12 Июля, 2013

Негосударственные организации и 17 приказ ФСТЭК (на примере ВУЗов и ФИС ЕГЭ и Приема)

Иван Бойцов
В свете скорого вступления в силу 17-го приказа ФСТЭК, утверждающего требования о защите информации в ГИСах, у нас с коллегами возникло обсуждение о защите информации в негосударственных ВУЗах, которые осуществляют подключение к ГИС " ФИС ЕГЭ и Приема ", который присутствует в Реестре федеральных государственных информационных систем и однозначно подпадает под действие 17-го приказа.

В комплекте документов по подключению к ФИС ЕГЭ есть документ " Технические условия для подключения к ЗКСПД ФГБУ ФЦТ ". В этом документе рассматриваются три варианта подключения к ФИС ЕГЭ, но все они сводятся к тому, что в ВУЗе есть некая автоматизированная (информационная) система, которая сопрягается с ФИС ЕГЭ.

То, что АС ВУЗа должна быть защищена в соответствии с требованиями к ИСПДн по действовавшими на момент их создания требованиям, вопросов не вызывает. Основной вопрос - подпадает ли такая АС под действие 17-го приказа.

В 17-ом приказе указано:

3. Настоящие Требования являются обязательными при обработке
информации в государственных информационных системах
,
функционирующих на территории Российской Федерации, а также в
муниципальных информационных системах, если иное не установлено
законодательством Российской Федерации о местном самоуправлении.
Можно ли ВУЗ, который ведет обработку информации в ГИС, но из своей собственной АС, принудить к выполнению 17-го приказа на основании данного пункта? На мой взгляд, вопрос открытый и не имеет однозначного ответа.
По моему мнению, решить этот вопрос могут только корректировки технических условиях для подключения к ГИС, в которых прямо будет прописана необходимость выполнения требований 17-го приказа или отсутствие такой необходимости.
Я порекомендовал выполнять требования 17-го приказа в случае наличия финансовой возможности, и это не противоречит самому приказу:

6. По решению обладателя информации (заказчика) или оператора
настоящие Требования могут применяться для защиты информации,
содержащейся в негосударственных информационных системах.
Кроме того, как я уже упомянул, в данных АС обрабатываются персональные данные и, в любом случае, необходимо обеспечение защиты по требованиям 21-го приказа ФСТЭК (для создаваемых и модифицируемых АС), а выполнение требований 17-го приказа обеспечивают необходимый уровень защищенности ИСПДн (в соответствии с п. 27 17-го приказа).

Хотелось бы услышать мнение коллег и экспертов, как вы думаете, нужно ли выполнять требования 17-го приказа для самостоятельных АС , сопрягающихся с ГИС и обрабатывающих информацию из ГИС?
или введите имя

CAPTCHA