24.07.2012

«Проектом федерального закона утверждаются определения понятий угрозы безопасности информации и уязвимости информационной системы, права и обязанности заказчиков и операторов государственных операционных систем»

Текущая редакция закона никак не определяет важные в сфере обеспечения информационной безопасности понятия «угроза безопасности информации» и «уязвимость IT-систем». Предлагаемые Минэкономразвития России поправки этот недостаток исправляют.

«Проектом федерального закона утверждаются определения понятий угрозы безопасности информации и уязвимости информационной системы, права и обязанности заказчиков и операторов государственных операционных систем», — говорится в сопроводительном сообщении на сайте министерства.

Согласно тексту законопроекта, угрозой безопасности информации предлагается считать совокупность условий и факторов, создающих потенциальную или реальную опасность, связанную с неправомерным доступом к информации и (или) воздействием на нее.

Под уязвимостью информационной системы предлагается понимать параметр информационной системы, в том числе информационных технологий и технических средств, характеризующий возможность реализации угрозы безопасности информации.

Помимо этих двух определений, законопроект предлагает дополнить несколькими пунктами перечень прав и обязанностей заказчиков и операторов государственных информационных систем.

В частности, заказчикам и операторам вменяется в обязанность на всех этапах создания и эксплуатации таких систем искать угрозы инфобезопасности систем, а также разрабатывать и внедрять системы защиты информации. Предлагаемые изменения описаны в статье 16.1, которую предлагается включить в текущую версию закона.

Кроме того, законопроект предлагает дополнить текущую версию закона новой статьей 16.2, посвященной защите информации в информационных системах критически важных объектов. Заказчики и операторы таких систем, согласно тексту законопроекта, на всех стадиях создания и эксплуатации таких систем должны обеспечить защиту систем от неправомерного доступа. Кроме того, статья предлагает ранжировать информационные системы критически важных объектов в зависимости от двух факторов: степени важности самого объекта и степени влияния информационной системы на его функционирование.

В законопроекте содержится и ряд более мелких нововведений.

Сейчас Минэкономразвития России проводит публичные консультации, в рамках которых и был опубликован текст законопроекта. Вместе с ним министерство распространяет форму для обратной связи, с помощью которой можно внести предложения по улучшению закона.

Обеспечение безопасности информационных систем на критически важных инфраструктурных объектах — таких, как предприятия транспорта, энергообеспечения, добычи и транспортировки полезных ископаемых, становится все более важной задачей. Неправомерное использование таких систем может привести к катастрофическим последствиям, что было доказано в 2010 году, когда «червь» Stuxnet атаковал заводы по обогащению урана в Иране, а также весной 2011 года, когда троянская программа под кодовым названием Wiper повредила базы данных крупного иранского нефтяного терминала, на несколько дней затормозив его работу.

В России долгое время не обращали внимание на эту проблему, однако в минувший понедельник Совбез РФ опубликовал на официальном сайте документ с описанием направлений государственной политики по безопасности автоматизированных систем управления критически важными объектами инфраструктуры, в котором описываются планируемые действия государства в области обеспечения безопасности информационных систем, которые должны быть сделаны до 2020 года. По мнению экспертов, опрошенных РИА Новости, утверждение подобных планов — крайне своевременно, хотя их реализация до намеченной даты и поставит перед исполнителями множество очень сложных задач.

Источник:  iksmedia.ru


Рейтинг статьи