Защищать ЦОД как ГИС. Инициатива ФСТЭК по изменению 149-ФЗ.

Защищать ЦОД как ГИС. Инициатива ФСТЭК по изменению 149-ФЗ.


   ПЛАН разработки Федеральной службой по техническому и экспортному контролю нормативных правовых актов на 2021 год -  https://fstec.ru/normotvorcheskaya/akty/54-inye/2140-vypiska-iz-plana-razrabotki-fstek-rossii-normativnykh-pravovykh-aktov-na-2021-god  вроде как есть, но ФСТЭК разместила уже три проекта НПА, которых в этом плане нет. Целесообразность таких внеплановых изменений законодательства вызывает вопросы.

   Сегодня рассмотрим инициативу ФСТЭК по изменению ст.16 в 149-ФЗ, которые должны вступить в силу с 2023 года.

name='more'>

    Уведомление о подготовке проекта нормативного правового акта  -  Проект федерального закона «О внесении изменений в статью 16 Федерального закона «Об информации, информационных технологиях и о защите информации» 01/05/08-21/00118865 до 18 августа можем выразить свою оценку по инициативе ФСТЭК.

      Проект федерального закона «О внесении изменений в статью 16 Федерального закона «Об информации, информационных технологиях и о защите информации» направлен на установление требований по защите информации, обладателями которой являются государственные органы, вне зависимости от места ее хранения или обработки.

Вопрос: это недоработка законодательства или недостатки контрольно-надзорной деятельности за соблюдением требований законодательства?

Краткое описание проблемы - В настоящее время широкое распространение получила практика обработки информации, обладателями которой являются государственные органы, в центрах обработки данных, принадлежащих подведомственным и коммерческим организациям. Указанные центры обработки данных не являются государственными информационными системами, их создание осуществляется без учета требований о защите информации, установленных Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологий и о защите информации». Такое положение дел приводит к снижению уровня защищенности информации, являющейся государственным информационным ресурсом. Кроме того, защита информации, обладателями которой являются государственные органы может быть реализована при обеспечении защиты инфраструктуры центра обработки данных. Указанная проблема может быть решена определением на законодательном уровне единых для государственных органов и коммерческих организаций требований о защите информации, обладателями которой являются государственные органы, вне зависимости от места ее хранения или обработки, а также требований к организации и управлению системой защиты информации.

Возникает два вопроса:

1. Кто должен защищать государственный информационный ресурс?

2. Что такое ЦОД с точки зрения законодательства? На кого ФСТЭК хочет возложить проектные требования (кто такие обладатели ЦОД)? 

Ответив на эти вопросы, мы сможем дать оценку целесообразности инициативы ФСТЭК по изменению 149-ФЗ.

    Но у этого законопроекта есть свой скелет в шкафу. Это не первая попытка ФСТЭК - https://valerykomarov.blogspot.com/2020/06/blog-post_22.html

   Сравните с «Кроме того, органы государственной власти поручают обработку информации, обладателями которой они являются, на основании договоров или иных законных основаниях подведомственным организациям, информационные системы которых не относятся к государственным информационным системам. Широкое распространение получает практика обработки информации, обладателями которой являются государственные органы, в центрах обработки данных, информационные системы которых также не относятся к государственными информационным системам

    Результаты оценки состояния технической защиты информации, проводимой ФСТЭК России в пределах своих полномочий, показали, что в договорах на оказание услуг по обработке информации, являющейся государственным информационным ресурсом, не устанавливается обязанность  организаций, которым поручается такая обработка и (или) хранение информации, обеспечивать ее защиту в соответствии с установленными требованиями о защите информации. Меры по защите информации в указанных информационных системах зачастую не принимаются. Результаты оценки уровня защищенности информации в таких информационных системах показывают, что в значительном количестве информационных систем возможна реализация угроз нарушителями, не обладающими какими-либо специальными средствами и знаниями.

     Такое положение дел приводит к снижению уровня защищенности информации, являющейся государственным информационным ресурсом, при организации информационного взаимодействия между различными информационными системами, используемыми государственными органами и организациями.»

     Замечу, что присутствует традиционное заверение «Принятие федерального закона "О внесении изменений в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации" не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства.». Видимо система защиты информации по 17 приказу в ЦОД появится автоматически и владельцы коммерческого ЦОД не включат стоимость ее создания и аттестации в договор на оказание услуг с государственными органами.

  И там еще ожидался приказ - Проект приказа ФСТЭК России и ФСБ России "О порядке информирования о компьютерных инцидентах", но это было до 187-ФЗ. 

Начнем с информации.

149-ФЗ. 

Объект защиты

9. Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами.

   Кто обязан защищать информацию:

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить…

оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных

обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам

5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

     Проект от Минцифры Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "О техническом регулировании"

1. Информационные системы включаются в себя:

1) федеральные государственные информационные системы - государственные информационные системы, созданные на основании федеральных законов, нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации, нормативных правовых актов федеральных государственных органов;

2) региональные государственные информационные системы - государственные информационные системы, созданные на основании законов субъектов Российской Федерации, нормативных правовых актов высшего должностного лица субъекта Российской Федерации, высших исполнительных органов государственной власти субъекта Российской Федерации, на основании нормативных правовых актов государственных органов субъектов Российской Федерации;

3) муниципальные информационные системы, созданные на основании муниципального правового акта органа местного самоуправления;

4) иные информационные системы.

    Приказ ФСТЭК России от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

    Настоящие Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы (далее - заказчики) и операторов государственных информационных систем (далее - операторы)

      Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора (далее - уполномоченное лицо), обеспечивает защиту информации в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации. В договоре должна быть предусмотрена обязанность уполномоченного лица обеспечивать защиту информации, являющейся государственным информационным ресурсом, в соответствии с настоящими Требованиями.

   Примечание: в карточке законопроекта есть отсыл на другой проект НПА- Проект приказа ФСТЭК России «О внесении изменения в приказ ФСТЭК России от 28 мая 2019 г. № 106 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17»

     В текущей редакции уже выстроен рабочий механизм обеспечения защиты государственного информационного ресурса. Есть обладатель информации – государственный орган. Он либо самостоятельно, либо на договорной основе с оператором ЦОД обеспечивает ее защиту. Сам по себе государственный информационный ресурс в стороннем ЦОД не появится. Если государственный орган не выдвинул требований к оператору ЦОД по соответствующей защите информации, то виноват орган власти. Даже, если идти в лоб по формальному признаку, что при наличии любых договорных отношений у оператора ЦОД с государственными органами по предоставлению услуг ЦОД по любой сервисной модели возникают обязанности оператора ЦОД по выполнению требований законодательства в части защиты информации, то возникнет проблема для оператора ЦОД – каким образом он должен классифицировать ГИС? Или будет как с требованиями к лицензиатам по мониторингу событий ИБ, когда обязательны требования к аттестации системы мониторинга по максимальному первому классу ГИС без вариантов? Мало ли что там решит государственный орган в ЦОД обрабатывать.

     Замечу, что ФСТЭК убрала из проекта Порядка аттестации упоминания ЦОД вообще. Любая ГИС аттестуется целиком, с проверкой реализованных мер защиты информации в ЦОД. Если это сторонний ЦОД, то на основании договора. (в первой редакции ЦОД были прописаны - https://valerykomarov.blogspot.com/2020/12/blog-post_24.html , а потом исчезли полностью - https://valerykomarov.blogspot.com/2021/05/2.html ).

    Есть Постановление Правительства РФ от 06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»

15. Ввод системы в эксплуатацию не допускается в следующих случаях:

а) невыполнение установленных законодательством Российской Федерации требований о защите информации, включая отсутствие действующего аттестата соответствия требованиям безопасности информации;

19(1). Эксплуатация системы не допускается в случаях, указанных в части 7 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации", а также в пункте 15 настоящего документа.

     В любом случае, непонятно выделение как проблемы -  ЦОД, которыми владеют подведомственные и коммерческие организации. Особенно в части подведомственных организаций. Если орган власти не выполняет свои обязанности, то какая разница в чьем ЦОД он обрабатывает государственный информационный ресурс?

       Есть государственный орган, есть лицензиат ФСТЭК по ТЗКИ (АТТЕСТАЦИОННЫЙ ОРГАН), есть действующие требования по защите ГИС, есть ст.13.12 КоАП. Если аттестационный орган выдал аттестат соответствия без проверки мер защиты, реализованных в ЦОД – наказывайте лицензиата.

      Если орган власти эксплуатирует ГИС с использованием ЦОД без аттестата, то привлекается к административной ответственности. Правоприменительная практика давно сформирована ФСБ и ФСТЭК.

   Продолжение следует. Поговорим об обладателях ЦОД.

* Раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.

** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

*** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

****  YouTube - канал блога

***** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

****** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite


Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности