17.10.2016

Немножко последних изменений по ИБ в госорганах

Лето красное прошло, и уж половина осени позади, а я так и не удосужился написать про некоторые нормативные акты, которые не то, чтобы очень уж серьезно меняют ландшафт законодательства по ИБ в России, но и умолчать о них я не могу. Итак, по порядку:
  • Министерство связи и массовых коммуникаций РФ опубликовало проект постановления правительства «О внесении изменений в Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации». Сами требования были разработаны еще в 2015-м году в соответствие с ФЗ-149 и в целях повышения качества государственных информационных систем за счет установления методологического единства требований к стадиям их жизненного цикла. Из крупных изменений можно отметить запрет на ввод в эксплуатацию ГИС, если в реестре территориального размещения ИС нет сведений о размещении технических средств информационной системы на территории РФ (в соответствие с поправками в ФЗ-149, ступившими в силу с 1-го июля 2015 года). В документе добавился новый этап создания ГИС - формирование требований к системе и требований к защите информации, содержащейся в информационной системе. Также во все разделы документа включены требования по обеспечению защиты информации на всех стадиях жизненного цикла ГИС, включая формирование требований по защите информации, разработку и согласование технического задания на систему с ФСБ России и ФСТЭК России в части, касающейся требований по защите информации и модели угроз безопасности информации, аттестации государственной информационной системы по требованиям защиты информации, разработки и утверждения организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы.
  • В мае прошлого года я писал про 260-й Указ Президента и вот ФСО, спустя год, выпускает проект своего приказа, который будет регулировать работу российского государственного сегмента информационно-телекоммуникационной сети «Интернет». Приказ очень рамочный и по сути ничего конкретного не определяет (в отличие от предыдущих приказов ФСО на ту же тему) - все определяется соглашением о подключении к RSNet (там же прописаны и требования по ИБ).
  • Постановление Правительства от 13 августа 2016 года №789 установило порядок использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме с помощью мобильного телефона, смартфона, планшета и порядок передачи результатов оказания государственных и муниципальных услуг в электронном виде третьим лицам.
  • Минкомсвязь выложило проект Указа Президента "О создании и функционировании специального сегмента системы межведомственного электронного взаимодействия в целях обеспечения обмена между органами власти, государственными внебюджетными фондами и организациями информацией, доступ к которой ограничен", суть которого понятна из названия. Вместо того, чтобы все-таки принять закон "О служебной тайне" принимаются совершенно непонятные по сути нормативные акты, как упомянутый Указ Президента. Вот на обработку какой информации он рассчитан? Персональные данные - это тоже информация ограниченного доступа. И что, их тоже надо будет засунуть в отдельный сегмент СМЭВ? А что тогда останется в СМЭВ? И как это связано с проектом создания отдельной защищенной сети связи для госорганов, физически отделенной от общей сети, которую хотел замутить СовБез на базе Ростелекома?
  • Наконец, 21-го июля Президент дал поручение Правительству для повышения безопасности и устойчивости работы информационных систем органов государственной власти обеспечить разработку и внесение в Госдуму федерального закона о преимущественном использовании государственными органами единой инфраструктуры электронного правительства. По сути речь идет о пресловутом Гособлаке, которое пытались завести уже неоднократно. Тут и Указ Президента от мая 2015-го года, и последовавшее за ним в октябре распоряжение Правительства. Но что-то не заводится - приходится Президенту давать очередное поручение Правительству ускориться. Видно не хотят у нас переходить на единую и унифицированную инфраструктуру.
PS. На глаза еще попадал НПА, в котором среди прочего упоминался аутсорсинг ИБ в госорганах, но что-то я его не нашел, когда писал эту заметку.