Новый приказ – новые вызовы: изменения требований к защите ГИС

28 декабря 2024 года был опубликован проект приказа ФСТЭК России об утверждении новых требований о защите информации в ГИС. С 1 сентября 2025 года утратит силу приказ ФСТЭК России № 17, который начиная с 2013 года, применялся для защиты государственных информационных систем (ГИС). Новые требования будут распространяться не только на ГИС, но и на другие информационные системы, используемые государственными органами, предприятиями и учреждениями. Разбираем в деталях, что понадобится предпринять для успешного выполнения новых требований.

Что стоит знать?

По сравнению с прошлой версией законопроекта можно наблюдать смягчение технических мер в пользу организационных, требования выражены без привязки к классу информационных систем. Классификация систем при этом не претерпела значительных изменений по сравнению с предыдущей редакцией приказа. По-прежнему существует 3 класса защищенности, самый низкий класс – третий, самый высокий – первый. Класс защищенности определяется в зависимости от уровня значимости информации и масштаба самих систем.

Проект приказа нацелен на проактивный подход к информационной безопасности и включает в себя обширный набор организационных мер с целью формирования комплексного подхода к защите информации. Особое внимание в нем уделяется практике применения цикла PDCA (цикла Деминга) для управления защитой информации. Текущая редакция законопроекта также вводит новые «группы» мер защиты — необходимость разработки безопасного ПО, защиты информации при использовании ИИ, «интернета вещей», технологий контейнерных сред и их оркестрации, а также обеспечение непрерывности функционирования государственных информационных систем. Также среди требований, повышение уровня знаний сотрудников по вопросам защиты информации (сюда будут относиться лекции, семинары и обучающие игры, а также имитационные фишинговые рассылки для оценки сотрудников).

«Законопроект имеет огромное значение для владельцев ГИС. Представителям государственных организаций предстоит провести большую работу, это и внедрение новых средств защиты, и актуализация всей документации по защите информации. Что важно, в законопроекте отсутствует привычная для подобных документов таблица мер по классам защищенности. Это может привести к неопределенности и затруднениям в интерпретации новых требований. Поэтому в текущем году стоит ожидать не только скорректированный вариант приказа, но и новые методические рекомендации от ФСТЭК России, которые должны прояснить особенности применения новых требований. Тем не менее, уже сейчас очевидно, что организациям придётся приложить значительные усилия для их соблюдения. Ситуация осложняется тем, что после принятия приказа нужно будет действовать оперативно», — комментирует Алёна Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT. 

Как оценить защиту информации?

Для обеспечения контроля выполнения мер законопроектом предусмотрено выполнение оценок состояния защиты информации в виде 2-х показателей – определения текущего состояния защиты информации от базового уровня угроз и определения уровня зрелости.

Оценка показателей защищенности должна проводиться раз в полгода по методике, утвержденной ФСТЭК России в мае 2024 года. Оценка уровня зрелости должна будет проводиться раз в 2 года, но на данный момент методика ее проведения не утверждена.

Что касается дальнейших действий для владельцев ГИС, по результатам оценки показатели должны направляться во ФСТЭК России в срок не позднее 5 рабочих дней после их расчета. 

«В случае, если по результатам проведения соответствия, какие-то меры не соблюдаются, операторы ГИС в обязательном порядке должны устранить недостатки для достижения требуемого уровня в течение 6 месяцев», — комментирует Алёна Лукашева.

Вызов принят: план действий

Несмотря на то, что законопроект принесет ощутимые изменения для владельцев ГИС, государственным организациям не стоит прямо сейчас “бросаться в омут с головой”, нужно внимательно подойти к изучению новых требований, ожидая скорректированный вариант приказа от регулятора. Однако какие бы поправки в следующей редакции законопроекта ни были внесены, организациям в любом случае придется пересмотреть всю документацию по защите информации, провести повторную аттестацию систем, на которые ранее не распространялись требования приказа №17, и оценить показатели состояния текущей защиты информации и уровня зрелости систем по методике ФСТЭК России. При этом для соответствия высокому уровню зрелости также не обойтись без систем многофакторной аутентификации (2FA) и централизованного сбора событий безопасности (SIEM). 

Все средства защиты информации должны применяться с соблюдением запретов, установленных пунктом 6 Указа Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

Если у вас есть вопросы по законопроекту или нужна консультация по актуализации документации и мер защиты ГИС, оставляйте заявку на сайте.