Новый законопроект ФСТЭК закрепляет терминологию и правила защиты информационных систем в госорганах и на критически важных объектах.

В новом законопроекте ФСТЭК ^[1], опубликованном на собственном сайте федеральной службы и на ресурсе Минэкономразвития для проведения публичных консультаций, даются базовые определения и прописываются правила защиты государственных и стратегических информационных систем.

Законопроект касается внесения изменений в знаменитый «трехглавый» ФЗ-149 «Об информации, информационных технологиях и защите информации».

Определения даются угрозам безопасности информации и уязвимостям информационных систем.

Публичные консультации о законопроекте продлятся до 2 августа 2012 г. (как принять участие в обсуждении — написано на сайте министерства по ссылке выше), а прием заключений по результатам антикоррупционной экспертизы завершится 13 августа 2012 г.

По информации ИБ-эксперта Алексея Лукацкого, текст законопроекта пока не финальный и параллельно находится в процессе согласования с Аппаратом правительства и федеральными органами исполнительной власти, связанными с данной тематикой.

Никаких закручиваний гаек и нововведений в пункте о госсистемах нет, считает Лукацкий, только закрепление уже по факту работающей практики: «Новым выглядит ст.16.2 по защите критически важных объектов, но в целом это направление внимания регуляторов предполагалось давно. Во всех странах мира такие объекты, даже находящиеся в частных руках, находятся под пристальным контролем государства. Это и зафиксировано в законопроекте».

Аналогично в ст.16.1 описывается принципы защиты государственных систем: есть мероприятия по ИБ, которые необходимо выполнить, а ряд требований по защите устанавливают ФСТЭК и ФСБ.

Правила защиты государственных и стратегических информационных систем сформулированы в законопроекте ФСТЭК

Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников также отмечает, что с появлением документа требования об обязательной сертификации средств защиты информации для госсектора поднимаются на уровень закона:

«Причем вне зависимости, обрабатывают они информацию ограниченного доступа или нет. Обязательность оценки соответствия фактически дает некоторые преференции отечественным разработчикам средств безопасности и иностранным компаниям, организовавшим их сертифицированное производство в России, при построении защиты государственных информсистем».

Эксперт видит преференции в том, что в случае принятия законопроекта даже при наличии сертификата на единичное изделие или партию, имеющего ограниченный срок действия, другим вендорам будет довольно сложно поддерживать такой сертификат при эксплуатации госсистемы из-за постоянных изменений платформ, операционных систем и приложений.

Емельянников также остановился на пункте о критически важных объектах.

«Надо отметить, что требований обязательной оценки соответствия не выдвигается в отношении информсистем на таких объектах, — говорит он. — Но, в характерном для российских законов духе, дается поручение правительству определять порядок их классификации, а ФСБ и ФСТЭК — определить требования для установленных классов, где как раз и может появиться порядок оценки соответствия».

Наконец, эксперт приветствует то, что в законопроекте предусматривается обязательность моделирования угроз безопасности.

И Лукацкий, и Емельянников, говорят о противоречии между новым законопроектом ФСТЭК и недавним документом Совета безопасности о защите АСУ ТП, где эта федеральная служба не упоминается (полное название «Основные направления государственной политики в области обеспечения безопасности АСУ ТП критически важных объектов инфраструктуры Российской Федерации»).

«Вполне возможно, что ситуация и не такая патовая, как кажется, — считает Лукацкий. — В конце концов, у ФСБ нет ни документов, ни опыта по работе с ключевыми системами информационной инфраструктуры в отличие от ФСТЭК».

Источник: CNews ^[2]

P.S.

Ознакомиться с законопроектом можно, скачав zip-архив по нижеследующей ссылке (~ 1.5 Мб):

http://bda-expert.ru/doc/2012-07-23-zakonoproekt-fstek-zashhita-gos-it-sistem.zip ^[1]

См. также:

• В России разработана государственная политика кибер-защиты ^[3]
• Закон об ЭЦП продлили из-за риска остановки госуслуг и электронных закупок ^[4]
• Подготовленные ФСБ проекты правительственных постановлений не устроили участников рынка информационной безопасности ^[5]
• ФСБ утвердила новые требования к ЭЦП (электронной цифровой подписи) ^[6]
• С 2013 г. несогласованные ИТ-проекты будут вне закона ^[7]
• Глоссарий к проекту Концепции развития информационно-коммуникационной инфраструктуры и технологий в РФ ^[8]
• Закон о государственных информационных системах Республики Коми ^[9]