149-ФЗ: ГИС на аутсорсе

Итак, грядут очередные изменения ФЗ 149. Вообще, закон меняется регулярно, в него пытаются впихнуть буквально всё. Разнородность видно даже по темам добавленных статей: организаторы распространения информации (ОРИ), блокировка сайтов, биометрическая аутентификация и т. д. Недавно я писал про планы детализировать в нём определение ГИС.

А сегодня разбираемся с другими запланированными изменениями. Они конкретизируют подход к защите государственных информационных систем (ГИС), которые расположены в коммерческих ЦОД и/или находятся под управлением подрядчиков.

Безопасности в законе посвящена отдельная статья 16. Защита информации. Нас интересует п.5:

5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

Читать этот пункт следует так: требования по защите ГИС устанавливают государственные регуляторы по ИБ, а именно ФСБ и ФСТЭК.

У ФСБ совсем недавно появился Приказ №524, который регламентирует защиту ГИС с помощью СКЗИ:

3. Для обеспечения защиты информации, содержащейся в ГИС, должны использоваться только СКЗИ, сертифицированные ФСБ России.

У ФСТЭК есть всем известный Приказ №17 по защите информации, содержащейся в ГИС. В самом приказе есть требование про сертифицированные средства защиты.

11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании».

А также весьма интересный пункт про «общую инфраструктуру»:

17.6. Информационные системы, функционирующие на базе общей инфраструктуры (средств вычислительной техники, серверов телекоммуникационного оборудования) в качестве прикладных сервисов, подлежат аттестации в составе указанной инфраструктуры.

В случае если информационная система создается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных уполномоченного лица, такая инфраструктура центра обработки данных должна быть аттестована на соответствие настоящим Требованиям. При аттестации информационной системы должны используются результаты аттестации общей инфраструктуры оператора информационной системы.

Но вернемся к проекту изменений.

Обоснование изменений построено вокруг аутсорсинга и миграции ГИС в ЦОД. Процессы эти неизбежны, они позволят заказчикам сэкономить на покупке оборудования, внедрении и эксплуатации около 10-15% (период в документе не указан, но, видимо, год).

Государство уже проводило эксперимент с ГЕОП (Государственная Единая Облачная Платформа), даже появилась специальная нормативка. Сейчас в пул отечественных платформ добавился «Гостех», по которому тоже появилось много специальных нормативных актов, регламентирующих информационную безопасность.

А вот за других коммерческих подрядчиков явно есть опасения. Цитата из пояснительной записки для изменению ФЗ:

Кроме того, государственные органы поручают обработку информации, обладателями которой они являются, на основании договоров или иных законных основаниях подведомственным организациям, коммерческим организациям, информационные системы которых не относятся к государственным.
Создание подобных информационных систем осуществляется без учета требований о защите информации, установленных частью 5 статьи 16 Закона № 149-ФЗ, что приводит к снижению уровня защищенности информации, являющейся государственным информационным ресурсом.

Пока не придумали нормативные документы по ИБ для ЦОД, предлагается более явно распространить требования к защите ГИС на подрядчиков. Планируемые изменения ФЗ 149 выглядят так:

«5. Требования о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия иностранным техническим разведкам и технической защиты информации, в пределах их полномочий. 

При создании и эксплуатации информационных систем, в которых содержится информация, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, используемые в целях защиты информации методы, способы и средства ее защиты должны соответствовать требованиям, предусмотренным настоящей частью. Операторы указанных информационных систем создают системы организации и управления защитой информации и обеспечивают их функционирование в соответствии с требованиями, предусмотренными настоящей частью. Система организации и управления защитой информации включает в себя лиц, ответственных за защиту информации и контроль ее эффективности, а также средства защиты информации.».

Таким образом, методы, способы и средства ее защиты, указанные в проекте изменений ФЗ 149, приводят к необходимости использовать сертифицированные СЗИ и проводить аттестацию информационных систем для тех, кто предоставляет услуги госструктурам.

Крупные платформы с типовыми решениями «аттестованный ЦОД» практически не пострадают. А вот для небольших проектов, особенно региональных, это может стать серьезной проблемой. Таким образом, этот сегмент рынка двигается к централизации и укрупнению игроков.

Предполагается, что закон вступит в силу через год после его принятия. За это время должны быть внесены изменения в Приказ ФСТЭК №17 и в Приказ ФСБ №524.

Поделиться:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *