Правила защиты государственных ИТ-систем пропишут в законе

Автор: Ксения Садовская 23 июля 2012 г. 16:40:03 3 031   0

Новый законопроект ФСТЭК закрепляет терминологию и правила защиты информационных систем в госорганах и на критически важных объектах.

В новом законопроекте ФСТЭК, опубликованном на собственномсайте федеральной службыи наресурсе Минэкономразвитиядля проведения публичных консультаций,даютсябазовые определения и прописываются правила защиты государственных и стратегических информационных систем.

Законопроект касается внесения изменений в знаменитый «трехглавый» ФЗ-149 «Об информации, информационных технологиях и защите информации». Определениядаютсяугрозам безопасности информации и уязвимостям информационных систем.

Публичные консультации о законопроектепродлятсядо 2 августа 2012 г. (как принять участие в обсуждении - написано на сайте министерства по ссылке выше), а прием заключений по результатам антикоррупционной экспертизы завершится 13 августа 2012 г. По информации ИБ-экспертаАлексея Лукацкого, текст законопроекта пока не финальный и параллельно находится впроцессесогласования с Аппаратом правительства и федеральными органами исполнительной власти, связанными с данной тематикой.

Никаких закручиваний гаек и нововведений в пункте о госсистемах нет, считает Лукацкий, только закрепление уже по факту работающей практики: «Новым выглядит ст.16.2 по защите критически важных объектов, но в целом это направление внимания регуляторов предполагалосьдавно. Во всех странах мира такие объекты, даже находящиеся в частных руках, находятся под пристальным контролем государства. Это и зафиксировано в законопроекте».

Аналогично в ст.16.1 описывается принципы защиты государственных систем: есть мероприятия по ИБ, которые необходимо выполнить, а ряд требований по защите устанавливают ФСТЭК и ФСБ.

Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры»Михаил Емельянниковтакже отмечает, что с появлением документа требования об обязательной сертификации средств защиты информации для госсектора поднимаются на уровень закона: «Причем вне зависимости, обрабатывают они информацию ограниченного доступа или нет. Обязательность оценки соответствия фактически дает некоторые преференции отечественным разработчикам средств безопасности и иностранным компаниям, организовавшим их сертифицированное производство в России, при построении защиты государственных информсистем».

Эксперт видит преференции в том, что в случае принятия законопроекта даже при наличии сертификата на единичное изделие или партию, имеющего ограниченный срок действия, другим вендорам будет довольно сложно поддерживать такой сертификат при эксплуатации госсистемы из-за постоянных изменений платформ, операционных систем и приложений.

Емельянников также остановился на пункте о критически важных объектах. «Надо отметить, что требований обязательной оценки соответствия не выдвигается в отношении информсистем на таких объектах, - говорит он. - Но, в характерном для российских законов духе, дается поручение правительству определять порядок их классификации, а ФСБ и ФСТЭК – определить требования для установленных классов, где как раз и может появиться порядок оценки соответствия». Наконец, эксперт приветствует то, что в законопроекте предусматривается обязательность моделирования угроз безопасности.

И Лукацкий, и Емельянников, говорят о противоречии между новым законопроектом ФСТЭК и недавним документом Совета безопасности о защите АСУ ТП, где эта ФСТЭК не упоминается (полное название «Основные направления государственной политики в области обеспечения безопасности АСУ ТП критически важных объектов инфраструктуры Российской Федерации»). «Вполне возможно, что ситуация и не такая патовая, как кажется, - считает Лукацкий. - В конце концов, у ФСБ нет ни документов, ни опыта по работе с ключевыми системами информационной инфраструктуры в отличие от ФСТЭК».

http://www.cnews.ru/top/2012/07/23/rossiya_pravila_zashhity_gosudarstvennyh_itsistem_propishut_v_zakone_497156


 






Тэги:   #информационное общество. электронное правительство  

0