2025: ФСТЭК ужесточает требования к ИБ для госсистем. Это может потребовать дополнительных расходов
18 января завершится общественное обсуждение проекта приказа ФСТЭК «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». В нем содержится перечень требований к защите информации для государственных информационных систем, несколько отличающихся от установленных ранее, а также вводится ряд новых понятий. В случае принятия приказа, необходимость соответствовать новым требованиям может повлечь за собой и увеличение расходов на ИБ в госструктурах.
Этот документ предполагается применять вместо действующего сейчас приказа от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, пояснил TAdviser Игорь Корчагин, руководитель департамента информационной безопасности «ИВК». Эксперт отметил, что за более чем 10 лет произошло огромное количество изменений как в ИТ-ландшафте применяемых в государственных системах РФ технологий, так и в нормативно-правовой базе. Пандемия побудила существенно расширить требования к удаленному доступу, а после ухода зарубежных разработчиков средств ИБ с российского рынка государственные организации заменили их продукты на отечественные аналоги. Решения 1С: актуальные тренды рынка и крупнейшие интеграторы. Обзор TAdviser
Кроме того, в ИТ-инфраструктуре появились принципиально новые технологические решения. Например, активно стал применяться искусственный интеллект - этой технологии посвящен отдельный раздел нового документа.
| Документ внедряется именно сейчас по причине того, что прошлая редакция вступила в силу в 2014 году, – считает Сергей Шлёнский, руководитель практики по ИБ финансовых организаций Aktiv.Consulting. – За 10 лет технологии сильно продвинулись вперед, и пришло время актуализировать регулирующие требования. |
- Установлены временные интервалы на восстановление в случае нарушения функционирования (сбоя, DDoS, инцидента ИБ и т.п.). Для систем 1-го класса защищенности - 24 часа.
В прошлом году был принят новый стандарт ГОСТ Р 56939-2024 по разработке безопасного программного обеспечения, требования которого нужно учитывать и в обсуждаемом приказе. Кроме того, появились и новые требования к порядку сертификации и пересертификации программных продуктов, регламентирующие документы по управлению уязвимостями, по выпуску и тестированию обновлений безопасности.
| Основной упор нового документа сделан на оценке рисков и недопущении наступления негативных событий, – считает Алексей Изосимов, технический директор «Т1 Интеграция». – Определена частота периодических проверок по оценке состояния защиты информации, срок устранения критических уязвимостей и срок восстановления работоспособности в зависимости от типа атак. Отдельно стоит отметить акцент на обеспечение информационной безопасности при работе с подрядчиками, а также при работе с ИИ. |
В новых требованиях убрано приложение №2 приказа №17 «Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы», где были перечислены инструменты защиты, которые необходимо было использовать при организации защиты. Теперь выбор этих мер зависит от результатов оценки рисков. Также практически все эксперты отмечают требования по защите технологий искусственного интеллекта (их не было в «составе мер защиты…» из приказа №17) и установку более жестких сроков решения проблем кибербезопасности.
| ФСТЭК России плавно подводит организации к практической кибербезопасности, – заявил для TAdviser Алексей Коробченко, начальник отдела по информационной безопасности компании «Код Безопасности». – Из интересного в проекте приказа ФСТЭК стоит выделить то, что добавляются требования по безопасности ИИ, крайне сжатые сроки восстановления работоспособности организации после инцидента, контроль безопасности подрядных организаций, мониторинг собственной инфраструктуры и новая отчетность. Также можно выделить расширение сферы применения, поскольку рассматриваемые требования могут распространяться и на другие информационные системы в случае обработки и хранения в них информации, переданной из государственных информационных систем. |
В целом набор новых требований по сравнению с предыдущим приказом имеет совершенно другую структуру. Если приказ №17 был привязан к жизненному циклу информационных систем – в нем перечислялись меры, которые нужно было принимать на каждом этапе, то новый документ содержит раздел под названием «Требования к проведению мероприятий и принятию мер по защите информации», где просто перечислены мероприятия (в международном понимании – это процессы ИБ), которые должна провести служба ИБ для обеспечения безопасности. Их в документе описано 20 (до литеры Ф). Далее перечислены требования к ним.
| В проекте «Требований о защите информации, содержащейся в ГосИС» четко регламентированы условия обработки информации в ГИС с применением криптографических методов и без них, в том числе, в ГосИС в КИС, – пояснила для читателей TAdviser ситуацию Ольга Попова, ведущий юрист Staffcop. – В требованиях структурированы мероприятия, начиная от организации деятельности по защите и заканчивая мероприятиями по контролю такой деятельности, отдельно упоминаются также мероприятия по обеспечению защиты информации в случае удаленного или привилегированного доступа, мероприятия при использовании ИИ. В проекте вводятся новые понятия: показатели деятельности по защите информации, показатель защищенности КЗИ, показатель уровня зрелости ПЗИ, расчеты и оценка которых должны проводится оператором не реже одного раза в шесть месяцев и не реже одного раза в два года соответственно. |
Изменение требований к ГосИС также связаны с принятием нового регулирования по защите информационных систем персональных данных (ИСПДн) и другой конфиденциальной информации. Обновляемый приказ ориентирован не только на защиту информационных систем, но и на обеспечение безопасности хранящихся в них данных.
| Скоро вступает в силу закон об оборотных штрафах за утечки данных и начнет применяться уголовная ответственность за торговлю данными, – напомнил Алексей Парфентьев, заместитель гендиректора по инновационной деятельности «СёрчИнформ». – Именно поэтому прикладные требования сейчас актуализируются в виде основных приказов ФСТЭК. В целом документ учитывает современные реалии информационной безопасности, в нем предусмотрены требования по обучению сотрудников киберграмотности, меры по обеспечению безопасного внедрения технологий искусственного интеллекта и прочее. Но ключевое – в нем в явном виде прописано требование предотвращения утечки конфиденциальной информации. В мерах по защите оно идет на первом месте, выше всех остальных, хотя ранее такой риск вообще не был прописан в мерах для ГосИС. |
Впрочем, новые требования не обходятся и без определенных сложностей. Дело в том, что в приказ добавлены требования, которые связаны с изменением так называемого «Трехглавного закона». В него в августе 2024 года были добавлены требования по защите систем, которые взаимодействуют с ГосИС. Именно поэтому и появилось то самое дополнение «…в иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Если раньше был ограниченный перечень ГосИС, то теперь он стал практически неограниченным. Например, если из государственной системы данные передаются в коммерческую компанию, то последняя будет также обязана выполнять требования данного приказа.
| Решение о разработке новых требований было принято в августе 2023 года на совещании президента России Владимира Путина с Советом безопасности, – заметила для TAdviser Юлия Смолина, руководитель центра компетенций по консалтингу ИБ ГК Softline. – Помимо ГосИС, проект приказа распространяет своё действие и на другие информационные системы государственных органов, государственных унитарных предприятий и государственных учреждений. Во-первых, возникает задача защитить и аттестовать дополнительные информационные системы государственных органов. Во-вторых, в уже аттестованных ГосИС необходимо будет проверить выполнение новых требований - от наличия внутренних организационно-распорядительных документов, регламентирующих порядок проведения мероприятий по защите информации, до реализации требований по безопасной разработке. Эти изменения потребуют высокой экспертизы и дополнительных финансовых затрат. |
Хотя в пояснительной записке к проекту приказу и сказано, что его принятие не потребует дополнительных расходов из федерального бюджета, но верится в это с трудом. Так эти же проблемы отмечает и Георгий Габолаев, основатель и генеральный директор компании «Группа-А». В частности, он считает, что принятие данного проекта приказа при реализации вызовет следующие проблемы:
- Недостаток финансов и кадров. Для региональных и муниципальных систем реализация новых требований приведет к дополнительным затратам и потребности в привлечении квалифицированных специалистов, которых может не хватать.
- Сложности интеграции. Старые системы, построенные без учета современных стандартов защиты, могут столкнуться с трудностями адаптации к новым требованиям. Для перехода на новые правила, скорее всего, потребуется активная поддержка со стороны федеральных органов власти и запуск адаптационных программ для менее подготовленных ведомств.
| Регулятор теперь будет требовать обязательного выполнения мер по защите информации в любой информационной системе, эксплуатируемой или используемой государственным органом или организацией, – подтвердил TAdviser Дмитрий Костин, эксперт информационной безопасности «МойОфис». – Морально владельцы различных государственных ИС, готовы к предлагаемым изменениям. А финансово, кадрово и технологически – нет. Но выбора госорганам и организациям ФСТЭК России не оставил, и госсектору придётся приступить к выполнению необходимых мероприятий по защите своих информационных систем. Я считаю, что эти изменения выходят с опозданием примерно на 2 года, но лучше позже, чем никогда. |
| С одной стороны, «запас прочности» в ГосИС изначально выше, чем у других информационных систем, – заметил Алексей Коробченко. – С другой, датой начала общественного обсуждения проекта приказа значится 28 декабря прошлого года, а к этому моменту обычно бюджеты организаций на следующие 12 месяцев уже утверждены. То есть перестраиваться придется уже на ходу, и здесь многое зависит от уровня зрелости ИБ и ИТ-процессов: более зрелые довольно гибки и могут подстроиться, менее зрелым придется приложить больше усилий. |
При этом предполагается, что новые требования вступят в силу уже с 1 сентября 2025 года, то есть у государственных компаний и ведомств не будет возможности забюджетировать соблюдение новых требований. Поэтому, по мнению Сергея Шлёнского потребуется дополнительное время на адаптацию и внедрение организационных и технических мероприятий – не всем ГосИС хватит на это 7 оставшихся месяцев, хотя приказ еще даже не принят. Кроме того, не все организации, имеющие ГосИС, обладают финансовыми и кадровыми ресурсами на приведение систем в соответствие с новыми требованиями с учетом постоянного удорожания отечественных решений по ИБ и отсутствием достаточного количества квалифицированного персонала на рынке.
| Приказ явится первым шагом в цепочке соответствующих изменений требований ФСТЭК России, – пояснил для читателей TAdviser Игорь Корчагин. – Далее последует выпуск методических рекомендаций, которые расширят и пояснят требования. Возможно, продолжится гармонизация требований к защите информации в ИСПДн, АСУ ТП, КИИ и так далее. Существенное расширение спектра информационных систем видно из названия документа. Теперь он касается не только государственных информационных систем, но и любых других информационных систем, применяемых в государственных органах и учреждениях. |
Федеральная служба по техническому и экспортному контролю (ФСТЭК России) опубликовала выдержку из плана своей нормотворческой деятельности в 2024 году. В нем, в частности, предусмотрена разработка двух проектов постановления правительства – обновления постановления №79 от 3 февраля 2012 г. «О лицензировании деятельности по ТЗКИ» и №171 от 3 марта 2012 г. «О лицензировании деятельности по разработке и производству СЗКИ». Эта работа запланирована на третий квартал 2024 года.
Собственно, требования к лицензиатам как на разработку средств защиты конфиденциальной информации (СКЗИ), так и на предоставление услуг по технической защите конфиденциальной информации (ТЗКИ) существуют с 2012 года и регулярно обновляются. Последнее значимое обновление было принято в ноябре 2021 года, хотя уже в феврале этого года в оба постановления были внесены незначительные изменения. Не совсем понятно, в каком направлении будут эти требования меняться, однако уже ясно, что условия по защите информации сильно изменились в прошлом году, что должно найти свое отражение и в нормативных актах.
Кроме того, к выпуску планируются восемь приказа, из которых для ИБ-отрасли наиболее интересны два. Они должны утвердить требования по защите от DoS-атак и к защите государственных ИС, обладателями которых является РФ, субъект РФ или муниципальное образование. Они должны быть разработаны в 4 квартале следующего года.
Запланированный приказ, который будет утверждать требования по обеспечению защищенности государственных информационных систем и значимых объектов КИИ РФ от несанкционированного воздействия типа «отказ в обслуживании», скорее всего будет посвящен правильной организации защиты как от атак на выведение из строя государственный ИС или КИИ, так и от распределенных DoS-атак (DDoS). От последних самостоятельно защититься достаточно сложно, поскольку требуется как минимум взаимодействие с оператором связи и получение от него услуг по фильтрации паразитного трафика, а лучше – со специализированной компанией, которая может отсеивать трафик максимально близко к его источнику.
Приказ об утверждении требований о защите информации, содержащейся в государственных и иных информационных системах, обладателями которых является Российская Федерация, субъект Российской Федерации, муниципальное образование предназначен, скорее всего, для стимулирования защиты веб-ресурсов органов власти. Дело в том, что с прошлого года веб-ресурсы и приложения государственных структур активно атакуют хакеры и меняют их главную страницу (дефейс), однако требований по их защите нет – они редко признаются критической информационной инфраструктурой.
Да, есть требования по предоставлению правдивой и актуальной информации на государственных веб-ресурсах, но требований по защите опубликованных данных и систем, где они хранятся, нет. Это не позволяет органам власти закупать услуги и оборудование для защиты своих ресурсов, поскольку для подобных трат из бюджета должно быть обоснование и требования для организации тендера. Готовящийся приказ, возможно, эту проблему решит.
Президент России Владимир Путин подписал указ, которым расширил полномочия Федеральной службы по техническому и экспортному контролю (ФСТЭК). Соответствующий документ опубликован в ноябре 2023 года.
Указ Президента Российской Федерации О внесении изменений в Указ Президента Российской Федерации от 16 августа 2004 г. № 1085
22 мая 2023 года президент Владимир Путин подписал указ №366 о внесении изменений в положение о Федеральной службе по техническому и экспортному контролю. Документ появился на портале официального опубликования правовых актов и вступил в силу в день подписания.
По данным базы правовых данных «КонсультантПлюс», всего положение о ФСТЭК в текущей действующей редакции содержит более 70 различных полномочий ведомства. Других подпунктов, кроме нового, в которых упоминалось бы военное время, на данный момент среди них нет.
22 января 2020 года TAdviser стало известно, что ФСТЭК опубликовал специальное информационное сообщение по поводу прекращения поддержки операционной системы Windows 7; государственным органам и другим организациям, которые на январь 2020 года продолжают использовать эту систему, рекомендовано перейти на более последние версии Windows до первого июня 2020 года. Подробнее здесь.
17 сентября 2019 года стало известно, что Федеральная служба по техническому и экспортному контролю опубликовала изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Подробнее здесь.
- ↑ Постановление Правительства РФ от 3 февраля 2012 г. N 79 «О лицензировании деятельности по технической защите конфиденциальной информации»
- ↑ Постановление Правительства РФ от 3 марта 2012 г. N 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»
- ↑ Указ Президента Российской Федерации от 22.05.2023 № 366
Править Read in English | Короткая ссылка | 81955
Материалы, помеченные знаком ,
Все права защищены и охраняются законом.