27 сентября 2019 года вступит в силу приказ ФСТЭК России №106 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17».
Действие приказа расширилось на центры обработки данных (ЦОД), с целью регулирования работы государственных информационных систем (ГИС), имеющих точки присутствия в облачных средах. Класс защищенности ГИС не может быть выше класса защищенности информационно-телекоммуникационной инфраструктуры ЦОД. При этом угрозы безопасности информации и меры защиты должны учитываться в модели угроз ГИС.
Обеспечение защиты информации в ходе эксплуатации ГИС расширилось мероприятиями управления:
- планирование мероприятий по защите информации;
- анализ угроз безопасности информации в ходе эксплуатации ГИС;
- управление (администрирование) системой защиты информации;
- управление конфигурацией ГИС и ее системой защиты информации;
- реагирование на инциденты в ходе эксплуатации ГИС;
- информирование и обучение персонала;
- контроль за обеспечением уровня защищенности информации.
Расширены требования к вопросам сопровождения и управления информационной безопасностью ГИС, мониторинга и реагирования на инциденты ИБ, обучения персонала. Регулярное исследование угроз должно включать анализы уязвимостей ГИС и изменения угроз безопасности в ходе эксплуатации ГИС.
Вопросы контроля за обеспечением уровня защищенности информации, содержащейся в ГИС, отданы оператору ГИС. Аттестат соответствия выдается на весь срок эксплуатации информационной системы.
Согласованный проект документа доступен на Федеральном портале проектов нормативных правовых актов regulation.gov.ru. Финальный вариант приказа может немного отличаться от него.
Эксперты группы компаний Angara советуют дождаться официального документа на сайте ФСТЭК России fstec.ru.