Документ был утвержден в апреле 2025 года, чтобы актуализировать требования, предъявляемые в защите данных, привести их в соответствие с существующими в настоящее время угрозами, учесть уровень развития технологий - как обеспечивающих ИБ, так и применяемых киберпреступниками.
В сравнении с предыдущим Приказом, действие которого прекращается с 1 марта, в сторону расширения и уточнения меняется сфера применения документа, перечень и содержание мероприятий, прописанных в нем.
Ключевые изменения и нововведения, предусмотренные приказом, мы разберем подробнее.
Область применения
Если ранее действовавший приказ распространялся исключительно на государственные ИС, то новый документ также будет охватывать некоторые иные ИС, в том числе:
- ГУПов и ГУ;
- госорганов;
- ИС муниципального уровня.
- Если государственные и муниципальные ИС действуют в РФ, требования документа становятся для них обязательными к исполнению.
Требования к организации процессов по защите информации
ФСТЭК предъявляет целый комплекс требований к обеспечению безопасности данных. Условно их можно разделить на несколько объемных блоков:
- Определение и подбор методов и мер защиты
- Документ требует внедрить некоторые элементы цикла PDCA, также известного как цикл Деминга-Шухарта. Это позволит структурировать процесс совершенствования защитных мероприятий, которое должно осуществляться непрерывно. Законодатели переработали комплекс основных направлений, включив новые разделы.
- Конкретизированы и дополнены требования, которым должны соответствовать внутренние нормативные акты, прописан ряд моментов, которые понадобится учесть при формировании их содержания.
- Взаимодействие с подрядчиками - важно разработать порядок предоставления им доступа к ИС и прописать необходимость выполнять политик и ОРД оператора ИС в части ИБ.
- Ответственность и функции лиц, занимающихся ИБ - теперь требуется четко и строго прописывать и то, и другое в локальных нормативных актах оператора.
- Организация контроля соответствия нормативам.
Основные мероприятия
Новый приказ ФСТЭК предусматривает значительное расширение перечня мероприятий, которые нужно реализовывать, чтобы эффективно защищать данные. Организации, подпадающие под действие документа, должны:
Выявлять и оценивать угрозы безопасности информации (УБИ)
Создавая ИС, теперь необходимо определять актуальные угрозы и моделировать выявленные УБИ - если это предусмотрено постановлением Правительства №676. Аналогичные мероприятия потребуется выполнять уже в процессе эксплуатации созданной ИС.
Контролировать конфигурации ИС
Ранее в рамках данного процесса требовалось:
- определить компоненты ИС, которые можно и нужно изменять;
- составить список людей, которые имеют право вносить изменения в конфигурацию ИС;
- организовать процессы управления изменениями как самой ИС, так и ее СрЗИ, а также контролировать их.
Теперь в качестве дополнительной меры законодатели обязывают обеспечить доступ к информации об учете ИТ-активов уполномоченному отделу или сотрудникам, в чьи функции входит ИБ, кроме того эти сотрудники теперь обязаны контролировать конфигурации ИС.
Управлять уязвимостями
Документ устанавливает жесткие сроки устранения уязвимостей после их обнаружения. Если уязвимость относится к высокому уровню опасности, то организация обязана устранить ее в течение недели, а для критического уровня этот срок сокращается до 1 суток.
Если данных о выявленной уязвимости нет в соответствующем банке данных, то в течение 5 рабочих дней с момента выявления необходимо направить информацию во ФСТЭК - способ направления данных не регламентирован. Если уровень низкий или средний, то оператор устанавливает длительность устранения сам и прописывает это в ЛНА. При устранении уязвимостей можно руководствоваться методическим руководством ФСТЭК от 17 мая 2023 года.
Управлять обновлениями
В рамках этого процесса необходимо учитывать особенности работы конкретной ИС и не допускать бесконтрольную установку обновлений. При исполнении данного пункта можно руководствоваться методикой ФСТЭК от 28 октября 2022 года.
Проводить мониторинг ИБ
Для реализации этого мероприятия следует руководствоваться национальным стандартом РФ (разделы 4 и 5).
Обеспечить разработку безопасного ПО
Здесь ФСТЭК требует, чтобы применялись положения соответствующего ГОСТ Р - это требование распространяется как на самостоятельную разработку, так и на работы с привлечением подрядчиков.
Обеспечить непрерывную работу ИС при возникновении инцидентов
Длительность восстановления работы согласно приказа №117 зависит от класса защищенности ИС. Если для 3 класса этот срок составляет 4 недели с момента выявления нарушений, то для 2 придется уложиться в неделю, а для 1 - восстановить работу всего за 1 сутки.
Проверять, возможно ли все восстановить в установленный срок с использованием резервных копий нужно как минимум каждые 2 года.
Организовать соблюдение требований ИБ при работе с подрядчиками
Если оператор ИС взаимодействует с подрядчиками, он должен исключить возможность воздействия на ИС или несанкционированного доступа к ней. Разрабатывать, развивать и / или тестировать ПО в эксплуатируемой ИС теперь не допускается - такие работы требуется выполнять на выделенных стендах.
Предусмотреть защитные мероприятия, направленные на предотвращение DDoS-атак
Здесь не обойтись без тесного взаимодействия с ГосСОПКА. Понадобится подключение е ее инфраструктуре - это допускается сделать через специальный коммерческий центр либо самостоятельно.
Также потребуется обеспечить безопасность данных:
- относящихся к категории информации ограниченного доступа;
- при пользовании конечными устройствами и мобильными гаджетами;
- при работе с удаленных станций и беспроводном, а также привелегированном доступе. Для последнего предусмотрена необходимости внедрения PAM-систем и проработка аутентификации
Как и раньше, с обновленном НПА прописаны меры по обеспечению физической защиты ИС. Конкретизированы процедуры информирования сотрудников.
Кроме того, теперь регламентированы меры защиты данных при применении ИИ, в частности требования по ограничению его возможностей.