Поправки в ФЗ-149. Чего от них ждать?

Поправки в ФЗ-149. Чего от них ждать?
Правительство наконец-то внесло в Госдуму долгожданный законопроект с поправками в трехглавый ФЗ-149. Об этом законопроекте впервые упомянул Виталий Лютиков на конференции ФСТЭК в феврале этого года. Основных идей у этого законопроекта было две - распространить его действие не только на ГИС и обязать госорганы информировать ФСТЭК и ФСБ об инцидентах ИБ.

В проекте, выложенном на общественное обсуждение, первый пункт звучал следующим образом: "информация, обладателями которой являются государственные органы или государственные корпорации". Однако в варианте, который ушел в Госдуму, фраза про госкорпорации исчезла. Предсказуемо. Все-таки Ростех, Росатом, Роснано, АСВ, Олимпстрой, Внешэкономбанк и Фонд содействия развитию ЖКХ не очень горели желанием попасть под обязательную регуляторику ФСТЭК. Но и без этого, поправка все равно расширяет сферу полномочий регулятора, который теперь сможет требовать и от многих коммерческих структур, допущенных к госзаказам и другим работам по заданию госорганов, выполнять свой 17-й приказ. Как минимум, будет поставлена точка в вопросе , должны ли ФГУПы, ГУПы и МУПы выполнять требования 17-го приказа или нет. В остальном законопроект несильно изменился по сравнению с весенней версией - обязательное информирование об инцидентах осталось (его порядок пока не определен ).

В качестве обоснования для внесения поправок в ФЗ-149 Правительство указало , что существует проблема с определением того, что такое "государственная информационная система". Но вместо того, чтобы в терминах к ФЗ-149 это понятие и ввести, они решили просто расширить круг субъектов, на которых распространяется действие закона, добавив в качестве условия исполнения новых норм не только наличие ГИС (как бы ее не определяли), но и обработку информацию, которая принадлежит госорганам. А это значит, что те, кто не относил ИС бухгалтерии или кадров в госах к ГИС не угадали и теперь им придется пересмотреть свой подход (а также бюджет). В своем  видео  я советовал все системы относить к ГИС, чтобы не иметь разночтений с регулятором (а он изначально любую ИС в госоргане считал ГИС), но многие со мной не соглашались, не желая загонять себя в прокрустово ложе аттестации. Теперь же ответ становится однозначным (если, конечно, законопроект примут).

Вообще к госам в последнее время усилилось внимание со стороны государства, которое уже не первый раз устанавливает все новые и новые требования по защите информации. И это не последнее, что еще ждет представителей органов власти разных уровней.

ЗЫ. Кстати, банки, работающие с ГИС ГМП (а их 601 ) тоже попадают под требования 17-го приказа...
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!