Comments 5
Какие перспективы что в штате условной фбгу появится спец по ИБ, а не навешают на приходящего админа весь этот гимор? Если госуха жалеет денех на условный фаерволл даже?
Нулевые. Максимум появится гора вакансий "Специалист по ИБ" с кучей требований кс3, зп 18000 до вычета налогов.
В 17 приказе, к сожалению, не прописано это как в 235-м (КИИ), например:
12. Работники структурного подразделения по безопасности, специалисты по безопасности должны соответствовать следующим требованиям:
наличие у руководителя структурного подразделения по безопасности высшего профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение обучения по программе профессиональной переподготовки по направлению "Информационная безопасность", наличие стажа работы в сфере информационной безопасности не менее 3 лет;
наличие у штатных работников структурного подразделения по безопасности, штатных специалистов по безопасности профессионального образования по направлению подготовки (специальности) в области информационной безопасности или иного высшего профессионального образования с прохождением обучения по программе повышения квалификации по направлению "Информационная безопасность";
прохождение не реже одного раза в 3 года обучения по программам повышения квалификации по направлению "Информационная безопасность".
12.1 На работников со средним профессиональным образованием по специальности в области информационной безопасности (при наличии должности в штатном расписании у субъекта критической информационной инфраструктуры) возлагаются отдельные функции по обеспечению безопасности значимых объектов критической информационной инфраструктуры в соответствии с полученной такими работниками специальностью.
13. Не допускается возложение на структурное подразделение по безопасности, специалистов по безопасности функций, не связанных с обеспечением безопасности значимых объектов критической информационной инфраструктуры или обеспечением информационной безопасности субъекта критической информационной инфраструктуры в целом.
Давно пора вводить такие требования и для других сфер (хотя имхо, большинство ГИС это субьектов КИИ).
*режим душнилы активирован*
Дело в том, что в госоргане могут функционировать системы, которые не являются ГИС. Например, внутренний корпоративный портал или система бронирования отпусков. Формально, согласно прежней версии приказа, подобные информационные системы не попадали под требования 17 приказа ФСТЭК, а теперь попадают.
Сейчас выдам лютую базу, но по-моему если человек что-то комментирует, тем более для статьи, то делать он это должен компетентно. 17 приказ не даёт определение ГИСам. Он только устанавливает для них требования по мерам ИБ. Определение даёт 149-ФЗ (ст. 14 п. 1):
Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.
Вопрос, вытекающий из этого определения, что считать системами, созданными в целях реализации полномочий. Трактовать закон может либо уполномоченная комиссия органа законодательной власти, либо суды. Для первого варианта нужно писать письмо, а второе лежит на поверхности. Итак:
Решение № 12-933/2016 от 05.10.2016 Ленинскогого районного суда г. Оренбурга (Оренбургская область)
Рассмотрев жалобу, исследовав представленный материал, выслушав участников процесса, суд приходит к следующим выводам.
...
Информационные системы «Интернет-портал органов государственной власти Оренбургской области» и «Электронная почта органов государственной власти Оренбургской области» функционируют в соответствии с документами, определяющими порядок их работы, а именно: регламент работы электронной почты органов государственной власти Оренбургской области, утвержден постановлением Правительства Оренбургской области от 10.09.2013 года № 756-п; распоряжение администрации Оренбургской области от ...N-... «О подключении к Интернету электронной почты администрации области»; положение об Интернет-портале органов государственной власти Оренбургской области, утвержденное постановлением Правительства Оренбургской области от 05.11.2009 года № 564-п.
Согласно акта проверки «Информационные системы «Интернет-портал органов государственной власти Оренбургской области» и «Электронная почта органов государственной власти Оренбургской области» не отнесены их заказчиком к государственным информационным системам, однако имеют их признаки, а именно: созданы в рамках выполнения нормативных правовых актов Правительства Оренбургской области; предназначены для реализации полномочий органов государственной власти Оренбургской области и обеспечения обмена информацией между этими органами.
...
Факты нарушения законодательства департаментом информационных технологий подтверждаются: протоколом об административном правонарушении от ..., выпиской из акта проверки от ..., положением о департаменте информационных технологий Оренбургской области и положением об отделе информационной безопасности департамента информационных технологий Оренбургской области, и другими материалами, исследованными в ходе судебного заседания.
Данные доказательства отвечают требованиямст. 26.2 КоАП РФ, предъявляемым к доказательствам по делу об административном правонарушении.
Т.е. любая ИС в гос органе, введная приказом (и т.д. и т.п.) будет являться ГИСой. Так что комментарий про то, что там портал какой-то не будет ГИСой - бред несусветный. А система бронирования отпусков попахивает ИСПДн+ГИС. Самое главное изменение, касающееся расширения списка - оно не только для ГИС, но и для ИС разных подведомственных государству учреждений и юрлиц
Альтернатива приказу ФСТЭК №17: зачем она нужна и что изменит