Правила защиты государственных информационных систем пропишут в законе
Новый законопроект ФСТЭК закрепляет терминологию и правила защиты информационных систем в госорганах и на критически важных объектах.
В новом законопроекте ФСТЭК, опубликованном на собственном сайте федеральной службы и на ресурсе Минэкономразвития для проведения публичных консультаций, даются базовые определения и прописываются правила защиты государственных и стратегических информационных систем.
Законопроект касается внесения изменений в знаменитый «трехглавый» ФЗ-149 «Об информации, информационных технологиях и защите информации».
Определения даются угрозам безопасности информации и уязвимостям информационных систем.
Публичные консультации о законопроекте продлятся до 2 августа 2012 г. (как принять участие в обсуждении — написано на сайте министерства по ссылке выше), а прием заключений по результатам антикоррупционной экспертизы завершится 13 августа 2012 г.
По информации ИБ-эксперта Алексея Лукацкого, текст законопроекта пока не финальный и параллельно находится в процессе согласования с Аппаратом правительства и федеральными органами исполнительной власти, связанными с данной тематикой.
Никаких закручиваний гаек и нововведений в пункте о госсистемах нет, считает Лукацкий, только закрепление уже по факту работающей практики: «Новым выглядит ст.16.2 по защите критически важных объектов, но в целом это направление внимания регуляторов предполагалось давно. Во всех странах мира такие объекты, даже находящиеся в частных руках, находятся под пристальным контролем государства. Это и зафиксировано в законопроекте».
Аналогично в ст.16.1 описывается принципы защиты государственных систем: есть мероприятия по ИБ, которые необходимо выполнить, а ряд требований по защите устанавливают ФСТЭК и ФСБ.
Правила защиты государственных и стратегических информационных систем сформулированы в законопроекте ФСТЭК
Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников также отмечает, что с появлением документа требования об обязательной сертификации средств защиты информации для госсектора поднимаются на уровень закона:
«Причем вне зависимости, обрабатывают они информацию ограниченного доступа или нет. Обязательность оценки соответствия фактически дает некоторые преференции отечественным разработчикам средств безопасности и иностранным компаниям, организовавшим их сертифицированное производство в России, при построении защиты государственных информсистем».
Эксперт видит преференции в том, что в случае принятия законопроекта даже при наличии сертификата на единичное изделие или партию, имеющего ограниченный срок действия, другим вендорам будет довольно сложно поддерживать такой сертификат при эксплуатации госсистемы из-за постоянных изменений платформ, операционных систем и приложений.
Емельянников также остановился на пункте о критически важных объектах.
«Надо отметить, что требований обязательной оценки соответствия не выдвигается в отношении информсистем на таких объектах, — говорит он. — Но, в характерном для российских законов духе, дается поручение правительству определять порядок их классификации, а ФСБ и ФСТЭК — определить требования для установленных классов, где как раз и может появиться порядок оценки соответствия».
Наконец, эксперт приветствует то, что в законопроекте предусматривается обязательность моделирования угроз безопасности.
И Лукацкий, и Емельянников, говорят о противоречии между новым законопроектом ФСТЭК и недавним документом Совета безопасности о защите АСУ ТП, где эта федеральная служба не упоминается (полное название «Основные направления государственной политики в области обеспечения безопасности АСУ ТП критически важных объектов инфраструктуры Российской Федерации»).
«Вполне возможно, что ситуация и не такая патовая, как кажется, — считает Лукацкий. — В конце концов, у ФСБ нет ни документов, ни опыта по работе с ключевыми системами информационной инфраструктуры в отличие от ФСТЭК».
Источник: CNews
P.S.
Ознакомиться с законопроектом можно, скачав zip-архив по нижеследующей ссылке (~ 1.5 Мб):
http://bda-expert.ru/doc/2012-07-23-zakonoproekt-fstek-zashhita-gos-it-sistem.zip
См. также:
- В России разработана государственная политика кибер-защиты
- Закон об ЭЦП продлили из-за риска остановки госуслуг и электронных закупок
- Подготовленные ФСБ проекты правительственных постановлений не устроили участников рынка информационной безопасности
- ФСБ утвердила новые требования к ЭЦП (электронной цифровой подписи)
- С 2013 г. несогласованные ИТ-проекты будут вне закона
- Глоссарий к проекту Концепции развития информационно-коммуникационной инфраструктуры и технологий в РФ
- Закон о государственных информационных системах Республики Коми
Оставить комментарий