ИБ. НПА. Требования ИБ на этапах жизненного цикла ГИС

Постановлением правительства РФ от 11 мая 2017 г. N 555 были внесены изменения в постановление Правительства РФ от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации". Изменения в основном посвящены дополнительным требованиям по информационной безопасности на различных этапах жизненного цикла государственных информационных систем.

Требования вполне логичные и согласуются с уже существующими требованиями ФСТЭК России к этапам жизненного цикла систем защиты информации ГИС.  На схеме можно быстро ознакомится с изменениями (выделены светло красным).



Все требования вступают в силу через 2 недели после опубликования за исключением одного пункта (с 1 января 2019 г.). Иначе пришлось бы приостанавливать эксплуатацию ГИС в которых не все требования ИБ выполнены на данный момент.  

У некоторых экспертов наибольший интерес вызвали пункты, связанные с согласованием МУ и ТЗ с ФСТЭК России и ФСБ России. Но на всякий случай напомню, что данное требование появилось не в первые и это скорее хорошая возможность - теперь указанные службы не откажутся от согласования.   

152-ФЗ:
5. …, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации...”


PS: С ещё одним обзором данных изменений можно ознакомится у Алексея Лукацкого

Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3