Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 След.
[ Закрыто] Что такое информация ограниченного доступа по закону?
Добрый день. Задался я недавно вопросом, что же такое информация ограниченного доступа (ИОД). Перерыл множество нормативных документов ФСТЭК, ФАПСИ, ФСБ, правительства... и все это вылилось в подобную карту. Оговорюсь, что прямого определения что же такое ИОД я не встречал. Есть старые документы в рамках которых ИОД приравнивается к конфи. Но эти документы отменены. В актуальных же документах мне встречались пушистый перечень терминов: сообщения ограниченного доступа, служебные сведениями ограниченного распространения, сведения ограниченного доступа, служебные сообщения ограниченного характера…
Представляю вам на суд. Может чего упустил? Буду рад увидеть замечания.


Что бы было понятно: я пытался доказать что вся информация обрабатываемая в ГИС является ИОД. Прилагаю интеллект-карту в формате .pdf
https://cloud.mail.ru/public/ATzm/J11uGLRsG
Доступ в помещение при возникновении внештатных ситуаций (пожар, наводнение, снежный буран... космоса черные дыры)., Действия при возникновения. Реагирование на инцидент.
Добрый день!
Пишу сейчас документ регламентирующий порядок доступа в помещения, с элементами (АРМ, серверы, сетевое оборудование и т.п.) информационных систем __, в которых ведется обработка ПДн с использованием компонентов криптосредств (криптографически опасная информация, средства криптографической защиты информации, ключевая и парольная информация) обеспечивающих безопасность хранения, обработки и передачи по каналам связи. А так же действия при возникновении внештатных ситуаций.
Организация охранного режима четко прописана у ФАПСИ и 378 ФСБ. А вот что делать ответственному при возникновении стихийных бедствий, аварий, катастроф нигде не написано. Подскажите, наверняка есть госты и регламенты реагирования на инциденты ИБ...
[ Закрыто] Криптография
Цитата
2. Я должен в старую модель угроз добавить актуальную угрозу, которую закрываю использованием скзи? Или могу не трогать ее?
Тебе нужно все переделать по 149/54-144. (МУ верхнего уровня, детализированная МУ, Модель нарушителя- она будет вообще другая. В результате у тебя будет 2 МН. Одна с классификацией нарушителя по ФСТЭК, Другая по ФСБ с названием "МН ИБ действующего на этапе эксплуатации технических и программных средств криптосредства и СФК"

3. Мы шифруем файлы и отправляем им на почту. Где заканчивается наша испдн и начинается их?
Цитата
3. Мы шифруем файлы и отправляем им на почту. Где заканчивается наша испдн и начинается их?
Смею предположить, как только файлы отправили. То что они скачали и ведут обработку в своих ИС- уже их забота.

Цитата
4 мы сами должны определить класс скзи? А если они просто сказали, купите кс2 и все, то нам надо как-то подогнать выбор класса под их требования?
Обычная ситуация. Хоть ФСБ и отвечает что класс зависит от УЗ типа угроз и возможностей нарушителя , класс я определяю по старому 149/54-144. Вернее сказать, уровень криптографической защиты, а потом класс.

Цитата
5. Как выбирать по 378 класс? В 10 пункте и далее описано, в каких случаях какой класс выбирать, в зависимости от угроз. Я должен выбрать нужные, документально закрепить и на основании этого выбрать класс? А в пункте 18 написано, что когда актуальны угрозы 3го типа, нужно использовать скзи 1 класса. В акте классификации испдн, где я определил уровень защищенности, указано, что актуальны угрозы 3го типа. Я могу проигнорировать 10-14 пункт приказа и выбрать КС1 на основании актуальных угроз 3го типа?
УЗ |__1 тип__|__2 тип__|__3 тип___ угроз
1 |___КА___|___KB___|__XXX____
2 |___КА___|___KB___|___KC1___
3 |__XXX___|___KB___|___KC1___
4 |__XXX___|___XXX__|___KC1___

в табличке для каждого типа угроз и уровня представлен минимальный уровень применяемого СКЗИ.
По 149/54-144 определяем тип нарушителя, потом уровень КЗИ, потом класс КЗИ. А затем идем в 378 и сводим все пункты начиная с 10.

Допустим, выбрали тип Нарушителя Н2, уровень КЗИ- КС2, класс КС", для него пункт 10 378 и пункт 11.

Как то так.
[ Закрыто] Модель нарушителя
Цитата
Xenobius пишет:
Симак, да, всё так: модель нарушителя - это вотчина ФСБ. Разработка осуществляется в соответствии с "Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, №149/54-144, 2008 г.)

И да, этот документ до сих пор актуален, так как ФСБ ничего нового на этот счет не представила, старый никто не отменял.
Гм, в общем, передо мной лежат три документа которые мне предстоит свести в один.
1. 149/54-144
2. Базовая модель угроз
3. Приказ 378 (Почему? Там представлено предположение об имеющихся у нарушителя информации, средствах и прочего барахля для проведения атаки)

Причем, как я уже писал, по 149/54-144 6 типов нарушителей. По Базовой модели угроз 8 категорий только внутренних. А по 378-му конкретное сопоставление класса с предположениями.

Как определяется класс СКЗИ мы знаем . Но это по 378-му. А вот По 149/54-144 класс СКЗИ зависит от Уровня криптографической защиты.

Если я все правильно понял, то сведение документов ФСТЭК и ФСБ в один -тот ещё геморой.
[ Закрыто] Модель нарушителя
Цитата
Константин пишет:
2 Симак
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

этот пробовал?
В ней нет ни слова про модель нарушителя.

Сегодня звонил во ФСТЭК по вопросу: "Чем руководствоваться при написании модели нарушителя? В 17 приказе в п 14.3 упоминается что модель нарушителя должна быть, а вот как её делать...?"
На все это получил ответ: Модели нарушителя это компетенция ФСБ.
Позвольте. но есть пункт 5.1 документа " Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных "??
Немного подумав, голос в телефонной трубке сказал что вполне можно использовать её.

Остался вопрос: как сопоставить нарушителей ФСТЭК с нарушителями ФСБ когда у нас в ИСПДн есть СКЗИ?
[ Закрыто] Модель нарушителя
Добрый день уважаемые форумчане.
Подскажите, где в документах ФСТЭК можно почитать про категории-типы-модели нарушителей.

В отраслевой модели угроз и нарушителя Минкомсвязи:
С точки зрения наличия права постоянного или разового доступа в контролируемую зону объектов размещения ИСПДн все физические лица могут быть отнесены к следующим двум категориям:
· категория I – лица, не имеющие права доступа в контролируемую зону ИСПДн;
· категория II – лица, имеющие право доступа в контролируемую зону ИСПДн.
Все потенциальные нарушители подразделяются на:
· внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны ИСПДн;
· внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны ИСПДн

В отношении ИСПДн в качестве внешнего нарушителями из числа лиц категории I могут выступать:
· бывшие сотрудники предприятий отрасли;
· посторонние лица, пытающиеся получить доступ к ПДн в инициативном порядке;
· представители преступных организаций.
Внешний нарушитель может осуществлять:
· перехват обрабатываемых техническими средствами ИСПДн ПДн за счет их утечки по ТКУИ, в том числе с использованием портативных, возимых, носимых, а также автономных автоматических средств разведки серийной разработки;
· деструктивные воздействия через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами КЗ;
· несанкционированный доступ к информации с использованием специальных программных воздействий посредством программы вирусов, вредоносных программ, алгоритмических или программных закладок;
· перехват информации, передаваемой по сетям связи общего пользования или каналам связи, не защищенным от несанкционированного доступа (НСД) к информации организационно- техническими мерами;
· атаки на ИСПДн путем реализации угроз удаленного доступа.
Внутренний нарушитель (лица категории II) подразделяется на восемь групп в зависимости от способа и полномочий доступа к информационным ресурсам (ИР) ИСПДн…

С этим все ясно.

ФСБ выделяет 6 типов нарушителей:
Данный раздел модели нарушителя имеет следующее типовое содержание.
Сначала все физические лица, имеющие доступ к техническим и программным средствам информационной системы, разделяются на следующие категории:
· категория I - лица, не имеющие права доступа в контролируемую зону информационной системы;
· категория II - лица, имеющие право постоянного или разового доступа в контролируемую зону информационной системы.
Далее все потенциальные нарушители подразделяются на:
· внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны информационной системы;
· внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны информационной системы.
Констатируется, что:
· внешними нарушителями могут быть как лица категория I, так и лица категория II;
· внутренними нарушителями могут быть только лица категории II.


В инете встречал вот такую табличку:
Н1 - внешний нарушитель, действующий без помощи изнутри организации
Н2 - внутренний нарушитель, не являющийся пользователем СКЗИКС3
Н3 - внутренний нарушитель, являющийся пользователем СКЗИ
Н4 - нарушитель, привлекающий специалистов в области разработки и анализа СКЗИ
Н5 - нарушитель, привлекающий НИИ в области разработки и анализа СКЗИ
Н6 - спецслужбы иностранных государств

В ней говорится про модель нарушителя, хотя в методических рекомендациях (149/54-144) упоминается про тип нарушителя. Откуда взялась МОДЕЛЬ нарушителя, ума не приложу.

Погуглив, я наткнулся на 3 категории Внутреннего нарушителя. (откуда это взято не знаю, лично я выдрал из модели угроз для какой-то организации)
По признаку наличия права доступа в контролируемую зону ИС все нарушители делятся на две группы:
· внешние нарушители – физические лица, не имеющие права доступа в контролируемую зону ИС.
· внутренние нарушители – физические лица различных категорий, имеющие право санкционированного доступа в контролируемую зону ИС.

Внутренних нарушителей можно разделить на несколько типовых категорий (ролей).
Категория I – Зарегистрированные пользователи ИС:
– пользователи ИС, осуществляющие доступ к ресурсам ИС и, находящиеся в пределах контролируемой зоны (внутренние пользователи).
Категория II – Технический персонал ИС:
– специалисты по обслуживанию технических средств, сопровождению общесистемного и прикладного программного обеспечения;
– системные администраторы (осуществляют конфигурирование и настройку технических и программных средств, используемых в системе);
– администраторы информационной безопасности (осуществляющие конфигурирование и настройку технических и программных средств защиты информации).
Категория III – Физические лица, имеющие доступ в помещения с установленными техническими средствами ИС, но не являющиеся зарегистрированными пользователями и техническим персоналом ИС:
– обслуживающий персонал, проводящий работы в помещениях, в которых размещается оборудование ИС;
– уполномоченный персонал сторонних организаций, с которыми заключен договор на выполнение каких-либо работ, выполняющий работы в помещениях, в которых размещается оборудование ИС (в том числе работники );
– посетители (физические лица, имеющие право разового доступа в помещения ИС).


Встречал я на просторах инета табличку соотношения МОДЕЛЕЙ нарушителя (ФСБ) и категорий нарушителя:

Категория 1___Н1-Н3___3 тип угроз
Категория 2___Н4-Н5___2 тип угроз
Категория 3_____Н6____1 тип угроз



Откуда это все? Как это все? Я не понимаю.


Подскажите, чем надо руководствоваться при написании модели нарушителя для ИС без использования СКЗИ.

МР 149/54-144 указывает что при использовании СКЗИ, наряду с документами ФСТЭК нужно использовать документы ФСБ. Модель нарушителя по ФСБ ясна. Она четко прописывает нарушителя позарившегося на криптосредство и СФК. Да и в 378 приказе четко прописаны возможности опять же при использовании СКЗИ. А вот классификацию нарушителя положившего свой глаз на ПДн я не встречал. Не в новых документах (пп1119, п21,п17) ни в старых методичках.
[ Закрыто] Логин и пароль являются ПДн?, Логин и пароль являются ПДн?
Цитата
Андрей пишет:
Владимир П. В моей текущей организации я даже не знаю есть ли такие перечни вообще )))))). А вот то, что ты не видел, не значит, что этого не может быть. Я сейчас, конечно, замучу, но попробую пояснить. Разве ПДн это только то, что регистрируется государственными органами. Разве коммерческая организация присваивая пользователю логин/пароль не определяет этим его. Связка логин/пароль уникальна и однозначно идентифицирует пользователя внутри "системы".
Смотря какой логин и пароль. Если Логин это ФИО , то я думаю что можно отнести в ПДн (152-ФЗ Статья 3.) В любом случае это конфи и подлежит защите.
[ Закрыто] приказ ФСБ №378 от 10 июля 2014
Цитата
Андрей пишет:
Я тут подотстал, работу менял )))))). Встраивание СКЗИ происходит под контролем ФСБ, да и то начиная с КС3. Про контроль разворачивания сети не слышал. А какой вопрос был?
я уже разобрался сам. спутал встраивание с установкой.
[ Закрыто] приказ ФСБ №378 от 10 июля 2014
Цитата
Андрей пишет:
Ож ты ежики, с каких пор развертывание сети согласовывается с ФСБ?
по методике 149/54-144 пункт 5 - встраивание должно осуществляться под контролем ФСБ. Я так понимаю что надо согласовывать...
А по поводу моего запроса что скажите?
[ Закрыто] приказ ФСБ №378 от 10 июля 2014
Цитата
Андрей пишет:
Если условия функционирования ИСПДн одинаковые (в одном ЦОДе, например), то я пишу одну модель.
Каюсь. невнимательно читал методические рекомендации 149/54-144. В пункте 3.3 все четко сказано.
Однако на практике возникает другой вопрос.
пример. есть головная организация с vipnet координатором. наш филиал собираются подключать посредством vipnet клиента. следуя методике фсб 149/54-144 я должен сам разработать модель угроз +модель нарушителя+ выбрать СКЗИ. В приказе от вышестоящей организации сказано применять vipnet совместимое решение.
Как мне кажется, при создании федеральной сети головной организации, к которой мы подключаемся через випнет должно все было рассчитываться: и модель угроз и модель нарушителя и уж тем более должен быть обоснованный выбор СКЗИ (благо у фсб все замечательно поэтапно описано). Резонно ли мне будет запрашивать подобные документы в головном офисе? сеть принадлежит им, оборудование там стоит класса КС3, значит развертывание такой сети должно быть согласованно с ФСБ (по методике 149/54-144 пункт 5)
[ Закрыто] приказ ФСБ №378 от 10 июля 2014
Цитата
AlexG пишет:
Цитата
Андрей пишет:
Поправьте меня если я ошибаюсь: Для каждой ИСПДн необходима своя МУ, модель нарушителя и детализированная МУ с определением требуемого уровня СКЗИ? Конечно же при условии что в каждой ИС используется СКЗИ. ?
[ Закрыто] приказ ФСБ №378 от 10 июля 2014
Цитата
Андрей пишет:
Если это ко мне, то я не понял вопроса )))
Какие документы регламентирующие применение СКЗИ в персоналке из приведенного мной списка лишние, каких не хватает?
[ Закрыто] приказ ФСБ №378 от 10 июля 2014
Цитата
Андрей пишет:
Все неплохо, но это не все. По п. 9 не надо организовывать отдельную комиссию. Обучением и допуском пользователей занимается ОКЗ, для этого его и создают.
Недавно начал прорабатывать данное направление. Глаза разбегаются. Подскажите актуальный перечень нормативных документов по СКЗИ для персоналки (и для 17 приказа тоже). Для себя я пока нашел пару-тройку документов. взгляните:

  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144)
Очень старый документ. статус его мне не понятен. Он ещё времен 781 и приказа трех. Нашел для себя интересные вещи. В частности модель нарушителя и классификацию СКЗИ. Насколько я понял в добавок к обычной модели угроз надо делать ещё одну по требованиям ФСБ (для тех систем где есть СКЗИ). Ибо МУ получится очень громоздкая. А её потом надо с адаптированным базовым набором мер сопоставлять....

  • Национальный стандарт РФ ГОСТ Р 34.10-2012 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 7 августа 2012 г. N 215-ст)

  • Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

  • Постановление Правительства РФ от 16 апреля 2012 г. N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, аспространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"

  • Приказ ФАПСИ от 13 июня 2001 г. N 152
    "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"
  • Приказ ФСБ РФ от 9 февраля 2005 г. N 66
    "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)"

  • Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ РФ 8 августа 2009 г. N 149/7/2/6-1173)
Взгляните, может что упустил. Или лишнего написал.
Изменено: Симак - 22.01.2015 18:02:04(1)
[ Закрыто] приказ ФСБ №378 от 10 июля 2014
Цитата
Сергей пишет:
Здравствуйте, был опубликован еще один приказ о защите ПД. Как я понял, он является дополнением к ПП 1119.
Но что делать по нему пока не понял, подскажите какие документы необходимо разработать, чтобы АС удовлетворяла требованиям этого приказа?
https://file-up.net/big_3c60e0c39091d2407f20150122091329.html

https://file-up.net/big_0c61a6759829ecf71720150122091434.html

Цитата
AlexG пишет:
Сергей, а приказ читать не пробовали? Там же достаточно ясно написано, что нужно сделать. Ну, и о других документах ФСБ тоже не забывайте, прежде всего "Типовые требования ..." от 2008г.
Занялся проработкой документов по СКЗИ. Откопал кучу документов регламентирующих использование крипты. Половина из них в непонятном статусе. Например "Методические рекомендации
по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
(утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144)". Документ очень древний и ссылается аж на 781 приказ. Как с ним быть? К тому же есть ФАПСИ и прочие национальные стандарты.

На одном из форумов наткнулся на такой пост:

"Допустим, для связи с ПФР/Налоговой/Казначейством/удалённым офисом вы поставили ViPNet/Континент..
Что же вам нужно сделать, чтобы использовать это СКЗИ для пересылки перс.данных в соответствие с требованиями ФСБ?
1. Теперь у вас есть (еще одна) ИСПДн. Вам нужно ее классифицировать, разработать модель угроз с учетом требований ФСБ;
2. На установленный випнет необходимо сформировать заключение о возможности эксплуатации СКЗИ. В котором перечислить тип СКЗИ и серийный номер, серийники ПК, указать результаты тестов работоспособности СКЗИ и т.д.;
3. Опечатать системный блок, где установлен випнет. Номера печати внести в Заключение;
4. Назначить приказом ответственных за обслуживание СКЗИ, а так же допущенных к работе с випнетом;
5. Описать функциональные обязанности ответственных;
6. Разработать инструкции, регламентирующие процессы подготовки, ввода, обработки, хранения и передачи защищаемой информации и согласовать их с лицензиатом ФСБ;
7. Ознакомить всех ответственных со всеми документами под роспись;
8. Организовать орган криптографической защиты;
9. Организовать комиссию по обучению лиц, допущенных к работе с СКЗИ. Разработать программу зачётов. Организовать обучение и устроить зачёты. Составить на каждого пользователя заключение.
10. Завести технический (аппаратный) журнал, в котором учесть все СКЗИ, материальные носители, ключевые носители и документацию на СКЗИ;
11. Выдавать СКЗИ, ключи, документацию и мат.носители под роспись в журнале;
12. Завести на каждого пользователя лицевой счёт, в котором фиксировать выданные СКЗИ, ключи, документацию и мат.носители;
13. Каждому пользователю организовать индивидуальное хранилище для хранения СКЗИ, ключей и документации. А так же отдельное хранилище для хранения резервных копий (хранить их требуется отдельно от рабочих). Сделать дубликаты ключей от хранилищ и надежно их хранить;
14. Помещения, где стоит випнет (или хранятся ключи), оснастить охранной сигнализацией. Периодически проверять ее работоспособность;
15. Расположить мониторы так, чтобы исключить просмотр содержимого экрана посторонними. Защитить окна от подглядываний;
16. Пронумеровать, учесть и выдать под расписку ключи от помещений пользователям. Сделать дубликаты и хранить отдельно в сейфе;
17. Помещение, где стоит випнет, должно постоянно замыкаться на ключ и может открываться только для "санкционированного прохода пользователей";
18. В конце дня все индивидуальные хранилища опечатывать, помещения закрывать на ключ. Ключи сдавать под расписку ответственному (личные печати для опечатывания хранилищ и помещений пользователи уносят с собой);
19. В моменты смены криптоключей - удалять из помещения всех не допущенных к СКЗИ лиц;
20. Описать принятые организационные и технические меры защиты.

Все вышеуказанные требования обязательны (правда проверяют пока что только гос.организации). Прецеденты с наказаниями имеются.

Создано по 152 приказу ФАПСИ и Типовым требованиям по использованию СКЗИ для защиты ПДн ФСБ"

ГУП-Государственное Унитарное Предприятие
Все верно.
http://www.youtube.com/watch?x-yt-ts=1421914688&v=5XEDatKCwNQ&x-yt-cl=84503534&feature=player_embedded
ГУП-Государственное Унитарное Предприятие
Цитата
Андрей пишет:
Ну, давай серьезно! 17 Приказ - это защита ГИС, вне зависимости от организационно-правовой формы организации. У тебя ГИС? - НЕТ! Значит 21 Приказ. Так серьезно?
У меня создается впечатление, что когда мы с Вами говорим про ГИСы , то говорим про разные вещи. Я пользуюсь вот такой памяткой:

Классификация информационных систем по ФЗ-149">Классификация информационных систем по ФЗ-149
  • Государственные информационные системы
Федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов
  • Муниципальные информационные системы
Созданы на основании решения органа местного самоуправления
Установленные требования к государственным информационным системам распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством РФ о местном самоуправлении
  • Иные информационные системы



Что такое ГИС по закону?
  • Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. п. 1 ст. 13 149-ФЗ
  • Муниципальные информационные системы, созданные на основании решения органа местного самоуправления. п. 1 ст. 14 149-ФЗ
  • Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. п. 1 ст. 14 149-ФЗ
3 условия существования ГИС
  • ИС обеспечивает реализацию полномочий
  • ИС обеспечивает информационный обмен между госорганами
· ИС обеспечивает достижение иных установленных федеральными законами целей
Что такое ГИС: позиция РАНХиГС
· Все, что делается в государственном органе (поскольку вся его деятельность - суть публичная сфера правоотношений), делается в силу закона
Иная деятельность по определению незаконна (публичному органу запрещено все, что прямо не предписано законодательством)
Ведение бухгалтерии (кадрового учета и др.), вообще - любая иная обеспечивающая деятельность осуществляется также только в силу требований тех или иных законов
То, что такого рода деятельность прямо не описана в Положении о том или ином ведомстве, фактор неспецифический
Ведомства реализуют множество полномочий, которыми их наделили вне Положений (например, федеральными законами и указами президента)

Что такое ГИС: позиция Минкомсвязи
· Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов
Обратите внимание, не нормативных, а правовых актов, т.е. на основании любого правомочного решения государственного органа, например, обычного приказа или решения/протокола совещания
Такое правомочное решение может принять не орган исполнительной власти, не орган власти вообще, а любой обычный государственный орган

Что такое ГИС: позиция Минкомсвязи
  • Частая отсылка к ПП-723 о регистрации отдельных видов ГИС имеет отношение не ко всем ГИС, а только к некоторым из них.
По мнению Минкомсвязи ПП-723 обязательно только для ФОИВов и только для ГИС, предназначенных для оказания государственных функций или предоставления государственных услуг
При этом отсутствие регистрации не меняет статус незарегистрированной ГИС, как государственной

  • Иными словами, наличие обычного приказа о вводе в эксплуатацию информационной системы в госоргане делает ее государственной, а в муниципальном учреждении - муниципальной
И никакая регистрация для этого не требуется (исключая федеральные ГИС определенных типов).


Почему ИС бухгалтерии не надо регистрировать в реестре?
  • ПП-723 ограничивает свою юрисдикцию только ГИС, которые предназначены для оказания госуслуг
  • Регистрация осуществляется в целях организации доступа граждан и организаций, органов государственной власти и органов местного самоуправления к информации об эксплуатируемых федеральных государственных информационных системах, в том числе о составе содержащейся в них информации, информационных технологиях и технических средствах, обеспечивающих обработку информации. п.4 ПП-723
  • ИС бухгалтерии не попадает в перечень ИС, которые надо регистрировать, т.к. она создается не для оказания госуслуг
Но создается на основании правового акта госоргана

Что такое ГИС: очередная версия
  • Любой госорган осуществляет свою деятельность на основании Положения о нем
В этом положении, как правило, прописывается структура, в том числе кадры и т.п.
Это структурное подразделение госоргана и неотрывно от него
  • Госорган выполняет ряд функций в обеспечение всей деятельности
В том числе обеспечивает соблюдение трудового законодательства при реализации правовых отношений со своими сотрудниками
Это как раз и есть та самая «иная установленная федеральным законом цель» (ст 14 ФЗ-149)
  • Следовательно ИС «Кадры», впрочем как и ИС «Бухгалтерия»" в госоргане - ГИС

Что такое ГИС: еще версия
  • К ГИС относятся «информационные системы, создаваемые и приобретаемые за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов»
Постановление Правительства РФ от 26.06.2012 №644

Что такое ГИС: немного практики
  • Согласно ПП-211 все государственные органы власти и муниципальные учреждения должны принять внутренний правовой документ под названием «Перечень информационных систем персональных данных»
- Этот документ в обязательном порядке смотрит РКН при надзоре
  • Данный перечень является правовым актом, содержащим список ИС госоргана
· Все системы в нем - ГИС!
Изменено: Симак - 26.11.2014 09:38:09
ГУП-Государственное Унитарное Предприятие
Цитата
Андрей пишет:
Ну, давай серьезно! 17 Приказ - это защита ГИС, вне зависимости от организационно-правовой формы организации. У тебя ГИС? - НЕТ! Значит 21 Приказ. Так серьезно?
Так вот, это Государственное унитарное предприятие. Ключевое слово здесь-государственное. предприятие с незакрепленным за ним имуществом. Следовательно Владельцем ИС является государство. Оно выделили деньги на реализацию. Как я себе представляю- государство и является собственником. Оно наделено "правом собственности" на ИС. Таки получается что это ГИС.


Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. п. 1 ст. 14 149-ФЗ


Объект представляет собой сеть аптек. И связб ведется .... с ФОМС или ещё с чем.

К ГИС относятся «информационные системы, создаваемые и приобретаемые за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов». Постановление Правительства РФ от 26.06.2012 №644
ГУП-Государственное Унитарное Предприятие
Цитата
Андрей пишет:
А поверить на слово никак? )))
:D еслиб все так просто по жизни было. заказчик спрашивает че как, а ты ему- поверь на слово.
ps. это как то не серьезно
ГУП-Государственное Унитарное Предприятие
А можете как то аргументировать свой ответ?
Цитата
Андрей пишет:
Защищайте по 21 Приказу.
ГУП-Государственное Унитарное Предприятие
по 21 потому что "Коммерческая организация, не наделённая правом собственности на закреплённое за ней собственником имущество."
Страницы: 1 2 След.