Текущая редакция закона никак не определяет важные в сфере обеспечения информационной безопасности понятия «угроза безопасности информации» и «уязвимость IT-систем». Предлагаемые Минэкономразвития России поправки этот недостаток исправляют. МОСКВА, 20 июл — РИА Новости. Минэкономразвития России опубликовало на своем сайте проект федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации», в котором среди прочего вводятся понятия «угроза информационной безопасности» и «уязвимость IT-системы», следует из текста законопроекта. Текущая редакция закона никак не определяет важные в сфере обеспечения информационной безопасности понятия «угроза безопасности информации» и «уязвимость IT-систем». Предлагаемые Минэкономразвития России поправки этот недостаток исправляют. «Проектом федерального закона утверждаются определения понятий угрозы безопасности информации и уязвимости информационной системы, права и обязанности заказчиков и операторов государственных операционных систем», — говорится в сопроводительном сообщении на сайте министерства. Согласно тексту законопроекта, угрозой безопасности информации предлагается считать совокупность условий и факторов, создающих потенциальную или реальную опасность, связанную с неправомерным доступом к информации и (или) воздействием на нее. Под уязвимостью информационной системы предлагается понимать параметр информационной системы, в том числе информационных технологий и технических средств, характеризующий возможность реализации угрозы безопасности информации. Помимо этих двух определений, законопроект предлагает дополнить несколькими пунктами перечень прав и обязанностей заказчиков и операторов государственных информационных систем. В частности, заказчикам и операторам вменяется в обязанность на всех этапах создания и эксплуатации таких систем искать угрозы инфобезопасности систем, а также разрабатывать и внедрять системы защиты информации. Предлагаемые изменения описаны в статье 16.1, которую предлагается включить в текущую версию закона. Кроме того, законопроект предлагает дополнить текущую версию закона новой статьей 16.2, посвященной защите информации в информационных системах критически важных объектов. Заказчики и операторы таких систем, согласно тексту законопроекта, на всех стадиях создания и эксплуатации таких систем должны обеспечить защиту систем от неправомерного доступа. Кроме того, статья предлагает ранжировать информационные системы критически важных объектов в зависимости от двух факторов: степени важности самого объекта и степени влияния информационной системы на его функционирование. В законопроекте содержится и ряд более мелких нововведений. Сейчас Минэкономразвития России проводит публичные консультации, в рамках которых и был опубликован текст законопроекта. Вместе с ним министерство распространяет форму для обратной связи, с помощью которой можно внести предложения по улучшению закона. Обеспечение безопасности информационных систем на критически важных инфраструктурных объектах — таких, как предприятия транспорта, энергообеспечения, добычи и транспортировки полезных ископаемых, становится все более важной задачей. Неправомерное использование таких систем может привести к катастрофическим последствиям, что было доказано в 2010 году, когда «червь» Stuxnet атаковал заводы по обогащению урана в Иране, а также весной 2011 года, когда троянская программа под кодовым названием Wiper повредила базы данных крупного иранского нефтяного терминала, на несколько дней затормозив его работу. В России долгое время не обращали внимание на эту проблему, однако в минувший понедельник Совбез РФ опубликовал на официальном сайте документ с описанием направлений государственной политики по безопасности автоматизированных систем управления критически важными объектами инфраструктуры, в котором описываются планируемые действия государства в области обеспечения безопасности информационных систем, которые должны быть сделаны до 2020 года. По мнению экспертов, опрошенных РИА Новости, утверждение подобных планов — крайне своевременно, хотя их реализация до намеченной даты и поставит перед исполнителями множество очень сложных задач. 20.07.2012 http://digit.ru/state/20120720/393466863.html