Минэкономразвития раскритиковало поправки к закону о защите IT-систем

Министерство экономического развития России провело исследование представленного Федеральной службой по техническому и экспортному контролю (ФСТЭК) проекта внесения поправок в 149-ФЗ «Об информации, информационных технологиях и о защите информации».

По мнению ФСТЭК поправки к закону, принятому в 2006 году, направлены на решение проблем, связанных с недостаточностью мер защиты и безопасности информации в государственных IT-системах и системах критически важных инфраструктурных объектов. Как считают авторы законопроекта с поправками, необходимо в первую очередь обозначить в законе такие понятия, как «угроза безопасности информации» и «уязвимость информационной системы», а также обязать заказчиков и операторов государственных IT-систем принимать конкретные меры по защите конфиденциальной информации. Кроме того, необходимо обеспечить безопасность критически важных объектов инфраструктуры.

По результатам рассмотрения законопроекта в Минэкономразвития, ведомство раскритиковало поправки, назвав их недоработанными и чрезмерно затратными.

Так, в заключении министерства говорится, что требования по защите государственных ИТ-систем к их заказчикам и операторам прописаны слишком неопределенно. Кроме того, в случае принятия поправок, в сферу обеспечения безопасности государственных IT-систем попадет огромное количество муниципальных IT-систем, целесообразность изменений в управлении безопасностью которых обоснована не была. Кроме того, в Минэкономразвития подсчитали, что введение предложенных мер безопасности муниципальных IT-систем повлечет за собой дополнительные расходы из федерального и муниципальных бюджетов в размере от 500 тыс. до 7 млн рублей, о чем не упомянули эксперты ФСТЭК.

Еще одним пунктом законопроекта, с которым не согласились в ведомстве, представляет подсчет затрат на обеспечение безопасности IT-систем в различных отраслях промышленности. Так, Минэкономразвития считает, что в некоторых отраслях критической инфраструктуры ущерб, на предотвращение которого направлены нормы проекта закона, значительно ниже оценочных затрат на выполнение устанавливаемых им требований.

«Проект закона содержит положения, вводящие избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствующие их введению, а также способствующие возникновению необоснованных расходов субъектов предпринимательской и бюджетов России всех уровней», – отмечают представители Минэкономразвития.

По мнению экспертов ведомства, нормы предложенного законопроекта не соответствуют политике Совета безопасности в области защиты систем управления критически важной инфраструктурой. Одним из подобных несоответствий было названо то, что Совет в прошлом месяце взял на себя обязанности по координированию работы объектов критической инфраструктуры. Согласно законопроекту, правовое регулирование по вопросам защиты государственных IT-систем и критически важных объектов будут осуществлять три федеральных органа исполнительной власти. «Представляется, что предлагаемое регулирование может носить неопределенный характер, поскольку в нем принимают участие несколько федеральных органов исполнительной власти, что на практике может способствовать установлению противоречивых и избыточных требований», - резюмировали в Минэкономразвития.

Подробнее ознакомиться с заключением Минэкономразвития можно здесь.