пятница, 2 июня 2017 г.

Внесены изменения в требования к порядку использования государственных информационных систем


Постановлением Правительства РФ от 11 мая 2017 года № 555 внесены изменения в «Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации», утвержденные постановлением Правительства РФ от 6 июля 2015 г. № 676.

Новые положения направлены на обеспечение защиты информации, содержащейся в государственных информационных системах. Требования дополнены пунктами 1_1 и 1_2 следующего содержания:
1_1. При реализации органами исполнительной власти (ОГВ) мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем, и дальнейшему хранению содержащейся в их базах данных информации должны выполняться:

а) требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий;

б) требования к организации и мерам защиты информации, содержащейся в системе.

1_2. В целях выполнения требований о защите информации, предусмотренных пунктом 1_1 …  органы исполнительной власти определяют требования к защите информации, содержащейся в системе ОГВ, для чего осуществляют:

а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;

б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система;

в) классификацию системы в соответствии с требованиями о защите информации;

г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации;

д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе.
Теперь создание системы должно осуществляться, помимо технического задания, с учетом модели угроз безопасности информации (см. подпункт «г» пункта 1_2), которая к тому же должна быть утверждена должностным лицом органа исполнительной власти (п.4).

Если раньше было достаточно утверждения ТЗ должностным лицом органа исполнительной власти, то теперь и ТЗ на создание системы, и модель угроз в части, касающейся выполнения установленных требований о защите информации, должны быть согласованы с:
  • Федеральным органом исполнительной власти в области обеспечения безопасности;

  • Федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.
Дополнены требования к содержанию правового акта органа исполнительной власти о вводе системы в эксплуатацию (п.14). К тем двум, что уже были, добавлены еще два пункта («а» и «б» в новой редакции):
14. Правовой акт органа исполнительной власти о вводе системы в эксплуатацию включает:

а) мероприятия по разработке и утверждению организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы, разработка которых предусмотрена нормативными правовыми актами и методическими документами федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также национальными стандартами в области защиты информации;

б) мероприятия по аттестации системы по требованиям защиты информации, в результате которых в установленных законодательством РФ случаях подтверждается соответствие защиты информации, содержащейся в системе, требованиям, предусмотренным законодательством РФ об информации, информационных технологиях и о защите информации;

в) мероприятия по подготовке органа исполнительной власти к эксплуатации системы;

г) мероприятия по подготовке должностных лиц органа исполнительной власти к эксплуатации системы, включая лиц, ответственных за обеспечение защиты информации.
Ввод системы в эксплуатацию не допускается теперь и в случае (п.15) «невыполнения установленных законодательством Российской Федерации требований о защите информации, включая отсутствие действующего аттестата соответствия требованиям безопасности информации».

Мой комментарий: Учитывая, в том числе, майскую хакерскую атаку, не удивительно, что Правительство озаботилось обеспечением безопасности государственных информационных систем. Однако, как мне кажется, разработка модели угроз и согласование документов с органами безопасности – это по большей части бюрократические процедуры, которые скорее позволяют должностным лицам снять с себя персональную ответственность за возможные неприятности, но реальной защиты не обеспечат. Для построения «всамделишной» системы защиты потребуются постоянные усилия, ресурсы и целый комплекс мер, в том числе правовых, организационных, технических и образовательных.

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=216690

Комментариев нет:

Отправить комментарий