Если вы работаете с государственными организациями

в 12:08, , рубрики: законодательство и ИТ, информационная безопасность, Исследования и прогнозы в IT

По адресу http://regulation.gov.ru/projects# доступен очередной проект закона о внесении очередных изменений в закона «Об информации, информационных технологиях и о защите информации». Точнее на данном портале сейчас выложено два таких проекта, но нас интересует проект закона от ФСТЭК РФ:

Если вы работаете с государственными организациями - 1

Что же предполагается изменить в методах защиты и кого касаются изменения?

Стоит обратить внимание на то, что проект касается защиты «государственных информационных системах, а также иных информационных системах, в которых на основании договоров или иных законных основаниях содержится (обрабатывается) информация, обладателями которой являются государственные органы или государственные корпорации». Напомним, что требования по защите государственных информационных систем были описаны в семнадцатом приказе ФСТЭК РФ. Проект закона указывает, что требования данного приказа распространяются не только на государственные ИС, но и на все организации, работающие с данными, полученными от них.

Требования о защите информации, содержащейся в государственных информационных системах, а также иных информационных системах, в которых на основании договоров или иных законных основаниях содержится (обрабатывается) информация, обладателями которой являются государственные органы или государственные корпорации, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия иностранным техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации таких информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям

При этом «cоздание и обеспечение функционирования систем защиты информации должно предусматривать»:

1) назначение оператором лиц, ответственных за организацию защиты информации, а также за планирование и разработку, внедрение, мониторинг, поддержание и совершенствование мер защиты информации;
2) издание оператором документов, определяющих политику обеспечения защиты информации, в том числе локальных актов по организации защиты информации, а также локальных актов, устанавливающих процедуры, направленные на обеспечение защиты информации в соответствии с настоящим Федеральным законом;
4) осуществление внутреннего контроля (аудита) соответствия защиты информации требованиям о защите информации..., политике оператора по обеспечению защиты информации, локальным актам оператора;
5) ознакомление работников оператора, непосредственно осуществляющих обработку и защиту информации, с требованиями о защите информации, документами, определяющими политику оператора по обеспечению защиты информации, локальными актами оператора и обучение указанных работников.

Самое интересное традиционно находится в конце проекта закона:

Операторы государственных информационных систем, а также иных информационных систем, в которых на основании договоров или иных законных основаниях содержится (обрабатывается) информация, обладателями которой являются государственные органы или государственные корпорации, информируют федеральный орган исполнительной власти в области обеспечения безопасности и федеральный орган исполнительной власти, уполномоченный в области противодействия иностранным техническим разведкам и технической защиты информации, о событиях безопасности, в результате которых нарушено или прекращено функционирование информационной системы и (или) нарушена безопасность обрабатываемой в информационной системе информации (компьютерных инцидентах).

Предполагается, что все организации, работающие так или иначе с государственными органами и получающие при этом от них данные должны будут передавать данные о инцидентах безопасности. Логично предположить, что вслед за данным проектом закона последует регламент, согласно которому потребуется передавать данные в формате, удовлетворяющем условиям принятия данных в базу данных инцидентов, которая будет вестись ФСТЭК.

Автор: teecat

Источник

Поделиться новостью

* - обязательные к заполнению поля