Оператор информационной системы
Оператор информационной системы — это юридическое лицо или индивидуальный предприниматель, осуществляющие деятельность по эксплуатации информационной системы, включая обработку содержащихся в её базах данных сведений, а также обеспечивающие её функционирование и защиту в соответствии с законодательством. Понятие закреплено в Федеральном законе «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ) и является ключевым для регулирования цифровых платформ, государственных реестров, корпоративных порталов и других автоматизированных систем.
Правовой статус и обязанности
Определение в законодательстве
Согласно статье 2 закона № 149-ФЗ, оператор информационной системы — это лицо, которое самостоятельно или с привлечением третьих лиц осуществляет обработку данных, содержащихся в базах данных информационной системы, а также обеспечивает доступ к этой информации и её защиту. Оператор не обязательно является владельцем системы или данных; он может действовать на основании договора с обладателем информации (например, государственным органом или коммерческой организацией).
Основные обязанности
Оператор обязан:
- соблюдать требования к обработке персональных данных (ФЗ «О персональных данных» № 152-ФЗ);
- обеспечивать защиту информации от несанкционированного доступа, уничтожения, модификации и блокирования;
- уведомлять уполномоченные органы (Роскомнадзор, ФСБ) о начале обработки персональных данных и об инцидентах информационной безопасности;
- хранить данные в соответствии с установленными сроками и порядком;
- предоставлять доступ к информации уполномоченным государственным органам (например, по запросу суда или следствия).
Ответственность
За нарушение обязанностей оператор может быть привлечён к административной (штрафы до 500 тыс. руб. по ст. 13.11 КоАП РФ за утечку персональных данных), гражданско-правовой (возмещение ущерба) или уголовной ответственности (например, по ст. 272 УК РФ за неправомерный доступ к компьютерной информации). В 2023 году введены оборотные штрафы для операторов, допустивших утечку персональных данных (до 3% годовой выручки).
Классификация операторов
По типу информационной системы
- Государственные операторы — управляют системами органов власти (например, Единый портал государственных услуг, ГАС «Выборы», ЕГРН). Подчиняются строгим требованиям по импортозамещению и аттестации.
- Корпоративные операторы — обслуживают внутренние системы предприятий (ERP, CRM, бухгалтерские программы). Часто являются структурными подразделениями или дочерними IT-компаниями.
- Операторы публичных платформ — управляют интернет-сервисами, социальными сетями, маркетплейсами (например, Яндекс, VK, Ozon). Обязаны соблюдать закон «О приземлении» (регистрация в РФ для иностранных платформ) и правила распространения информации.
По масштабу деятельности
- Федеральные операторы — обслуживают системы общероссийского значения (например, оператор системы «Мир» — Национальная система платёжных карт).
- Региональные и муниципальные — управляют местными информационными системами (порталы госуслуг субъектов РФ, системы здравоохранения).
- Операторы малого и среднего бизнеса — обеспечивают работу локальных IT-решений (интернет-магазины, облачные сервисы для клиентов).
По форме собственности
- Государственные учреждения и унитарные предприятия.
- Коммерческие организации (ООО, АО).
- Индивидуальные предприниматели (часто в сфере IT-аутсорсинга).
Функции и процессы
Эксплуатация и администрирование
Оператор обеспечивает:
- бесперебойную работу серверного оборудования, сетевой инфраструктуры и программного обеспечения;
- резервное копирование данных и восстановление после сбоев;
- мониторинг производительности и безопасности системы;
- обновление и патчинг уязвимостей.
Обработка данных
Включает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование и уничтожение информации. Оператор обязан вести журналы учёта действий с данными и обеспечивать их конфиденциальность.
Взаимодействие с пользователями
Оператор регистрирует пользователей, разграничивает права доступа, обрабатывает запросы на изменение или удаление данных, а также информирует о сбоях и обновлениях. Для государственных систем предусмотрена обязательная аутентификация через ЕСИА (Единая система идентификации и аутентификации).
Требования к информационной безопасности
Законодательные нормы
Оператор обязан выполнять требования:
- ФЗ № 152-ФЗ — для систем, обрабатывающих персональные данные;
- ФЗ № 187-ФЗ — для объектов критической информационной инфраструктуры (КИИ);
- приказов ФСТЭК, ФСБ и Минцифры (например, об аттестации систем на соответствие классам защищённости).
Меры защиты
Включают:
- использование сертифицированных средств криптографической защиты (СКЗИ);
- антивирусную защиту и межсетевые экраны;
- систему обнаружения вторжений (IDS/IPS);
- физическую защиту серверных помещений;
- обучение сотрудников правилам информационной безопасности.
Аттестация и лицензирование
Государственные информационные системы и системы КИИ подлежат обязательной аттестации на соответствие требованиям безопасности. Оператор может получить лицензию на техническую защиту конфиденциальной информации (ФСТЭК) или на деятельность по разработке и производству средств защиты информации.
Примеры операторов в России
- Пенсионный фонд России (СФР) — оператор информационной системы персонифицированного учёта, обрабатывающей данные о пенсионных правах граждан.
- ФНС России — оператор Единого государственного реестра юридических лиц (ЕГРЮЛ) и реестра налогоплательщиков.
- ПАО «Сбербанк» — оператор платёжной системы и мобильного приложения «СберБанк Онлайн», обрабатывающего персональные данные клиентов.
- ООО «Яндекс» — оператор поисковой системы и сервисов (Яндекс.Карты, Яндекс.Музыка), признан в РФ организацией, выполняющей функции иностранного агента. Компания обязана хранить данные российских пользователей на территории РФ.
- **Meta (организация признана экстремистской, деятельность запрещена в РФ) Platforms Inc.** (организация признана экстремистской и запрещена в РФ) — ранее являлась оператором социальных сетей Facebook (продукт Meta, признанной экстремистской и запрещённой в РФ) и Instagram (продукт Meta, признанной экстремистской и запрещённой в РФ), деятельность которых на территории РФ ограничена.
Тенденции и изменения
Импортозамещение
С 2015 года в России действует политика импортозамещения в IT-сфере. Операторы государственных информационных систем обязаны использовать преимущественно отечественное программное обеспечение (реестр Минцифры) и оборудование из Единого реестра российской радиоэлектронной продукции.
Ужесточение контроля
В 2021—2024 годах приняты поправки, обязывающие операторов:
- уведомлять Роскомнадзор о любых инцидентах с персональными данными в течение 24 часов;
- предоставлять ключи шифрования для дешифровки данных по запросу ФСБ;
- устанавливать системы мониторинга трафика (ТСПУ) для противодействия угрозам.
Развитие облачных технологий
Растёт число операторов, предоставляющих облачные информационные системы (IaaS, PaaS, SaaS). Они несут ответственность за безопасность виртуальной инфраструктуры, но часть обязанностей может делегироваться клиентам (например, настройка доступа к данным).
Критика и проблемы
Нагрузка на малый бизнес
Для небольших компаний соблюдение всех требований (аттестация, лицензирование, покупка сертифицированного ПО) может быть финансово обременительным. Это стимулирует переход на аутсорсинг операторских функций у специализированных провайдеров.
Юридическая неопределённость
В некоторых случаях границы ответственности между оператором и обладателем информации размыты. Например, при использовании облачного сервиса оператор отвечает за безопасность платформы, но клиент — за корректность обработки данных. Споры часто решаются в судебном порядке.
Технические риски
Крупные операторы (госорганы, банки) становятся целями для кибератак. Утечки данных (например, из баз ГИБДД или медицинских учреждений) демонстрируют недостаточную защищённость некоторых систем. В 2023 году зафиксировано более 150 крупных инцидентов с персональными данными в РФ.
Источники
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Кодекс Российской Федерации об административных правонарушениях (ст. 13.11).
- Уголовный кодекс Российской Федерации (ст. 272).
- Приказы ФСТЭК России об утверждении требований к защите информации.
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных».
- Доклад Роскомнадзора «Состояние защиты персональных данных в РФ» за 2023 год.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →