Защищать ЦОД как ГИС. Инициатива ФСТЭК по изменению 149-ФЗ. Проект НПА.

Дата: 26.08.2021. Автор: Валерий Комаров. Категории: Блоги экспертов по информационной безопасности
Защищать ЦОД как ГИС. Инициатива ФСТЭК по изменению 149-ФЗ. Проект НПА.

  ФСТЭК разместила для общественного обсуждения законопроект по внесению изменений в ст.16 149-ФЗ. Замечания и предложения можем подать до 2 сентября 2021 года. Что же ФСТЭК предлагает починить в текущей редакции 149-ФЗ и с какой целью?

 Ранее:

Часть 1

 Часть 2

Что интересного нам ответила ФСТЭК на замечания:

Предложения участника общественного обсуждения

Комментарии разработчика

В связи с недостаточностью финансирования у государственного сектора на создание своих ЦОДов, государственный сектор часто использует ЦОДы сторонних коммерческих организаций для размещения там информационных систем, которые содержат защищаемые законом сведения и владельцем которых является государственный сектор (организация). Основной проблемой является наличие у государственного сектора статуса «субъект критической информационной инфраструктуры» (далее – субъект КИИ).

Согласно законодательству РФ всю ответственность за защиту своих объектов несет субъект, а также обязанностью субъекта КИИ является обеспечить наличие анализа и мониторинга, регистрации событий безопасности и передача сведений по инцидентам объекта КИИ в национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ, относится к деятельности ФСБ). Данные требования возможно реализовать только в рамках ЦОД. За последние 5 лет объекты государственного сектора, которые были размещены в коммерческих ЦОД в соответствии с законодательством РФ приобрели статусы ГИС и объектов КИИ. Законодательно требования к аттестации ЦОД для размещения в них ГИС определено, но для размещения объектов КИИ требований по аттестации ЦОД нет, а также ответственность за размещение таких объектов в сторонних ЦОД несет владелец объекта. При этом ответственность коммерческих организаций (владельцев ЦОД) на уровне законодательства РФ не предусмотрена.

В соответствии с Требованиями
по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России
от 25 декабря 2017 г. № 239, разработанными
во исполнение Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», требования к аттестации объекта критической информационной инфраструктуры предъявляются только в случае отнесения такого объекта к государственным информационным системам. Настоящим законопроектом предусмотрено определение на законодательном уровне единых требований по защите информации в государственных информационных системах вне зависимости от места ее хранения или обработки.

Учитывая изложенное, в случае если объект критической информационной инфраструктуры является государственной информационной системой, при принятии настоящего законопроекта владелец центра обработки данных будет нести ответственность за защиту информации центра обработки данных,
в котором такой объект критической информационной инфраструктуры размещается

Кроме государственных органов и коммерческий юридических лиц, в государственных информационных системах работают (это сложившаяся практика) органы местного самоуправления, однако их участие в этом процессе законом ФЗ-149 (полномочия, права и обязанности, и источники финансирования мероприятий по технической защите информации) ни как не урегулированы, что создаёт правовую неопределённость, затрудняет применение норм права по защите информации ОМСУ, или более того ОМСУ исключаются из данного процесса, ввиду отсутствия явно прописанных полномочий, прав, обязанностей, и как следствие не возможности на законных основаниях финансирования мероприятий по защите информации, что в свою очередь ведёт к снижению общего уровня защищенности государственных информационных систем

В соответствии с частью 4 статьи 13 Федерального закона № 149-ФЗ установленные федеральным законом требования к государственным информационным системам распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении

«Центры обработки данных» и владельцы/операторы центров обработки данных» в законодательстве не определены. Внесение изменений в с.16 149-ФЗ без внесения соответствующих изменений в ст. 2 149-ФЗ не целесообразно. Введение обязанностей по защите информации на лиц, которые не определены в законодательстве страны, не даст никакого эффекта.

Проектом федерального закона о внесении изменений в статью 16 Федерального закона
«Об информации, информационных технологиях и о защите информации»
не вводится понятий центра обработки данных и  владельцев/операторов центров обработки данных.  Учитывая изложенное, внесение указанных понятий в статью 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о защите информации» считаем нецелесообразным

  

    Ответы примечательные. Каким образом владелец ЦОД будет нести ответственность, если  законодательно не определено что такое ЦОД? Кто такой владелец ЦОД?

   И обоснование мы не вводим определение, по этому вносить определение не целесообразно — мощный аргумент, даже возразить нечего. 

  Как у авторов законопроекта одновременно на одной странице сосуществует нецелесообразность определение владелец ЦОД и владелец ЦОД будет привлечен к ответственности непонятно.

Смотрим дальше.

Из пояснительной записки к законопроекту:

Законопроект направлен на установление требований о защите информации, обладателями которой являются государственные органы, вне зависимости от места ее хранения или обработки.

Предлагаемыми изменениями устанавливается обязанность соблюдения требований о защите информации, обладателями которой являются государственные органы, вне зависимости от места ее хранения или обработки, а также требований к организации и управлению системой защиты информации.

Законопроект предусматривает вступление в силу федерального закона через сто восемьдесят дней после его официального опубликования.

Законопроект:

Сейчас:

5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

Хотят:

«5. Требования о защите информации, обладателями которой являются государственные органы, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия иностранным техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации информационных систем, в которых обрабатывается информация, обладателями которой являются государственные органы, используемые в целях защиты информации методы, способы и средства ее защиты должны соответствовать указанным требованиям.
Операторы информационных систем, в которых обрабатывается информация, обладателями которой являются государственные органы, создают системы организации и управления защиты информации и обеспечивают их функционирование в соответствии с требованиями, указанными в настоящей части.
Система организации и управления защиты информации состоит из лиц, ответственных за защиту информации и контроль её эффективности, и средств защиты информации.»

Итог: предлагают заменить ГИС на ИС, в которых обрабатывается информация, обладателями которой являются государственные органы.

  А причем здесь ЦОД, которые упоминались на первом этапе? ФСТЭК считает что ЦОД это ИС?

В настоящее время широкое распространение получила практика обработки информации, обладателями которой являются государственные органы, в центрах обработки данных, принадлежащих подведомственным и коммерческим организациям. Указанные центры обработки данных не являются государственными информационными системами, их создание осуществляется без учета требований о защите информации, установленных Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологий и о защите информации». Такое положение дел приводит к снижению уровня защищенности информации, являющейся государственным информационным ресурсом. Кроме того, защита информации, обладателями которой являются государственные органы может быть реализована при обеспечении защиты инфраструктуры центра обработки данных. Указанная проблема может быть решена определением на законодательном уровне единых для государственных органов и коммерческих организаций требований о защите информации, обладателями которой являются государственные органы, вне зависимости от места ее хранения или обработки, а также требований к организации и управлению системой защиты информации.

  Так даже в 17 приказе ФСТЭК — Класс защищенности информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, <1> не должен быть выше класса защищенности информационно-телекоммуникационной инфраструктуры центра обработки данных.. А теперь это не информационно-телекоммуникационная инфраструктура, а ИС?

  Второй вопрос: теперь предлагают ответственность исключительно оператор ИС. А как же Настоящие Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы (далее — заказчики) и операторов государственных информационных систем (далее — операторы). 

  Почему не вносят изменения в п.4 ст.16 149-ФЗ? Надо тогда и здесь убирать обладателя информации

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

  Фактически, органы власти выводятся из под угрозы административной ответственности по ч.6 ст.13.12 КоАП. За все будет отвечать исключительно эксплуатирующая ГИС организация — оператор.

  К сожалению, невозможно оценить предстоящие риски без публикации изменений в 17 приказе ФСТЭК (они уже анонсированы в карточке законопроекта).

* Раздел блога Административная ответственность субъекта КИИ на главной странице блога.

** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

*** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

**** YouTube — канал блога

***** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

****** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite


Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Валерий Комаров

Об авторе Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"
Читать все записи автора Валерий Комаров

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *