Область действия новых Требований
Эта область значительно расширена. Теперь рассматриваемые Требования, независимо от характера обрабатываемой в них информации (ограниченного доступа эта информация или нет), кроме государственных информационных систем будут распространяться и на:

• иные информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений;
• муниципальные информационные системы, если иное не установлено законодательством Российской Федерации.

 Также устанавливается, что в случае передачи из государственной информационной системы информации ограниченного доступа в негосударственную информационную систему, уровень её защищенности должен устанавливаться соответствующим государственным заказчиком (оператором ГИС) в соответствии с рассматриваемыми Требованиями.

Таким образом, на основании договора с соответствующим заказчиком (оператором информационной системы), новые Требования в части касающейся могут распространяться и на негосударственные информационные системы, подключаемые к государственным информационным системам.

Заметно изменен состав мероприятий по защите информации и требования к их реализации. Теперь для достижения целей защиты информации оператором (обладателем информации) должны проводиться мероприятия по 21-му направлению:

• выявление и оценка угроз безопасности информации;
• контроль конфигураций информационных систем;
• управление уязвимостями;
• управление обновлениями;
• обеспечение защиты информации при обработке, хранении и обращении с информацией ограниченного доступа;
• обеспечение защиты информации при применении конечных устройств;
• обеспечение защиты информации при применении мобильных устройств;
• обеспечение защиты информации при удаленном доступе пользователей к информационным системам;
• обеспечение защиты информации при беспроводном доступе пользователей к информационным системам;
• обеспечение защиты информации при предоставлении пользователям доступа к информационным системам, предусматривающего чтение, выполнение, изменение, запись, удаление программ и (или) данных в информационных системах (далее - привилегированный доступ);
• обеспечение мониторинга информационной безопасности;
• обеспечение разработки безопасного программного обеспечения;
• обеспечение физической защиты информационных систем;
• обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций;
• повышение уровня знаний и информированности пользователей по вопросам защиты информации;
• обеспечение защиты информации при взаимодействии с подрядными организациями;
• обеспечение защиты от компьютерных атак, направленных на отказ в обслуживании;
• обеспечение защиты информации при использовании искусственного интеллекта;
• реализация в информационных системах мер по их защите их и содержащейся в них информации;
• проведение контроля уровня защищенности информации, содержащейся в информационных системах;
• обеспечение непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

 
В документе приводится детализация (содержание) работ, которые должны проводиться в рамках каждого из перечисленных мероприятий. Кроме того, порядок реализации перечисленных мероприятий может регламентироваться методическими документами ФСТЭК России, которые ещё находятся в стадии разработки.

Уточнён состав базовых мер защиты информационных систем и содержащейся в них информации, к которым теперь относятся 17 групп мер, включая ряд новых областей:

• идентификация и аутентификация;
• управление доступом;
• регистрация событий безопасности;
• защита виртуализации и облачных вычислений;
• защита технологий контейнерных сред и их оркестрации;
• защита сервисов электронной почты;
• защита веб-технологий;
• защита программных интерфейсов взаимодействия приложений;
• защита конечных устройств;
• защита мобильных устройств;
• защита технологий интернета вещей;
• защита точек беспроводного доступа;
• антивирусная защита;
• обнаружение и предотвращение вторжений на сетевом уровне;
• сегментация и межсетевое экранирование;
• защита от компьютерных атак, направленных на отказ в обслуживании;
• защита каналов передачи данных и сетевого взаимодействия.

Как видно из приведённого перечня, состав этих мер заметно изменился по сравнению с мерами, установленными 17-м приказом ФСИЭК России.
Порядок выполнения перечисленных мер в том числе и в зависимости от класса защищённости информационных систем будет определяться методическими документами ФСТЭК России, которые ещё находятся в стадии разработки.

Значительная часть документа определяет требования к управлению деятельностью по защите информации, а также к полномочиям, обязанностям и оснащению структурных подразделений (специалистов) по защите информации операторов государственных систем.

Устанавливаются требования по выполнению мер защиты информации со стороны подрядных организаций, включая обязанность подрядной организации по выполнению внутренних стандартов и регламентов по защите информации оператора (обладателя информации). Также определены требования к проведению подрядными организациями работ по разработке (развитию) и (или) тестированию программного обеспечения. Это обосновывается тем, что часто атаки в отношении государственных информационных систем могут быть реализованы через подрядчиков.

Документом вводятся новые требования к проведению оценки состояния защиты информации, которая должна проводиться на основе определения оператором (обладателем информации):

• показателя, характеризующего текущее состояние защиты информации от базового уровня угроз безопасности информации (показатель защищенности К зи);
• показателя, который определяет достаточность и эффективность проведения мероприятий по защите информации (показатель уровня зрелости П зи).
• Устанавливается периодичность проведения оценки этих показателей:
• ·К зи - не реже одного раза в шесть месяцев;
• П зи - не реже одного раза в два года.

Результаты оценки показателя защищенности К зи и показателя уровня зрелости П зи в срок не позднее 5 рабочих дней после дня их расчета должны направляться оператором (обладателем информации) во ФСТЭК России в целях мониторинга текущего состояния технической защиты информации.

Для определения значений и расчета этих показателей должны будут применяться методические документы ФСТЭК России, которые ещё находятся в стадии разработки.
 

Порядок определения класса защищенности информационных систем фактически остался тем же, что был установлен 17-м приказом ФСТЭК России. В этот порядок был внесён ряд полезных уточнений, в частности:

• устанавливается, что при обработке в информационной системе информации, которая отнесена к информации ограниченного распространения и для носителей которой установлена ограничительная пометка «для служебного пользования», для неё должен быть установлен первый уровень значимости информации - УЗ 1, что фактически означает, что класс защищённости соответствующей информационной системы всегда должен быть не ниже 1-го класса независимо от масштаба информационной системы;
• допускается присвоение отдельным сегментам информационной системы разных классов защищенности. В этом случае меры по защите информации сегментов информационной системы и содержащейся в них информации должны приниматься в соответствии с присвоенными им классами защищенности.

В заключение этого обзора необходимо отметить, что детальное описание порядка практической реализации вводимых в действие Требований будут приведены в методических документах, пока ещё находящихся в стадии разработки.