Comments 18
Вторая проблема — то, что вы считаете, что ваши рассуждения имеют силу законной интерпретации. Это всего-навсего попытка распутать словесный клубок, который запутан намеренно для создания простора для интерпретаций чиновниками, а не вами. Они могут притягивать к подобным мутным определениям что угодно, вы — тоже, но ваша интерпретация практического значения (кроме создания ложного чувства уверенности) не имеет. И если они по поводу такой интерпретации не возразят, это не значит, что она «правильная», это значит, что им это не нужно.
Я хорошо понимаю, что этот вопрос сильно волнует некоторых разработчиков в очень узкой области. Но совершенно не понимаю, почему вы только поверхностно сказали о том, почему этот вопрос для них так важен.Разработчиков этот вопрос не должен сильно волновать. У разработчиков есть (в идеале) ТЗ, по которому и ведется разработка. Этот вопрос не то, чтобы должен волновать, этим вопросом должны интересоваться специалисты, занимающиеся информационной безопасностью. Я не пытался придать какой-либо особой важности тому вопросу, который пытался рассмотреть. Он важен, как и все остальные вопросы, на которые нет однозначного ответа.
Правильная классификация системы (ГИС или неГИС) имеет непосредственное практическое значение: если система неГИС, то ряд обязательных (порой серьезных) требований переходят в разряд рекомендаций.Здесь поясняется зачем отделять ГИС от иных систем. В случае с ГИС Приказ ФСТЭК от 11.02.2013 №17 становится суровой реальностью, выполнить все его требования — долго, муторно и часто очень недешево.
Вторая проблема — то, что вы считаете, что ваши рассуждения имеют силу законной интерпретации.Я так не считаю. Я выражаю свою точку зрения, выкладываю ход своих рассуждений, буду рад, если кто-то сочтет это полезным. Интерпретация, на которую можно опираться, должна исходить только от органа, издавшего первоначальный документ.
Они могут притягивать к подобным мутным определениям что угодно, вы — тоже, но ваша интерпретация практического значения (кроме создания ложного чувства уверенности) не имеет. И если они по поводу такой интерпретации не возразят, это не значит, что она «правильная», это значит, что им это не нужно.
Свое видение решения вопроса я аргументировал, со ссылками на документы. Вы, в свою очередь заявляете, что статья бесполезна (в чем-то вредна), без аргументов. Это неконструктивно. Я ожидаю критику конструктивную.
Судя по тому, как вы определили целевую аудиторию статьи, складывается впечатление, что вы далеки от нее.
Ну на какие "документы" можно ссылаться, чтобы доказать, что законодательство трактуется чиновниками с личной выгодой, вы о чём вообще? Этот ваш аргумент — попытка заставить меня подойти к вопросу формально, а именно этот подход сам по себе я и критикую. Я говорю не о том, что ваша интерпретация неверна, я говорю о том, что "в случае чего" она не поможет. Ровно как и в случае многих других вопросов лицензируемой деятельности вообще, например. Я знаю, как многих, например, в области ГИС, которые, как раз, геоинформационные, а не государственные, тоже греют логически верные собственные интерпретации. Но только до тех пор, пока они не наступят на хвост чиновнику и т.п.
Разработчиков этот вопрос не должен сильно волновать.
Это вы зря. Этот вопрос должен волновать всех разработчиков, пилящих что-то для государства, потому что ГИСы должны вводиться в эксплуатацию с уже выполненными требованиями по защите информации. Но многих разработчиков это до сих пор не сильно волнует, как вы сказали.
Мне казалось, что за аббревиатурой ГИС в 99% случаев кроется "геоинформационная система", а термин "государственная информационная система" я вообще впервые слышу (его наверно совсем недавно выдумали наши законники).
В силу специфики деятельности своей я под ГИСом понимаю прежде всего то, о чем речь в статье. И да, тэги статьи должны помочь в правильном понимании сути статьи.
Термину «государственная информационная система» не меньше 13 лет. Ввиду того, что легального определения нет… Собственно, об этом и статья.
«Господи прости нейминг..»
Короче, такой себе термин. Как сепульки или шушпанчики, только на законодательном уровне.
на ГИС распространяются требования регуляторов ФСТЭК и ФСБ.
и вообще на все, где есть слова государственное, федеральное, маниципальное, распространяются требования регуляторов ФСТЭК и ФСБ.
И тут всё чётко:
государственная информационная система Краснодарского края —
информационная система, созданная, приобретенная и (или)
накапливаемая с привлечением средств бюджета Краснодарского края, а
также иным установленным законом способом;
Т.е. если ИС создана и(или) живёт на бюджетные деньги, то это ГИС. Пусть даже это локальная 1С в администрации муниципалитета.
К сожалению, она не сможет сильно помочь. И вот почему.
1. само определение — «приобретенная с привлечением бюджетных средств или иным установленным способом», вновь отсылающая в никуда норма. Т.е., наличие бюджетных средств не обязательно вовсе. Способ создания — любой, предусмотренный законом. Статья 14, пункт 2 закона: возможно все, бюджетные средства не обязательны в принципе.
2. Региональной нормативки может и не быть. Более того, ее не должно быть: статья 71 Конституции относит информацию и связь к исключительной компетенции федеральной власти, а также ст. 4 закона говорит то же самое: законодательство об информации состоит из названного закона, а также других федеральных законов. В силу этого нормотворчество субъектов федерации под большим вопросом по этой теме. У нас же нет в субъектах федерации собственного гражданского или уголовного кодекса?)
По п.2 — сам этот закон возник, как результат диалога регионального департамента информатизации и связи и интеграторов. Расплывчатость формулировки обусловлена необходимостью «обратной совместимости» с уже имевшимися на тот момент ИС. Надзорными органами сотни раз проверялись бюджеты, обоснованные как раз с помощью этого закона. Нарушений ни разу не выявили.
Но это все мир единорогов и фей, по факту же есть огромное количество систем, которые должны быть ГИС, но по определению из 149-ФЗ ими не являются (нет нормативного акта о создании ГИС). ФСТЭКу очень не нравится, что они разрабатывали вполне себе приличные документы по защите информации в ГИС, а многие операторы пытаются доказать что их системы ГИСами не являются. Поэтому по негласному мнению ФСТЭК ГИСами являются все системы, созданные на бюджетные деньги.
Эталонным примером как ГИС должна быть описана является Федеральный реестр инвалидов — аж в целом федеральном законе прописано, что реестр является ГИС, определен оператор ГИС, определены данные, вносимые в ГИС и тд. К сожалению, это скорее исключение, чем правило.
ГИС? или неГИС? Вот в чем вопрос