+7 (495) 108-48-17
info@global-it.ru
Главная
Модернизация государственной защиты: анализ нового приказа ФСТЭК
фстэк (1)

Модернизация государственной защиты: анализ нового приказа ФСТЭК

1 Анализ изменений 

1. Расширение области применения

  • В этой статье мы сравниваем два приказа ФСТЭК – старый приказ № 17 от 11.02.2013 от 11 февраля 2013 г. N 17 об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.  Фокусируется на защите информации, не содержащей государственную тайну, в государственных информационных системах.
  • И новый проект приказа от 2025г. о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений. Расширяет применение требований на все государственные информационные системы, а также на информационные системы государственных органов, унитарных предприятий и учреждений. Это свидетельствует о необходимости обеспечения защиты информации в более широком спектре объектов, включая системы с информацией ограниченного доступа.

2. Обновление нормативной базы

  • Отмена устаревших документов:
     В новом приказе прямо указана отмена приказов от 2013, 2017 и 2019 годов, что отражает систематизацию и модернизацию нормативной базы.
  • Переходный период:
     Новый документ устанавливает общий срок вступления в силу с 1 сентября 2025 г. и для отдельных пунктов (например, пункт 52) – с 1 сентября 2027 г., что даёт операторам время на адаптацию.

3. Усиление организационных мер

  • Структура управления:
     Проект приказа от 2025 года содержит подробные требования к организации деятельности по защите информации: формулируется политика защиты, назначаются ответственные лица, создаются внутренние стандарты и регламенты.
  • Распределение обязанностей:
     Новые положения требуют чёткого разделения функций между подразделениями, вовлечёнными в защиту информации, а также определяют порядок взаимодействия с подрядными организациями.

4. Введение современных технологических аспектов

  • Криптографическая защита:
     В проекте Приказа от 2025 года присутствуют ссылки на применение шифровальных (криптографических) средств, особенно при передаче информации ограниченного доступа между системами.
  • Учет современных угроз:
     Новый документ учитывает вопросы, связанные с использованием искусственного интеллекта, распределёнными (доменными) информационными системами и другими современными технологиями, что не было отражено в предыдущей редакции.

5. Повышение контроля и оценки эффективности мер

  • Методика оценки:
     В проекте Приказа от 2025 года вводятся понятия «показатель защищенности Кзи» и «показатель уровня зрелости Пзи», что позволяет операторам регулярно оценивать текущее состояние защиты информации и оперативно реагировать на выявленные недостатки.
  • Периодичность контроля:
     Новые нормативы устанавливают строгие сроки для оценки этих показателей, что повышает оперативность и качество мониторинга состояния информационных систем.

Общий вывод:
Новый приказ ФСТЭК от 2025 представляет собой модернизированный и расширенный нормативный документ, направленный на повышение уровня защиты информации в государственном секторе. Он охватывает более широкий круг информационных систем, вводит современные технологические требования (включая криптографическую защиту и использование ИИ), а также усиливает организационные меры и контроль эффективности принятых мер. Это позволяет обеспечить более всестороннюю и адаптированную к современным угрозам систему защиты информации в государственных информационных системах.

2 Краткое адаптированное изложение проекта Приказа ФСТЭК от 2025 года

1. Общие положения

  • Кто подчиняется:
     Приказ распространяется на государственные информационные системы, а также системы государственных органов, унитарных предприятий и учреждений.
  • Цель приказа:
     Защищать информацию (не криптографическими методами) от несанкционированного доступа, разрушения, изменения или блокирования.
  • Исключения:
     Некоторые системы (например, системы высших государственных органов) остаются вне действия приказа.

2. Организация деятельности по защите информации

  • Управление защитой:
     Оператор (организация, управляющая системой) обязан создать политику защиты информации, определить ответственных за защиту и утвердить внутренние стандарты и регламенты.
  • Взаимодействие с подрядчиками:
     Организации, получающие доступ к системе для оказания услуг, должны соблюдать установленные требования по защите.

3. Технические и организационные меры защиты

  • Основные меры:
     – Контроль доступа к информации (идентификация, аутентификация пользователей и устройств).
    – Ограничение прав доступа (назначение минимально необходимых прав).
    – Регистрация и анализ событий безопасности (мониторинг работы системы).
  • Особенности:
     – При передаче информации, доступ к которой ограничен, система получателя должна отвечать тем же требованиям.
    – Если используются криптографические средства, действуют дополнительные требования ФСБ.

4. Мероприятия по оценке и контролю защиты

  • Показатели эффективности:
     Введены «показатель защищенности» (Кзи) и «показатель уровня зрелости» (Пзи) для оценки состояния защиты.
  • Периодичность:
     – Защищенность оценивается не реже, чем раз в шесть месяцев.
    – Уровень зрелости – не реже, чем раз в два года.
  • Действия при несоответствии:
     Если показатели ниже нормы, оператор должен принять меры для улучшения защиты и информировать ФСТЭК.

5. Мероприятия по защите от конкретных угроз

  • Управление уязвимостями и обновлениями:
     Выявление слабых мест системы, своевременное устранение уязвимостей и применение обновлений программного обеспечения.
  • Защита конечных и мобильных устройств:
     Обеспечивается контроль доступа к рабочим устройствам, а также использование виртуальных частных сетей для удалённого доступа.
  • Защита от атак (DoS и др.):
     Предусмотрено сотрудничество с государственными службами по обнаружению компьютерных атак и применение фильтрации трафика.

6. Особые требования и современные технологии

  • Искусственный интеллект и распределённые системы:
     В приказе учтены особенности использования ИИ в информационных системах, определены шаблоны запросов и ответов для защиты от недостоверной информации.
  • Доменная архитектура:
     Для систем 1-го класса защищенности введены дополнительные меры строгой аутентификации и доверенной загрузки программного обеспечения.

7. Обеспечение непрерывности работы и восстановление

  • Планирование восстановления:
     Оператор должен обеспечить возможность быстрого восстановления работы информационных систем в случае сбоев.
  • Резервное копирование:
     Создаются резервные копии данных и конфигураций, тестируются возможности восстановления в установленные сроки.

8. Приложение: Классификация информационных систем

  • Классы защищенности:
     – Третий класс – самый низкий, первый класс – самый высокий.
  • Критерии:
     Класс определяется по уровню значимости информации (насколько сильно ущерб при нарушении безопасности) и масштабу системы (федеральный, региональный, объектовый).
  • Пересмотр:
     Классификация пересматривается при изменении значимости информации или масштаба системы.

3 Анализ влияния на отрасль

Ожидаемые последствия для операторов информационных систем и смежных отраслей:

  • Повышение требований к ресурсам и инфраструктуре:
    Расширение сферы применения и введение более детальных организационных мер требуют от операторов инвестиций в новые технические решения, разработку и внедрение внутренних регламентов, а также повышение квалификации сотрудников. Это может привести к увеличению затрат на обеспечение информационной безопасности, но одновременно повысит уровень защиты государственных данных.
  • Систематизация процессов управления безопасностью:
    Введение единых показателей эффективности защиты позволит систематизировать мониторинг и контроль, улучшить процессы управления кибербезопасностью и быстрее выявлять слабые места. Операторам придется пересмотреть свои бизнес-процессы и внедрить новые методы оценки эффективности мер, что, в конечном итоге, будет способствовать стабильности функционирования информационных систем.
  • Воздействие на рынок технологий:
    Появление новых нормативов стимулирует разработчиков средств защиты информации к выпуску современных продуктов, соответствующих требованиям ФСТЭК. 
  • Влияние на взаимодействие с подрядными организациями:
    Новые требования предусматривают обязательное соблюдение внутренних стандартов и регламентов не только собственными сотрудниками операторов, но и подрядными организациями. Это вынудит партнеров усилить контроль и повысить уровень защиты своих систем, что может стать дополнительным стимулом для внедрения современных технологий.

4 Прогнозы и тренды

Перспективы развития информационной безопасности в контексте нового приказа:

  • Рост использования искусственного интеллекта:
    В приказе учтены вопросы взаимодействия с системами искусственного интеллекта, что свидетельствует о том, что в будущем ИИ станет важным инструментом для обнаружения угроз, мониторинга состояния информационных систем и анализа киберинцидентов. Ожидается, что алгоритмы ИИ позволят оперативно реагировать на атаки и предотвращать их развитие.
  • Развитие интегрированных систем мониторинга:
    Введение регулярной оценки показателей защищенности и зрелости системы (Кзи и Пзи) предполагает дальнейшее развитие автоматизированных систем мониторинга. Такие системы будут объединять данные с различных уровней инфраструктуры, позволяя получать комплексную картину состояния безопасности.
  • Акцент на адаптивные и гибкие решения:
    С увеличением сложности угроз и ростом объема обрабатываемых данных потребуются решения, способные адаптироваться к быстро меняющимся условиям. Это может привести к появлению гибких платформ, способных интегрировать новые технологии защиты без необходимости кардинальной модернизации всей системы.
  • Усиление роли отечественных технологий:
    Нормативы ФСТЭК направлены на развитие и использование сертифицированных отечественных средств защиты информации. Это, вероятно, будет способствовать усилению позиций российских разработчиков на рынке, что положительно скажется на кибербезопасности страны в целом.

5 Практические рекомендации

Конкретные шаги для операторов информационных систем в условиях нового приказа:

  • Разработка и утверждение внутренней политики защиты:
    Операторам необходимо пересмотреть и обновить свои внутренние регламенты и стандарты, чтобы они соответствовали новым требованиям. Это включает определение ответственных лиц, организацию подразделения по защите информации и установление процедур по регулярному мониторингу.
  • Проведение аудита текущего состояния безопасности:
    Необходимо выполнить внутренний аудит информационных систем, оценить текущий уровень защищенности (с использованием показателей Кзи и Пзи) и выявить слабые места. Результаты аудита помогут определить приоритеты для инвестиций в безопасность.
  • Инвестиции в современные технологии:
    Рассмотреть внедрение новых средств защиты, включая системы для автоматизированного мониторинга, криптографические решения и инструменты, основанные на искусственном интеллекте. Это повысит устойчивость систем к современным киберугрозам.
  • Обучение и повышение квалификации сотрудников:
    Важно регулярно проводить тренинги и семинары по вопросам кибербезопасности, чтобы персонал был осведомлён о новых угрозах и мерах защиты. Практические занятия и имитационные рассылки помогут повысить готовность к реагированию на инциденты.
  • Взаимодействие с подрядными организациями:
    При передаче доступа к информационным системам или данных обеспечить строгий контроль за соблюдением подрядчиками внутренних стандартов безопасности. Заключение детализированных договоров с обязательными пунктами по защите информации – залог успешного сотрудничества.
  • Планирование восстановления и резервное копирование:
    Разработать четкий план действий на случай сбоев или атак, установить сроки восстановления работы информационных систем и регулярно тестировать резервное копирование данных. Это позволит минимизировать последствия инцидентов и быстро вернуться к нормальной работе.
  • Постоянное обновление программного обеспечения:
    Установить процедуры для своевременного обновления программного обеспечения и устранения выявленных уязвимостей, согласованные с внутренними регламентами. Это снизит риск использования известных слабых мест злоумышленниками.