Минэкономразвития «разгромило» новый закон о защите ИТ-систем
ФСТЭК подготовил проект закона, регламентирующего требования к защите государственных ИТ-систем и систем критически важных объектов. Изучив его, в Минэкономразвития пришли к выводу, что положения проекта вводят избыточные ограничения и способствуют возникновению необоснованных бюджетных расходов на всех уровнях.
Минэкономразвития опубликовало свое заключение на проект закона о внесении изменений в 149-ФЗ «Об информации, информационных технологиях и о защите информации». Последний был принят в 2006 г. и регулирует отношения, возникающие при применении информационных технологий, обеспечении защиты информации, а также при осуществлении права на поиск, передачу, производство и распространение информации.
Разработала проект изменений Федеральная служба по техническому и экспортному контролю (ФСТЭК). Авторы документа указывают, что он направлен на решение проблем, связанных с недостаточным уровнем защиты информации в государственных ИТ-системах и системах критически важных объектов.
ФСТЭК предлагает внести несколько основных изменений в закон о защите информации. Во-первых, ввести в нем такие понятия как «угроза безопасности информации» и «уязвимость информационной системы». Также изменения накладывают обязательства на заказчиков и операторов государственных ИТ-систем принимать конкретные меры по защите информации в ходе их создания, эксплуатации и модернизации. Третьим пунктом является дополнение закона отдельной статьей, в которой прописаны обязанности и требования по обеспечению ИБ критически важных объектов.
Что касается «угрозы безопасности информации» и «уязвимости информационной системы», их определения отличаются от определений аналогичных терминов, установленных в пунктах 2.6.1 и 2.6.4 ГОСТ 50922-2006 «Защита информации. Основные термины и определения» и другими нормативными правовыми актами, отмечают чиновники Минэкономразвития. Таким образом, предлагаемая норма способна на практике привести к их неоднозначному толкованию.
Требования по защите государственных ИТ-систем к их заказчикам и операторам в Минэкономразвития сочли недостаточно определенными. Кроме того, согласно 149-ФЗ к государственным относятся и муниципальные ИТ-системы, из-за чего, в случае принятия проекта закона, в сферу его регулирования попадет значительное количество муниципальных ИТ-систем. ФСТЭК не предоставил информации, «обосновывающей целесообразность установления новых требований в отношении всех существующих в России муниципальных информационных систем», говорится в заключении Минэкономразвития.
В пояснительной записке ФСТЭК к проекту говорится, что его принятие не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства. Однако чиновники Минэкономразвития уверены, что новые требования по защите ИТ-систем потребуют выделения дополнительного финансирования из федерального и муниципальных бюджетов.
Во ФСТЭК подсчитали, что ориентировочная стоимость построения системы защиты информации в информационных системах критически важных объектов может составить, в зависимости от отрасли экономики, от 500 тыс. до 7 млн. руб. Аналогичный порядок затрат может потребоваться и для муниципальных ИТ-систем, поясняют в Минэкономразвития.
Что касается ИБ критически важных объектов, в сферу действия предполагаемого регулирования попадает 4,4 тыс. объектов, большая часть из которых находится в ведении субъектов предпринимательской деятельности, подсчитали в ФСТЭК. В Минэкономразвития уверены, что при таком количестве объектов необходимость установления существенных требований к их ИТ-системам требует соответствующего исследования и обоснования.
Кроме того, учитывая затраты на обеспечение защиты ИТ-систем в разных отраслях, приведенные ФСТЭК (см. таблицу), принятие закона в отношении всех объектов критической инфраструктуры Минэкономразвития считает нецелесообразным. Например, в химической, металлообрабатывающей промышленности и общем машиностроении ущерб, на предотвращение которого направлены нормы проекта закона, значительно ниже оценочных затрат на выполнение устанавливаемых им требований.
Результаты примерных расчетов затрат на обеспечение защиты информации в ИТ-системах критически важных объектов в зависимости от особенностей информационных систем и уровней ущерба по отраслям промышленности
Отрасль | Оценочная средняя стоимость информационной системы КВО (млн.руб.) | Ориентировочная стоимость построения системы защиты информации (млн.руб.) | Средний уровень ущерба (млн.руб.) |
Автомобильная промышленность | 30 | 2.5 | 100 |
Химическая промышленность | 50 | 3.5 | 1 |
Радиоэлектронная промышленность | 50 | 3.5 | 5 |
Пищевая промышленность | 5 | 0.5 | 10 |
Металлообработка | 30 | 2.5 | 0.1 |
Общее машиностроение | 30 | 2.5 | 0.5 |
Нефтегазовая отрасль | 100 | 7 | 200 |
Энергетика | 100 | 7 | 300 |
Транспорт | 50 | 3.5 | 300 |
Водоснабжение и канализация | 20 | 1.6 | 5 |
Источник: ФСТЭК
Проект закона содержит положения, вводящие избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствующие их введению, а также способствующие возникновению необоснованных расходов субъектов предпринимательской и бюджетов России всех уровней – таков вердикт Минэкономразвития.
В Минэкономразвития отмечают, что проект не в полной мере соответствует политике Совета безопасности в области защиты систем управления критически важной инфраструктурой. Ее, напомним, Совбез представил в июле 2012 г. Согласно этому документу, координатором деятельности федеральных органов исполнительной власти в данной области является ФСБ.
Из проекта ФСТЭК следует, что правовое регулирование по вопросам защиты государственных ИТ-систем и критически важных объектов будут осуществлять три федеральных органа исполнительной власти. «Представляется, что предлагаемое регулирование может носить неопределенный характер, поскольку в нем принимают участие несколько федеральных органов исполнительной власти, что на практике может способствовать установлению противоречивых и избыточных требований», - заключают в Минэкономразвития.
В Минэкономразвития заявили CNews, что ФСТЭК предстоит доработать проект закона с учетом вынесенного заключения. Если же с какими-то его моментами там будут не согласны, в подобных случаях обычно проводятся совместные с Минэкономразвития согласительные совещания, на которых стороны пытаются выработать общую позицию, добавляют в ведомстве.
Наталья Лаврентьева