В августе 2023 года ФСТЭК опубликовал проект документа, который может серьезно изменить подход к защите государственных информационных систем. Речь идет о новой версии печально известного 17-го приказа.
Новая версия этого акта существенно расширяет требования к защите информации и затрагивает не только ГИСы, но и другие информационные системы госорганов.
Что конкретно изменится, если проект примут? Станет ли сложнее соблюдать требования? Придется ли переделывать существующие системы защиты? В этой статье мы детально разберем ключевые изменения в требованиях ФСТЭК и попробуем понять, как они могут повлиять на работу ИБ-специалистов в государственных организациях. Об изменениях расскажет Анастасия Кузенкова, специалист по защите персональных данных Бастиона.
Спойлер: изменений действительно много, и они затрагивают практически все аспекты защиты информации — от определения целей до конкретных технических мер. Некоторые нововведения могут показаться избыточными, но если вы узнаете о них заранее, то у вас будет время подготовиться.
Critical update для ИБ-специалистов
Практически год назад президент провел совещание Совета безопасности на тему усиления защиты информационной безопасности России от кибератак иностранных спецслужб.
В связи с этим ФСТЭК России решила обновить некоторые нормативные акты. Среди них Приказ № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». 21 августа ФСТЭК опубликовала изменения в двух документах:
Проект Приказа Федеральной службы по техническому и экспортному контролю «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17».
«Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».
Вышеупомянутый Проект вносит в Приказ № 17 совсем небольшие изменения:
Приказ № 17 | Проект приказа «О внесении изменений…» |
Организационные и технические меры защиты информации должны обеспечивать: - идентификацию и аутентификацию субъектов доступа и объектов доступа; … - защиту информационной системы, ее средств, систем связи и передачи данных. | Организационные и технические меры защиты информации должны обеспечивать: - идентификацию и аутентификацию субъектов доступа и объектов доступа; … - защиту информационной системы, ее средств, систем связи и передачи данных; |
- защиту информационной системы от угроз типа «отказ в обслуживании». |
Как видите, в обновленном документе появилось требование по защите от DDoS-атак. Оно касается систем с интерфейсами и сервисами, которые должны быть постоянно доступны из интернета. Проект приказа подробно описывает организационные и технические меры, направленные на защиту от такого рода угроз.
Однако это еще не все. Примерно в то же время 8 августа на сайте регулятора появился проект нового приказа «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Сейчас он недоступен (копия сохранилась в отраслевых телеграм-каналах), однако 24 октября на конференции «Сохранить все: безопасность информации» начальник управления ФСТЭК Дмитрий Шевцов подтвердил планы по выпуску новых требований в начале 2025 года.
И хотя в деталях этот документ еще может измениться, уже сейчас важно проанализировать значимость грядущих изменений. Спойлер: их настолько много, что вникать придется очень внимательно.
Структура приказа
Для начала обратим внимание то, что структура нового приказа существенно отличается от действующей версии этого документа.
Приказ № 17 | Проект приказа «Об утверждении…» |
I. Общие положения | I. Общие положения |
II. Требования к организации защиты информации, содержащейся в информационной системе: - формирование требований к защите информации, содержащейся в информационной системе; - разработка системы защиты информации информационной системы; - внедрение системы защиты информации информационной системы; - аттестация информационной системы и ввод ее в действие; - обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы; - обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации. | II. Требования к организации и управлению защитой информации, содержащейся в информационных системах: - определение целей защиты информации; - разработка и утверждение политики защиты информации; - назначение лиц, ответственных за защиту информации; - утверждение внутренних организационно-распорядительных документов, регламентирующих порядок проведения мероприятий по защите информации в соответствии с настоящими Требованиями, а также устанавливающих с учетом особенностей деятельности операторов требования к реализации мер по защите информации; - выделение ресурсов, необходимых для защиты информации; - управление деятельностью по защите информации. |
III. Требования к мерам защиты информации, содержащейся в информационной системе | III. Требования к мерам по защите информации, содержащейся в информационных системах |
Приложение № 1 «Определение класса защищенности информационной системы» | Приложение № 1 «Определение класса защищенности информационной системы» |
Приложение № 2 «Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы» |
Наиболее существенные изменения затронули второй раздел приказа. Также важные поправки внесены в раздел «Общие положения».
Проанализируем ключевые изменения в формате до/после, сосредоточившись на положениях, которые напрямую влияют на работу государственных органов. Начнем с изменений в первом разделе.
Как изменились общие положения приказа
Приказ № 17 | Проект приказа «Об утверждении…» |
I. Общие положения | I. Общие положения |
п.2. В документе устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее — информация), от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней (далее — защита информации) при обработке указанной информации в государственных информационных системах. | п.2. Настоящие Требования являются обязательными для защиты, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней. |
п.3. Настоящие Требования не распространяются на государственные информационные системы Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации. | п.4. Применение настоящих Требований для защиты информации, содержащейся в информационных системах, находящихся в ведении Администрации Президента Российской Федерации, аппарата Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Аппарата Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Федеральной службы безопасности Российской Федерации, осуществляется по решению руководителей указанных государственных органов или уполномоченных ими лиц. |
п.2. В документе не рассматриваются требования о защите информации, связанные с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации. | п.7. При использовании для защиты информации, содержащейся в информационных системах, шифровальных (криптографических) средств защиты информации настоящие Требования применяются совместно с Требованиями о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств, утвержденными приказом ФСБ России от 24 октября 2022 г. № 524. |
п.9. Иные информационные системы должны соответствовать настоящим Требованиям только в случае обработки и хранения в них информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации, переданной из государственных информационных систем, соответствующих настоящим Требованиям. При этом состав передаваемой информации, цели и уровень ее защиты в соответствии с настоящими Требованиями устанавливаются в договоре или ином акте, на основании которого предусматривается передача информации из государственных информационных систем в иные информационные системы. |
Пункт 2 нового проекта существенно расширяет сферу применения приказа. Теперь его требования распространяются не только на государственные информационные системы (ГИС), но и на другие информационные системы государственных органов. Здесь уже становится немного страшно: даже в одном органе их может быть столько, что аттестовать не переаттестовать. Однако ФСТЭК предусмотрел в пункте 9 важное уточнение: усиленные меры защиты требуются только для систем, которые получают информацию из ГИС. Можно немного выдохнуть: объем работы большой, но не неподъемный.
Раньше Приказ № 17 не распространялся на информационные системы Администрации Президента РФ, Совета Безопасности РФ, Федерального Собрания РФ, Правительства РФ и Конституционного Суда РФ. Теперь эти органы получают право самостоятельно принимать решение, применять требования приказа к своим информационным системам или нет.
Важное изменение коснулось использования средств криптографической защиты информации (СКЗИ). По новым требованиям организации должны руководствоваться не только нормативными актами ФСБ России, но и положениями нового приказа ФСТЭК.
С пониманием и внедрением изменений из первого раздела приказа не должно возникнуть особых проблем, однако дальше документ претерпел фундаментальные изменения. ФСТЭК разработал принципиально новый порядок действий, который заменит привычные процедуры из Приказа № 17. Рассмотрим их поэтапно, следуя структуре документа.
формирование требований к защите информации => определение целей защиты;
разработка системы защиты информации => разработка и утверждение политики защиты;
внедрение системы защиты информации => назначение ответственных лиц;
аттестация ИС => утверждение внутренних ОРД;
обеспечение защиты информации в ходе эксплуатации => выделение ресурсов, необходимых для защиты информации;
обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы => управление деятельностью по защите информации.
New. Определение целей защиты
Приказ № 17 | Проект приказа «Об утверждении…» |
Формирование требований к защите информации | Определение целей защиты |
1. Принятие решения о необходимости защиты информации, содержащейся в информационной системе. 2. Классификация информационной системы по требованиям защиты информации. 3. Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработка на их основе модели угроз безопасности информации. 4. Определение требований к системе защиты информации информационной системы. | 1. Определение целей защиты информации, содержащейся в информационных системах, которые должны содержать ожидаемые результаты от проведения мероприятий по защите информации по недопущению возникновения негативных последствий (ущерба) для обладателей информации, операторов. Для каждой цели защиты информации должны быть установлены количественные и (или) качественные показатели эффективности их достижения. 2. Цели защиты информации и показатели эффективности их достижения, актуальные для операторов, устанавливаются в политиках защиты информации. При установлении целей защиты информации должны учитываться результаты оценок рисков (ущерба), проведенных обладателями информации и операторами (в случае проведения таких оценок). |
Текущий порядок действий по Приказу № 17 включает четыре основных этапа:
Принятие решения о создании системы защиты и утверждение соответствующего приказа;
Классификация информационной системы и разработка акта классификации;
Определение актуальных угроз безопасности и создание модели угроз;
Формирование требований и разработка технического задания на создание системы защиты.
Новый проект приказа предлагает более детальный подход к обеспечению ИБ. Количество требований увеличилось, а процедуры, кажется, стали более запутанными.
Проект приказа вводит новый первичный этап в процесс защиты информации. Теперь организация должна начинать с определения целей защиты информации. ФСТЭК разработал конкретные показатели эффективности для оценки достижения этих целей.
Все цели и показатели документируются в новом обязательном документе — Политике защиты информации. Важное нововведение проекта — требование проводить оценку ИБ-рисков, ранее в Приказе № 17 его не было.
New. Утверждение политики защиты информации
Приказ № 17 | Проект приказа «Об утверждении…» |
Разработка системы защиты | Разработка и утверждение политики защиты информации |
1. Проектирование системы защиты информации информационной системы; 2. Разработка эксплуатационной документации на систему защиты информации информационной системы; Макетирование и тестирование системы защиты информации информационной системы (при необходимости). | Политика защиты информации должна включать: 1. область действия политики; 2. цели и показатели эффективности их достижения, задачи защиты информации; 3. принципы защиты информации; 4. объекты защиты: программные, программно-аппаратные средства, информационные системы, информационно-телекоммуникационные сети; 5. категории лиц, участвующих в защите информации, и их функции; 6. структуру системы управления деятельностью по защите информации; 7. виды и степень ответственности работников оператора за нарушения требований о защите информации и ее обработки в соответствии с законодательством Российской Федерации. С политикой защиты информации в части касающейся должны быть ознакомлены лица, которым на основании договора или ином законном основании передается информация, предоставляется доступ к информационным системам оператора или содержащейся в них информации для оказания услуг или выполнения функций по обработке, хранению информации, созданию (развитию), обеспечению функционирования информационных систем, а также работ, услуг по защите содержащейся в них информации. |
В текущей версии приказа процесс создания системы защиты информации состоит из нескольких этапов. Сначала мы проектируем систему защиты информации и описываем в техническом проекте. Затем разрабатываем рабочую документацию согласно ГОСТам 34.601, 34.201 и Р 51624. После тестирования и подтверждения работоспособности системы переходим к внедрению…
Вместо этого составители нового проекта приказа предписывают госорганам и компаниям с государственным участием разрабатывать политику защиты информации с четко регламентированной структурой. Впрочем, с практической точки зрения это базовое требование. Все, кто задумывается об информационной безопасности, давно уже должны были ее разработать.
New. Назначение ответственных лиц
Приказ № 17 | Проект приказа «Об утверждении…» |
Внедрение системы защиты информации | Назначение ответственных лиц |
1. Установка и настройка средств защиты информации в информационной системе. 2. Разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации. 3. Внедрение организационных мер защиты информации. 4. Предварительные испытания системы защиты информации информационной системы. 5. Опытная эксплуатация системы защиты информации информационной системы. 6. Анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению. 7. Приемочные испытания системы защиты информации информационной системы. | Организует защиту информации, содержащейся в информационных системах, руководитель оператора или по его решению ответственное лицо. Ответственное лицо выполняет функции в соответствии с должностным регламентом (инструкцией), разрабатываемым с учетом особенностей деятельности оператора на основе Типового положения о заместителе руководителя государственного органа (организации), ответственного за обеспечение информационной безопасности в государственном органе (организации), утвержденного постановлением Правительства Российской Федерации от 15 июля 2022 г. № 1272. В целях обеспечения защиты информации, содержащейся в информационных системах, руководитель оператора, ответственное лицо создает, определяет структурное подразделение или назначает отдельных специалистов, на которых возлагаются функции по защите информации. |
По данным разделам особенно хорошо видно, как сильно изменяется Приказ в части структуры и формулировок. Так, в части назначения ответственных лиц прослеживается влияние Указа Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Однако практика назначения ответственного за защиту информации и создания специального подразделения существует давно. Более интересны для анализа разделы об аттестации информационных систем и утверждении внутренних организационно-распорядительных документов.
New. Утверждение внутренних ОРД
Приказ № 17 | Проект приказа «Об утверждении…» |
Аттестация ИС | Утверждение внутренних ОРД |
1. Аттестация информационной системы проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в информационной системе. 2. По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний. 3. Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации. В этом случае распространение аттестата соответствия на другие сегменты информационной системы осуществляется при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания. 4. Аттестат соответствия выдается на весь срок эксплуатации информационной системы. Оператор (обладатель информации) в ходе эксплуатации информационной системы должен обеспечивать поддержку соответствия системы защиты информации аттестату соответствия | 1. Утверждаемые оператором внутренние регламенты должны содержать с учетом особенностей его деятельности порядок проведения мероприятий по защите информации, содержащейся в информационных системах, перечень лиц, участвующих в реализации этих мероприятий, и порядок их взаимодействия, а также выделяемые оператором для этого ресурсы (при необходимости). 2. Внутренние регламенты должны определять: - Порядок обеспечения ЗИ на стадиях жизненного цикла ИС; - Порядок разработки безопасного ПО (в случаях самостоятельной разработки); - Порядок предоставления удаленного доступа; - Порядок предоставления доступа к ИС подрядных организаций и/или передачи им информации; - Порядок обращения с защищаемой информацией и ее носителями; - Порядок доступа работников к сети «Интернет» и ее использования, взаимодействия с внешними ИТКС и ИС; - Порядок обучения и повышения уровня осведомленности работников в области ЗИ; - Порядок выявления, оценки и устранения уязвимостей ИС; - Порядок обновления ПО; - Порядок предоставления внутренним и внешним пользователям сервисов, доступ к которым осуществляется из сети «Интернет»; - Порядок мониторинга ИБ ИС; - Порядок проведения инвентаризации ИС и управления их конфигурацией; - Порядок заведения контроля и блокирования учетных записей (УЗ) пользователей средств аутентификации в ИС; - Порядок администрирования ИС; - Порядок контроля за обеспечением уровня защищенности информации; - Стандарт к первичной идентификации пользователей; - Стандарт к конфигурации и настройке ПО и ПАК; - Стандарт к защите СВТ внутренних пользователей, имеющих постоянный доступ к Интернету; - Стандарт к сбору, регистрации и анализу событий, связанных с нарушением безопасности информации или нарушением функционирования ИС; - Стандарт к применяемым моделям доступа пользователей; - Стандарт к настройкам и конфигурации доступа к сети Интернет; - Стандарт к настройкам и конфигурации ПАК при удаленном доступе внутренних пользователей, включая требования к обеспечению безопасной дистанционной работы. |
С аттестацией в целом также все понятно: после проверки системы и подтверждения корректной работы защиты выдается Аттестат соответствия. Кроме того, ФСТЭК, видимо, планирует внести уточнения в требования к внутренним организационно-распорядительным документам (ОРД). В проекте приказа ведомство не только определило содержание регламентов, но и установило конкретные требования к ним. Стандартных регламентов на каждую меру безопасности скоро будет недостаточно — придется думать, куда запихнуть еще и обязательные требования ФСТЭК.
Если вас смущают особенности проекта приказа в части проектирования, внедрения СЗИ и аттестации, дождитесь анализа следующих разделов. Еще капля терпения и мы доберемся до дебрей, где все расписано.
Обеспечение защиты информации в ходе эксплуатации, упомянутое в новом проекте — тоже давно известная история: планируем мероприятия по защите информации, анализируем угрозы, управляем системой защиты, реагируем на инциденты, обучаем персонал. В общем, делаем то, чем занимаются штатные безопасники в обычные рабочие дни.
Регулятор ввел обязательное требование по выделению ресурсов на ИБ. Теперь организации не могут отказаться от мер защиты, ссылаясь на отсутствие финансирования или кадров. При этом оператор системы самостоятельно определяет методы распределения ресурсов и формат документирования, поскольку ФСТЭК пока не установила специальные требования к этому процессу.
Ресурсы для защиты информации выделяются как в ходе создания информационных систем, так и для этапа их эксплуатации. Проще говоря — для того, чтобы постоянно что-то делать, нужно, чтобы было из чего делать.
Ключевое изменение касается процедуры выделения ресурсов: теперь требуется подготовить обоснование, включающее цели защиты информации и показатели эффективности. Документ также должен содержать анализ возможных негативных последствий и потенциального ущерба при отказе в выделении запрашиваемых ресурсов. Таким образом, простого запроса на приобретение дорогостоящих средств защиты информации недостаточно — необходимо предоставить детальное обоснование их необходимости.
New. Управление деятельностью по защите информации
Приказ № 17 | Проект приказа «Об утверждении…» |
Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы | Управление деятельностью по защите информации |
1. Архивирование информации, содержащейся в информационной системе. 2. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации. | Управление деятельностью по защите информации, содержащейся в информационных системах, должно предусматривать: 1. разработку и планирование мероприятий по защите информации; 2. проведение мероприятий по защите информации; 3. оценку состояния защиты информации; 4. совершенствование защиты информации. |
Когда мы говорили о капле терпения, это не было шуткой. Переходим к самым объемным разделам: обеспечению защиты информации при выводе из эксплуатации аттестованной информационной системы и управлению деятельностью по защите информации.
Защитить информацию при выводе системы из эксплуатации можно двумя способами: уничтожить ее или архивировать. Оба метода требуют строгого соблюдения законодательства.
Теперь разберемся с управлением деятельностью по защите информации. На этапе разработки и планирования мы создаем модель угроз и техническое задание для системы защиты. В соответствии с требованиями ФСТЭК, необходимо выявить и оценить угрозы безопасности информации, спланировать защитные меры и рассчитать требуемые ресурсы.
На этапе внедрения защитных мер мы реализуем технические и организационные решения: устанавливаем и настраиваем средства защиты информации, готовим необходимую документацию. ФСТЭК требует, чтобы мероприятия были направлены на:
исключение утечки конфиденциальной информации;
предотвращение несанкционированного доступа к информационным системам и содержащейся в них информации, своевременное обнаружение фактов такого несанкционированного доступа и реагирование на них;
недопущение воздействий на информационные системы и содержащуюся в них информацию;
недопущение нецелевого использования информационных систем и содержащейся в них информации;
обеспечение возможности восстановления в установленные сроки доступа авторизованных пользователей к информационным системам и содержащейся в них информации, заблокированной вследствие реализации (возникновения) угроз безопасности информации;
обеспечение возможности восстановления в установленные сроки информации, модифицированной или уничтоженной вследствие реализации (возникновения) угроз безопасности информации;
контроль за уровнем защищенности информационных систем и содержащейся в них информации.
Установили СЗИ, разработали ОРД и думали, что можно расслабиться? Нет. Дальше нужно проводить оценку состояния защиты информации.
Согласно проекту приказа, ее нужно будет проводить не реже 1 раза в 6 месяцев! Оператор должен отправить в ФСТЭК России результаты оценки защиты информации и уровня зрелости в течение 5 рабочих дней после их расчета.
В случае если по результатам оценки выяснится, что защиты информации и уровня зрелости не соответствуют нормам, специалисты по защите информации совместно с профильными подразделениями разрабатывают план улучшений. План включает предложения по совершенствованию организации защиты информации и меры по повышению уровня защищенности данных в информационных системах.
Несмотря на отсутствие требования согласовывать документацию с ФСТЭК, внедрение плана обязательно. Он должен содержать конкретные решения по приведению системы в соответствие с установленными нормативами.
New. Требования к мерам по защите информации, содержащейся в информационных системах
Мы закончили разбор второго раздела проекта приказа и 17 приказа ФСТЭК, но впереди еще много работы. Из приложений убрали замечательную таблицу «Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы». Всем сердцем надеемся и ждем, что ее вернут перед утверждением проекта.
Классификация осталась прежней, но третий раздел «Требования к мерам по защите информации» существенно изменился. Если раньше в 17 приказе было 13 наборов базовых мер, то в проекте ФСТЭК не на шутку разошелся.
Приказ № 17 | Проект приказа «Об утверждении…» |
Требования к мерам по защите информации, содержащейся в информационных системах | |
Принимаемые меры должны обеспечивать: 1. идентификацию и аутентификацию субъектов доступа и объектов доступа; 2. управление доступом субъектов доступа к объектам доступа; 3. ограничение программной среды; 4. защиту машинных носителей информации; 5. регистрацию событий безопасности; 6. антивирусную защиту; 7. обнаружение (предотвращение) вторжений; 8. контроль (анализ) защищенности информации; 9. целостность информационной системы и информации; 10. доступность информации; 11. защиту среды виртуализации; 12. защиту технических средств; 13. защиту информационной системы, ее средств, систем связи и передачи данных. | Принимаемые оператором меры по защите информации должны обеспечивать достижение целей защиты информации, определенных в политике защиты информации. Информационные системы до начала обработки и (или) хранения в них информации должны быть аттестованы в соответствии с Порядком организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденным приказом ФСТЭК России от 29 апреля 2021 г. № 77. Меры по защите информации, содержащейся в информационных системах, принимаемые в соответствии с настоящими Требованиями, подлежат дополнению организационными и техническими мерами, направленными ФСТЭК России в соответствии с подпунктом «е» пункта 1 Указа Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». 1. Оператор должен проводить инвентаризацию своих информационных систем и управление их конфигурациями. 2. Оператор должен проводить выявление и оценку актуальных угроз безопасности информации в ходе создания (развития) информационных систем, а также в ходе их эксплуатации. 3. Оператор обеспечивает управление уязвимостями информационных систем. 4. Оператор обеспечивает управление обновлениями программного обеспечения, применяемого в информационных системах. 5. Оператор обеспечивает защиту информации при поиске, сборе, хранении, обработке, предоставлении, распространении конфиденциальной информации, содержащейся в информационных системах. 6. Оператор обеспечивает защиту конечных устройств информационных систем. 7. Оператор обеспечивает защиту мобильных устройств, планшетных и переносных компьютеров, используемых для доступа к информационным системам (за исключением доступа к сайтам сети «Интернет»). 8. Оператор обеспечивает защиту информации при доступе работников оператора к информационным системам с использованием сети «Интернет» (за исключением доступа к сайтам сети «Интернет»). 9. Оператор обеспечивает защиту информации в ходе установки, настройки, мониторинга и оптимизации функционирования, обслуживания, устранения ошибок, обеспечения ремонта, иных привилегированных функций по управлению программными, программно-аппаратными средствами информационных систем. 10. Оператор обеспечивает мониторинг информационной безопасности информационных систем. 11. Оператором принимаются меры, направленные на исключение возможности возникновения уязвимостей в ходе разработки им программного обеспечения для применения в информационных системах. 12. Оператор обеспечивает физическую защиту программно-аппаратных средств информационных систем. 13. Оператор обеспечивает непрерывность функционирования информационных систем при возникновении нештатных ситуаций. 14. Оператор обеспечивает повышение уровня осведомленности работников по вопросам защиты информации в информационных системах и их обучение. 15. Оператор обеспечивает защиту информации при предоставлении доступа к своим информационным системам и (или) содержащейся в них информации подрядным организациям. 16. Оператор обеспечивает защиту информационных систем от атак, направленных на отказ в обслуживании. 17. Оператор обеспечивает защиту информации, содержащейся в его информационных системах, при использовании искусственного интеллекта. 18. Оператор в распределенных информационных системах, имеющих доменную архитектуру, обеспечивает доверие при доступе субъектов доступа к объектам доступа и их информационном взаимодействии с использованием информационно-телекоммуникационной сети. 19. Оператор обеспечивает реализацию в информационных системах мер по их защите и содержащейся в них информации: - идентификация и аутентификация; - управление доступом; - регистрация событий безопасности; - антивирусная защита; - защита виртуализации и контейнерных сред; - защита электронной почты; - защита веб-приложений; - защита конечных устройств; - защита мобильных устройств; - защита от утечек конфиденциальной информации; - защита каналов связи и межсетевого взаимодействия; - защита от атак типа «отказ в обслуживании»; - обнаружение и предотвращение вторжений; - сегментация и межсетевое экранирование. 20. Оператор обеспечивает периодическое проведение контроля уровня защищенности информации, содержащейся в информационных системах. |
Требования к мерам защиты значительно расширились. Часть прежних требований переформулирована, добавлены новые пункты 16 и 17. Пункт 19 дополнен новыми мерами для операторов информационных систем. Проект приказа детально описывает способы реализации всех мер.
Подведем итоги
Проект нового приказа ФСТЭК существенно меняет подход к защите информации в государственных информационных системах.
Основные изменения:
Расширение сферы применения на иные информационные системы госорганов;
Введение обязательной оценки рисков и показателей эффективности защиты;
Детальные требования к внутренним регламентам и политикам безопасности;
Обязательный мониторинг каждые 6 месяцев с отчетностью в ФСТЭК;
Значительное расширение перечня обязательных мер защиты.
Похоже, что специалистам по информационной безопасности госорганов предстоит много работы.
Самый простой и надежный способ подготовиться к грядущим изменениям — провести с нуля полный анализ своей системы защиты информации и пересмотреть каждый из этапов формирования и создания системы защиты. Только так можно быть уверенным, что ни одно из новых требований не останется пропущенным, и ваша система защиты информации будет соответствовать всем требованиям законодательства.
Но есть и хорошая новость: проект приказа еще не утвержден. И даже после его подписания, у организаций будет год на внедрение требований. Используйте это время для планомерной подготовки к модернизации. Помните, что некоторые этапы создания системы защиты информации могут выполнять только лицензированные организации по технической защите конфиденциальной информации. Проведите анализ, рассчитайте бюджет и готовьтесь к масштабной работе.
