ГИС не ГИС, а защищать надо

ГИС не ГИС, а защищать надо


   В декабре 2016 года ФСБ/ФСТЭК внесли на рассмотрение в Госдуму не только будущий 187-ФЗ, но и законопроект по изменению 149-ФЗ.
   И, если КИИ у нас появилось в 2017 году, то распространить требования 17 приказа на иные (не ГИС) информационные системы в госучреждениях не получилось.
   20 июня 2020 года Правительство отозвало законопроект по изменению 149-ФЗ.
name='more'>
    13 декабря 2016 года ФСТЭК озвучило важную проблему - "Законом № 149-ФЗ не определена необходимость прохождения какой-либо процедуры для отнесения информационной системы к государственным информационным системам". Совершенно верно отмечено, что "значительные объемы данных о гражданах, сведения в экономической, социальной, политической,
правоохранительной и других областях деятельности государства, подлежащих
защите, обрабатываются указанными государственными органами с
использованием информационных систем, не отнесенных к государственным
информационным системам и не включенных в реестр федеральных
информационных систем и реестры субъектов Российской Федерации.
Кроме того, органы государственной власти поручают обработку
информации, обладателями которой они являются, на основании договоров
или иных законных основаниях подведомственным организациям,
информационные системы которых не относятся к государственным
информационным системам. Широкое распространение получает практика
обработки информации, обладателями которой являются государственные
органы, в центрах обработки данных, информационные системы которых
также не относятся к государственными информационным системам."
  При проверках на местах это приводит к таким вот эксцессам -  https://valerykomarov.blogspot.com/2018/07/blog-post_30.html

   Но вместо предложения конкретизировать объекты защиты и упорядочить процедуры отнесения информационных систем к ГИС, предложено "посыпать все мелом" защищать все.
   "Операторы государственных информационных систем, а также
иных информационных систем, в которых на основании договоров или
иных законных основаниях обрабатывается информация, обладателями
которой являются государственные органы, создают системы защиты
информации и обеспечивают их функционирование в соответствии с
требованиями о защите информации, предусмотренными частью 5

настоящей статьи".
   И традиционное финансово-экономическое обоснование - "не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства."
   А вот по требованию ФСБ появился пункт об информировании о компьютерных инцидентах ФСТЭК/ФСБ.
Операторы государственных информационных систем, а также
иных информационных систем, в которых на основании договоров или
иных законных основаниях обрабатывается информация, обладателями
которой являются государственные органы, информируют ФСБ и
ФСТЭК, в пределах их полномочий о компьютерных
инцидентах в порядке, установленном указанными федеральными
органами исполнительной власти. При этом к компьютерным инцидентам
относятся события, в результате которых нарушено функционирование
информационной системы и (или) нарушена безопасность

обрабатываемой в информационной системе информации.". 
   Предлагалось выпустить 2 приказа 
- приказ ФСТЭК России "О внесении изменений в Требования о защите информации,
не составляющей государственную тайну, содержащейся в
государственных информационных системах, утвержденных приказом
ФСТЭК России от 11 февраля 2013 г. № 17
приказ ФСТЭК России и ФСБ России "О порядке информирования о компьютерных
инцидентах" 
   Таким образом, на момент внесения 187-ФЗ, не все информационные системы органов государственной власти относились авторами к объектам КИИ автоматически.
  ГосСОПКА вообще не упоминается, хотя неделей раньше она прямо указана для КИИ в проекте 187-ФЗ.
   Интересно, но определение компьютерного инцидента различаются в двух законопроектах.
187-ФЗ (дата  - 06.12.2016)
компьютерный инцидент - факт нарушения или прекращения функционирования объекта критической информационной инфраструктуры и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе вызванный компьютерной атакой. Сравните с определением выше.
Но не срослось.

  Итог: проблема идентификации ГИС осталась, единого реестра ГИС так и нет, информировать о компьютерных инцидентах обязан только субъект КИИ. Самый очевидный путь - внесение изменений в 187-ФЗ по отнесению всех информационных систем государственных учреждений к ЗОКИИ. На наведение порядка в ГИСах силами Минкомсвязи никаких предпосылок не видно, то есть - через 149-ФЗ порядок не навести с защитой информации, принадлежащей государственным органам.
   


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности