ГИС или не ГИС, вот в чем вопрос

ГИС или не ГИС, вот в чем вопрос

Прочел в твиттере Алексея Лукацкого замечательную новость о законопроекте , который посвящен «установлению требований о защите информации в информационных системах, используемых органами государственной власти».

Данная новость, вероятнее всего, ставит точку в дискуссии о том, что является Государственной информационной системой (ГИС) и как такие системы необходимо защищать.

Когда еще только вышел Приказ ФСТЭК №17, предъявляющий требования по классификации и защите ГИС, возникло много различных догадок о сфере его применения. Кто-то считал, что любая система в государственном органе относится к ГИС и должна защищаться в соответствии с Приказом 17. Кто-то считал, что к ГИС относятся только системы, внесенные в соответствующий реестр.

На практике многие перестраховывались: относили к ГИС любую информационную систему, создаваемую в гос. органе, классифицировали и защищали ее по 17 Приказу. По крайней мере лично я видел достаточно много систем, не включенных в реестр, но по которым применялся 17 Приказ. 

Итак, в сообщении, размещенном на сайте Правительства, говорится следующее:


С самим законопроектом можно ознакомиться здесь . Согласно нему предлагается внести изменения в ФЗ 149 "Об информации, информационных технологиях и о защите информации" (которому недавно и так досталось, от «пакета Яровой»):


Другими словами, констатируется, что информационные системы, не внесенные в 
соответствующий реестр, к ГИС не относятся. Значит закрывается «дыра», связанная с непонятной областью действия 17 Приказа: теперь системы, явно не относящиеся к ГИС, также попадают под его действие (если, конечно, по ним не будет еще одного приказа ФСТЭК).
Те, кто раньше руководствовался 17 Приказом для всех гос. систем «по умолчанию» вряд ли что-то проиграли и работы у них будет поменьше. Чего не скажешь об остальных: похоже теперь требования Приказа 17 могут быть распространены и на информационные системы государственных корпораций... В общем, законопроект передан в Госдуму, скучно не будет.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас

Булат Шамсутдинов

Журнал информационной безопасности