По мере приближения даты вступления в силу 17 Приказа ФСТЭК (ИБ-шников тоже можно будет поздравить с 1-ым сентября) необходимость тщательного анализа данного документа также нарастает. Я не буду останавливаться сейчас на организационном и техническом аспектах этого документа, в принципе те, кто следили за его судьбой уже читали их обзоры или делали такие обзоры сами. Меня в данном случае заинтересовал правовой аспект. А именно - в 17 Приказе сказано, что он действует применительно к государственным и муниципальным информационным системам. Хочу более подробно остановиться на этом моменте.
Согласно ст.13 ФЗ №149 "Об информации..." государственные информационные системы - это федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов. Муниципальные информационные системы создаются на основании решения органа местного самоуправления. При этом надо учитывать, что это должны быть законы, акты или решения о создании именно информационной системы. Информационные системы любого государственного органа или органа местного самоуправления, которые бы автоматизировали деятельность, регламентированную законодательством, например, федеральным законом "О бухгалтерском учете" №402, но при этом без явного указания по созданию информационных систем в каком-либо НПА, не будут являться государственными или муниципальными.
Давайте пойдем дальше и попытаемся разобраться с правовыми актами государственных органов и решениями органов местного самоуправления. Государственный орган – это часть государственного аппарата, наделенная государственно-властными полномочиями и осуществляющая свою компетенцию по уполномочию государства в установленном им порядке. В РФ это органы, осуществляющие функции законодательной, исполнительной и судебной властей. При этом важно понимать, что государственные учреждения и предприятия также входят в состав государственного аппарата, но не являются государственными органами. Органы местного самоуправления выполняют те же функции, что и государственные только в пределах своих субъектов федерации (республик, краев, областей, городов и т.п.). Т.е. основаниями для создания государственных или муниципальных систем помимо законов могут быть указы президента, губернатора, мэра или главы администрации, постановления и приказы правительств и министерств различных уровней, федеральных агенств и служб, дум и муниципалитетов, решения собраний. И опять же эти документы должны содержать четкую формулировку - создание такой-то информационной системы. Приказ, например, главы государственного учреждения о создании информационной системы не наделяет её статусом муниципальной, поскольку госучреждение, как уже говорилось выше не является ни государственным органом, ни органом местного самоуправления.
Опишу практический пример. Например, мы берем государственный ВУЗ. Информационная система, автоматизирующая его деятельность в части организации и контроля процесса обучения студентов, несмотря на то, что эта деятельность осуществляется в соответствии с ФЗ "Об образовании" №273 (с 1 сентября 2013 г.), не будет являться государственной, поскольку в этом ФЗ ничего не сказано о создании информационных систем для этой деятельности, а также нет никаких Постановлений Правительств, приказов Министерства образования о создании информационных систем с подобными целями. Кроме того, все рабочие места в ВУЗе, организованные для передачи данных в государственные и региональные информационные системы в соответствии со статьей 98 ФЗ №273 просто будут являться средствами передачи данных в эти системы (убедиться в том, будут ли данные рабочие места относиться к государственным или муниципальным системам, можно изучив соответствующие постановления правительства о данных информационных системах, там прописываются границы этих систем). Для проверки возможности отнесения информационной системы ВУЗа к муниципальной необходимо аналогичным образом изучить "местные" нормативные акты.
Итоговый вывод - сфера применимости 17 Приказа ФСТЭК со всеми вытекающими требованиями (в том числе обязательной сертификацией средств защиты и аттестацией) не так широка, как может показаться на первый взгляд, возможны такие государственные организации, в которых не окажется ни одной государственной или муниципальной ИС.
Итоговый вывод - сфера применимости 17 Приказа ФСТЭК со всеми вытекающими требованиями (в том числе обязательной сертификацией средств защиты и аттестацией) не так широка, как может показаться на первый взгляд, возможны такие государственные организации, в которых не окажется ни одной государственной или муниципальной ИС.