключительно редко) / Требования по безопасности (несколько чаще). Хотя тут еще важен аспект регулятора и его видения ситуации в каждом конкретном случае, увы... |
Автор: WORM, MK | 106982 | 04.08.2019 14:21 |
Во всех документах, начиная с закона 149-ФЗ, под ИС понимается железо + софт + информация.
Так что ИС это не коробочная версия и не операционка. ИС это железо, на котором установлены эти самые ОС и ППО. Вот с ним и надо разбираться (и защищать): чье оно, чьим решением создано, кто его эксплуатирует, кто обладатель информации и т.д. Это же касается и ИСПДн. По определению ИСПДн есть железо + софт + ИСПДн. |
Автор: xel | 106983 | 05.08.2019 09:20 |
Спасибо, картина проясняется! А если владелец железа, ИС, ПО один, а обладатель информации (лицо которое получает согласие у субъектов ПДн) другое лицо.....оператором будет тот кто определяет цели и состав ПДн?
|
Автор: WORM, MK | 106984 | 05.08.2019 09:42 |
to xel
По определению, да. Но есть большая разница между понятиями "оператор (ПДн)" и "оператор ГИС (МИС)". |
Автор: xel | 106985 | 05.08.2019 14:41 |
Спасибо. Под понятием "оператор (ПДн)" как я понял это тот кто является владельцем ПДн, определяет цели и состав, а "оператор ГИС(МИС)" это тот кто "эксплуатирует информационную систему" и это может быть как одно лицо так и разные, также оба сразу вместе могут быть в ИСПДн оператором ПДн.
|
Просмотров темы: 1095