Оставить заявку
Заполните форму, и мы свяжемся с вами в ближайшее время
Задать вопрос Технической поддержке
Заполните форму, и мы свяжемся с вами в ближайшее время
Начиная пользоваться Сайтом, Вы считаетесь принявшими условия Пользовательского Соглашения и соглашаетесь на обработку данных о Вас АО «ЭЛВИС‑ПЛЮС», сервисами Яндекс.Метрика в порядке и целях, указанных в этом Соглашении, и в соответствии с Политикой обработки персональных данных. Если Вы не согласны с этими условиями, покиньте Сайт
Обзор новых требований ФСТЭК России к защите информации государственных органов
15.01.2025
В обзоре рассматривается размещенный на Федеральном портале проектов нормативных правовых актов для общественного обсуждения проект приказа ФСТЭК России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений", который с 1 сентября 2025 года заменит Требования к государственным информационным системам, утвержденные приказом ФСТЭК России от 13 февраля 2013 года № 17.
Булаев Михаил Александрович, ведущий консультант-аналитик
Проект приказа существенно расширяет область применения новых Требований и устанавливает новые подходы к определению мер защиты информации в отношении информации государственных органов.
В канун наступления 2025 года (28 декабря 2024 г.) на официальном сайте для размещения информации о подготовке федеральными органами исполнительной власти проектов нормативных правовых актов размещен проект приказа ФСТЭК России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений". Общественное обсуждение проекта завершилось 11 января 2025 г.
Рассматриваемый проект приказа – это существенно переработанная версия, которая была размещена на сайте ФСТЭК России 8 августа 2024 г.
Документ состоит из 4-х частей:
I. Общие положения.
II. Требования к организации деятельности по защите информации и управлению данной деятельностью.
III. Требования к проведению мероприятий и принятию мер по защите информации.
Приложение: Определение класса защищённости информационной системы.
В канун наступления 2025 года (28 декабря 2024 г.) на официальном сайте для размещения информации о подготовке федеральными органами исполнительной власти проектов нормативных правовых актов размещен проект приказа ФСТЭК России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений". Общественное обсуждение проекта завершилось 11 января 2025 г.
Рассматриваемый проект приказа – это существенно переработанная версия, которая была размещена на сайте ФСТЭК России 8 августа 2024 г.
Документ состоит из 4-х частей:
I. Общие положения.
II. Требования к организации деятельности по защите информации и управлению данной деятельностью.
III. Требования к проведению мероприятий и принятию мер по защите информации.
Приложение: Определение класса защищённости информационной системы.
Какие новые требования предлагает установить регулятор?
В случае передачи информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации (далее — информация ограниченного доступа, конфиденциальная информация) из государственной информационной системы в иные информационные системы, информационная система, в которую передается информация ограниченного доступа, должна соответствовать рассматриваемым Требованиям.
Таким образом, проект приказа весьма существенно расширяет область применения новых Требований. В отличие от требований, установленных приказом ФСТЭК России от 13 февраля 2013 г. №17, новые Требования распространяются:
а) не только на государственные информационные системы, но также на иные информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений, а также на муниципальные информационные системы, если иное не установлено законодательством Российской Федерации о местном самоуправлении;
б) требования на перечисленные в пункте а) информационные системы распространяются независимо от того, какая информация обрабатывается в этих системах: это информация ограниченного доступа или открытая (общедоступная) информация;
в) рассматриваемые Требования также могут распространяться и на другие информационные системы (негосударственные) в случае обработки и хранения в них информации, переданной из государственных информационных систем, соответствующих рассматриваемым Требованиям, доступ к которой ограничен в соответствии с законодательством Российской Федерации.
- Область применения
В случае передачи информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации (далее — информация ограниченного доступа, конфиденциальная информация) из государственной информационной системы в иные информационные системы, информационная система, в которую передается информация ограниченного доступа, должна соответствовать рассматриваемым Требованиям.
Таким образом, проект приказа весьма существенно расширяет область применения новых Требований. В отличие от требований, установленных приказом ФСТЭК России от 13 февраля 2013 г. №17, новые Требования распространяются:
а) не только на государственные информационные системы, но также на иные информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений, а также на муниципальные информационные системы, если иное не установлено законодательством Российской Федерации о местном самоуправлении;
б) требования на перечисленные в пункте а) информационные системы распространяются независимо от того, какая информация обрабатывается в этих системах: это информация ограниченного доступа или открытая (общедоступная) информация;
в) рассматриваемые Требования также могут распространяться и на другие информационные системы (негосударственные) в случае обработки и хранения в них информации, переданной из государственных информационных систем, соответствующих рассматриваемым Требованиям, доступ к которой ограничен в соответствии с законодательством Российской Федерации.
- Значительная часть проекта посвящена требованиям к организации деятельности по защите информации и управлению этой деятельностью. Эти требования включают необходимость выполнения следующих мероприятий:
б) определение лиц, ответственных за защиту информации;
в) применение программных, программно-аппаратных средств, предназначенных для защиты информации;
г) разработку и утверждение внутренних стандартов и регламентов по защите информации;
д) выделение организационных, технических и иных ресурсов, необходимых для защиты информации.
По мнению регулятора, основными целями защиты информации должны являться:
- недопущение (исключение, снижение возможности) наступления негативных последствий (событий) от нарушения конфиденциальности, целостности, доступности информации;
- недопущение (исключение, снижение возможности) наступления негативных последствий (событий) от нарушения функционирования информационных систем вследствие реализации (возникновения) угроз безопасности информации.
- Далее проект устанавливает требования к 20-ти группам мероприятий по защите информации, содержащейся в информационных системах.
- выявление и оценка угроз безопасности информации;
- контроль конфигураций информационных систем;
- управление уязвимостями;
- управление обновлениями;
- обеспечение защиты информации при обработке и обращении с информацией ограниченного доступа;
- обеспечение защиты информации при использовании конечных устройств (точек);
- обеспечение защиты информации при использовании мобильных устройств;
- обеспечение защиты информации при удаленном доступе внутренних пользователей к информационным системам;
- обеспечение защиты информации при предоставлении пользователям доступа к информационным системам, предусматривающего возможность выполнения, изменения, записи, удаления программ и (или) данных в информационных системах (далее - привилегированный доступ);
- обеспечение мониторинга информационной безопасности;
- обеспечение разработки безопасного программного обеспечения;
- обеспечение физической защиты информационных систем;
- обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций;
- повышение уровня знаний и информированности работников оператора по вопросам защиты информации;
- обеспечение защиты информации при взаимодействии с подрядными организациями;
- обеспечение защиты от атак, направленных на отказ в обслуживании;
- обеспечение защиты информации при использовании искусственного интеллекта;
- обеспечение доверия при взаимодействии в информационных системах субъектов и объектов доступа;
- реализация в информационных системах мер по их защите и содержащейся в них информации;
- проведение контроля уровня защищённости информации, содержащейся в информационных системах.
Реализация этих мероприятий должна осуществляться в том числе за счёт использования следующих базовых мер защиты (их всего перечислено 16). Группировка этих мер существенно отличается от группировки мер защиты, используемой в действующих требованиях, утверждённых приказом ФСТЭК России от 13 февраля 2013 г. № 17. Это:
- идентификация и аутентификация;
- управление доступом;
- регистрация событий безопасности;
- защита виртуализации и облачных технологий;
- защита технологий контейнерных сред и их оркестрации;
- защита сервисов электронной почты;
- защита веб-технологий;
- защита программных интерфейсов взаимодействия приложений;
- защита конечных устройств (точек);
- защита мобильных устройств;
- защита устройств "интернета вещей";
- антивирусная защита;
- обнаружение и предотвращение вторжений на сетевом уровне;
- сегментация и межсетевое экранирование;
- защита от атак, направленных на отказ в обслуживании;
- защита каналов связи и сетевого взаимодействия.
В отличие от требований, установленных приказом ФСТЭК России от 13 февраля 2013 г. № 17, рассматриваемый проект Требований не устанавливает перечень (состав) мер защиты информации и их базовые наборы для соответствующих классов защищённости информационных систем. Дифференциация требований в зависимости от класса защищённости информационных систем производится по более обоснованному принципу – в зависимости от уровня возможностей (потенциала) нарушителя, которому должна противостоять система защиты информации. Меры защиты информационных систем и содержащейся в них информации, подлежащие реализации, должны обеспечивать защиту от нарушителей со следующими уровнями возможностей (пункт 53 Требований):
- в информационных системах 3 класса защищённости — меры защиты должны обеспечивать защиту от нарушителей с базовым уровнем возможностей;
- в информационных системах 2 класса защищённости — от нарушителей с повышенным уровнем возможностей;
- в информационных системах 1 класса защищённости — от нарушителей с высоким уровнем возможностей возможностями.
Для информационных систем, на которые распространяются рассматриваемые Требования обязательным является:
- применение сертифицированных средств защиты информации;
- аттестация на соответствие рассматриваемым Требованиям в соответствии с Порядком организации и проведения работ по аттестации объектов информатизации, утвержденным приказом ФСТЭК России от 29 апреля 2021 г. № 77.
- Уточнены критерии классификации информационных систем по требованиям защиты информации.
Существенных отличий от порядка классификации, установленного требованиями, утверждёнными приказом ФСТЭК России от 13 февраля 2013 г. № 17, немного.
Важно отметить, что классификации подлежат любые информационные системы, на которые распространяются рассматриваемые Требования, в том числе независимо от того, обрабатывается в них информация ограниченного доступа или нет.
В порядок классификации вносятся некоторые полезные уточнения. В частности, устанавливается, что допускается присвоение отдельным сегментам информационной системы разных классов защищенности с реализацией требований по защите информации, содержащейся в сегментах, в соответствии с присвоенными классами защищённости. В этом случае на границе сегмента более высокого класса должны быть приняты меры по защите информации, предусматривающие исключение возможности несанкционированного доступа из сегмента системы низкого класса защищённости в сегмент более высокого класса защищённости.
Классы защищённости информационных систем, функционирующих на базе информационно-телекоммуникационной инфраструктуры, не должны быть выше класса защищённости этой информационно-телекоммуникационной инфраструктуры.
Класс защищённости информационной системы определяется в соответствии с таблицей:
Уровень значимости информации | Масштаб информационной системы | ||
Федеральный | Региональный | Объектовый | |
УЗ 1 | К1 | К1 | К1 |
УЗ 2 | К1 | К2 | К2 |
УЗ 3 | К2 | К3 | К3 |
- О вступлении в силу новых требований
До вступления в силу новых требований применяются Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 13 февраля 2013 г. № 17.
С даты вступления в силу перечисленных выше новых требований (1 сентября 2025 г.) приказ ФСТЭК России от 13 февраля 2013 г. № 17 утрачивает силу.
В пояснительной записке к проекту приказа устанавливается, что принятие проекта приказа не потребует дополнительных расходов из федерального бюджета, так как проект приказа основывается на действующих положениях нормативных правовых актов и направлен на уже созданные и функционирующие элементы системы информационной безопасности Российской Федерации. Однако декларируемая необходимость использования мер, предусмотренных пунктом 52 Требований, явно потребует дополнительных затрат на реализацию этих мер.
В заключение этого обзора целесообразно отметить, что для практического внедрения новых Требований потребуется существенная переработка соответствующих методических документов ФСТЭК России, в том числе Методического документа "Меры защиты информации в государственных информационных системах", утверждённого ФСТЭК России 11 февраля 2014 г.