Февраль 2013 года был отмечен выпуском сразу двух Приказов ФСТЭК, оба из которых непосредственно касались защиты информации и безопасности персональных данных. Приказом ФСТЭК России от 11 февраля 2013 года № 17 были утверждены требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. IT-блогосфера буквально взорвалась от комментариев касательно этого законодательного акта. Рассмотрим самые на наш взгляд важные и полезные посты, которые помогут разобраться в Приказе, действие положений которого вступит в силу с 1 сентября 2013 года.
1. Подробное описание всех(!) аспектов государственного документа подготовил известный блоггер и специалист по ИБ Андрей Прозоров. Его исследование Приказа состоит из трех частей, первая из которых подробно описывает область действия законодательного документа и такие ключевые моменты как уровни защищенности ПДн в зависимости от класса защищенности информационной системы, нормы, касающиеся аутсорсинга для проведения работ по защите информации, а также акцентирует внимание на использовании сертифицированных СКЗИ для обеспечения ИБ в государственной ИС.
Вторая часть исследования Прозорова полностью посвящена анализу мер защиты ИБ, которые, согласно Приказу № 17 должны быть реализованы в каждой государственной информационной системе. Финальная часть досконального рассматривания Приказа ФСТЭК представляет собой майндкарту, на которой в схематичном варианте представлены основные тезисы правового акта.
2. Алексей Лукацкий, лично принимавший участие в составлении многих законопроектов, касающихся ПДн и ИБ, в своей статье подробно интерпретирует Приказ № 17 и делает следующее заключение: данный акт управления имеет явный изъян – все его положения рассчитаны только на один из возможных сценариев работы ИС — когда формирование требований, их реализацию и эксплуатацию осуществляет одно лицо — обладатель информации.
3. В посте Евгения Шауро также указывается на определенную противоречивость Приказа №17: Пункт 3 Общих положений гласит «Настоящие Требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации, Высшего Арбитражного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации», что идет вразрез с Пунктом 1 правового акта: «Утвердить прилагаемые Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Специальных стандартов по мерам безопасности для вышеназванных инстанций в законодательном акте нет, выходит и норм по защите информации для этих органов тоже не имеется?
Мнения экспертов при принятии новых регулятивных актов крайне важны: законодательство в сфере ИБ еще очень зыбко и может по-разному интерпретироваться. Доказательством того, что подобные акты требуют значительной доработки, может стать активная критика Алексея Лукацкого некоторых законов в области ИБ, несмотря на его участие в их составлении. По словам эксперта, любой нормативный или нормативно-правовой акт (а это, кстати, два разных понятия) он оценивает с двух точек зрения — «нравится/не нравится» и «корректно/некорректно, причем, «критикуя надо… нет не предлагать (хотя это само собой), а понимать основы, на базе которых появляются те или иные нормативные документы».
Вернуться к списку новостей
9809
Поделиться
2