Государственные информационные системы усиливают меры по защите данных, вводя новые требования для подрядчиков

В ближайшее время Государственная дума может приступить ко второму чтению правительственного законопроекта, направленного на упорядочение государственных информационных систем (ГИС). Первое чтение документа, предусматривающего корректировки в Федеральный закон № 149-ФЗ об информации, информационных технологиях и о защите информации, состоялось в июле текущего года. 14 ноября на форуме «Цифровые решения» директор Федерального государственного бюджетного учреждения «Центр экспертизы и координации информатизации» (ЦЭКИ), подведомственного Министерству цифрового развития, Алексей Чукарин представил предварительную редакцию доработанного законопроекта. Одним из ключевых положений является инициатива по введению стандартов информационной безопасности для организаций, выполняющих задания для государственных структур и получающих доступ к ГИС.

Проект изменений в 149-ФЗ, ориентированный на структурирование комплекса ГИС, стал темой обсуждения на сессии «Государственные информационные системы — обязательство или возможность». Правительство направило поправки в Госдуму 7 июля, и 17 июля они были одобрены в первом чтении. Планируемое рассмотрение во втором чтении намечено на ноябрь. Как отметил Алексей Чукарин, предлагаемые нововведения можно классифицировать по семи основным направлениям.

Первое касается уточнения типов ГИС (федерального и регионального уровня). Второе — детализация критериев классификации ГИС. В текущей версии закона отсутствуют четкие границы, что приводит к неоднозначностям, например, в распределении полномочий между подведомственными учреждениями, федеральными и региональными органами. Третье направление предполагает формирование ведомственными органами специализированных систем для выполнения стандартных задач, таких как документооборот, кадровый учет и бухгалтерский учет. Четвертое — определение Министерством цифрового развития функциональных стандартов для этих систем, с акцентом на обработку данных.

Наиболее значимым с технологической точки зрения эксперты считают пятое нововведение — интеграцию облачных технологий. Шестое — возможность разработки ГИС за счет субсидий, предоставляемых подведомственным учреждениям. Седьмое положение вводит дополнительные меры по обеспечению информационной защиты. В частности, организации, привлеченные к работам для государственных органов, учреждений и предприятий с доступом к ГИС, обязаны подтвердить соблюдение установленных правительством требований по защите данных.

Подготовка законопроекта ко второму чтению в Госдуме фокусировалась на уточнении критериев отнесения информационных систем к ГИС, интеграции современных технологий при создании ГИС с гарантией защиты информации, а также на вовлечении подведомственных учреждений в процесс разработки и финансировании. Кроме того, акцент сделан на обеспечении информационной безопасности ГИС, включая этапы выполнения работ и оказания услуг. Как сообщил на сессии форума «Цифровые решения» первый заместитель директора Федеральной службы по техническому и экспортному контролю Виталий Лютиков, стандарты информационной безопасности будут варьироваться в зависимости от характера работ подрядчика и уровня доступа к данным. Например, для разработчиков предусмотрены строгие требования, в то время как для операторов систем, занимающихся эксплуатацией и поддержкой, они будут менее жесткими.

Необходимость закрепления таких стандартов для подрядчиков представитель ФСТЭК обосновал тем, что подобные компании обладают повышенным уровнем доступа к информационным системам государственных органов или IT-инфраструктуре, что делает их уязвимыми для злоумышленников. Они могут взламывать системы подрядчиков, захватывать сессии или учетные записи, а затем проникать в основную инфраструктуру. Контроль за соблюдением требований возложат на ФСТЭК и ФСБ.

В целом, правительственный законопроект представляет собой попытку сбалансировать требования по безопасности, выдвигаемые контролирующими органами, и создание унифицированной среды ГИС. Это позволит исполнительной власти внедрять принципы доказательной государственной политики, основанной на централизованной обработке данных в растущем массиве ГИС под контролем верхнеуровневых автоматизированных систем, таких как ГАС «Управление» и «Электронный бюджет».