Якщо ви працюєте з державними організаціями

За адресою http://regulation.gov.ru/projects# доступний черговий проект закону про внесення чергових змін до закону «Про інформацію, інформаційні технології і про захист інформації». Точніше на даному порталі зараз викладено два таких проекти, але нас цікавить проект закону від ФСТЕК РФ:



Що ж передбачається змінити в методах захисту і кого стосуються зміни?

Варто звернути увагу на те, що проект стосується захисту державних інформаційних системах, а також інших інформаційних системах, в яких на підставі договорів або інших законних підставах міститься (обробляється) інформація, володарями якої є державні органи або державні корпорації». Нагадаємо, що вимоги щодо захисту державних інформаційних систем були описані в сімнадцятому наказі ФСТЕК РФ. Проект закону вказує, що вимоги цього наказу не поширюються тільки на державні ІС, але і на всі організації, що працюють з даними, отриманими від них.
Вимоги про захист інформації, що міститься в державних інформаційних системах, а також інших інформаційних системах, в яких на підставі договорів або інших законних підставах міститься (обробляється) інформація, володарями якої є державні органи або державні корпорації, встановлюються федеральним органом виконавчої влади в галузі забезпечення безпеки та федеральним органом виконавчої влади, уповноваженим у сфері протидії іноземним технічним розвідкам та технічного захисту інформації, в межах їх повноважень. При створенні і експлуатації таких інформаційних систем, які використовуються в цілях захисту інформації методи і способи її захисту повинні відповідати зазначеним вимогам
При цьому «створення та забезпечення функціонування систем захисту інформації повинно передбачати»:
1) призначення оператором осіб, відповідальних за організацію захисту інформації, а також за планування і розробку, впровадження, моніторинг, підтримання та удосконалення заходів захисту інформації;
2) видання оператором документів, що визначають політику забезпечення захисту інформації, в тому числі локальних актів щодо організації захисту інформації, а також локальних актів, що встановлюють процедури, спрямовані на забезпечення захисту інформації відповідно до справжнім Федеральним законом;
4) здійснення внутрішнього контролю (аудиту) відповідності захисту інформації вимогам про захист інформації..., політиці оператора щодо забезпечення захисту інформації, локальним актам оператора;
5) ознайомлення працівників оператора, які безпосередньо здійснюють обробку та захист інформації, з вимогами про захист інформації, документами, що визначають політику оператора щодо забезпечення захисту інформації, локальними актами оператора і навчання вказаних працівників.

Найцікавіше традиційно знаходиться в кінці проекту закону:
Оператори державних інформаційних систем, а також інших інформаційних систем, у яких на підставі договорів або інших законних підставах міститься (обробляється) інформація, володарями якої є державні органи або державні корпорації, інформують федеральний орган виконавчої влади в галузі забезпечення безпеки і федеральний орган виконавчої влади, уповноважений у сфері протидії іноземним технічним розвідкам та технічного захисту інформації, про події безпеки, в результаті яких порушено або припинено функціонування інформаційної системи і (або) порушена безпека оброблюваної в інформаційній системі інформації (комп'ютерні інциденти).
Передбачається, що всі організації, які працюють так чи інакше з державними органами і отримують при цьому від них дані повинні будуть передавати дані про інциденти безпеки. Логічно припустити, що слідом за цим проектом закону послідує регламент, згідно з яким потрібно передавати дані у форматі, що задовольняє умовам прийняття даних в базу даних інцидентів, яка буде вестися ФСТЕК.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.