6 Марта, 2014

Что такое государственная информационная система или на кого рассчитан 17-й приказ ФСТЭК?

Алексей Лукацкий
Решил я тут разобраться в том, что же такое государственная информационная система, для защиты которых разработан и 17-й приказ и методичка по защитным мерам. Оказалось это непросто. Существует несколько неоднозначных точек зрения по этому вопросу. Начну я с мнений коллег:
  • Артем Агеев считает , что ГИСами по сути можно считать только те ИС, которые находятся в реестре Минкомсвязи. 
  • Андрей Прозоров считает , что не каждая ИС в госоргане является государственной и попадает под действие 17-го приказа.
  • Михаил Новокрещенов считает  аналогично, но при этом, если ИС вводится в действие приказом и вводится в госоргане, то это уже ГИС.
Однако, эти 3 в чем то схожие позиции отличаются от того, что думают другие участники игры. Например, у коллег из РАНХиГС мнение совершенно иное. Оно более эмоциональная, но все-таки это позиция, к которой стоит прислушаться. Все-таки РАНХиГС активно участвует в нормотворческом процессе и сбрасывать со счетов их взгляд не стоит. Итак позиция дословно следующая: "Все, что делается в государственном органе (поскольку вся его деятельность - суть публичная сфера правоотношений), делается в силу закона. Иная деятельность по определению незаконна (публичному органу запрещено все, что прямо не предписано законодательством). Ведение бухгалтерии (кадрового учета и др.), вообще - любая иная обеспечивающая деятельность осуществляется также только в силу требований тех или иных законов. В случае бухгалтерии равно отнесенных к публичным и гражданским организациям. То, что такого рода деятельность прямо не описана в Положении о том или ином ведомстве, фактор неспецифический. Ведомства реализуют множество полномочий, которыми их наделили вне Положений (например, федеральными законами и указами президента). Отсутствие тех или иных полномочий в Положении дело, конечно, "неопрятное", но, если они проистекают из законодательства, они все равно полномочия. Тем самым, ИС бухгалтерии госоргана создается а) на основании закона (общего для любой организации в стране), б) на основании правового акта госоргана (вводится в экслуатацию приказом, скорее всего, министра, в) она нужна для реализации полномочий госоргана ("нужна" = без нее невозможно реализовать иные полномочия ведомства)". Если подытожить, то РАНХиГС считает, что любая информационная система в государственном органе является государственной.

Аналогичной позиции придерживается и Минкомсвязи. Их логика следующая. Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. Обратите внимание, не нормативных, а правовых актов. Т.е. на основании любого правомочного решения государственного органа, например, обычного приказа. И такое правомочное решение может принять не орган исполнительной власти, не орган власти вообще, а любой обычный государственный орган. Частая отсылка к ПП-723 о регистрации отдельных видов ГИС имеет отношение не ко всем ГИС, а только к некоторым из них. По мнению Минкомсвязи ПП-723 обязательно только для ФОИВов и только для ГИС, предназначенных для оказания государственных функций или предоставления государственных услуг. При этом отсутствие регистрации не меняет статус незарегистрированной ГИС, как государственной.  Иными словами, наличие обычного приказа о вводе в эксплуатацию информационной системы в госоргане делает ее государственной, а в мцниципальном учреждении - муниципальной. И никакая регистрация для этого не требуется (исключая федеральные ГИС определенных типов).

На ФБ была длинная дискуссия  на тему, что считать ГИС, а что нет. Прошедшие через горнило регистрации ГИС в реестрах считают, что регистрация является обязательной и без нее статуса государственной получить нельзя. При этом реестр, в котором хранится информация о ГИС, не один. Это по ПП-723 у нас реестр федеральных ГИС ведет Минкомсвязи. Но если погуглить, то почти в каждом субъекте РФ найдется свой нормативно-правовой акт о порядке учета и регистрации информационных систем. Названия могут меняться. Например, в Московской области он называется "О порядке учета и регистрации информационных систем", на Ямале - "О порядке учета и регистрации информационных ресурсов и систем", в Республике Коми - "О государственных информационных системах Республики Коми", в Мурманской области - "О порядке учета и регистрации государственных информационных систем". Все вразнобой, но суть при этом не меняется - коллеги считают, что статус государственной получает только та информационная система, которая занесена в реестр, порядок ведения которого утвержден постановлением правительства субъекта РФ.

Что мы имеем в сухом остатке? Есть несколько позиций по этому вопросу. Если следовать логике "нет регистрации в реестре - нет ГИС", то получается, что госорган или орган местного самоуправления должен следовать сразу нескольким наборам требований по защите - 17-й приказ, 21-й приказ, СТР-К. Это очень неудобно и возникнет несогласованность между различными требованиями; особенно СТР-Кшными, которые пока никто формально не отменял. Если же следовать логике Минкомсвязи (оно формальнее и нравится мне больше, чем та же позиция РАНХиГС), то невзирая на наличие регистрации в реестре любая ИС, созданная в любом госоргане или органе местного самоуправления будет считаться государственной (или муниципальной соответственно), если есть приказ о ее создании или, что более вероятно, о вводе ее в эксплуатацию. А значит, что сфера действия 17-го приказа гораздо шире, чем считалось раньше, и под его действие попадают почти все госорганы и муниципалитеты.
или введите имя

CAPTCHA
6 Марта, 2014
Возникает законный вопросы: 1) почему уцепились за п. 1 ст. 13 149-ФЗ? 2) почему не анализируют содержание терминов? Давайте ещё почитаем 149-ФЗ: Пункт 1 ст. 14 149-ФЗ гласит: "Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях." Здесь имеем 3 условия для отнесения к ГИС: 1. ИС обеспечивает реализацию полномочий. 2. ИС обсепечивает информационный обмен м/у гос.органами. 3. ИС обеспечивает достижение иных установленных федеральными законами целей. Давайте разберем по порядку. 1. ИС обеспечивает реализацию полномочий. Определимся с содержанием термина: полномочия — ограниченные права использовать ресурсы организации и направлять усилия некоторых сотрудников на выполнение определенных задач. Теперь, для примера, возьмем Положение о Роскомнадзоре. В нем закреплено много полномочий данного федерального органа власти, НО нет ни одного, относящегося к вопросу труда, налогообложения, здравоохранениния и т.п. Почему? Потому, что это обязанность, т.е. - безусловные для выполнения действия, по общественным требованиям или внутренним побуждениям. Например, обязанности в области труда закреплены в абзаце 3 ст. 11 ТК РФ. Т.о. получаем: 1) ИС "Реестр операторов, осуществляющих обработку персональных данных" созданная для реализации таких полномочий как "ведение реестра операторов, осуществляющих обработку персональных данных" является ГИС. 2) ИС "Кадры", созданная для выполнения обязанностей в области трудовых и непосредственно связанными с ними отношениями с работниками не является ГИС. 2. ИС обсепечивает информационный обмен м/у гос.органами. Сюда, например, относятся такие системы как "СМЭВ", "МЭДО". 3. ИС обеспечивает достижение иных установленных федеральными законами целей. Сюда отнятся системы соданные для обесепечения исполнения отдельных федеральных законов. Например, Федерального закона от 18.07.2006 N 109-ФЗ (ред. от 28.12.2013) "О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации", в котором четко прописано использование ИС (п. 3 р. 4 ст. 4).
0 |
  • Поделиться
  • Ссылка
7 Марта, 2014
В полемику вдаваться не буду. Вопрос конкретный: информационные системы регионального сегмента Единой государственной информационной системы в сфере здравоохранения РФ субъекта РФ является ГИС? Да или нет?
0 |
  • Поделиться
  • Ссылка
13 Марта, 2014
Читаем Приказ Минздравсоцразвития России от 28.04.2011 N 364 (ред. от 12.04.2012) "Об утверждении Концепции создания единой государственной информационной системы в сфере здравоохранения": "3. Цель создания Системы Основной целью создания Системы является обеспечение эффективной информационной поддержки процесса управления системой медицинской помощи, а также процесса оказания медицинской помощи." Информационная поддержка процесса управления - это функция, как правило, подразделений ОИВ, осуществляющих аналитическую и информацио-технологическую деятельность. Если подробно рассмотреть задачи, поставленные перед Системой, то эти же задачи встречаем в функциях органов исполнительной власти в области здравоохранения. Таким образом получаем: вся система и ее отдельные сегменты(фрагменты) - ГИС.
0 |
4 Июня, 2014
Во-первых, полномочия - это не права, а совокупность прав и обязанностей, для выполнения которых эти права даются. Об этом хорошо написано в справочнике: Элементарные начала общей теории права: учеб. пособие для вузов / под общей ред. д-ра юрид. наук, проф. В. И. Червонюка. Во-вторых, пункт 1 ст. 14 149-ФЗ определяет не условия отнесения ГИС, а правила их создания. А пункт 1 ст. 13 дает определение ГИС, в котором регистрацию не требуется привлекать.
0 |
  • Поделиться
  • Ссылка
24 Июля, 2014
Подскажите такой момент. Гос.организация хочет подключиться (выделить для работы рабочее место) к ГИС "СМЭВ", необходимо ли этой гос.организации (ИС организации не относиться к ГИС) выполнять 17 приказ?
0 |
  • Поделиться
  • Ссылка
28 Июля, 2014
Сам по себе приказ 17 распространяется только на ГИС. Гипотетически может существовать документ, относящийся к СМЭВ, в котором есть требование выполнять приказ 17. Я в этом не специалист, мне известен приказ Минкомсвязи от 27 декабря 2010 г. N 190: http://base.garant.ru/55170307/#block_1000 (внимательно не читал).
0 |
12 Сентября, 2016
Если несекрет, откуда взята информации о мнении РАНХиГС? Прошу по возможности поделиться ссылкой на источник.
0 |
  • Поделиться
  • Ссылка