27 сентября 2019 года вступил в силу приказ ФСТЭК России №106 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17».
Действие приказа расширилось на центры обработки данных (ЦОД), с целью регулирования работы государственных информационных систем (ГИС), имеющих точки присутствия в облачных средах. Класс защищенности ГИС не может быть выше класса защищенности информационно-телекоммуникационной инфраструктуры ЦОД. При этом угрозы безопасности информации и меры защиты должны учитываться в модели угроз ГИС.
Обеспечение защиты информации в ходе эксплуатации ГИС расширилось мероприятиями управления:
· планирование мероприятий по защите информации;
· анализ угроз безопасности информации в ходе эксплуатации ГИС;
· управление (администрирование) системой защиты информации;
· управление конфигурацией ГИС и ее системой защиты информации;
· реагирование на инциденты в ходе эксплуатации ГИС;
· информирование и обучение персонала;
· контроль за обеспечением уровня защищенности информации.
Расширены требования к вопросам сопровождения и управления информационной безопасностью ГИС, мониторинга и реагирования на инциденты ИБ, обучения персонала. Регулярное исследование угроз должно включать анализы уязвимостей ГИС и изменения угроз безопасности в ходе эксплуатации ГИС.
Необходимость проведения контроля уровня защищенности:
· Самостоятельно или с привлечением лицензиата
· К1- не реже 1 раз в год
· К2и К3 – не реже 1 раза в 2 года.
А также необходимо использовать сертифицированные маршрутизаторы:
«При проектировании вновь создаваемых или модернизируемых информационных систем, имеющих доступ к информационно-телекоммуникационной сети «Интернет», должны выбираться маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации (в части реализованных в них функций безопасности)».