Введение в Эксплуатацию Государственной Информ. Системы (ГИС)!

Государственные информационные системы (ГИС) — это федеральные информационные системы и региональные информационные системы, созданные на основании соответствующих федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

Введение в Эксплуатацию Государственной Информ. Системы (ГИС)!

Информация в ГИС должна быть защищена от несанкционированного доступа, а также от специальных воздействий в целях ее добывания, уничтожения, искажения или блокирования

ООО «МАСКОМ-Техлайн» проводит полный комплекс работ по защите информации в ГИС в соответствии с требованиями нормативных правовых актов:

  • аттестация информационной системы по требованиям защиты информации;
  • разработка частной модели актуальных угроз нарушения безопасности информации;
  • выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз нарушения безопасности информации;
  • разработка технического задания и проектирование систем защиты информации (СЗИ);
  • разработка организационно-распорядительной и исполнительной документации, регламентирующей порядок защиты информации и эксплуатации СЗИ;
  • поставка и внедрение сертифицированных технических средств защиты информации;
  • обучение персонала в авторизованных учебных центрах;
  • техническое сопровождение и сервисное обслуживание СЗИ.

При выборе и реализации необходимых мер защиты информации мы руководствуемся требованиями использования наиболее эффективных решений, в соответствии с индивидуальными особенностями защищаемых ГИС и спецификой деятельности Заказчика.

Аттестация ГИС

Для государственных информационных систем мероприятием по контролю соответствия системы защиты информации требованиям является аттестация, регламентированная «Положением по аттестации объектов информатизации», рядом ГОСТов и руководящими документами ФСТЭК.

Аттестация ГИС включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие СЗИ установленным Требованиям безопасности. По результатам аттестационных испытаний оформляются протоколы, заключение о соответствии и аттестат соответствия в случае положительных результатов.

  • Допускается аттестация на основе результатов аттестационных испытаний выделенного набора сегментов ГИС, реализующих полную технологию обработки информации.
  • Ввод в действие ГИС осуществляется при наличии аттестата соответствия.
  • Для получения более подробной информации позвоните по телефону: 8 (800) 775-97-69 или оставьте заявку в форме ниже

Государственные информационные системы (ГИСы): практические вопросы защиты информации

В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные.

Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются.

В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов.

К операторам  государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные  в Приказе ФСТЭК России от 11 февраля 2013 г.

№ 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите.

Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон.

Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.

На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять.  Тем не менее план проверок контролирующих органов растет,  планомерно увеличиваются штрафы.

Как отличить ГИС от неГИС

Государственная информационная система создается, когда необходимо обеспечить:

  • реализацию полномочий госорганов;
  • информационный обмен между госорганами;
  • достижение иных установленных федеральными законами целей.

Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

  1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
  2. Проверить наличие системы в Реестре федеральных государственных информационных систем. Подобные реестры существуют на уровне субъектов Федерации.
  3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления.  ИС «Учет граждан, нуждающихся в жилых помещениях на территории  Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.

Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

Это ГИС. Что делать?

Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
  • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

1. Провести классификацию ИС и определить угрозы безопасности

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

Угрозы безопасности информации определяются по результатам

  • оценки возможностей нарушителей;
  • анализа возможных уязвимостей информационной системы;
  • анализа (или моделирования) возможных способов реализации угроз безопасности информации;
  • оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

2. Сформировать требования к системе обработки информации

Требования к системе должны содержать:

  • цель и задачи обеспечения защиты информации в информационной системе;
  • класс защищенности информационной системы;
  • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  • перечень объектов защиты информационной системы;
  • требования к мерам и средствам защиты информации, применяемым в информационной системе.

3. Разработать систему защиты информации информационной системы

Для этого необходимо провести:

  • проектирование системы защиты информации информационной системы;
  • разработку эксплуатационной документации на систему защиты информации информационной системы;
  • макетирование и тестирование системы защиты информации информационной системы.

4. Провести внедрение системы защиты информации информационной системы, а именно:

  • установку и настройку средств защиты информации в информационной системе;
  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
  • внедрение организационных мер защиты информации;
  • предварительные испытания системы защиты информации информационной системы;
  • опытную эксплуатацию системы защиты информации информационной системы;
  • проверку построенной системы защиты информации на уязвимость;
  • приемочные испытания системы защиты информации информационной системы.

5. Аттестовать ИСПДн:

  • провести аттестационные испытания;
  • получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому  операторы ГИС зачастую пренебрегают внедрением средств защиты.

Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ.

При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Олег Нечеухин, эксперт по защите информационных систем, «Контур-Безопасность»

Утверждены требования к эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации

В соответствии с частью 6 статьи 14 Федерального закона «Об информации, информационных технологиях и о защите информации» Правительство Российской Федерации постановляет: 1.

Утвердить прилагаемые требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации.  2.

Установить, что мероприятия, предусмотренные требованиями, утвержденными настоящим постановлением, осуществляются федеральными органами исполнительной власти в пределах бюджетных ассигнований, предусмотренных федеральным законом о федеральном бюджете на соответствующий финансовый год и плановый период на руководство и управление в сфере установленных функций.  3.

Рекомендовать иным государственным органам, помимо федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации, а также органам управления государственными внебюджетными фондами, органам местного самоуправления руководствоваться в своей деятельности требованиями, утвержденными настоящим постановлением.

  • Председатель Правительства Российской Федерации
  • Д. Медведев

Прим. ред.: текст постановления опубликован на официальном интернет-портале правовой информации http://www.pravo.gov.ru, 08.07.2015.

Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации

I. Общие положения  1.

Настоящий документ определяет требования к порядку реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем и дальнейшему хранению содержащейся в их базах данных информации, осуществляемых федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации (далее соответственно — система, органы исполнительной власти) в целях повышения эффективности реализации полномочий органов исполнительной власти в результате использования информационно-коммуникационных технологий.

  1.  II. Требования к порядку создания системы
  2.  III. Требования к порядку ввода системы в эксплуатацию
  3.  IV. Требования к порядку развития системы
  4.  V. Требования к порядку эксплуатации системы
  5.  VI. Требования к порядку вывода системы из эксплуатации и дальнейшего хранения содержащейся в ее базах данных информации
Читайте также:  Закупки по охране труда - правильные договора на оказание услуг

 2. Основанием для создания системы является:  а) обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами;  б) решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий.  3. Создание системы осуществляется в соответствии с техническим заданием, утвержденным органом исполнительной власти или являющимся неотъемлемой частью документации о закупке товаров, работ, услуг для обеспечения государственных нужд.  4. Техническое задание на создание системы утверждается должностным лицом органа исполнительной власти, на которое в соответствии с распределением обязанностей возложены полномочия по утверждению таких технических заданий.  5. Порядок создания системы включает следующие последовательно реализуемые этапы:  а) разработка документации на систему и ее части;  б) разработка рабочей документации на систему и ее части;  в) разработка или адаптация программного обеспечения;  г) пусконаладочные работы;  д) проведение предварительных испытаний системы;  е) проведение опытной эксплуатации системы;  ж) проведение приемочных испытаний системы.  6. Этап разработки документации на систему и ее части включает разработку, согласование и утверждение документации в объеме, необходимом для описания полной совокупности проектных решений и достаточном для дальнейшего выполнения работ по созданию системы.  7. Этап разработки рабочей документации на систему и ее части включает разработку, согласование и утверждение документации, содержащей сведения, необходимые для выполнения работ по вводу системы в эксплуатацию и ее эксплуатации, и порядка эксплуатации системы, содержащего сведения, необходимые для выполнения работ по поддержанию уровня эксплуатационных характеристик (качества) системы, установленных в проектных решениях, указанных в пункте 6 настоящего документа, в том числе:  а) перечень действий сотрудников при выполнении задач по эксплуатации системы, включая перечень, виды, объемы и периодичность выполнения работ по обеспечению функционирования системы;  б) контроль работоспособности системы;  в) перечень неисправностей, которые могут возникнуть в процессе эксплуатации системы, и рекомендации в отношении действий при их возникновении;  г) перечень режимов работы системы и их характеристики, а также порядок и правила перевода системы с одного режима работы на другой с указанием необходимого для этого времени.  8. Этап разработки или адаптации программного обеспечения включает разработку программного обеспечения системы, выбор и адаптацию приобретаемого программного обеспечения.  9. Этап пусконаладочных работ включает автономную наладку технических средств и программного обеспечения частей системы, загрузку информации в ее базу данных, комплексную наладку технических средств и программного обеспечения системы.  10. Этап проведения предварительных испытаний включает:  а) разработку программы и методики предварительных испытаний, в соответствии с которыми осуществляется проверка системы на работоспособность и соответствие техническому заданию на ее создание;  б) проверку системы на работоспособность и соответствие техническому заданию на ее создание;  в) устранение выявленных при проведении таких испытаний неисправностей и внесение изменений в документацию и рабочую документацию на систему;  г) оформление протокола испытаний и акта о приемке системы в опытную эксплуатацию.  11. Этап проведения опытной эксплуатации включает:  а) разработку программы и методики опытной эксплуатации;  б) опытную эксплуатацию системы в соответствии с программой и методикой опытной эксплуатации;  в) доработку программного обеспечения системы и дополнительную наладку технических средств в случае обнаружения недостатков, выявленных при опытной эксплуатации системы;  г) оформление акта о завершении опытной эксплуатации, включающего перечень недостатков, которые необходимо устранить до начала эксплуатации системы.  12. Этап проведения приемочных испытаний включает:  а) испытания системы на соответствие техническому заданию на ее создание в соответствии с программой и методикой приемочных испытаний;  б) анализ результатов устранения недостатков, указанных в акте о завершении опытной эксплуатации;  в) оформление акта о приемке системы в эксплуатацию.  13. Основанием для ввода системы в эксплуатацию является правовой акт органа исполнительной власти о вводе системы в эксплуатацию, определяющий перечень мероприятий по обеспечению ввода системы в эксплуатацию и устанавливающий срок начала эксплуатации.  14. Правовой акт органа исполнительной власти о вводе системы в эксплуатацию включает:  а) мероприятия по подготовке органа исполнительной власти к эксплуатации системы;  б) мероприятия по подготовке должностных лиц органа исполнительной власти к эксплуатации системы.  15. Порядок ввода в эксплуатацию федеральных государственных информационных систем, которые предназначены для использования при осуществлении государственных функций и (или) предоставления государственных услуг, определяется с учетом требований, установленных постановлением Правительства Российской Федерации от 10 сентября 2009 г. N 723 «О порядке ввода в эксплуатацию отдельных государственных информационных систем».  16. Срок начала эксплуатации системы не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом органа исполнительной власти о вводе системы в эксплуатацию.  17. Мероприятия по развитию системы осуществляются в соответствии с требованиями, установленными для создания системы.  18. Основанием для начала эксплуатации системы является наступление срока, установленного правовым актом органа исполнительной власти о вводе системы в эксплуатацию, указанным в пункте 13 настоящего документа.  19. Орган исполнительной власти осуществляет эксплуатацию системы в соответствии с рабочей документацией, указанной в пункте 7 настоящего документа.  20. Основанием для вывода системы из эксплуатации является:  а) завершение срока эксплуатации системы, в случае если такой срок был установлен правовым актом органа исполнительной власти о вводе системы в эксплуатацию;  б) нецелесообразность эксплуатации системы, в том числе низкая эффективность используемых технических средств и программного обеспечения, изменение правового регулирования, принятие управленческих решений, а также наличие иных изменений, препятствующих эксплуатации системы;  в) финансово-экономическая неэффективность эксплуатации системы.  21. При наличии одного или нескольких оснований для вывода системы из эксплуатации, указанных в пункте 20 настоящего документа, орган исполнительной власти утверждает правовой акт о выводе системы из эксплуатации.  22. Правовой акт о выводе системы из эксплуатации включает:  а) основание для вывода системы из эксплуатации;  б) перечень и сроки реализации мероприятий по выводу системы из эксплуатации;  в) порядок, сроки, режим хранения и дальнейшего использования информационных ресурсов, включая порядок обеспечения доступа к информационным ресурсам выводимой из эксплуатации системы;  г) порядок, сроки и способы информирования пользователей о выводе системы из эксплуатации.  23. Перечень мероприятий по выводу системы из эксплуатации включает:  а) подготовку правовых актов, связанных с выводом системы из эксплуатации;  б) работы по выводу системы из эксплуатации, в том числе работы по деинсталляции программного обеспечения системы, по реализации прав на программное обеспечение системы, демонтажу и списанию технических средств системы, обеспечению хранения и дальнейшего использования информационных ресурсов системы.  24. Если нормативными правовыми актами Российской Федерации не установлено иное, то сроки хранения информации, содержащейся в базах данных системы, определяются органом исполнительной власти и не могут быть меньше сроков хранения информации, которые установлены для хранения документов в бумажном виде, содержащих такую информацию.

 25. Срок вывода системы из эксплуатации не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом о выводе системы из эксплуатации.

Государственные информационные системы: как с ними работать

  • Цель статьи — знакомство читателя с общими принципами взаимодействия с Государственными информационными системами (ГосИС).
  • В статье рассматриваются наиболее распространенные на сегодняшний день ГосИС, их цели, задачи, принципы работы, выделяются общие черты различных ГосИС и принципиальные особенности каждой из них.
  • Статья ориентирована в первую очередь на читателей, которые не работали ранее с товарами, подлежащими учету и контролю в ГосИС, однако она будет полезна и для читателей, которые уже работали с отдельными категориями подконтрольных товаров с целью обобщения знаний и подготовке к работе с другими категориями подконтрольных товаров.
  • Cтатья не ставит целью рассмотрение отдельных настроек и отражение отдельных операций в конкретных ГосИС – они приводятся в документации к программному продукту и методических материалах информационной системы 1С:ИТС, которые рекомендуются к прочтению после знакомства с материалами этой статьи.

Общие принципы взаимодействия с ГОСИС

Государственные информационные системы (ГосИС) – это обобщенное наименование для систем контроля оборота отдельных видов товаров.

Контроль призван обеспечить прослеживаемость товаров от момента производства (импорта) до розничной продажи и за счет этого исключить «серые» схемы импорта и оборота, контрафакт, сократить издержки на контрольные функции, повысить конкурентоспособность честного бизнеса, обеспечить уверенность в качестве и гражданский контроль для потребителя.

Читайте также:  Инструктажи, обучение и проверка знаний по охране труда - вебинар

Людмила Иванова, жена бизнесмена Василия Иванова, в 2015 году решила себе купить шубу из черной норки Blackglama. Свой выбор она остановила на небольшом бутике. Её подкупил богато декорированный интерьер, как казалось, признак успешной и солидной фирмы. Высокая цена шубы, по мнению Людмилы, гарантировала подлинность меха и качество шубы.

Людмила с нетерпением ждала возможности надеть новую шубу.

Однако при первом же посещении ресторана с семьей Михаила Петрова, делового партнера Василия, жена Михаила Ирина засомневалась, что шуба действительно сделана из меха Blackglama.

Людмила тогда сочла это замечание лишь завистью со стороны Ирины. Однако после двух месяцев Людмила заметила изменение цвета и выпадение отдельных волосков из меха. Это явно не соответствовало продукции элитной марки.

После этого Людмила уже сама обратилась к подруге, разбирающейся в мехах.

Оказалось, что Ирина несколько лет назад сама пыталась открыть меховой бутик, но не выдержала конкуренции с продавцами контрафакта – они не платили налоги и пошлины, но могли «пустить пыль в глаза» покупателям дорогой обстановкой, за счет чего привлекали покупателей. У честных продавцов объективных возможностей доказать свою надежность покупателям не было, а дурная слава о некачественной продукции ложились пятном на весь рынок.

Ирина рассказала, что Людмиле вместо дорогостоящего элитного мехового изделия продали дорогостоящую, высококачественную подделку. Людмила решила обратиться в бутик за разъяснениями.

Бутик был на месте и даже персонал был тот же, но оказалось, что два месяца назад сменилось  юридическое лицо – владелец бутика, которое, якобы, никак не связано со старым и претензии по шубе принять не может. Даже связи мужа не помогли найти недобросовестных продавцов, а остаток сезона 2015-2016 года Людмиле пришлось ходить в старой шубе – «элитное» меховое изделие дальше одевать было просто стыдно.

Летом 2016 года появилась система маркировки меха, которая гарантирует подлинность продукции. Людмила вновь отправилась за шубой, но на этот раз, вооружившись новыми знаниями, смартфоном и помощью Ирины.

Магазин в этот раз не кричал дорогим ремонтом, зато фирма работала на меховом рынке более 8 лет, а все шубы были промаркированы новой государственной маркировкой. Людмила проверила с помощью смартфона производителя приглянувшейся ей шубы и, заручившись одобрением подруги, купила новую шубу.

Обошлась покупка, кстати, дешевле, чем в прошлом году контрафакт – работать честно, уплачивая налоги, но без лишних расходов на вычурные интерьеры, вновь стало выгодно. Даже Ирина вновь задумалась о возвращении в меховой бизнес.

Эту шубу Людмила периодически носит уже 3 сезона, и она до сих пор в идеальном состоянии. При каждом появлении в этой шубе даже самые искушенные в мехах подруги отмечают безупречный вкус и рациональный выбор Людмилы.

В настоящее время активно эксплуатируются следующие ГосИС:

  • Единая государственная автоматизированная информационная система (ЕГАИС) для алкогольной продукции;
  • Государственная информационная система маркировки (ГИСМ) для меховых изделий;
  • Государственная информационная система в области ветеринарии (ВетИС), компонент «Меркурий» для продукции животноводства.

Указанные информационные системы в настоящее время существенно различаются между собой, потому как каждая из них развивалась относительно независимо, разными организациями в интересах разных ведомств. Исторически первой государственной системой была ЕГАИС, взаимодействие с которой для отдельных категорий организаций внедрялось с 2005 года.

Обязательным для всех организаций, участвующих в обороте всех видов алкогольной продукции, обмен с ней стал в период 2015-2017 годов. За это время менялись нормативная и техническая база, организации-разработчики системы, органы федеральной власти, осуществляющие контроль. Маркировка меховых изделий производится с 2016 года.

Преследуя те же цели, что и ЕГАИС, она строилась на иных принципах и с использование других технических решений, в том числе RFID меток. Система контроля в области ветеринарии, которая внедряется с 2018 года, строилась, ориентируясь на специфику ветеринарного контроля.

Она не предполагает обязательной маркировки продукции, а предназначена в первую очередь для электронного документооборота ветеринарно-сопроводительными документами.

Введен в эксплуатацию второй этап второй очереди государственной информационной системы топливно-энергетического комплекса — Новости — ГИС ТЭК

26.06.2020

Приказом Минэнерго России от 31 марта 2020 г. № 259 с 6 апреля 2020 г. введен в эксплуатацию второй этап второй очереди государственной информационной системы топливно-энергетического комплекса (ГИС ТЭК).

В рамках второго этапа второй очереди ГИС ТЭК субъектами ГИС ТЭК будет осуществляться предоставление информации по 49 формам предоставления информации (ФПИ) сегмента в области нефтедобывающей промышленности, нефтеперерабатывающей промышленности, нефтехимической промышленности и транспортировки по магистральным трубопроводам нефти и нефтепродуктов, по 32 ФПИ сегмента в области газодобывающей промышленности, газоперерабатывающей промышленности, газохимической промышленности, транспортировки по трубопроводам газа и продуктов его переработки, по 9 ФПИ сегмента в области угольной промышленности, сланцевой промышленности, торфяной промышленности, по 15 ФПИ сегмента в области электроэнергетики, теплоэнергетики, возобновляемых источников энергии и 3 ФПИ интеграционного сегмента.

Предоставление информации по ФПИ второго этапа второй очереди ГИС ТЭК будет осуществляться ежегодно по 31 ФПИ, два раза в год по 5 ФПИ, ежеквартально по 26 ФПИ, ежемесячно по 20 ФПИ, а также по 1 ФПИ еженедельно и по 3 ФПИ ежесуточно.

Среди суточных ФПИ, две относятся к сегменту в области угольной промышленности, сланцевой промышленности, торфяной промышленности (3.80, 3.

81) и одна — к сегменту в области нефтедобывающей промышленности, нефтеперерабатывающей промышленности, нефтехимической промышленности и транспортировки по магистральным трубопроводам нефти и нефтепродуктов (1.4).

Сбор по данным ФПИ начинается с 1 января 2021 года в соответствии с приказами Минэнерго России от 22 августа 2019 г.

№ 884 «Об утверждении форм предоставления в обязательном порядке юридическими лицами информации для включения в сегмент в области нефтедобывающей промышленности, нефтеперерабатывающей промышленности, нефтехимической промышленности, транспортировки по магистральным трубопроводам нефти и нефтепродуктов государственной информационной системы топливно-энергетического комплекса и требований к заполнению этих форм» и от 23 сентября 2019 г. № 1018 «Об утверждении форм предоставления в обязательном порядке Министерством энергетики Российской Федерации информации для включения в сегмент в области угольной промышленности, сланцевой промышленности, торфяной промышленности государственной информационной системы топливно-энергетического комплекса и требований к заполнению этих форм».

В рамках второго этапа второй очереди ГИС ТЭК предоставление информации для включения в ГИС ТЭК будет осуществляться, как юридическими лицами и индивидуальными предпринимателями (по 86 ФПИ), так и федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации и органами местного самоуправления (по 12 ФПИ).

По ряду ФПИ второго этапа второй очереди ГИС ТЭК обязанность по предоставлению информации в соответствии с приказами Минэнерго России от 22 августа 2019 г. № 884, от 22 августа 2019 г. № 883, от 23 сентября 2019 г. № 1018, от 16 августа 2019 г. № 865, от 21 августа 2019 г. № 877, от 23 сентября 2019 г. № 1018, от 25 ноября 2019 г. № 1260,

от 22 ноября 2019 г. № 1245, от 3 октября 2019 г. № 1071, от 13 ноября 2019 г. № 1216,

от 11 февраля 2020 г. № 84, от 30 января 2020 г. № 59, от 4 февраля 2020 г. № 73, наступила до введения в эксплуатацию второго этапа второй очереди ГИС ТЭК:

ноябрь 2019 г. – 2 ФПИ (1.4, 4.63);

январь 2020 г. – 35 ФПИ (1.15 – 1.22, 1.46, 2.17, 2.25 – 2.27, 2.31, 2.39, 2.44 – 2.47, 3.1ф, 3.3ф, 3.10ф, 4.17, 4.24, 4.27, 4.28, 4.31, 4.42, 4.48, 4.50, 4.56, 4.58, 6.1ф, 6.16ф, 6.17ф);

февраль 2020 г. – 1 ФПИ (1.48);

март 2020 г. – 1 ФПИ (4.26);

апрель 2020 г. – 3ФПИ (2.49, 2.50, 3.7ф).

В связи со сложившейся эпидемиологической ситуацией на территории Российской Федерации, связанной с распространением новой коронавирусной  инфекции и объявленным в соответствии с Указами Президента Российской Федерации от 25 марта 2020 г.

№ 206 «Об объявлении в Российской Федерации нерабочих дней» и от 28 апреля 2020 г.

№ 294 «О продлении действия мер по обеспечению санитарно-эпидемиологического благополучия на территории Российской Федерации в связи с распространением новой коронавирусной  инфекции (COVID-19)» периодом нерабочих дней с 30 марта 2020 года по 8 мая 2020 года, предоставление данных в ГИС ТЭК в указанный период осуществлялось в соответствии с размещенными на портале ГИС ТЭК сообщениями, конкретизирующими порядок предоставления информации для включения в ГИС ТЭК в период нерабочих дней.

В настоящее время предоставление информации для ее включения в ГИС ТЭК осуществляется в обычном режиме.

Обращаем внимание на необходимость предоставления информации по указанным ФПИ за все отчетные периоды с начала наступления обязанности субъектов ГИС ТЭК по предоставлению информации по соответствующим ФПИ.

Читайте также:  COVID-19 и электронный наряд-допуск: переход к автоматизации

Аттестация ГИС по 17 приказу ФСТЭК в ООО "ЦБИС"

Приказ ФСТЭК № 17 вступил в силу 11.02.

2013 и предъявляет требования по аттестации (оценке соответствия) государственных информационных систем (ГИС), в частности от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней. Также приказ устанавливает порядок классификации ГИС и предъявляет требование использовать только сертифицированные средства защиты информации при защите ГИС.

Как аттестовать ГИС?

На первый взгляд все просто: нужно открыть сам приказ, определить по приказу класс защищенности ГИС и реализовать меры, установленные для того или иного класса защищенности ГИС.

На самом деле все гораздо сложнее: нужно еще расшифровать трактовки требований к мерам защиты и понять саму методологию (порядок) защиты ГИС, чтобы сделать все правильно.

Далее мы раскроем секреты проведения работ «от и до».

Работы по защите и аттестации ГИС проводятся в следующем порядке:

  1. Обследование и формирование требований;
  2. Проектирование системы защиты информации;
  3. Внедрение системы защиты информации;
  4. Аттестация ГИС.

На каждом этапе должны быть оформлены определенные отчетные документы, которые разрабатываются с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624.

  • Первый этап
    На первом этапе проводятся следующие работы:
  • Второй этап
  • На втором этапе проводятся следующие работы:
  • Третий этап
  • Третий этап включает следующие работы:
  • Четвертый этап
  • На четвертом этапе проводятся работы по аттестации ГИС, включающие:

Результаты анализа уязвимостей и испытаний на возможность несанкционированного доступа могут быть оформлены как отдельными протоколами, так и объединены в один.
Работы по аттестации могут проводить только лицензиаты ФСТЭК «на техническую защиту конфиденциальной информации» с пунктами в лицензии «а», «г».

Точную стоимость аттестации вашей ГИС вы можете свободно узнать по телефону: 8(800)-550-44-71

ЗАКАЗАТЬ ЗВОНОК

Как классифицировать ГИС?

Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).

Определение класса защищенности ГИС осуществляется в соответствии с приложением 1 к 17 приказу ФСТЭК и проводится в следующем порядке:

  1. Сначала нужно определить уровень значимости обрабатываемой в ГИС информации. Уровень значимости определяется оператором самостоятельно на основе того, какой ущерб может быть причинён обладателю информации: низкий, средний, высокий.
  2. Затем нужно определить масштаб ГИС: федеральный, региональный или объектовый. При федеральном и региональном масштабе ГИС должна иметь сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
  3. Класс защищенности определяется следующим образом:
Уровень значимости
информации
Масштаб информационной системы
Федеральный Региональный Объектовый
УЗ 1 К1 К1 К1
УЗ 2 К1 К2 К2
УЗ 3 К2 К3 К3

Класс защищенности в обязательном порядке должен быть зафиксирован в акте классификации ГИС, который утверждается оператором ГИС.

На первый взгляд кажется, что приказ является самодостаточным, включает в себя и порядок классификации и подробнейшее описание порядка реализации самих мер защиты. Бери и применяй. Но это только на первый взгляд.

Как подготовить ГИС к аттестации?

Собрать волю в кулак и сделать следующее:

Первый этап

  1. Провести обследование ГИС с фиксацией полученных данных в акте (отчете) об обследовании. Это необходимо, чтобы разрабатывать последующие отчетные документы, опираясь на официальный документ.
  2. Разработать и утвердить приказ (решение) о необходимости защиты информации в ГИС (об организации работ по защите информации в ГИС).
  3. Провести классификацию ГИС и утвердить акт классификации, в котором устанавливается определенный класс защищенности ГИС.
  4. Определить актуальные угрозы безопасности информации, содержащейся в ГИС, путем разработки и утверждения частной модели угроз безопасности и нарушителя.
  5. Определить требования по защите информации, разработав и утвердив техническое задание на систему защиты информации по ГОСТ 34.602

Второй этап

  1. Провести проектирование системы защиты информации (СЗИ) путем разработки и утверждения частного технического проекта на СЗИ в составе ГИС.
  2. Разработать эксплуатационную документацию на СЗИ, описывающую порядок использования средств защиты информации для каждой роли в ГИС (пользователь, администратор и др.).
  3. Осуществить макетирование и тестирование системы защиты информации путем разворачивания тестового стенда, использования полного набора средств защиты и моделирования реальных условий эксплуатации ГИС.

Третий этап

  1. Закупить, установить и настроить сертифицированные средства защиты информации.
  2. Разработать пакет организационно-распорядительной документации (ОРД) в части защиты информации и режимных мер.
  3. Внедрить организационные меры защиты информации (реализовать), установленные ОРД.
  4. Провести анализ уязвимостей государственной информационной системы с оформлением подтверждающих документов (программа и методики испытаний, протокол испытаний, заключение).
  5. Провести предварительные испытания, опытную эксплуатацию и приемочные испытания системы защиты информации в составе ГИС.

Особенности 17 приказа ФСТЭК

Особенности по сравнению с 21 приказом ФСТЭК следующие:

  1. Для защиты ГИС можно использовать только сертифицированные средства защиты.
  2. По результатам защиты ГИС в обязательном порядке необходимо проводить ее аттестацию.
  3. Методология (порядок) работ подробно расписана: от обследования и до аттестации ГИС.
  4. К 17 приказу ФСТЭК имеется методический документ «Меры защиты…», детализирующий те или иные меры защиты и досконально их поясняющий.
  5. В обязательном порядке проводится анализ уязвимостей ГИС с использованием банка уязвимостей bdu.fstec.ru как при внедрении системы защиты, так и при аттестации ГИС.
  6. В ГИС должно использоваться только сертифицированное программное обеспечение.
  7. Запрещено проводить аттестацию лицам, которые проектировали и внедряли систему защиты.

Как выбрать технические средства защиты ГИС?

В первую очередь необходимо знать класс защищенности ГИС, чтобы, опираясь на него, определить требуемые классы средств защиты информации для использования в ГИС.
Порядок выбора средств защиты информации по 17 приказу: 

Изменения 17 приказа ФСТЭК

Вот основные моменты, которые были изменены в 17 приказе:

  • В государственных информационных системах (ГИС) теперь всего 3 класса защищённости, четвертый класс исключен.
  • Изменилось соотношение классов защищенности с классами защиты СЗИ (средств защиты информации). Теперь 6-й класс защиты СЗИ применяется в ГИС 3-го класса, 5-й – в ГИС 2-го класса, 4-й – в ГИС 1-го класса. СЗИ 1-3 класса по-прежнему применяются для защиты государственной тайны.
  • Средства вычислительной техники (программное обеспечение) должны быть сертифицированы. (Это сверхжесткое требование, которое все будут обходить или трактовать в свою пользу).
  • Меры защиты информации УПД.3 (Управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами) и ЗСВ.10 (Разбиение виртуальной инфраструктуры на сегменты для обработки информации отдельным пользователем и (или) группой пользователей) теперь требуются для всех классов ГИС. Ранее – только для 1 и 2 классов.

Особое внимание:

  • Запрещено проведение аттестационных испытаний должностным лицом, которое проектировало или внедряло систему защиты информации.
  • ФСТЭК России теперь вводит обязательное использование своего банка данных угроз (bdu.fstec.ru), и при проведении анализа уязвимостей в ходе аттестационных испытаний должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России.

Стоимость аттестации ГИС

Стоимость аттестации ГИС в первую очередь зависит от ее масштаба, т.е. от количественных характеристик системы. Например, ГИС, состоящая из 10 серверов, и ГИС, состоящая из 100 серверов, – это ГИС совершенно разного масштаба.
Важнейшими критериями оценки стоимости аттестации ГИС являются:

  1. Географическая распределенность, т.е. наличие сегментов ГИС в субъектах России.
  2. Аттестовалась ли ГИС ранее.
  3. Обрабатываются ли в ГИС персональные данные, а также каких категорий и в каком объеме.
  4. Требуется только аттестация или еще и подготовка ГИС к аттестации.

Если общими словами, то стоимость аттестации ГИС на базе одного сервера составляет от 300 т.р., а, например, ГИС на базе 10 серверов – около 1,5 млн., так как трудоемкость работ большая (см. выше), а срезание углов – риск для лицензиата ФСТЭК России, проводящего работы.

Скачать коммерческое предложение на аттестацию ГИС

СКАЧАТЬ PDF

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *