Интернет Windows Android
Развернуть
Главная

Государственные информационные системы (ГИСы): практические вопросы защиты информации. Список информационных систем Федеральный реестр информационных систем российской федерации

В котором государственные структуры обязаны регистрировать свои более-менее серьезные (но не секретные) информационные системы. Он довольно небольшой, давно хотелось поковыряться в нем и посмотреть поближе, что же представляют из себя и на чем работают системы, каждый день делающие жизнь простого гражданина еще легче и счастливее.

Реестр размещается на портале Роскомнадзора, который старается быть в тренде гласности, поэтому на нем присутствует раздел с наборами открытых данных - здорово! Качаем самый свежий архив Реестра от 16.02.2016, внутри лежит xml-выгрузка от сентября 2015 года… Хорошая попытка, гражданин. Придется дополнять «открытые данные» свежей информацией непосредственно с сайта, где сделано все, чтоб усложнить врагам парсинг Реестра. В итоге, по состоянию на 8 марта 2016 года, получился список из 339 федеральных государственных информационных систем, некоторую занимательную инфографику по которому, я и хочу вам представить далее.

Для каждой ГИС в Реестре может указываться сразу несколько поддерживаемых ОС и СУБД, таким образом, понять с каким именно ПО она работает в реальности - невозможно. Поэтому на следующих трех диаграммах для таких систем плюсик ставился сразу в несколько категорий.

1. Распределение по поддерживаемым серверным ОС

Из отечественных разработок упоминается только загадочная операционная система Циркон на основе Solaris, Alt Linux и МСВС .

2. Распределение по поддерживаемым клиентским ОС

Что конкретно сразу несколько заявителей подразумевают под «Мобильной операционной системой» - не понятно.

3. Используемая СУБД


Из СУБД, только Ред Базу Данных (на основе Firebird), ИРБИС64 и ЛИНТЕР-ВС можно считать отечественными разработками.

4. Форматы хранения данных

Размер шрифта соответствует распространенности поддержки.


По этой диаграмме можно сыграть в увлекательную игру под условным названием «Отыщи на картинке форматы офисных документов, утвержденные ГОСТ Р ИСО/МЭК 26300-2010 и не получи их поддержку в ГИС». Форматы, которые еще в 2011 году, до эпохи импортозамещения, должны были стать единым стандартом для государственного документооборота. Но, кажется, опять что-то пошло не так. 3 года назад я уже писал о том, как, мягко говоря, неспешно внедряется Open Document на сайтах госучреждений. Воз и ныне там. Только лишь для 10 ГИС упоминается поддержка форматов ГОСТ.

5. Использование офисного ПО

Те ГИС, в которых было указано другое ПО (не офисный пакет), либо вообще не было данных - не учитывались.

Вообще, некоторые участники Реестра довольно странно понимают такой термин как Свободное программное обеспечения (такая графа есть в Реестре), записывая в его ряды Internet Explorer , Delphi и даже Ccleaner .

6. Распределение ГИС по дате ввода в эксплуатацию


Что примечательно, видимо, чтобы как всегда не опоздать, Слоу Почта России прописала дату ввода в эксплуатацию для своей Государственной информационной системы жилищно-коммунального хозяйства аж июль 2016 года. Это единственная ГИС из будущего.

7. Распределение по ведомствам

Чем больше площадь прямоугольника, тем большее количество ГИС числится за данным ведомством.

8. Сумма потраченных средств на разработку, модернизацию и эксплуатацию

В Реестре присутствует поле «Cведения об источниках финансирования создания, эксплуатации, модернизации ФГИС», в котором в свободной форме содержится информация о стоимости системы для налогоплательщика. Обязательность и периодичность внесения этой информации в Реестр не ясна, но дает примерное представление о суммах затрат.

Лишь на 7 информационных систем приходится половина всех потраченных средств (суммы указаны в тыс. руб.):


Первое и второе места с минимальным разрывом занимают ГАС Выборы и Правосудие . Почетное, 3-е место уходит автоматизированной системе Министерства внутренних дел с говорящим названием ИБД-Ф . На эту могучую тройку ГИС приходится более четверти всех расходов, указанных в Реестре - 61 млрд. руб.

Облако тэгов

Предлагаем вашему вниманию (с минимальными сокращениями) текст, опубликованный пользователем Akr0n на habrhabr.ru. Автор анализирует Реестр федеральных государственных информационных систем с целью показать соотношение импортного и отечественного общесистемного ПО, применяемого в государственных информационных системах.

Реестр федеральных государственных информационных систем (ГИС), который ведет всеми любимый Роскомназдор, и в котором государственные структуры обязаны регистрировать свои более-менее серьезные (но не секретные) информационные системы, небольшой. Давно хотелось поковыряться в нем и посмотреть поближе, что же представляют собой и на чём работают системы, каждый день делающие жизнь простого гражданина еще легче и счастливее. Особенно когда каждый день федеральные СМИ радостно рапортуют об успехах импортозамещения во всех отраслях народного хозяйства, в том числе и в сфере IT, а крупные западные вендоры начинают отворачиваться от российских госзаказчиков.

Реестр размещается на сайте Роскомнадзора, где присутствует раздел с наборами открытых данных - здорово! Качаем самый свежий архив Реестра от 16 февраля 2016 года, внутри лежит xml-выгрузка от сентября 2015 года… Хорошая попытка, гражданин. Придется дополнять «открытые данные» свежей информацией непосредственно с сайта, где сделано всё, чтоб усложнить врагам парсинг Реестра. В итоге, по состоянию на 8 марта 2016 года получился список из 339 федеральных государственных информационных систем, некоторую занимательную инфографику по которому я и хочу вам представить.

Для каждой ГИС в Реестре может указываться сразу несколько поддерживаемых ОС и СУБД, таким образом, понять, с каким именно ПО она работает в реальности - невозможно. Поэтому на следующих трех диаграммах для таких систем плюсик ставился сразу в несколько категорий.

1. Распределение по поддерживаемым серверным ОС

Из отечественных разработок упоминается только загадочная операционная система «Циркон» на основе Solaris, AltLunux и МСВС.

2. Распределение по поддерживаемым клиентским ОС

Что конкретно сразу несколько заявителей подразумевают под «Мобильной операционной системой» - непонятно.

3. Используемая СУБД

Из СУБД, только Ред Базу Данных (на основе Firebird), ИРБИС64 и ЛИНТЕР-ВС можно считать отечественными разработками (в комментариях к публикации автору возражают: «1С:База Данных» тоже может считаться отечественной ОС — ред.).

4. Форматы хранения данных (размер шрифта соответствует распространенности формата)

По этой диаграмме можно сыграть в увлекательную игру под условным названием «Отыщи на картинке форматы офисных документов, утвержденные ГОСТ Р ИСО/МЭК 26300-2010 и не получи их поддержку в ГИС». Это форматы, которые еще в 2011 году, до эпохи импортозамещения, должны были стать единым стандартом для государственного документооборота. Но, кажется, опять что-то пошло не так. Только лишь для 10 ГИС упоминается поддержка форматов ГОСТ.

5. Использование офисного ПО (те ГИС, в которых было указано другое ПО (не офисный пакет), либо вообще не было данных - не учитывались).

Некоторые участники Реестра странно понимают такой термин как «Свободное программное обеспечение» (такая графа есть в Реестре), записывая в его ряды Internet Explorer, Delphi и даже Ccleaner.

6. Распределение ГИС по дате ввода в эксплуатацию

Видимо, чтобы как всегда не опоздать,«Почта России» прописала датой ввода в эксплуатацию для своей ГИС жилищно-коммунального хозяйства аж июль 2016 года. Это единственная ГИС из будущего.

7. Распределение по ведомствам (чем больше площадь прямоугольника, тем больше ГИС числится за данным ведомством)

8. Сумма потраченных средств на разработку, модернизацию и эксплуатацию

В Реестре присутствует поле «Сведения об источниках финансирования создания, эксплуатации, модернизации ФГИС», в котором в свободной форме сообщается о стоимости системы для налогоплательщика. Обязательность и периодичность внесения этой информации в Реестр неясна, но даёт примерное представление о суммах затрат. На семь информационных систем приходится половина всех потраченных средств (суммы указаны в тысячах рублей):

Грустная ирония в том, что львиная часть денег была потрачена на какие-то мифические вещи - первое и второе места с минимальным разрывом занимают ГАС «Выборы» и «Правосудие». Почетное третье место уходит автоматизированной системе Министерства внутренних дел с говорящим названием ИБД-Ф. На эту могучую тройку ГИС приходится более четверти всех расходов, указанных в Реестре - 61 миллиард рублей.

Концепция

В декабре 2011 г. была утверждена Концепция об учете государственных информационных систем .

Согласно концепции до конца апреля 2012 г. система учета должна была быть создана и введена в опытную эксплуатацию.

На июнь 2012 года реестр ПО федеральных госорганов действительно существует, в него внесена информация о 239 системах. Среди подавших данные ведомств Минсельхоз , Счетная палата , Росреестр , МИД , Росстат и ряд других.

В текущей версии портала раскрытия информации можно было увидеть имя ответственного за работу печально знаменитой системы учета алкоголя (ЕГАИС) в Росалкогольрегулировании, краткие описания подлежащего оборудования и баз данных, расходы на разработку и эксплуатацию в 2010 г. Сумм за 2011 г. сейчас нет.

Постановление правительства

В июне 2012 года председатель правительства Дмитрий Медведев подписал постановление об учете информационных систем, создаваемых в интересах федеральных ведомств и внебюджетных фондов .

В документе правительство дает две группы поручений: координатору проекта – Минкомсвязи и самим федеральным госорганам, которые должны вносить информацию в систему учета.

Минкомсвязи должно до конца августа 2012 г. дать указания по учету и классификации ПО и компонентов инфраструктуры, разработать формы электронных паспортов и правила составления уникальных идентификаторов ПО и оборудования. Кроме того, министерство должно написать правила предоставления данных в систему учета и методику оценку эффективности работ.

Федеральным ведомствам времени дается на месяц больше – до конца сентября. До этого срока они должны выбрать ответственного за публикацию данных и формально описать, как такое раскрытие будет проходить. Статус отвечающего за наполнение системы учета, как и в случае с межведомственным взаимодействием, должен быть не ниже заместителя руководителя. После этого в течение месяца, т.е. самое позднее в конце ноября, все данные о работающем в ведомстве ПО должны оказаться в системе учета.

Прочесть информацию о работающем ПО, затратах на него и эффективности проектов в итоге можно будет на сайте 365.minsvyaz.ru, а также на едином портале бюджетной системы budget.gov.ru (сейчас доступна только тестовая страница).

Приложение к нынешнему постановлению правительства определяет набор публикуемых данных и оперативность обновления единой базы. Крайний срок ввода учета информационных систем в промышленную эксплуатацию определен еще в концепции – конец 2012 г.

В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов. К операторам государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные в Приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите. Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон. Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.

На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять. Тем не менее план проверок контролирующих органов растет, планомерно увеличиваются штрафы.

Как отличить ГИС от неГИС

Государственная информационная система создается, когда необходимо обеспечить:

  • реализацию полномочий госорганов;
  • информационный обмен между госорганами;
  • достижение иных установленных федеральными законами целей.

Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

  1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
  2. Проверить наличие системы в Реестре федеральных государственных информационных систем . Подобные реестры существуют на уровне субъектов Федерации.
  3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления. ИС «Учет граждан, нуждающихся в жилых помещениях на территории Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.

Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

Это ГИС. Что делать?

Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
  • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

1. Провести классификацию ИС и определить угрозы безопасности.

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

Угрозы безопасности информации определяются по результатам

  • оценки возможностей нарушителей;
  • анализа возможных уязвимостей информационной системы;
  • анализа (или моделирования) возможных способов реализации угроз безопасности информации;
  • оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

2. Сформировать требования к системе обработки информации.

Требования к системе должны содержать:

  • цель и задачи обеспечения защиты информации в информационной системе;
  • класс защищенности информационной системы;
  • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  • перечень объектов защиты информационной системы;
  • требования к мерам и средствам защиты информации, применяемым в информационной системе.

3. Разработать систему защиты информации информационной системы.

Для этого необходимо провести:

  • проектирование системы защиты информации информационной системы;
  • разработку эксплуатационной документации на систему защиты информации информационной системы;
  • макетирование и тестирование системы защиты информации информационной системы.

4. Провести внедрение системы защиты информации информационной системы, а именно:

  • установку и настройку средств защиты информации в информационной системе;
  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
  • внедрение организационных мер защиты информации;
  • предварительные испытания системы защиты информации информационной системы;
  • опытную эксплуатацию системы защиты информации информационной системы;
  • проверку построенной системы защиты информации на уязвимость;
  • приемочные испытания системы защиты информации информационной системы.

5. Аттестовать ИСПДн:

  • провести аттестационные испытания;
  • получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому операторы ГИС зачастую пренебрегают внедрением средств защиты. Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Олег Нечеухин , эксперт по защите информационных систем, «Контур-Безопасность»

Не нашли ответ на свой вопрос? Посмотрите здесь
Передача параметров в управляемые и обычные формыПередача параметров в управляемые и обычные формы
Скачать драйверы для видеокарты NVIDIA Скачать и установить нвидиа на виндовс 10Скачать драйверы для видеокарты NVIDIA Скачать и установить нвидиа на виндовс 10
Глобальная прошивка что это, и какие особенности существуютГлобальная прошивка что это, и какие особенности существуют