Пояснительная записка к проекту Федерального закона "О внесении изменений в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации" (подготовлен ФСТЭК России 29.02.2016) (не действует)

Пояснительная записка к проекту Федерального закона "О внесении изменений в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации"
(подготовлен ФСТЭК России 29.02.2016 г.)

Текст проекта

Досье на проект

Проект федерального закона "О внесении изменений в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации" (далее - Законопроект) подготовлен в соответствии с подпунктом "а" пункта 2 Перечня поручений Президента Российской Федерации по вопросу совершенствования защиты информации от 21 октября 2015 г. N Пр-2172.

Законопроект направлен на повышение эффективности защиты информации, обрабатываемой в информационных системах государственных органов, органов местного самоуправления, государственных корпораций (далее - информационные системы).

Законопроектом предусматривается внесение изменений в статью 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон N 149-ФЗ) в части определения наряду с требованиями о защите информации в государственных информационных системах требований о защите информации, содержащейся в иных информационных системах, в которых на основании договоров и иных законных основаниях содержится (обрабатывается) информация, обладателями которой являются государственные органы и государственные корпорации.

В соответствии с частью 5 статьи 16 Закона N 149-ФЗ защита информации в государственных информационных системах обеспечивается в соответствии с требованиями о защите информации, установленными ФСБ России и ФСТЭК России в пределах их полномочий. Понятие государственных информационных систем определено в статьях 13 и 14 Закона N 149-ФЗ. В настоящее время в реестр, содержащий сведения о федеральных информационных системах, предназначенных для использования при осуществлении государственных функций и (или) предоставлении государственных услуг, включены сведения о 339 федеральных информационных системах. В субъектах Российской Федерации учтены около 1200 региональных информационных систем и компонентов информационно-телекоммуникационной инфраструктуры, создаваемых и приобретаемых за счет средств бюджетов субъектов Российской Федерации.

Вместе с тем, в ходе проводимых ФСТЭК России мероприятий по оценке состояния технической защиты информации ограниченного доступа в федеральных органах исполнительной власти и органах исполнительной власти субъектов Российской Федерации установлено, что значительные объемы данных о гражданах, сведения в экономической, социальной, политической, правоохранительной и других областях деятельности государства, подлежащих защите, обрабатываются указанными государственными органами с использованием информационных систем, не отнесенных к государственным информационным системам и не включенных в реестр федеральных информационных систем и реестры субъектов Российской Федерации.

Кроме того, органы государственной власти поручают обработку информации, обладателями которой они являются, на основании договоров или иных законных основаниях подведомственным организациям, информационные системы которых не относятся к государственным информационным системам. Широкое распространение получает практика обработки информации, обладателями которой являются государственные органы, в коммерческих центрах обработки данных, информационные системы которых также не относятся к государственными информационным системам.

В настоящее время Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утверждены приказом ФСТЭК России от 11 февраля 2013 г. N 17) уже предусмотрена норма, согласно которой лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации или оператора или предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора, обеспечивает защиту информации в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации. В планах информатизации органов государственной власти предусматриваются мероприятия по обеспечению защиты информации в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Контроль за планированием указанных мероприятий осуществляется Минкомсвязью России.

Однако результаты оценки состояния технической защиты информации, проводимой ФСТЭК России в пределах своих полномочий, показали, что договорами на оказание услуг по обработке информации, являющейся государственным информационным ресурсом, не устанавливается обязанность организаций, которым поручается такая обработка и (или) хранение информации, обеспечивать ее защиту в соответствии с установленными требованиями о защите информации. Меры защиты информации в указанных информационных системах зачастую не принимаются. Результаты оценки уровня защищенности информации в таких информационных системах показывают, что в 80% информационных систем возможна реализация угроз нарушителями, не обладающими какими-либо специальными средствами и знаниями.

Такое положение дел приводит к снижению уровня защищенности информации, являющейся государственным информационным ресурсом, при организации информационного взаимодействия между различными информационными системами, используемыми государственными органами и организациями.

Указанная проблема может быть решена определением на законодательном уровне единых требований о защите информации в информационных системах, используемых государственными органами, государственными корпорациями, а также организациями, обрабатывающими информацию, обладателями которой выступают государственные органы и государственные корпорации.

Кроме того, Законопроектом также предусматривается дополнение статьи 16 Закона N 149-ФЗ частями 5.1 и 5.2, согласно которым операторы информационных систем должны создавать и обеспечивать функционирование систем защиты информации.

Указанные нормы сформулированы на основе ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения", в соответствии с которым под системой защиты информации понимается совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

Создание системы защиты информации предусматривает принятие организационно-правовых мер, предусматривающих назначение лиц, ответственных за обеспечение защиты информации, а также разработку и утверждение оператором политики обеспечения защиты информации, в соответствии которой принимаются меры защиты информации. Внедрение системы защиты информации позволит повысить уровень защищенности информации, обрабатываемой в информационных системах, путем концентрации усилий соответствующих должностных лиц оператора, а также повышения их персональной ответственности за обеспечение защиты информации.

Внедрение и обеспечение функционирования системы защиты информации должно осуществляться в соответствии с требованиями о защите информации, установленными в соответствии с часть 5 статьи 16 Закона N 149-ФЗ, которые подлежат корректировке с учетом международных и национальных стандартов в области информационно безопасности (ИСО/МЭК 27001, ИСО/МЭК 27004, ИСО/МЭК 27005 и других стандартов).

Обязанность по информированию федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, о компьютерных инцидентах вызвана необходимостью оценки достаточности установленных требований о защите информации и их совершенствованию (по результатам оценки) в целях предупреждения возникновения инцидентов в последующем. При этом понятие инцидента сформулировано на основе понятий, установленных в Основных направлениях государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации, утвержденных Президентом Российской Федерации 3 февраля 2012 г., а также с учетом национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК ТО 18044-2007 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности".

Принятие Законопроекта не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства.

Принятие Законопроекта не потребует внесения изменений в законодательные акты Российской Федерации.