Пояснительная записка к проекту федерального закона N 84826-8 "О внесении изменения в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации"

Досье на проект федерального закона

Проект федерального закона "О внесении изменения в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации" (далее - законопроект) направлен на установление требований о защите информации, обладателями и операторами которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, вне зависимости от места ее хранения или обработки.

Согласно части 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологий и о защите информации" (далее - Закон N 149-ФЗ) защита информации в государственных информационных системах обеспечивается обладателями и операторами в соответствии с требованиями о защите информации, устанавливаемыми ФСБ России и ФСТЭК России в пределах их полномочий.

В настоящее время широкое распространение получила практика обработки информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, в центрах обработки данных, принадлежащих подведомственным и коммерческим организациям. В соответствии с Концепцией создания государственной единой облачной платформы, утвержденной распоряжением Правительства Российской Федерации от 28 августа 2019 г. N 1911-р, предусмотрен поэтапный перевод информационных систем органов государственной власти и органов местного самоуправления в государственную единую облачную платформу.

В соответствии с постановлением Правительства Российской Федерации от 12 октября 2020 г. N 1674 "О проведении эксперимента по созданию, переводу и развитию государственных информационных систем и их компонентов на единой цифровой платформе Российской Федерации ТосТех" проводится эксперимент по созданию, миграции и развитию государственных сервисов и информационных систем органов государственной власти Российской Федерации и государственных внебюджетных фондов на единой цифровой платформе Российской Федерации ТосТех".

Кроме того, государственные органы поручают обработку информации, обладателями которой они являются, на основании договоров или иных законных основаниях подведомственным организациям, коммерческим организациям, информационные системы которых не относятся к государственным.

Создание подобных информационных систем осуществляется без учета требований о защите информации, установленных частью 5 статьи 16 Закона N 149-ФЗ, что приводит к снижению уровня защищенности информации, являющейся государственным информационным ресурсом.

Предлагаемыми законопроектом изменениями устанавливается обязанность обладателей и операторов соблюдения требований о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, вне зависимости от места ее хранения или обработки, а также требований к организации и управлению системой защиты информации.

В связи с тем, что на практике подход по созданию и использованию для размещения информационных систем государственных органов информационных инфраструктур коммерческих организаций уже осуществляется, реализация законопроекта не потребует дополнительных расходов бюджетных средств.

Расходы владельцев центров обработки данных, операторов государственных информационных систем на создание систем защиты информации информационной инфраструктуры будут возмещены органами государственной власти в рамках оплаты услуг по договорам на эксплуатацию сервисов по размещению информационно-телекоммуникационной инфраструктуры государственных информационных систем.

В связи с переводом информационных систем органов государственной власти на коммерческие платформы центров обработки данных и передачей вопросов эксплуатации и обеспечения защиты информации на аутсорсинг предполагается снижение расходов органов государственной власти на реализацию мер по защите информации, обрабатываемой в государственных информационных системах, на 10 - 15% за счет:

сокращения затрат на построение систем защиты информации, обрабатываемой в информационно-телекоммуникационной инфраструктуре государственных информационных систем, в том числе при закупке, установке и настройке средств защиты информации;

снижения расходов на поддержание соответствующего уровня защищенности информации в ходе эксплуатации аттестованных государственных информационных систем, а также на контроль за его обеспечением;

сокращения затрат на аттестацию государственных информационных систем в связи с сокращением объемов работ;

возможность выбора на конкурсной основе аттестованных по требованиям безопасности информации центров обработки данных, предоставляющих услуги по размещению информационно-телекоммуникационной инфраструктуры государственных информационных систем будет способствовать развитию данных сервисов и повышению качества предоставления услуг органам государственной власти.

Вступление в силу федерального закона "О внесении изменения в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации" через триста шестьдесят дней после его официального опубликования вызвано необходимостью внесения изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, и разработки приказа ФСБ России, предусматривающего установление требований о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, с использованием средств криптографической защиты информации и их общественного обсуждения.

Уведомление о начале разработки законопроекта было размещено на официальном сайте regulation.gov.ru в информационно-телекоммуникационной сети "Интернет" (с 4 по 19 августа 2021 г.). Законопроект был опубликован на официальном сайте regulation.gov.ru в информационно-телекоммуникационной сети "Интернет" для проведения общественного обсуждения (с 19 августа по 2 сентября 2021 г.) и независимой антикоррупционной экспертизы (с 19 по 25 августа 2021 г,). Заключений по результатам независимой антикоррупционной экспертизы в установленном порядке не поступило.

Законопроект прошел оценку регулирующего воздействия на официальном сайте regulation.gov.ru в информационно-телекоммуникационной сети "Интернет" (с 27 сентября по 15 октября 2021 г.).

Законопроект согласован с заинтересованными федеральными органами исполнительной власти, заключение Минэкономразвития России об оценке регулирующего воздействия, заключения Минюста России и Института законодательства и сравнительного правоведения при Правительстве Российской Федерации на законопроект получены.

Институтом законодательства и сравнительного правоведения при Правительстве Российской Федерации законопроект в целом поддержан, его замечания учтены.

Законопроект соответствует положениям Договора о Евразийском экономическом союзе, а также положениям иных международных договоров Российской Федерации.

Принятие федерального закона не потребует дополнительных расходов из федерального бюджета и не окажет влияния на достижение целей государственных программ Российской Федерации.

Законопроект не содержит требований, которые связаны с осуществлением предпринимательской и иной экономической деятельности и оценка соблюдения которых осуществляется в рамках государственного контроля (надзора), муниципального контроля, привлечения к административной ответственности, предоставления лицензий и иных разрешений, аккредитации, оценки соответствия продукции, иных форм оценки и экспертизы (далее - обязательные требования), о соответствующем виде государственного контроля (надзора), виде разрешительной деятельности и предполагаемой ответственности за нарушение обязательных требований или последствиях их несоблюдения.

Финансово-экономическое обоснование к проекту федерального закона "О внесении изменения в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации"

Принятие федерального закона "О внесении изменения в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации" не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства.

Перечень федеральных законов, подлежащих признанию утратившими силу, приостановлено, изменению, дополнению или принятию в связи с принятием федеральной) закона "О внесении изменения в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации"

Принятие федерального закона "О внесении изменения в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации" не потребует признания утратившими силу, приостановления, изменения или принятия иных федеральных законов.

Перечень нормативных правовых актов, подлежащих признанию утратившими силу, приостановлению, изменению или принятию в связи с принятием федерального закона "О внесении изменения в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации"

N п/п	Наименование проекта нормативного правового акта	Обоснование необходимости подготовки	Срок подготовки	Исполнители
1.	Проект приказа ФСТЭК России "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17"	Установление требований о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, а также установление требований к системе организации и управления защиты информации	В течение 12 месяцев после принятия закона	ФСТЭК России
2.	Проект приказа ФСБ России, предусматривающий установление требований о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, с использованием средств криптографической защиты информации	Установление требований о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, с использованием средств криптографической защиты информации	В течение 12 месяцев после принятия закона	ФСБ России