Завершились общественное обсуждение, оценка регулирующего воздействия и антикоррупционная экспертиза изменений в статью 16 «Защита информации» Федерального закона «Об информации, информационных технологиях и о защите информации», подготовленных ФСТЭК России.

   В пояснительной записке указано, что «законопроект направлен на установление требований о защите информации, обладателями которой являются государственные органы, вне зависимости от места ее хранения или обработки», а предложенные изменения обоснованы тем, что:

   информация, обладателями которой являются государственные органы, стала обрабатываться («сложилась практика») «в центрах обработки данных, принадлежащих подведомственным и коммерческим организациям»;

   «проводится эксперимент по созданию, миграции и развитию государственных сервисов и информационных систем органов государственной власти Российской Федерации и государственных внебюджетных фондов на единой цифровой платформе Российской Федерации «ГосТех»»;

   «государственные органы поручают обработку информации, обладателями которой они являются, на основании договоров или иных законных основаниях подведомственным организациям, коммерческим организациям, информационные системы которых не относятся к государственным»;

   «создание подобных информационных систем осуществляется без учета требований о защите информации, установленных в соответствии с частью 5 статьи 16 Закона № 149-ФЗ, что приводит к снижению уровня защищенности информации, являющейся государственным информационным ресурсом»;

   будет установлена «обязанность соблюдения требований о защите информации, обладателями которой являются государственные органы, вне зависимости от места ее хранения или обработки, а также требований к организации и управлению системой защиты информации»;

   будут сокращены расходы в связи с переходом на аутсорсинг на 10-15 % от существующих, при этом написано, что «реализация законопроекта не требует дополнительных расходов бюджетных средств, а также не приведет к дополнительным расходам операторов государственных систем и владельцев центров обработки данных», а «расходы владельцев центров обработки данных, операторов государственных информационных систем на создание систем защиты информации информационной инфраструктуры будут возмещены органами государственной власти в рамках оплаты услуг по договорам на эксплуатацию сервисов по размещению информационно-телекоммуникационной инфраструктуры государственных информационных систем».

   Кроме того, указывается, что «на практике описанный подход по созданию и использованию для размещения информационно-телекоммуникационной инфраструктуры государственных информационных систем, защищенных по требованиям безопасности информации центров обработки данных, реализован».

   Самих же предлагаемых изменений в статье не так много – изменяется часть 5, не вся статья и вместо одного абзаца стало три:

   1. Начало первого абзаца «Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям» предлагается переформулировать «Требования о защите информации, обладателями которой являются государственные органы, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия иностранным техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации информационных систем, в которых обрабатывается информация, обладателями которой являются государственные органы, используемые в целях защиты информации методы, способы и средства ее защиты должны соответствовать указанным требованиям».

   То есть

• вместо ГИС объектом стали ИС с информацией, обладателем которой являются госорганы,
• технические разведки стали иностранными техническими разведками;
• к методам и способам защиты информации добавлены средства защиты.

   2. Второй абзац:

«Операторы информационных систем, в которых обрабатывается информация, обладателями которой являются государственные органы, создают системы организации и управления защиты информации и обеспечивают их функционирование в соответствии с требованиями, указанными в настоящей части».

   3. Третий абзац:

«Система организации и управления защиты информации состоит из лиц, ответственных за защиту информации и контроль её эффективности, и средств защиты информации».

   В случае принятия поправки в закон вступят в силу по истечении ста восьмидесяти дней после дня официального опубликования.

Основные понятия из 149-ФЗ, используемые в проекте закона:

Информационные системы включают в себя:

1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;

2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;

3) иные информационные системы.

Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

Государственные информационные системы создаются и эксплуатируются на основе статистической и иной документированной информации, предоставляемой гражданами (физическими лицами), организациями, государственными органами, органами местного самоуправления.

Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Государственные органы, определенные в соответствии с нормативным правовым актом, регламентирующим функционирование государственной информационной системы, обязаны обеспечить достоверность и актуальность информации, содержащейся в данной информационной системе, доступ к указанной информации в случаях и в порядке, предусмотренных законодательством, а также защиту указанной информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий.

Оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.