Вступление в силу нового Приказа ФСТЭК не стало для организаций неожиданностью - утвержденный еще в апреле 2025 года, документ начинает действовать только с марта 2026 года. Такой запас времени законодатели предусмотрели не случайно - Приказ содержит ряд принципиальных изменений, и, чтобы соответствовать его требованиям, большинству организаций потребуется подготовка, которая займет не один день.
С чего начать подготовку и как не упустить что-нибудь важное - рассказываем.
Подготовка к подготовке или немного полезной бюрократии
Чтобы тщательно подготовиться к вступлению в силу новых требований и случайно не упустить из вида важные нюансы, придется потратить немного времени и сил на...подготовку к подготовке. Что понадобится на этом «нулевом» этапе:
- Сформировать рабочую группу. В ее состав помимо сотрудников структурного подразделения по ИБ должны также войти ИТ-специалисты, сотрудники тендерного отдела и юристы. Последним потребуется пересмотреть действующие договоры с подрядчиками и подготовить новые типовые формы для заключения контрактов в будущем.
- Определить перечень и объемы необходимых ресурсов (в том числе человеческих, технических, финансовых), учесть эти данные при формировании бюджета. Реализация некоторых мероприятий - например, сегментация, резервирование, мониторинг - требует обновления инфраструктуры, внесения изменений в штатное расписание и может оказаться весьма затратной.
- Предусмотреть синхронизацию политики ИБ с реальной архитектурой имеющихся и / или внедряемых систем - чтобы соответствовать Приказу, недостаточно просто описать мероприятия, потребуется их выполнять и обязательно иметь подтверждение выполнения.
- Также стоит подумать об интеграции дорожных карт цифровизации (при наличии) и мер, предусмотренных для обеспечения соответствия требованиям Приказа. Так можно избежать задвоения затрат на ИТ и ИБ направления.
Шаг №1 - привести в порядок локальные нормативные акты и назначить ответственных
Приказ содержит много изменений в части состава, содержания и сути ОРД. Чтобы внутренняя документация соответствовала требованиям регулятора, понадобится:
- провести актуализацию политики ИБ согласно требований Приказа;
- прописать порядок устранения уязвимостей, относящихся к низкому и среднему уровню опасности (особое внимание уделить определению сроков - они должны быть реалистичными);
- Также нужно назначить ответственного за организацию защиты информации и обязательно четко, понятно и однозначно определить и зафиксировать его полномочия и обязанности.
Дополнительно может потребоваться организация профессиональной подготовки (или переподготовки) для специалистов отдела, занимающегося ИБ.
Шаг №2 - наладить работу с подрядчиками в части защиты информации
Безопасности данных при взаимодействии с подрядными организациями в Приказе уделено особое внимание. Чтобы соответствовать его требованиям, необходимо:
- сформировать требования по защите информации для подрядчиков и включить их в договоры с контрагентами;
- определить, как именно будет обеспечиваться защита данных, к которым предоставляется доступ специалистам подрядной организации.
- Кроме того, необходимо предусмотреть организационные и технические меры по защите информации.
Стоит также проанализировать состояние ИБ у подрядчиков. Если контрагент не соответствует новым требованиям и не готов работать над этим, при прохождении аттестации он может стать «слабым звеном» с точки зрения регулятора.
Шаг №3 - выстроить ряд процессов и обеспечить их контроль.
В том числе необходимо:
- управлять уязвимостями;
- проводить тренировки и регулярно проверять наличие возможности восстановить важные функции ИС, используя при этом резервные копии;
- проводить мероприятия по оценке защищенности информации.
- Кроме того, потребуется уделять внимание повышение уровня знаний персонала в сфере ИБ, а также периодически оценивать осведомленность сотрудников в сфере защиты информации.
Шаг №4 - предусмотреть внедрение PAM и EDR-систем
Использование этих решений позволяет одновременно выполнить требования ФСТЭК и добиться повышения уровня защищенности информации.
Шаг №5 - не забыть вовремя уведомлять регулятора
В частности, в течение 5 рабочих дней с даты выполнения потребуется направить в адрес ФСТЭК данные о:
- итогах оценки уровня защищенности данных;
- выявленных уязвимостях, отсутствующих в банке угроз;
- оценки показателей ПЗИ и КЗИ.
Важный нюанс: аттестаты соответствия на государственные и иные ИС, которые были выданы до 1 марта 2026 года, после вступления в силу Приказа №117 будут считаться действующими. Проводить для них повторные аттестационные мероприятия не нужно.
При подготовке к введению в действие нового Приказа ФСТЭК важно правильно оценить ресурсы и возможности организации. Если компания не располагает необходимым персоналом, техникой, технологиями, то разумно обратиться за помощью к сторонним экспертам - это позволит значительно упростить процесс подготовки, избежать досадных ошибок и недоразумений, а также меньше отвлекать собственный персонал от основных рабочих процессов.
Эксперты «Кредо-С» готовы взять на себя значительную часть подготовительных мероприятий и помочь компании привести свои процессы в соответствие с требованиями регулятора максимально быстро и эффективно.