Законодательное регулирование
Исходя из закона 149-ФЗ, ГИС – это ИС федерального и регионального значения, которые создаются на основе законов и законодательных актов РФ.
На федеральном уровне ГИСы регулируются:
- законом 149-ФЗ от 27 июля 2006 года;
- постановлением Правительства РФ номер 676 от 6 июля 2015 года;
- приказом ФСТЭК номер 17 от 11 февраля 2013 года.
В Москве ГИСы регламентируются:
- законом г.Москвы номер 52 от 24.10.2001;
- распоряжением Правительства Москвы номер 342-РП от 03.07.2012.
Как понять: это ГИС или нет?
ГИС образуется, если необходимо:
- реализовать права госорганов;
- обеспечить передачу сведений между государственными органами;
- достигнуть разнообразные задачи, установленные законодательством.
Чтобы понять относится ли ИС к ГИС, необходимо воспользоваться следующим алгоритмом:
- Выяснить о наличии законодательного акта, который говорит о создании информационной системы.
- Зайти в Реестр ГИС и проверить там.
- Изучить назначение системы и ее полномочия.
Что делать, если это ГИС?
Охрана сведений участников ГИС, подразумевает осуществление мероприятий, регламентированных приказом ФСТЭК 17:
- сформировать правила охраны сведений, находящейся в информационной системе (ИС);
- защитить сведения в момент использования аттестованной ИС;
- внедрить методы защиты сведений ИС;
- оценка ИС согласно нормам охраны сведений и вывод в исполнение;
- обеспечить защиту сведений при выводе из использования ИС или после завершения ее обработки.
Что должны делать организации, взаимодействующие с ГИС?
Организации взаимодействующие с ГИС должны провести пять действий.
Классифицировать ИС и выявить опасность безопасности.
Классификация производится на основе приказа ФСТЭК.
А угрозы безопасности являются результатом:
- изучения способностей нарушителей;
- нахождения слабых мест в ИС;
- оценки предполагаемых способов атаки на ИС;
- учета последствий от нарушения безопасности ИС.
Сформировать правила, предъявляемые к системе обработки сведений.
Такие правила должны содержать:
- цели и задачи создания защиты сведений ИС;
- определение класса защищенности ИС;
- список объектов защиты ИС;
- список законодательных актов, документов, постановлений, стандартов, которыми должна руководствоваться и соответствовать ИС;
- требования к средствам защиты сведений, используемым в ИС.
Создать систему защиты сведений ИС.
Чтобы создать такую систему, потребуется:
- спроектировать структуру защиты сведений ИС;
- создать эксплуатационные документы на план защиты сведений ИС;
- протестировать и смоделировать структуру защиты сведений ИС.
Произвести продвижение структуры защиты сведений ИС
Это значит, что нужно:
- установить и настроить методы защиты сведений в ИС;
- разработать документы, устанавливающие правила и процесс защиты сведений в ИС в момент ее использования;
- запустить организационные меры защиты сведений;
- провести подготовительное тестирование системы защиты сведений в ИС;
- создать опытное использование системы защиты сведений ИС;
- проверить разработанную систему защиты сведений на наличие слабых мест;
- проверка и тестирование защитной структуры сведений ИС.
Характеризовать ИС персональной информации.
- произвести оценочные исследования;
- принять лично свидетельство соответствия.
Функции всех участников, взаимодействующих в ГИС
Роли и функции участников ГИС |
Владелец сведений |
Определяет задачи обработки сведений, состав сведений и действия с ними в соответствии с ГИС |
Руководящий информационным наполнением ИС |
Регулирование наполнения ГИС сведениями |
Оператор ИС |
Использование сведений ГИС согласно целям и задачам владельца информации |
Поставщик сведений |
Хранение, использование, передача сведений согласно целям и задачам владельца информации
Сбор и заполнение ГИС сведениями |
Пользователь сведениями |
Использование сведений ГИС согласно целям и задачам владельца информации
Сбор и заполнение ГИС сведениями |
Услуги компании Mira-comp
Наша компания оказывает услуги в области ИТ-безопасности, защиты Гостайны, оказываем ИТ-поддержку, проводим ИТ-аудит и ИТ-аутсорсинг вашего бизнеса. А также занимаемся продажей компьютерного оборудования.
Полный перечень услуг, который оказывает наша компания по ИТ-безопасности можно посмотреть на нашем сайте: https://mira-comp.ru.