Новые положения направлены на обеспечение защиты информации, содержащейся в государственных информационных системах. Требования дополнены пунктами 1_1 и 1_2 следующего содержания:
1_1. При реализации органами исполнительной власти (ОГВ) мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем, и дальнейшему хранению содержащейся в их базах данных информации должны выполняться: а) требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий; б) требования к организации и мерам защиты информации, содержащейся в системе. 1_2. В целях выполнения требований о защите информации, предусмотренных пунктом 1_1 … органы исполнительной власти определяют требования к защите информации, содержащейся в системе ОГВ, для чего осуществляют: а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации; б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система; в) классификацию системы в соответствии с требованиями о защите информации; г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации; д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе. |
Если раньше было достаточно утверждения ТЗ должностным лицом органа исполнительной власти, то теперь и ТЗ на создание системы, и модель угроз в части, касающейся выполнения установленных требований о защите информации, должны быть согласованы с:
- Федеральным органом исполнительной власти в области обеспечения безопасности;
- Федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.
14. Правовой акт органа исполнительной власти о вводе системы в эксплуатацию включает: а) мероприятия по разработке и утверждению организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы, разработка которых предусмотрена нормативными правовыми актами и методическими документами федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также национальными стандартами в области защиты информации; б) мероприятия по аттестации системы по требованиям защиты информации, в результате которых в установленных законодательством РФ случаях подтверждается соответствие защиты информации, содержащейся в системе, требованиям, предусмотренным законодательством РФ об информации, информационных технологиях и о защите информации; в) мероприятия по подготовке органа исполнительной власти к эксплуатации системы; г) мероприятия по подготовке должностных лиц органа исполнительной власти к эксплуатации системы, включая лиц, ответственных за обеспечение защиты информации. |
Мой комментарий: Учитывая, в том числе, майскую хакерскую атаку, не удивительно, что Правительство озаботилось обеспечением безопасности государственных информационных систем. Однако, как мне кажется, разработка модели угроз и согласование документов с органами безопасности – это по большей части бюрократические процедуры, которые скорее позволяют должностным лицам снять с себя персональную ответственность за возможные неприятности, но реальной защиты не обеспечат. Для построения «всамделишной» системы защиты потребуются постоянные усилия, ресурсы и целый комплекс мер, в том числе правовых, организационных, технических и образовательных.
Источник: Консультант Плюс