Новые информационные технологии и программное обеспечение
  RSS    

20240801 240x400 45a4aaf3c31f1b6a539653fa8c30b76b



Федеральный закон О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации»

ФЕДЕРАЛЬНЫЙ ЗАКОН

О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите

информации»

проект

Статья 1

Внести в Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации 2006, №31, ст. 3448; 2010, № 31, ст. 4196; 2011, № 15, ст. 2038) следующие изменения:

1)    статью 2 дополнить новыми пунктами 13 и 14 следующего содержания:

«13) угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реальную опасность, связанную с неправомерным доступом к информации и (или) воздействием на нее;

14) уязвимость информационной системы - параметр информационной системы, в том числе информационных технологий и технических средств, характеризующий возможность реализации угрозы безопасности информации.»;

2)    часть 5 статьи 16 признать утратившей силу;

3)    дополнить новыми статьями 16.1 и 16.2 следующего содержания:

«Статья 16.1. Защита информации в государственных информационных

системах

1. Заказчики и операторы государственных информационных систем на всех стадиях и этапах создания и эксплуатации государственных информационных систем обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, в том числе, предусматривающие:

1)    определение угроз безопасности информации, выявление и анализ уязвимостей государственных информационных систем;

2)    разработку и реализацию систем защиты информации в государственных информационных системах и оценку соответствия систем защиты информации требованиям к защите информации в государственных информационных системах;

3)    применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

4)    назначение структурного подразделения или должностного лица (работника), ответственных за защиту информации;

5)    включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации;

6)    определение порядка (политики) обеспечения защиты информации в государственных информационных системах в ходе их эксплуатации, определяющего процедуры, направленные на предотвращение и выявление нарушений требований к защите информации

7)    выявление инцидентов, связанных с нарушением требований к защите информации в государственных информационных системах, и реагирование на них;

8)    резервирование технических средств и (или) информации, содержащейся в государственных информационных системах;

9)    организацию и проведение контроля выполнения требований к защите информации в государственных информационных системах.

2.    Требования к защите информации в государственных информационных системах устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

3.    Заказчики государственных информационных систем при их создании и модернизации в соответствии с требованиями к защите информации, установленными в соответствии с частью 2 настоящей статьи, предъявляют требования к защите информации с учетом особенностей эксплуатации государственных информационных систем.

Статья 16.2. Защита информации в информационных системах критически важных объектов

1.    Заказчики и операторы информационных систем, предназначенных для управления или контроля технологических процессов объектов, отнесенных в соответствии с законодательством Российской Федерации к критически важным, на всех стадиях и этапах создания и эксплуатации информационных систем обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, следствием которых может стать нарушение или прекращение функционирования информационных систем и (или) критически важных объектов.

2.    Заказчики и операторы информационных систем критически важных объектов обязаны обеспечить:

1)    предотвращение неправомерного доступа к информации или воздействия на информацию, обеспечивающей управление и контроль за технологическими процессами критически важных объектов;

2)    недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено или прекращено функционирование информационных систем критически важных объектов;

3)    реагирование на инциденты, связанные с нарушением требований к защите информации в информационных системах критически важных объектов;

4)    возможность оперативного восстановления функционирования информационных систем критически важных объектов в случае реализации угроз безопасности информации.

3.    Информационные системы критически важных объектов классифицируются их заказчиками в зависимости от степени влияния информационных систем на функционирование критически важных объектов и категорий критически важных объектов.

Порядок классификации информационных систем критически важных объектов устанавливается Правительством Российской Федерации.

4.    Требования к защите информации в информационных системах критически важных объектов с учетом классов информационных систем устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5.    Заказчики информационных систем критически важных объектов при создании и модернизации информационных систем вправе в соответствии с требованиями к защите информации, установленными в соответствии с частью 4 настоящей статьи, определять дополнительные требования к защите информации в информационных системах критически важных объектов с учетом особенностей технологических процессов, управление и контроль за которыми они обеспечивают».

Статья 2

Настоящий Федеральный закон вступает в силу с 1 января 2014

Президент Российской Федерации

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА к проекту федерального закона «О внесении изменений в Федеральный

закон «Об информации, информационных технологиях и о защите

информации»

Проект федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» (далее — Законопроект) подготовлен в соответствии с пунктом 1 поручения Правительства Российской Федерации от 6 сентября 2011г. № ВВ-П10-609с, данного во исполнение Протокола оперативного совещания Совета Безопасности Российской Федерации от 29 июля 2011г., утвержденного Президентом Российской Федерации 9 августа 2011г., и поручением Министра Российской Федерации - Руководителя Аппарата Правительства Российской Федерации от 26 января 2012 г. № АВ-П10-383.

Законопроект направлен на повышение эффективности защиты информации в государственных информационных системах и информационных системах критически важных объектов.

Законопроектом предусматривается внесение изменений в статью 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее - Закон № 149-ФЗ) в части определения понятий «угроза безопасности информации» и «уязвимость информационной системы». Предлагаемые определения даны с учетом практики проведения работ в области защиты информации, полученной при применении национальных и международных стандартов в области защиты информации.

Законопроектом предусматривается исключение части 5 статьи 16 Закона № 149-ФЗ, что обусловлено дополнением указанного Закона новыми статьями 16.1 и 16.2.

В статье 16.1 устанавливается обязанность заказчиков и операторов государственных информационных систем принимать меры по защите информации в ходе их создания, эксплуатации и модернизации, а также устанавливаются меры, направленные на обеспечение защиты информации в государственных информационных системах. Предлагаемые меры по защите информации разработаны на основе результатов осуществления мероприятий по межведомственному контролю, проводимому в соответствии с законодательством Российской Федерации в пределах свих полномочий ФСТЭК России и ФСБ России, анализа нормативных правовых актов ведущих иностранных государств, а также обобщения практического опыта защиты информации в функционирующих и создаваемых государственных информационных системах. К таким информационным системам относятся Государственная автоматизированная система «Выборы», Государственная информационная система миграционного учета, Государственная система паспортно-визовых документов нового поколения, другие государственные информационные системы, а также отдельные региональные информационные системы.

В статье 16.2 устанавливаются обязанность заказчиков и операторов информационных систем критически важных объектов принимать меры по защите информации от неправомерного доступа и других действий, следствием которых может стать нарушение и (или) прекращение функционирования информационных систем и (или) критически важных объектов. Указанной статьей также предусматривается в порядке, устанавливаемом Правительством Российской Федерации, проводить классификацию информационных систем критически важных объектов в зависимости от угроз безопасности информации, степени влияния информационных систем на функционирование критически важных объектов, а также категорий критически важных объектов. При этом требования к защите информации в информационных системах критически важных объектов, установление которых предполагается ФСТЭК России и ФСБ России в пределах их полномочий, должны быть дифференцированы для каждого класса информационных систем. Данный подход позволит обеспечить дифференциацию разработки и реализации мер, направленных на обеспечение защиты информации с учетом возможных неблагоприятных последствий от нарушения функционирования критически важного объекта.

Актуальность введения указанной статьи обусловлена развитием информационных технологий, используемых в управлении критически важных объектов, увеличением количества производственных и технологических процессов критически важных объектов, подлежащих управлению с использованием информационных систем, возможностью нарушения функционирования критически важных объектов в случае нарушения функционирования их информационных систем, а также тяжестью возможных последствий для экономики и граждан от нарушения функционирования критически важных объектов.

Необходимость дополнения статьей 16.2 Закона № 149-ФЗ вызвана отсутствием в законодательстве Российской Федерации единых норм, обязывающих всех операторов информационных систем критически важных объектов обеспечивать защиту информации в таких системах. При этом перечень критически важных объектов утвержден распоряжением Правительства Российской Федерации и в настоящее время включает более 4400 объектов, большая часть которых находится в ведении негосударственных коммерческих организаций. Разработанные ФСТЭК России и ФСБ России в пределах их полномочий документы, регламентирующие вопросы защиты информационных систем критически важных объектов, для этих объектов носят необязательный характер. В результате вопросам защиты информационных систем критически важных объектов уделяется недостаточное внимание.

Законопроектом предусматривается, что вводимые положения вступают в силу с 1 января 2014 г. Данный подход позволит операторам спланировать необходимые мероприятия по защите информации в информационных системах в соответствии с Законопроектом.

Принятие Законопроекта не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства.

Принятие Законопроекта не потребует внесение изменений законодательные акты Российской Федерации.


Оставьте свой комментарий!

Добавить комментарий

Похожие статьи:

 

Самое читаемое:

Быстрый поиск

Инструкции к программам

Инструкции к программам

Сайт "Новые Информационные Технологии" содержит лишь справочные данные из открытых источников. Мы НЕ Рекламируем и НЕ Рекомендуем покупать или использовать ВСЕ упомянутые на сайте программы, оборудование и технологии