В декабре 2016 года ФСБ/ФСТЭК внесли на рассмотрение в Госдуму не только будущий 187-ФЗ, но и законопроект по изменению 149-ФЗ.
И, если КИИ у нас появилось в 2017 году, то распространить требования 17 приказа на иные (не ГИС) информационные системы в госучреждениях не получилось.
20 июня 2020 года Правительство отозвало законопроект по изменению 149-ФЗ.
13 декабря 2016 года ФСТЭК озвучило важную проблему - "Законом № 149-ФЗ не определена необходимость прохождения какой-либо процедуры для отнесения информационной системы к государственным информационным системам". Совершенно верно отмечено, что "значительные объемы данных о гражданах, сведения в экономической, социальной, политической, правоохранительной и других областях деятельности государства, подлежащих защите, обрабатываются указанными государственными органами с
использованием информационных систем, не отнесенных к государственным информационным системам и не включенных в реестр федеральных информационных систем и реестры субъектов Российской Федерации.
Кроме того, органы государственной власти поручают обработку информации, обладателями которой они являются, на основании договоров или иных законных основаниях подведомственным организациям, информационные системы которых не относятся к государственным
информационным системам. Широкое распространение получает практика обработки информации, обладателями которой являются государственные органы, в центрах обработки данных, информационные системы которых также не относятся к государственными информационным системам."
При проверках на местах это приводит к таким вот эксцессам - https://valerykomarov.blogspot.com/2018/07/blog-post_30.html
Но вместо предложения конкретизировать объекты защиты и упорядочить процедуры отнесения информационных систем к ГИС, предложено
"Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях обрабатывается информация, обладателями которой являются государственные органы, создают системы защиты информации и обеспечивают их функционирование в соответствии с требованиями о защите информации, предусмотренными частью 5 настоящей статьи".
И традиционное финансово-экономическое обоснование - "не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства."
А вот по требованию ФСБ появился пункт об информировании о компьютерных инцидентах ФСТЭК/ФСБ.
Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях обрабатывается информация, обладателями которой являются государственные органы, информируют ФСБ и
ФСТЭК, в пределах их полномочий о компьютерных инцидентах в порядке, установленном указанными федеральными органами исполнительной власти. При этом к компьютерным инцидентам относятся события, в результате которых нарушено функционирование
информационной системы и (или) нарушена безопасность обрабатываемой в информационной системе информации.".
Предлагалось выпустить 2 приказа
- приказ ФСТЭК России "О внесении изменений в Требования о защите информации,
не составляющей государственную тайну, содержащейся в
государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17;
- приказ ФСТЭК России и ФСБ России "О порядке информирования о компьютерных инцидентах".
Таким образом, на момент внесения 187-ФЗ, не все информационные системы органов государственной власти относились авторами к объектам КИИ автоматически.
ГосСОПКА вообще не упоминается, хотя неделей раньше она прямо указана для КИИ в проекте 187-ФЗ.
Интересно, но определение компьютерного инцидента различаются в двух законопроектах.
187-ФЗ (дата - 06.12.2016)
компьютерный инцидент - факт нарушения или прекращения функционирования объекта критической информационной инфраструктуры и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе вызванный компьютерной атакой. Сравните с определением выше.
Но не срослось.
Итог: проблема идентификации ГИС осталась, единого реестра ГИС так и нет, информировать о компьютерных инцидентах обязан только субъект КИИ. Самый очевидный путь - внесение изменений в 187-ФЗ по отнесению всех информационных систем государственных учреждений к ЗОКИИ. На наведение порядка в ГИСах силами Минкомсвязи никаких предпосылок не видно, то есть - через 149-ФЗ порядок не навести с защитой информации, принадлежащей государственным органам.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
«Самый очевидный путь - внесение изменений в 187-ФЗ по отнесению всех информационных систем государственных учреждений к ЗОКИИ». Чего уж мелочиться! Сразу в ЗОКИИ, без категорирования!
ОтветитьУдалитьДа, так и написано. Сразу в ЗОКИИ. Иначе смысла нет. Для незначимых ОКИИ нет требований безопасности и они не попадают под госконтроль ФСТЭК.
ОтветитьУдалитьА ЗОКИИ какой категории?
ОтветитьУдалитьЕсли некие ИС будут относиться к ЗОКИИ на основании некоего Закона, но не по результатам категориования, то смысла нет в этой процедуре. Уж по мне, если такая петрушка пошла, то лучше наделить ФСТЭК обязанностью определять и присваивать категорию ИС.
P.S.: вот утверждение, что для НОКИИ нет требований по безопасности, на мой взгляд, также немного неверно. Да, требований по обеспечению безопасности НОКИИ в рамках 187-ФЗ нет, но такие системы или сети защищаются в соответсвии с иными НПА, т.е. если, например, ИС оказалась НОКИИ, то это не значит, что она осталась беззащитной.
1. Конкретную категорию присвоит комиссия субъекта КИИ, а ФСТЭК проверит правильность присвоения в рамках действующего законодательства. Здесь нет никаких проблем.
Удалить2. В заметке четко указана проблема и ее причина. Отнесение к ЗОКИИ решает эту проблему на корню.
Вполне возможна коллизия, что, предположим, Вашим словам внемлют, но что получится, если Закон гласит, что ЗОКИИ, а по ПП-127 оказывается, что НОКИИ. Как быть?
ОтветитьУдалитьнет коллизии. Просто 3 категория минимум и все.
УдалитьА как же тогда 17 приказ? Если начинаем считать, что все ГИС - ЗОКИИ 3 категории, то смысла в 17 приказе нет, что и есть еще одной коллизией.
УдалитьДополняют требования друг друга. Для ГИС все жестче - обязательная сертификация и аттестация
УдалитьЭто они сейчас дополняют, когда есть ГИС, есть ЗОКИИ, может быть ГИС, отнесённая к ЗОКИИ. А если все ГИС станут ЗОКИИ?
ОтветитьУдалитьСейчас же есть разделение, что ЗОКИИ АСУ ТП - 239, а просто АСУ ТП - 31.
Я это все к тому, что отнесение ГИС сразу к ЗОКИИ может убить ГИС. Поэтому логично, что есть ГИС, могут быть ГИС ЗОКИИ.