Туристические информационные системы будут работать без сертификатов безопасности
Проект соответствующего постановления опубликован на портале проектов нормативных правовых актов. Согласно проекту постановления правительства РФ "Об особенностях эксплуатации отдельных информационных систем", под контроль Минэкономразвития переходят четыре автоматизированные информационные системы: "Единый федеральный реестр турагентов" (ГИС "ЕФРТА"), "Единый федеральный реестр туроператоров" (ГИС "ЕФРТ"), "Электронная путевка" и автоматизированная информационная система комплексной поддержки развития внутреннего и въездного туризма в РФ (АИС "Туризм").
В пояснительной записке к проекту постановления отмечено, что передаваемые на баланс МЭР системы не отвечают требованиям Положения №676 (постановление правительства РФ от 6 июля 2015 г. №676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации").
В частности, указанные ИС не имеют или имеют недействительные аттестаты соответствия требованиям безопасности информации. Кроме того, системы, используемые Агентством по туризму, не соответствуют требованиям по импортозамещению используемого программного обеспечения.
"После принятия систем на баланс министерства эксплуатировать их не представляется возможным, поскольку эксплуатация государственных информационных систем не допускается в отсутствии аттестата соответствия требованиям информационной безопасности в соответствии с пунктом 15 Положения №676, что повлечет приостановку оказания ключевых государственных услуг и функций в сфере туризма, таких как: формирование и ведение реестра электронных путевок; формирование и ведение единого федерального реестра туроператоров; формирование и ведение единого федерального реестра турагентов; ведение реестра гостиниц, горнолыжных трасс, пляжей", - указывают авторы проекта постановления.
В создавшейся ситуации авторы проекта постановления предлагают временно (до 31 декабря 2023 г.) приостановить в отношении указанных АИС требования Положения №676 для непрерывности оказания государственных услуг населению при последующей эксплуатации в МЭР переданных от агентства систем.
Представитель пресс-службы Минэкономразвития пояснил: "Проект постановления разработан для непрерывного оказания государственных услуг в сфере туризма и публикации информационных ресурсов в их текущем состоянии в условиях принятия Минэкономразвития полномочий по развитию туристской отрасли в стране. Указанные системы изначально были размещены Ростуризмом в аттестованных центрах обработки данных, в которых требования по информационной безопасности выполняются наложенными средствами, то есть не изначально присутствующими в системе, а предоставляемыми аттестованным центром обработки данных (ЦОД) и внедряемыми в защищаемую систему в процессе ее работы".
Руководитель аналитического центра компании Zecurion Владимир Ульянов считает проект постановления взвешенным и логичным решением. "Обеспечение информационной безопасности - это всегда поиск баланса между защищенностью и удобством использования или доступностью информации. Кроме того, сама по себе аттестация не делает систему более или менее защищенной. Гораздо важнее, насколько вопросы защищенности учитывались при разработке системы, как и кем она будет эксплуатироваться, с чем взаимодействовать. Полагаю, это взвешенное и оправданное решение в условиях, когда системы нужны в работе, а процесс аттестации может затянуться. Повторюсь, эксплуатация систем без аттестации не означает обязательной утечки информации, а любое использование так или иначе несет риски", - считает Владимир Ульянов.
Представитель пресс-службы Минэкономразвития заверил, что ситуация с аттестатами соответствия требованиям информационной безопасности находится под контролем. "В 2022 г. проводились аттестации информационных систем. В настоящее время ГИС "Электронная путевка" и ГИС "Единый федеральный реестр турагентов" аттестованы и эксплуатируются согласно законодательству. ГИС "Единый федеральный реестр туроператоров" и АИС "Туризм" будут доработаны в 2023 г. и подготовлены к аттестации", - сообщила пресс-служба Минэкономразвития.
Отметим, что в последнее время участились резонансные случаи утечки информации и в частности персональных данных населения. И отраслевые регуляторы уделяют этой проблеме повышенное внимание. Недавно заместитель директора Департамента обеспечения кибербезопасности Минцифры России Айсалу Бадягина заявила, что в Госдуму внесут законопроект, устанавливающий порядок компенсации ущерба пострадавшим от утечек персональных данных.