Минэкономразвития «разгромило» новый закон о защите ИТ-систем

Автор: Роман Урнышев 23 августа 2012 г. 2:06:08 1 998   0

ФСТЭК подготовил проект закона, регламентирующего требования к защите государственных ИТ-систем и систем критически важных объектов. Изучив его, в Минэкономразвития пришли к выводу, что положения проекта вводят избыточные ограничения и способствуют возникновению необоснованных бюджетных расходов на всех уровнях.

Минэкономразвития опубликовало свое заключение на проект закона о внесении изменений в 149-ФЗ «Об информации, информационных технологиях и о защите информации». Последний был принят в 2006 г. и регулирует отношения, возникающие при применении информационных технологий, обеспечении защиты информации, а также при осуществлении права на поиск, передачу, производство и распространение информации.

Разработала проект изменений Федеральная служба по техническому и экспортному контролю (ФСТЭК). Авторы документа указывают, что он направлен на решение проблем, связанных с недостаточным уровнем защиты информации в государственных ИТ-системах и системах критически важных объектов.

ФСТЭК предлагает внести несколько основных изменений в закон о защите информации. Во-первых, ввести в нем такие понятия как «угроза безопасности информации» и «уязвимость информационной системы». Также изменения накладывают обязательства на заказчиков и операторов государственных ИТ-систем принимать конкретные меры по защите информации в ходе их создания, эксплуатации и модернизации. Третьим пунктом является дополнение закона отдельной статьей, в которой прописаны обязанности и требования по обеспечению ИБ критически важных объектов.

Что касается «угрозы безопасности информации» и «уязвимости информационной системы», их определения отличаются от определений аналогичных терминов, установленных в пунктах 2.6.1 и 2.6.4 ГОСТ 50922-2006 «Защита информации. Основные термины и определения» и другими нормативными правовыми актами, отмечают чиновники Минэкономразвития. Таким образом, предлагаемая норма способна на практике привести к их неоднозначному толкованию.

Требования по защите государственных ИТ-систем к их заказчикам и операторам в Минэкономразвития сочли недостаточно определенными. Кроме того, согласно 149-ФЗ к государственным относятся и муниципальные ИТ-системы, из-за чего, в случае принятия проекта закона, в сферу его регулирования попадет значительное количество муниципальных ИТ-систем. ФСТЭК не предоставил информации, «обосновывающей целесообразность установления новых требований в отношении всех существующих в России муниципальных информационных систем», говорится в заключении Минэкономразвития.

В пояснительной записке ФСТЭК к проекту говорится, что его принятие не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства. Однако чиновники Минэкономразвития уверены, что новые требования по защите ИТ-систем потребуют выделения дополнительного финансирования из федерального и муниципальных бюджетов.

Во ФСТЭК подсчитали, что ориентировочная стоимость построения системы защиты информации в информационных системах критически важных объектов может составить, в зависимости от отрасли экономики, от 500 тыс. до 7 млн. руб. Аналогичный порядок затрат может потребоваться и для муниципальных ИТ-систем, поясняют в Минэкономразвития.

Что касается ИБ критически важных объектов, в сферу действия предполагаемого регулирования попадает 4,4 тыс. объектов, большая часть из которых находится в ведении субъектов предпринимательской деятельности, подсчитали в ФСТЭК. В Минэкономразвития уверены, что при таком количестве объектов необходимость установления существенных требований к их ИТ-системам требует соответствующего исследования и обоснования.

Кроме того, учитывая затраты на обеспечение защиты ИТ-систем в разных отраслях, приведенные ФСТЭК (см. таблицу), принятие закона в отношении всех объектов критической инфраструктуры Минэкономразвития считает нецелесообразным. Например, в химической, металлообрабатывающей промышленности и общем машиностроении ущерб, на предотвращение которого направлены нормы проекта закона, значительно ниже оценочных затрат на выполнение устанавливаемых им требований.

Результаты примерных расчетов затрат на обеспечение защиты информации в ИТ-системах критически важных объектов в зависимости от особенностей информационных систем и уровней ущерба по отраслям промышленности

 

Отрасль Оценочная средняя стоимость информационной системы КВО (млн.руб.) Ориентировочная  стоимость построения системы защиты информации (млн.руб.) Средний уровень ущерба (млн.руб.)
Автомобильная промышленность 30 2.5 100
Химическая промышленность 50 3.5 1
Радиоэлектронная промышленность 50 3.5 5
Пищевая промышленность 5 0.5 10
Металлообработка 30 2.5 0.1
Общее машиностроение 30 2.5 0.5
Нефтегазовая отрасль 100 7 200
Энергетика 100 7 300
Транспорт 50 3.5 300
Водоснабжение и канализация 20 1.6 5

Источник: ФСТЭК

Проект закона содержит положения, вводящие избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствующие их введению, а также способствующие возникновению необоснованных расходов субъектов предпринимательской и бюджетов России всех уровней – таков вердикт Минэкономразвития.

В Минэкономразвития отмечают, что проект не в полной мере соответствует политике Совета безопасности в области защиты систем управления критически важной инфраструктурой. Ее, напомним, Совбез представил в июле 2012 г. Согласно этому документу, координатором деятельности федеральных органов исполнительной власти в данной области является ФСБ.

Из проекта ФСТЭК следует, что правовое регулирование по вопросам защиты государственных ИТ-систем и критически важных объектов будут осуществлять три федеральных органа исполнительной власти. «Представляется, что предлагаемое регулирование может носить неопределенный характер, поскольку в нем принимают участие несколько федеральных органов исполнительной власти, что на практике может способствовать установлению противоречивых и избыточных требований», - заключают в Минэкономразвития.

В Минэкономразвития заявили CNews, что ФСТЭК предстоит доработать проект закона с учетом вынесенного заключения. Если же с какими-то его моментами там будут не согласны, в подобных случаях обычно проводятся совместные с Минэкономразвития согласительные совещания, на которых стороны пытаются выработать общую позицию, добавляют в ведомстве.

 

Наталья Лаврентьева

http://www.cnews.ru/top/2012/08/22/minekonomrazvitiya_razgromilo_novyy_zakon_o_zashhite_itsistem_500211






Тэги:   #Минэкономразвития   #ФСТЭК  

0