В августе 2024 года на
сайте ФСТЭК России был опубликован проект нового приказа, который внесёт значительные изменения в требования к защите информации, не составляющей государственную тайну, в государственных информационных системах и системах государственных органов, унитарных предприятий и учреждений.
Этот приказ придёт на смену приказу ФСТЭК России № 17 от 13 февраля 2013 года, который утратит силу с момента вступления нового документа.
Основные новшества:
1. Новый приказ вступит в силу через год после утверждения, за исключением пункта 50, который начнет действовать через два года. Этот пункт касается требований к обеспечению доверия при доступе и взаимодействии в распределенных системах с доменной архитектурой.
2. Руководитель оператора информационной системы или ответственное лицо будет отвечать за организацию защиты информации. Также оператору предстоит создать подразделение или назначить специалистов для этих целей.
3. Теперь контроль уровня защищенности (периодический контроль) будет проводиться не реже одного раза в год для всех классов защищенности, в отличие от приказа № 17, где для 2 и 3 классов контроль проводился раз в два года.
4. Оператор обязан обеспечить мониторинг информационной безопасности и направлять отчет о результатах в ФСТЭК до 1 февраля следующего года.
5. Оператор должен будет утвердить 7 стандартов и 15 регламентов, устанавливающих порядок мероприятий по защите информации, учитывающий особенности деятельности оператора.
6. Применяемые средства защиты информации должны соответствовать Указу Президента РФ № 250 от 1 мая 2022 г., что подразумевает переход на отечественные решения.
7. Повторная аттестация информационных систем, которые уже имеют аттестат соответствия, не требуется.
Сравнение старых и новых требований: Проект приказа ФСТЭК расширяет и уточняет перечень мер защиты, включая новые требования по защите веб-приложений, мобильных устройств, контейнерных сред и от атак типа «отказ в обслуживании». В числе новых аспектов — защита электронной почты и усиленные меры по предотвращению утечек конфиденциальной информации.
Подготовка к изменениям: Компании и учреждения должны заранее готовиться к внедрению новых требований, чтобы соответствовать стандартам информационной безопасности и не нарушать нормативные акты. Подробное сравнение старых и новых мер защиты, а также сроки их внедрения помогут спланировать необходимые шаги. Следите за изменениями и будьте в курсе всех изменений в области защиты информации!