Контакты
Подписка
МЕНЮ
Контакты
Подписка

Определение принадлежности к ГИС - Форум по вопросам информационной безопасности

Определение принадлежности к ГИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Atmaks | 107113 28.08.2019 12:17
Здравствуйте. У нас (госучреждение, подчиненное ФОИВ) есть система дистанционного образования в виде веб-сайта. Понятно, что это ИСПДн, но как можно четко определить, является ли ИС государственной? Поиск по интернету даёт противоречивые сведения, а требований ФСТЭК-17 хотелось бы избежать. Есть коллеги, которые тоже держат СДО на своём железе, но у них система покупая и обслуживается поставщиком. Не уверен, что мы можем положиться на их опыт. Буду признателен зал любой ответ.

Автор: Ikebot | 107114 28.08.2019 12:44
Кого вы обучаете в этой системе? своих сотрудников или услуги образовательные оказывете и есть ли в вашем уставе\положении полномочия для реализации которых создана ваша система? Вот тут сжато о разных мнениях на сей счет https://www.securitylab.ru/blog/personal/Business_without_danger/38311.php

Слишком мало исходных данных вы рассказал...

Автор: WORM, MK | 107115 28.08.2019 13:09
to Atmax
Если по законодательству то картина с ГИС довольно мутная.
На практике судят так:
1. Вы не орган власти, следовательно ваша ИС не является ГИС.
2. Ваша ИС не используется для реализации полномочий органа власти, следовательно она не ГИС.

Автор: Atmaks | 107119 28.08.2019 17:30
to Ikebot:
Обучаем как своих работников, так и посторонних, за вознаграждение и без (если я правильно понял). В уставе есть про образование, но про дистанционное вроде бы ничего. Уточню ещё у начальников насчет внутренних приказов. Приведенную вами статью бегло читал. Там ссылаются на реестр ГИС, который РКН уже не ведет, и в общем доступе я его не нашел.
to WORM:
Мы вроде бы и не орган, а к органу относимся. Черт его знает.

Вообще, когда СДО заводили, начальники сильно мандражировали, "должно быть готово вчера" и т.д. Надо полагать, всё-таки для реализации полномочий. В худшем случае, как я понимаю, варианта два: покупать СДО с гарантиями соответствия требованиям и отмазываться или покупать услуги по обеспечению ИБ и последующей аттестации.

Кстати, меня старшие товарищи успокоили: если в системе только ФИО, можно как ИСПДн не оформлять.

Автор: WORM, MK | 107121 28.08.2019 18:13
ФГУП не орган, а учреждение. У него нет властных полномочий. И если от органа власти нет прямого указания (правового акта) о том, что ваша ИС есть ГИС, то не парьтесь. Проведение уч. занятий не входит в полномочия гос. органов (а у вас это не полномочия и вид деятельности). В полномочия органов входит контроль, регистрация, регулирование и т.п. Вот та ИС, которая для этого используется и есть ГИС, а у вас - обычная ИСПДн.

По поводу ФИО. По последней моде ФИО это уже ПДн (хотя это очень спорно, но Роскомнадзор, как и все регуляторы, постепенно скатывается в маразм, у них скоро и просто имя "Петя" тоже станет ПДн).
В общем, если у вас только ФИО и больше ничего, то я бы все же не относил это к ИСПДн, хотя завсегда могут придраться...

Автор: sekira | 107125 29.08.2019 11:14
придираюсь...
"В общем, если у вас только ФИО и больше ничего, то я бы все же не относил это к ИСПДн, хотя завсегда могут придраться..."

ФЗ 152 - персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Автор: Atmaks | 107126 29.08.2019 14:07
Уточнил по документам - никаких приказов о дистанционном обучении у нас нет. Буду упирать на это. Вроде теперь самое страшное у нас - это ИСПДн на несертифицированных Windows (и гарантий в договоре о покупке тоже нет), но это уже другой вопрос. Всем спасибо за ответы.

Автор: oko | 107130 29.08.2019 22:44
*в сторону*
Давно пора честным безопасникам собраться, найти этого негодяя и засунуть ему эту байку про "необходимость сертифицированной Windows" по самую ИСПДн, ага...

*в ту же сторону*
Господа, уверяю вас в том, что Симонов Петр Эдуардович - ябеда и враль, каких свет не видывал. А Софья Павловна Замоскворецкая - гулящая женщина, страдающая венерическими заболеваниями. Упреждаю вас от ведения с ними каких-либо дел, запомните!

Просмотров темы: 672

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*