Иван Родин Правительство готовит ужесточение правил обработки значимой для государства, хотя вовсе и не секретной, информации, в том числе и частными операторами. Федеральная служба по техническому и экспортному контролю (ФСТЭК) выяснила, что договоры госструктур с ними – это обычная практика. Однако четких требований по безопасной работе с базами данных для коммерческих компаний нет. Например, они не обязаны сообщать властям о «компьютерных инцидентах» и принятых после этого мерах.
На правительственном портале по обсуждению проектов нормативных актов размещены предложения ФСТЭК по корректировке Закона «Об информации, информационных технологиях и о защите информации». Эта своего рода технологическая контрразведка страны обратила внимание на тревожную ситуацию с массивом важных для государства сведений, находящихся в компьютерных сетях. Дело в том, что госинформресурсы федерального, регионального и местного уровней работают по жестким нормам безопасности, а вот частные подрядчики, сплошь и рядом привлекаемые к обработке баз данных в субъектах РФ, этим правилам не подчиняются.
ФСТЭК предлагает распространить на них эту обязанность. Все, кто получает доступ к информации, значимой для государства, должны будут выстраивать свою деятельность под специальные требования, утвержденные приказами и этого ведомства, и ФСБ. Стоит отметить, что в данных документах, в частности, устанавливаются четыре класса защищенности информации, которые назначаются в зависимости от масштаба возможного ущерба стране в случае утечки тех или иных сведений. Частные IT-компании также должны будут составлять локальные акты, связанные с безопасностью, назначать ответственных сотрудников – в общем, серьезно увеличивать собственные издержки.
«Значительные объемы данных о гражданах, сведения в экономической, социальной, политической, правоохранительной и других областях деятельности государства, подлежащих защите, обрабатываются госорганами с использованием информсистем, не отнесенных к государственным и не включенных в реестр федеральных информсистем и реестры субъектов РФ» – такой вывод сделан ФСТЭК по итогам проверок того, как защищаются сведения ограниченного доступа. Кстати, в реестре ведомства сейчас 339 систем федерального значения, а регионы сертифицировали вообще уже 1200 информресурсов.
Причем ФСТЭК, похоже, больше возмущает передача информационных работ именно коммерческим компаниям. Так что вполне возможно разглядеть здесь не только заботу об интересах государства, но и желание предоставить конкурентные преимущества неким организациям, которые то ли в силу своей величины, то ли степени аффилированности с властями смогут взять на себя дополнительные обязанности по соблюдению общегосударственных норм конфиденциальности. Впрочем, как уверяет ФСТЭК, ее предложения – это вовсе не какой-то волюнтаризм, а исполнение одного из поручений президента по вопросам совершенствования защиты информации от 21 октября 2015 года.
Наиболее же любопытной выглядит такая поправка к закону: все без исключения операторы должны уведомлять ФСТЭК и ФСБ о случившихся у них «компьютерных инцидентах». Это, как следует из пояснительной записки, вызвано «необходимостью оценки достаточности установленных требований о защите информации и их совершенствованию (по результатам оценки) в целях предупреждения возникновения инцидентов в последующем». Заметим, что речь идет о хакерских атаках, проникновении вирусов и даже банальном копировании каких-то данных. Проверки выявили, отмечают в ведомстве, что дела плохи: «Результаты оценки уровня защищенности в таких информсистемах показывают, что в 80% из них возможна реализация угроз нарушителями, не обладающими какими-либо специальными средствами и знаниями».
Дарья Гармоненко 
