Приказ ФСТЭК РФ от 11.04.2025 г. №117 (продолжение темы).

349₽ VIP

Ответ отключен модератором

Здравствуйте, Евгений!

Основная ответственность по разработке Плана подготовительных мероприятий (ППМ) и комплекта организационно-распорядительных документов по защите информации (ЗИ) лежит на операторе (владельце) государственной информационной системы (ГИС). Однако, как пользователь этих систем, администрация обязана выполнять доведенные до нее оператором требования и правила. Полностью самоустраниться от разработки своих внутренних документов администрация не может.

Детальный анализ на основе Приказа ФСТЭК России от 11.04.2025 № 117

Ваша ситуация типична: муниципалитет является пользователем (субъектом отношений), а не оператором (владельцем) централизованных и отраслевых информационных систем.

1. Первичная ответственность оператора (п. 33 Приказа № 117):

Вы абсолютно правы, ссылаясь на пункт 33. Оператор информационной системы обязан:

Разработать и утвердить План подготовительных мероприятий (ППМ) для каждой информационной системы (ИС).

Разработать и довести до пользователей (в вашем случае — до администрации) требования и правила по обеспечению защиты информации (ЗИ) при работе с этой ИС.

Обеспечить реализацию этих требований.

Таким образом, в идеальном случае операторы систем («1С:Бухгалтерия», АИС ЖКХ, ФГИС ПГС и т.д.) должны разработать единые ППМ и инструкции для всех своих пользователей-муниципалитетов.

2. Обязанности пользователя (администрации):

Администрация не разрабатывает собственный ППМ для каждой внешней системы. Но она не может просто проигнорировать тему защиты информации. Согласно общим принципам закона «Об информации...» (№ 149-ФЗ) и профильных приказов ФСТЭК (включая № 117), пользователь, обрабатывающий информацию в государственных системах, обязан:

Организовать выполнение требований и правил, доведенных оператором.

Назначить ответственных лиц за обеспечение ЗИ при работе с каждой ИС.

Обеспечить своих сотрудников необходимыми средствами защиты (СКЗИ, антивирусами), если это требуется правилами оператора.

Организовать учет носителей информации, обучение сотрудников и т.д. в части, касающейся их работы с этими системами.

3. Что должна разработать сама администрация как организация?

Даже будучи пользователем чужих систем, администрация как юридическое лицо, обрабатывающее информацию (в том числе персональные данные, служебную информацию), обязана иметь свой базовый комплект организационно-распорядительных документов. Его состав зависит от типа обрабатываемой информации, но обычно включает:

Приказ о назначении ответственного за обеспечение безопасности информации (или за работу с конкретными ИС).

Инструкции пользователям по безопасной работе с АРМ, электронной почтой, внешними накопителями.

Положение об обработке и защите персональных данных (если они обрабатываются в любой из систем — «1С:Бухгалтерия», АИС ЖКХ).

Журналы учета (носителей, инцидентов и т.п.).

4. Исключение: если администрация является оператором своей, локальной ИС.

Если в администрации существует собственная, локальная информационная система (например, база данных муниципальных служащих, система документооборота, не являющаяся частью внешней ГИС), то для этой системы администрация выступает в роли оператора. В этом случае она обязана разработать для этой системы полный комплект документов, включая отдельный ППМ, согласно п. 33 Приказа № 117.

Практические рекомендации:

Запросите официально у операторов всех используемых ИС (Министерство финансов региона, Минцифры, Росстат, ФГИС ПГС и т.д.) следующие документы:

Утвержденный План подготовительных мероприятий (ППМ) для конкретной ИС.

Требования и правила по обеспечению защиты информации для пользователей.

Перечень организационно-распорядительных документов, которые должна разработать у себя администрация как пользователь.

На основании полученных требований разработайте и утвердите внутренние приказы и инструкции своей администрации, регламентирующие выполнение этих правил вашими сотрудниками.

Определите, есть ли у вас собственная информационная система. Если да — для нее нужно разрабатывать ППМ и полный комплект документов с нуля.

Смотрите, в данном случае, администрации необходимо разрабатывать план мероприятий по защите информации, содержащейся в информационных системах.

В рамках плана необходимо определить:

события в информационных системах, которые могут привести к нарушению целей защиты информации;

информационные системы, программные и программно-аппаратные средства, несанкционированный доступ к которым может привести к нарушению целей защиты информации;

угрозы безопасности информации, реализация которых может привести к нарушению целей защиты информации;

состав и сроки проведения мероприятий и принятия мер по защите информации, а также оценить необходимые для этого ресурсы.

При этом план утверждается руководителем оператора (обладателя информации) и доводится до подразделений (работников) оператора.

- см. Приказ ФСТЭК России от 11.04.2025 года № 117

Ссылки:

normativ.kontur.ru

fstec.ru

Здравствуйте!

Администрации не нужно разрабатывать План мероприятий для федеральных систем (ГИС ГМП, ЖКХ), так как вы не являетесь их оператором — это обязанность федеральных министерств. Однако полностью игнорировать безопасность нельзя. Подключаясь к этим системам, вы организуете защищенный канал связи (АРМ), за который несете ответственность именно вы. Кроме того, ваша локальная «1С» обрабатывает персональные данные и может признаваться муниципальной информационной системой (ст. 13 149-ФЗ). Поэтому вместо «Плана развития ГИС» вы обязаны принять внутренние документы: инструкции по паролям, регламент использования антивирусов и модель угроз для своих компьютеров. Если этого не сделать, при проверке вас оштрафуют по ст. 13.12 КоАП РФ за нарушение условий защиты информации, так как ответственность за безопасность своего сегмента сети лежит на пользователе.

Ответ отключен модератором

Администрация, являясь лишь пользователем указанных вами информационных систем, сама не обязана разрабатывать План подготовительных мероприятий и прочие необходимые документы по обеспечению защиты информации.

Согласно пункту 33 Приказа ФСТЭК РФ от 11.04.2025 г., обязанность разработки всех документов по защите информации лежит именно на операторе (владельце) информационной системы.

Оператор обязан разработать соответствующий План, довести его до пользователей (включая администрацию) и обеспечить выполнение предусмотренных мер.

Ваша задача заключается исключительно в соблюдении требований оператора относительно установленных процедур защиты информации.

Нарушение оператором порядка передачи документации либо требования исполнить несуществующие обязанности могут быть обжалованы администрацией в порядке, предусмотренном ст. 218 КАС РФ («Порядок обращения в суд»).

Ответ отключен модератором

Евгений, здравствуйте!

_______

Согласно Приказу ФСТЭК РФ №117 от 11.04.2025 (вступает в силу 01.03.2026), ответственность за разработку плана мероприятий по защите информации лежит на операторе (обладателе) информационной системы, а не на пользователе.

________

Пункт 33 Требований четко определяет: план разрабатывается по решению руководителя оператора ответственным лицом структурного подразделения по защите информации и доводится до подразделений (работников) оператора в части, их касающейся. Муниципальная администрация как пользователь (потребитель услуг информационных систем) обязана исполнять требования оператора, но не разрабатывать собственный план и документы по защите информации. Оператор системы несет полную ответственность за соответствие Требованиям, включая разработку политики защиты информации, внутренних стандартов и регламентов. Администрация должна обеспечить выполнение указаний оператора в рамках своей деятельности как пользователя системы, но стратегическая ответственность за защиту информации остается на операторе системы.

ps. Остерегайтесь "сказочников" от чат ботов.

С уважением

Евгений, муниципалитету (администрации) как пользователю информационных систем необходимо разрабатывать свой собственный План подготовительных мероприятий (ППМ) и иные документы по защите информации. Оператор (владелец) ГИС не может полностью переложить эту обязанность на вас простым "доведением до сведения".

На основании полученных от оператора ТЗИ и типового ППМ муниципалитет обязан (согласно тому же приказу и общим принципам 152-ФЗ и 187-ФЗ):

Разработать и утвердить свой локальный План подготовительных мероприятий. Этот план должен быть адаптирован под вашу конкретную ИТ-инфраструктуру, штатную структуру, используемое программное обеспечение и все те системы, которые вы перечислили (1С, ГМП, АИС ЖКХ и т.д.). В нем вы расписываете, конкретно какие действия, в какие сроки и какими ответственными лицами будут выполнены для соблюдения ТЗИ оператора.

Разработать иные необходимые документы по защите информации. Это, как минимум:

Инструкция пользователю ГИС (под каждую систему или общая).

Инструкция администратору безопасности (если такой есть).

Акт классификации ИСПДн (если в системах обрабатываются персональные данные, а они почти всегда есть).

Модель угроз и модель нарушителя для вашего сегмента (часто разрабатывается на основе типовой модели оператора).

Приказ о назначении ответственных за обеспечение безопасности в каждой ГИС.

Журналы учета, связанные с безопасностью (носителей, инцидентов и т.д.).

В силу Приказа ФСТЭК РФ №117 от 11.04.2025 (вступает в силу 01.03.2026), ответственность за разработку плана мероприятий по защите информации лежит на операторе (обладателе) информационной системы, а не на пользователе.

Оператор не может сделать всё за вас. В случае инцидента (утечки данных, несанкционированного доступа) проверяющие органы (ФСТЭК, Роскомнадзор, прокуратура) будут спрашивать документы и меры с конкретного муниципалитета, где произошел инцидент. Ссылка на то, что "оператор нам ничего не дал" или "оператор должен был сделать" не освобождает от ответственности. Полностью самоустраниться от разработки своих внутренних документов администрация не может. Только вы знаете детали своей сети: сколько у вас компьютеров, кто на них работает, как настроены межсетевые экраны, какое антивирусное ПО используется. Оператор не может этого знать и прописать в своих типовых документах.

Вы являетесь пользователем нескольких ГИС от разных операторов. Каждый оператор пришлет свои ТЗИ и свой типовой ППМ. Вам необходимо консолидировать эти требования в единый комплекс мер и документов для своей организации. Это ваша прямая обязанность.

Вывод: Получить от каждого оператора ГИС (по 1С, ГМП, АИС ЖКХ и т.д.) требования о защите информации (ТЗИ) и Типовой ППМ.

На основании анализа всех полученных требований разработать и утвердить:

Сводный (единый) План подготовительных мероприятий вашей администрации, который учитывает специфику всех используемых систем и вашей инфраструктуры.

Комплект организационно-распорядительных документов по защите информации (приказы, инструкции, модели угроз и т.д.).

Реализовать запланированные мероприятия (технические и организационные).

Поддерживать документы в актуальном состоянии и обеспечивать их выполнение.

Роль оператора — установить правила игры и предоставить шаблоны. Ваша роль — детализировать эти правила под свою организацию, формализовать их во внутренних документах и исполнить.

Игнорирование этой обязанности создает значительные риски для муниципалитета в виде предписаний, штрафов и репутационных потерь в случае инцидентов информационной безопасности.

Стоит учитывать, что Приказ ФСТЭК РФ №117 от 11.04.2025 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», вступает в силу с 1 марта 2026 года. В нём расширена область регулирования: требования касаются не только государственных информационных систем, но и иных информационных систем государственных органов, предприятий и учреждений.

Всего доброго.

Администрация, являясь лишь пользователем перечисленных Вами информационных систем, не обязана сама разрабатывать План подготовительных мероприятий по реализации требований защиты информации. Обязанность разработки плана и других нормативных документов лежит исключительно на операторе информационной системы (собственнике системы), согласно пункту 33 Приказа ФСТЭК РФ от 11.04.2025 г., где чётко указано, что разработку плана осуществляет непосредственно владелец информационной системы.

Ваш муниципалитет обязан соблюдать требования оператора информационной системы, обеспечивать исполнение доведённых до него оператором мер по защите информации, но разработка самих документов остаётся за владельцем систем.

Поэтому администрация должна получать инструкции и рекомендации от владельца системы и исполнять указанные меры.

Ответственность за соблюдение установленных норм несёт именно собственник информационной системы.