Россия: Правила защиты государственных ИТ-систем пропишут в законе
Новый законопроект ФСТЭК закрепляет терминологию и правила защиты информационных систем в госорганах и на критически важных объектах.В новом законопроекте ФСТЭК, опубликованном на собственном сайте федеральной службы и на ресурсе Минэкономразвития для проведения публичных консультаций, даются базовые определения и прописываются правила защиты государственных и стратегических информационных систем.
Законопроект касается внесения изменений в знаменитый «трехглавый» ФЗ-149 «Об информации, информационных технологиях и защите информации». Определения даются угрозам безопасности информации и уязвимостям информационных систем.
Публичные консультации о законопроекте продлятся до 2 августа 2012 г. (как принять участие в обсуждении - написано на сайте министерства по ссылке выше), а прием заключений по результатам антикоррупционной экспертизы завершится 13 августа 2012 г. По информации ИБ-эксперта Алексея Лукацкого, текст законопроекта пока не финальный и параллельно находится в процессе согласования с Аппаратом правительства и федеральными органами исполнительной власти, связанными с данной тематикой.
Никаких закручиваний гаек и нововведений в пункте о госсистемах нет, считает Лукацкий, только закрепление уже по факту работающей практики: «Новым выглядит ст.16.2 по защите критически важных объектов, но в целом это направление внимания регуляторов предполагалось давно. Во всех странах мира такие объекты, даже находящиеся в частных руках, находятся под пристальным контролем государства. Это и зафиксировано в законопроекте».
Аналогично в ст.16.1 описывается принципы защиты государственных систем: есть мероприятия по ИБ, которые необходимо выполнить, а ряд требований по защите устанавливают ФСТЭК и ФСБ.
Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников также отмечает, что с появлением документа требования об обязательной сертификации средств защиты информации для госсектора поднимаются на уровень закона: «Причем вне зависимости, обрабатывают они информацию ограниченного доступа или нет. Обязательность оценки соответствия фактически дает некоторые преференции отечественным разработчикам средств безопасности и иностранным компаниям, организовавшим их сертифицированное производство в России, при построении защиты государственных информсистем».
Эксперт видит преференции в том, что в случае принятия законопроекта даже при наличии сертификата на единичное изделие или партию, имеющего ограниченный срок действия, другим вендорам будет довольно сложно поддерживать такой сертификат при эксплуатации госсистемы из-за постоянных изменений платформ, операционных систем и приложений.
Емельянников также остановился на пункте о критически важных объектах. «Надо отметить, что требований обязательной оценки соответствия не выдвигается в отношении информсистем на таких объектах, - говорит он. - Но, в характерном для российских законов духе, дается поручение правительству определять порядок их классификации, а ФСБ и ФСТЭК – определить требования для установленных классов, где как раз и может появиться порядок оценки соответствия». Наконец, эксперт приветствует то, что в законопроекте предусматривается обязательность моделирования угроз безопасности.
И Лукацкий, и Емельянников, говорят о противоречии между новым законопроектом ФСТЭК и недавним документом Совета безопасности о защите АСУ ТП, где эта федеральная служба не упоминается (полное название «Основные направления государственной политики в области обеспечения безопасности АСУ ТП критически важных объектов инфраструктуры Российской Федерации»). «Вполне возможно, что ситуация и не такая патовая, как кажется, - считает Лукацкий. - В конце концов, у ФСБ нет ни документов, ни опыта по работе с ключевыми системами информационной инфраструктуры в отличие от ФСТЭК».