Если вы работаете с государственными организациями

По адресу http://regulation.gov.ru/projects# доступен очередной проект закона о внесении очередных изменений в закона «Об информации, информационных технологиях и о защите информации». Точнее на данном портале сейчас выложено два таких проекта, но нас интересует проект закона от ФСТЭК РФ:

b62afeea36d14c2994fb1edd723805cb.png

Что же предполагается изменить в методах защиты и кого касаются изменения?

Стоит обратить внимание на то, что проект касается защиты «государственных информационных системах, а также иных информационных системах, в которых на основании договоров или иных законных основаниях содержится (обрабатывается) информация, обладателями которой являются государственные органы или государственные корпорации». Напомним, что требования по защите государственных информационных систем были описаны в семнадцатом приказе ФСТЭК РФ. Проект закона указывает, что требования данного приказа распространяются не только на государственные ИС, но и на все организации, работающие с данными, полученными от них.

Требования о защите информации, содержащейся в государственных информационных системах, а также иных информационных системах, в которых на основании договоров или иных законных основаниях содержится (обрабатывается) информация, обладателями которой являются государственные органы или государственные корпорации, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия иностранным техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации таких информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям

При этом «cоздание и обеспечение функционирования систем защиты информации должно предусматривать»:
1) назначение оператором лиц, ответственных за организацию защиты информации, а также за планирование и разработку, внедрение, мониторинг, поддержание и совершенствование мер защиты информации;
2) издание оператором документов, определяющих политику обеспечения защиты информации, в том числе локальных актов по организации защиты информации, а также локальных актов, устанавливающих процедуры, направленные на обеспечение защиты информации в соответствии с настоящим Федеральным законом;
4) осуществление внутреннего контроля (аудита) соответствия защиты информации требованиям о защите информации…, политике оператора по обеспечению защиты информации, локальным актам оператора;
5) ознакомление работников оператора, непосредственно осуществляющих обработку и защиту информации, с требованиями о защите информации, документами, определяющими политику оператора по обеспечению защиты информации, локальными актами оператора и обучение указанных работников.

Самое интересное традиционно находится в конце проекта закона:
Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях содержится (обрабатывается) информация, обладателями которой являются государственные органы или государственные корпорации, информируют федеральный орган исполнительной власти в области обеспечения безопасности и федеральный орган исполнительной власти, уполномоченный в области противодействия иностранным техническим разведкам и технической защиты информации, о событиях безопасности, в результате которых нарушено или прекращено функционирование информационной системы и (или) нарушена безопасность обрабатываемой в информационной системе информации (компьютерных инцидентах).

Предполагается, что все организации, работающие так или иначе с государственными органами и получающие при этом от них данные должны будут передавать данные о инцидентах безопасности. Логично предположить, что вслед за данным проектом закона последует регламент, согласно которому потребуется передавать данные в формате, удовлетворяющем условиям принятия данных в базу данных инцидентов, которая будет вестись ФСТЭК.

Комментарии (2)

  • 5 июля 2016 в 15:23

    0

    Правильно ли я понимаю, что сети/производители/розница работающая с ЕГАИС (а без него сейчас официально никак не продать алкоголь), теперь будут обязаны передавать данные о инцидентах безопасности?
  • 5 июля 2016 в 15:28

    0

    Насколько я понял предполагается, что будет переписан до конца года 17й приказ. Вряд-ли требования данного проекта будут касаться всех, кто работает с госсистемами — так придется требовать защищаться и всех посетителей портала госуслуг, если они что с него скачивают. Скорее всего требования коснутся тех, кто непосредственно работает с госорганизациями. Но как вы понимаете — все что может быть истолковано неверно, будет истолковано неверно. По практике правоприменения 152-ФЗ такого достаточно

© Habrahabr.ru