- 5 лучших генераторов искусственного интеллекта для написания и переписывания любого контента
- История Красного Бора Татарстан (Новый Пьяный Бор Елабужского уезда) в статьях
- Программа для поиска драйверов на любое устройство
- Как технология OCR снижает нагрузку на офис
- Как операционная система Windows стала такой популярной
- Продвижение товаров на Wildberries с привлечением внешнего трафика
- Простая программа для управления проектами «Планамайзер»
- Жители Красного Бора (Нового Пьяного Бора) до революции
Федеральный закон О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» |
ФЕДЕРАЛЬНЫЙ ЗАКОН О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» проект Статья 1 Внести в Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации 2006, №31, ст. 3448; 2010, № 31, ст. 4196; 2011, № 15, ст. 2038) следующие изменения: 1) статью 2 дополнить новыми пунктами 13 и 14 следующего содержания: «13) угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реальную опасность, связанную с неправомерным доступом к информации и (или) воздействием на нее; 14) уязвимость информационной системы - параметр информационной системы, в том числе информационных технологий и технических средств, характеризующий возможность реализации угрозы безопасности информации.»; 2) часть 5 статьи 16 признать утратившей силу; 3) дополнить новыми статьями 16.1 и 16.2 следующего содержания: «Статья 16.1. Защита информации в государственных информационных системах 1. Заказчики и операторы государственных информационных систем на всех стадиях и этапах создания и эксплуатации государственных информационных систем обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, в том числе, предусматривающие: 1) определение угроз безопасности информации, выявление и анализ уязвимостей государственных информационных систем; 2) разработку и реализацию систем защиты информации в государственных информационных системах и оценку соответствия систем защиты информации требованиям к защите информации в государственных информационных системах; 3) применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; 4) назначение структурного подразделения или должностного лица (работника), ответственных за защиту информации; 5) включение в должностные обязанности работников, участвующих в обработке информации, обязанности по выполнению требований к защите информации; 6) определение порядка (политики) обеспечения защиты информации в государственных информационных системах в ходе их эксплуатации, определяющего процедуры, направленные на предотвращение и выявление нарушений требований к защите информации 7) выявление инцидентов, связанных с нарушением требований к защите информации в государственных информационных системах, и реагирование на них; 8) резервирование технических средств и (или) информации, содержащейся в государственных информационных системах; 9) организацию и проведение контроля выполнения требований к защите информации в государственных информационных системах. 2. Требования к защите информации в государственных информационных системах устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. 3. Заказчики государственных информационных систем при их создании и модернизации в соответствии с требованиями к защите информации, установленными в соответствии с частью 2 настоящей статьи, предъявляют требования к защите информации с учетом особенностей эксплуатации государственных информационных систем. Статья 16.2. Защита информации в информационных системах критически важных объектов 1. Заказчики и операторы информационных систем, предназначенных для управления или контроля технологических процессов объектов, отнесенных в соответствии с законодательством Российской Федерации к критически важным, на всех стадиях и этапах создания и эксплуатации информационных систем обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, следствием которых может стать нарушение или прекращение функционирования информационных систем и (или) критически важных объектов. 2. Заказчики и операторы информационных систем критически важных объектов обязаны обеспечить: 1) предотвращение неправомерного доступа к информации или воздействия на информацию, обеспечивающей управление и контроль за технологическими процессами критически важных объектов; 2) недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено или прекращено функционирование информационных систем критически важных объектов; 3) реагирование на инциденты, связанные с нарушением требований к защите информации в информационных системах критически важных объектов; 4) возможность оперативного восстановления функционирования информационных систем критически важных объектов в случае реализации угроз безопасности информации. 3. Информационные системы критически важных объектов классифицируются их заказчиками в зависимости от степени влияния информационных систем на функционирование критически важных объектов и категорий критически важных объектов. Порядок классификации информационных систем критически важных объектов устанавливается Правительством Российской Федерации. 4. Требования к защите информации в информационных системах критически важных объектов с учетом классов информационных систем устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. 5. Заказчики информационных систем критически важных объектов при создании и модернизации информационных систем вправе в соответствии с требованиями к защите информации, установленными в соответствии с частью 4 настоящей статьи, определять дополнительные требования к защите информации в информационных системах критически важных объектов с учетом особенностей технологических процессов, управление и контроль за которыми они обеспечивают». Статья 2 Настоящий Федеральный закон вступает в силу с 1 января 2014 Президент Российской Федерации ПОЯСНИТЕЛЬНАЯ ЗАПИСКА к проекту федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» Проект федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» (далее — Законопроект) подготовлен в соответствии с пунктом 1 поручения Правительства Российской Федерации от 6 сентября 2011г. № ВВ-П10-609с, данного во исполнение Протокола оперативного совещания Совета Безопасности Российской Федерации от 29 июля 2011г., утвержденного Президентом Российской Федерации 9 августа 2011г., и поручением Министра Российской Федерации - Руководителя Аппарата Правительства Российской Федерации от 26 января 2012 г. № АВ-П10-383. Законопроект направлен на повышение эффективности защиты информации в государственных информационных системах и информационных системах критически важных объектов. Законопроектом предусматривается внесение изменений в статью 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее - Закон № 149-ФЗ) в части определения понятий «угроза безопасности информации» и «уязвимость информационной системы». Предлагаемые определения даны с учетом практики проведения работ в области защиты информации, полученной при применении национальных и международных стандартов в области защиты информации. Законопроектом предусматривается исключение части 5 статьи 16 Закона № 149-ФЗ, что обусловлено дополнением указанного Закона новыми статьями 16.1 и 16.2. В статье 16.1 устанавливается обязанность заказчиков и операторов государственных информационных систем принимать меры по защите информации в ходе их создания, эксплуатации и модернизации, а также устанавливаются меры, направленные на обеспечение защиты информации в государственных информационных системах. Предлагаемые меры по защите информации разработаны на основе результатов осуществления мероприятий по межведомственному контролю, проводимому в соответствии с законодательством Российской Федерации в пределах свих полномочий ФСТЭК России и ФСБ России, анализа нормативных правовых актов ведущих иностранных государств, а также обобщения практического опыта защиты информации в функционирующих и создаваемых государственных информационных системах. К таким информационным системам относятся Государственная автоматизированная система «Выборы», Государственная информационная система миграционного учета, Государственная система паспортно-визовых документов нового поколения, другие государственные информационные системы, а также отдельные региональные информационные системы. В статье 16.2 устанавливаются обязанность заказчиков и операторов информационных систем критически важных объектов принимать меры по защите информации от неправомерного доступа и других действий, следствием которых может стать нарушение и (или) прекращение функционирования информационных систем и (или) критически важных объектов. Указанной статьей также предусматривается в порядке, устанавливаемом Правительством Российской Федерации, проводить классификацию информационных систем критически важных объектов в зависимости от угроз безопасности информации, степени влияния информационных систем на функционирование критически важных объектов, а также категорий критически важных объектов. При этом требования к защите информации в информационных системах критически важных объектов, установление которых предполагается ФСТЭК России и ФСБ России в пределах их полномочий, должны быть дифференцированы для каждого класса информационных систем. Данный подход позволит обеспечить дифференциацию разработки и реализации мер, направленных на обеспечение защиты информации с учетом возможных неблагоприятных последствий от нарушения функционирования критически важного объекта. Актуальность введения указанной статьи обусловлена развитием информационных технологий, используемых в управлении критически важных объектов, увеличением количества производственных и технологических процессов критически важных объектов, подлежащих управлению с использованием информационных систем, возможностью нарушения функционирования критически важных объектов в случае нарушения функционирования их информационных систем, а также тяжестью возможных последствий для экономики и граждан от нарушения функционирования критически важных объектов. Необходимость дополнения статьей 16.2 Закона № 149-ФЗ вызвана отсутствием в законодательстве Российской Федерации единых норм, обязывающих всех операторов информационных систем критически важных объектов обеспечивать защиту информации в таких системах. При этом перечень критически важных объектов утвержден распоряжением Правительства Российской Федерации и в настоящее время включает более 4400 объектов, большая часть которых находится в ведении негосударственных коммерческих организаций. Разработанные ФСТЭК России и ФСБ России в пределах их полномочий документы, регламентирующие вопросы защиты информационных систем критически важных объектов, для этих объектов носят необязательный характер. В результате вопросам защиты информационных систем критически важных объектов уделяется недостаточное внимание. Законопроектом предусматривается, что вводимые положения вступают в силу с 1 января 2014 г. Данный подход позволит операторам спланировать необходимые мероприятия по защите информации в информационных системах в соответствии с Законопроектом. Принятие Законопроекта не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства. Принятие Законопроекта не потребует внесение изменений законодательные акты Российской Федерации. Оставьте свой комментарий! Tags:
Похожие статьи: |