В декабре 2016 года ФСБ/ФСТЭК внесли на рассмотрение в Госдуму не только будущий 187-ФЗ, но и законопроект по изменению 149-ФЗ.
И, если КИИ у нас появилось в 2017 году, то распространить требования 17 приказа на иные (не ГИС) информационные системы в госучреждениях не получилось.
20 июня 2020 года Правительство отозвало законопроект по изменению 149-ФЗ.
name='more'>
13 декабря 2016 года ФСТЭК озвучило важную проблему - "Законом № 149-ФЗ не определена необходимость прохождения какой-либо процедуры для отнесения информационной системы к государственным информационным системам". Совершенно верно отмечено, что "значительные объемы данных о гражданах, сведения в экономической, социальной, политической,
правоохранительной и других областях деятельности государства, подлежащих
защите, обрабатываются указанными государственными органами с
использованием информационных систем, не отнесенных к государственным
информационным системам и не включенных в реестр федеральных
информационных систем и реестры субъектов Российской Федерации.
Кроме того, органы государственной власти поручают обработку
информации, обладателями которой они являются, на основании договоров
или иных законных основаниях подведомственным организациям,
информационные системы которых не относятся к государственным
информационным системам. Широкое распространение получает практика
обработки информации, обладателями которой являются государственные
органы, в центрах обработки данных, информационные системы которых
также не относятся к государственными информационным системам."
При проверках на местах это приводит к таким вот эксцессам - https://valerykomarov.blogspot.com/2018/07/blog-post_30.html
Но вместо предложения конкретизировать объекты защиты и упорядочить процедуры отнесения информационных систем к ГИС, предложено
"Операторы государственных информационных систем, а также
иных информационных систем, в которых на основании договоров или
иных законных основаниях обрабатывается информация, обладателями
которой являются государственные органы, создают системы защиты
информации и обеспечивают их функционирование в соответствии с
требованиями о защите информации, предусмотренными частью 5
настоящей статьи".
И традиционное финансово-экономическое обоснование - "не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства."
А вот по требованию ФСБ появился пункт об информировании о компьютерных инцидентах ФСТЭК/ФСБ.
Операторы государственных информационных систем, а также
иных информационных систем, в которых на основании договоров или
иных законных основаниях обрабатывается информация, обладателями
которой являются государственные органы, информируют ФСБ и
ФСТЭК, в пределах их полномочий о компьютерных
инцидентах в порядке, установленном указанными федеральными
органами исполнительной власти. При этом к компьютерным инцидентам
относятся события, в результате которых нарушено функционирование
информационной системы и (или) нарушена безопасность
обрабатываемой в информационной системе информации.".
Предлагалось выпустить 2 приказа
- приказ ФСТЭК России "О внесении изменений в Требования о защите информации,
не составляющей государственную тайну, содержащейся в
государственных информационных системах, утвержденных приказом
ФСТЭК России от 11 февраля 2013 г. № 17
- приказ ФСТЭК России и ФСБ России "О порядке информирования о компьютерных
инцидентах"
Таким образом, на момент внесения 187-ФЗ, не все информационные системы органов государственной власти относились авторами к объектам КИИ автоматически.
ГосСОПКА вообще не упоминается, хотя неделей раньше она прямо указана для КИИ в проекте 187-ФЗ.
Интересно, но определение компьютерного инцидента различаются в двух законопроектах.
187-ФЗ (дата - 06.12.2016)
компьютерный инцидент - факт нарушения или прекращения функционирования объекта критической информационной инфраструктуры и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе вызванный компьютерной атакой. Сравните с определением выше.
Но не срослось.
Итог: проблема идентификации ГИС осталась, единого реестра ГИС так и нет, информировать о компьютерных инцидентах обязан только субъект КИИ. Самый очевидный путь - внесение изменений в 187-ФЗ по отнесению всех информационных систем государственных учреждений к ЗОКИИ. На наведение порядка в ГИСах силами Минкомсвязи никаких предпосылок не видно, то есть - через 149-ФЗ порядок не навести с защитой информации, принадлежащей государственным органам.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite