Новый год – новые требования ФСТЭК России к защите информации государственных органов
15.01.2025
II. Требования к организации деятельности по защите информации и управлению данной деятельностью.
III. Требования к проведению мероприятий и принятию мер по защите информации.
Приложение: Определение класса защищённости информационной системы.
Какие новые требования предлагает установить регулятор?
а) не только на государственные информационные системы, но также на иные информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений, а также на муниципальные информационные системы, если иное не установлено законодательством Российской Федерации о местном самоуправлении;
б) требования на перечисленные в пункте а) информационные системы распространяются независимо от того, какая информация обрабатывается в этих системах: это информация ограниченного доступа или открытая (общедоступная) информация;
б) определение лиц, ответственных за защиту информации;
в) применение программных, программно-аппаратных средств, предназначенных для защиты информации;
г) разработку и утверждение внутренних стандартов и регламентов по защите информации;
д) выделение организационных, технических и иных ресурсов, необходимых для защиты информации.
– недопущение (исключение, снижение возможности) наступления негативных последствий (событий) от нарушения функционирования информационных систем вследствие реализации (возникновения) угроз безопасности информации.
• контроль конфигураций информационных систем;
• управление уязвимостями;
• управление обновлениями;
• обеспечение защиты информации при обработке и обращении с информацией ограниченного доступа;
• обеспечение защиты информации при использовании конечных устройств (точек);
• обеспечение защиты информации при использовании мобильных устройств;
• обеспечение защиты информации при удаленном доступе внутренних пользователей к информационным системам;
• обеспечение защиты информации при предоставлении пользователям доступа к информационным системам, предусматривающего возможность выполнения, изменения, записи, удаления программ и (или) данных в информационных системах (далее - привилегированный доступ);
• обеспечение мониторинга информационной безопасности;
• обеспечение разработки безопасного программного обеспечения;
• обеспечение физической защиты информационных систем;
• обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций;
• повышение уровня знаний и информированности работников оператора по вопросам защиты информации;
• обеспечение защиты информации при взаимодействии с подрядными организациями;
• обеспечение защиты от атак, направленных на отказ в обслуживании;
• обеспечение защиты информации при использовании искусственного интеллекта;
• обеспечение доверия при взаимодействии в информационных системах субъектов и объектов доступа;
• реализация в информационных системах мер по их защите и содержащейся в них информации;
• проведение контроля уровня защищённости информации, содержащейся в информационных системах.
• идентификация и аутентификация;
• управление доступом;
• регистрация событий безопасности;
• защита виртуализации и облачных технологий;
• защита программных интерфейсов взаимодействия приложений;
• защита конечных устройств (точек);
• защита мобильных устройств;
• защита устройств "интернета вещей";
• антивирусная защита;
• обнаружение и предотвращение вторжений на сетевом уровне;
• сегментация и межсетевое экранирование;
• защита от атак, направленных на отказ в обслуживании;
• защита каналов связи и сетевого взаимодействия.
– в информационных системах 2 класса защищённости — от нарушителей с повышенным уровнем возможностей;
– в информационных системах 1 класса защищённости — от нарушителей с высоким уровнем возможностей возможностями.
– аттестация на соответствие рассматриваемым Требованиям в соответствии с Порядком организации и проведения работ по аттестации объектов информатизации, утвержденным приказом ФСТЭК России от 29 апреля 2021 г. № 77.
Существенных отличий от порядка классификации, установленного требованиями, утверждёнными приказом ФСТЭК России от 13 февраля 2013 г. № 17, немного.
Важно отметить, что классификации подлежат любые информационные системы, на которые распространяются рассматриваемые Требования, в том числе независимо от того, обрабатывается в них информация ограниченного доступа или нет.
В порядок классификации вносятся некоторые полезные уточнения. В частности, устанавливается, что допускается присвоение отдельным сегментам информационной системы разных классов защищенности с реализацией требований по защите информации, содержащейся в сегментах, в соответствии с присвоенными классами защищённости. В этом случае на границе сегмента более высокого класса должны быть приняты меры по защите информации, предусматривающие исключение возможности несанкционированного доступа из сегмента системы низкого класса защищённости в сегмент более высокого класса защищённости.
Классы защищённости информационных систем, функционирующих на базе информационно-телекоммуникационной инфраструктуры, не должны быть выше класса защищённости этой информационно-телекоммуникационной инфраструктуры.
Класс защищённости информационной системы определяется в соответствии с таблицей:
Булаев Михаил Александрович, ведущий консультант-аналитик
В канун наступления 2025 года (28 декабря 2024 г.) на официальном сайте для размещения информации о подготовке федеральными органами исполнительной власти проектов нормативных правовых актов размещен проект приказа ФСТЭК России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений". Общественное обсуждение проекта завершилось 11 января 2025 г.
Рассматриваемый проект приказа – это существенно переработанная версия, которая была размещена на сайте ФСТЭК России 8 августа 2024 г.
Документ состоит из 4-х частей:
I. Общие положения.II. Требования к организации деятельности по защите информации и управлению данной деятельностью.
III. Требования к проведению мероприятий и принятию мер по защите информации.
Приложение: Определение класса защищённости информационной системы.
Какие новые требования предлагает установить регулятор?
- Область применения
В случае передачи информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации (далее — информация ограниченного доступа, конфиденциальная информация) из государственной информационной системы в иные информационные системы, информационная система, в которую передается информация ограниченного доступа, должна соответствовать рассматриваемым Требованиям.
Таким образом, проект приказа весьма существенно расширяет область применения новых Требований. В отличие от требований, установленных приказом ФСТЭК России от 13 февраля 2013 г. №17, новые Требования распространяются:
б) требования на перечисленные в пункте а) информационные системы распространяются независимо от того, какая информация обрабатывается в этих системах: это информация ограниченного доступа или открытая (общедоступная) информация;
в) рассматриваемые Требования также могут распространяться и на другие информационные системы (негосударственные) в случае обработки и хранения в них информации, переданной из государственных информационных систем, соответствующих рассматриваемым Требованиям, доступ к которой ограничен в соответствии с законодательством Российской Федерации.
- Значительная часть проекта посвящена требованиям к организации деятельности по защите информации и управлению этой деятельностью. Эти требования включают необходимость выполнения следующих мероприятий:
б) определение лиц, ответственных за защиту информации;
в) применение программных, программно-аппаратных средств, предназначенных для защиты информации;
г) разработку и утверждение внутренних стандартов и регламентов по защите информации;
д) выделение организационных, технических и иных ресурсов, необходимых для защиты информации.
По мнению регулятора, основными целями защиты информации должны являться:
– недопущение (исключение, снижение возможности) наступления негативных последствий (событий) от нарушения конфиденциальности, целостности, доступности информации;– недопущение (исключение, снижение возможности) наступления негативных последствий (событий) от нарушения функционирования информационных систем вследствие реализации (возникновения) угроз безопасности информации.
- Далее проект устанавливает требования к 20-ти группам мероприятий по защите информации, содержащейся в информационных системах.
• контроль конфигураций информационных систем;
• управление уязвимостями;
• управление обновлениями;
• обеспечение защиты информации при обработке и обращении с информацией ограниченного доступа;
• обеспечение защиты информации при использовании конечных устройств (точек);
• обеспечение защиты информации при использовании мобильных устройств;
• обеспечение защиты информации при удаленном доступе внутренних пользователей к информационным системам;
• обеспечение защиты информации при предоставлении пользователям доступа к информационным системам, предусматривающего возможность выполнения, изменения, записи, удаления программ и (или) данных в информационных системах (далее - привилегированный доступ);
• обеспечение мониторинга информационной безопасности;
• обеспечение разработки безопасного программного обеспечения;
• обеспечение физической защиты информационных систем;
• обеспечение непрерывности функционирования информационных систем при возникновении нештатных ситуаций;
• повышение уровня знаний и информированности работников оператора по вопросам защиты информации;
• обеспечение защиты информации при взаимодействии с подрядными организациями;
• обеспечение защиты от атак, направленных на отказ в обслуживании;
• обеспечение защиты информации при использовании искусственного интеллекта;
• обеспечение доверия при взаимодействии в информационных системах субъектов и объектов доступа;
• реализация в информационных системах мер по их защите и содержащейся в них информации;
• проведение контроля уровня защищённости информации, содержащейся в информационных системах.
Реализация этих мероприятий должна осуществляться в том числе за счёт использования следующих базовых мер защиты (их всего перечислено 16). Группировка этих мер существенно отличается от группировки мер защиты, используемой в действующих требованиях, утверждённых приказом ФСТЭК России от 13 февраля 2013 г. № 17. Это:
• управление доступом;
• регистрация событий безопасности;
• защита виртуализации и облачных технологий;
• защита технологий контейнерных сред и их оркестрации;
• защита сервисов электронной почты;
• защита веб-технологий;• защита программных интерфейсов взаимодействия приложений;
• защита конечных устройств (точек);
• защита мобильных устройств;
• защита устройств "интернета вещей";
• антивирусная защита;
• обнаружение и предотвращение вторжений на сетевом уровне;
• сегментация и межсетевое экранирование;
• защита от атак, направленных на отказ в обслуживании;
• защита каналов связи и сетевого взаимодействия.
В отличие от требований, установленных приказом ФСТЭК России от 13 февраля 2013 г. № 17, рассматриваемый проект Требований не устанавливает перечень (состав) мер защиты информации и их базовые наборы для соответствующих классов защищённости информационных систем. Дифференциация требований в зависимости от класса защищённости информационных систем производится по более обоснованному принципу – в зависимости от уровня возможностей (потенциала) нарушителя, которому должна противостоять система защиты информации. Меры защиты информационных систем и содержащейся в них информации, подлежащие реализации, должны обеспечивать защиту от нарушителей со следующими уровнями возможностей (пункт 53 Требований):
– в информационных системах 3 класса защищённости — меры защиты должны обеспечивать защиту от нарушителей с базовым уровнем возможностей;– в информационных системах 2 класса защищённости — от нарушителей с повышенным уровнем возможностей;
– в информационных системах 1 класса защищённости — от нарушителей с высоким уровнем возможностей возможностями.
Для информационных систем, на которые распространяются рассматриваемые Требования обязательным является:
– применение сертифицированных средств защиты информации;– аттестация на соответствие рассматриваемым Требованиям в соответствии с Порядком организации и проведения работ по аттестации объектов информатизации, утвержденным приказом ФСТЭК России от 29 апреля 2021 г. № 77.
В плане текущего контроля защищённости информационных систем вводится обязанность оператора периодически проводить оценку показателя защищённости Кзи и показателя уровня зрелости Пзи информационных систем, результаты которой должны направляться оператором во ФСТЭК России.
- Уточнены критерии классификации информационных систем по требованиям защиты информации.
Существенных отличий от порядка классификации, установленного требованиями, утверждёнными приказом ФСТЭК России от 13 февраля 2013 г. № 17, немного.
Важно отметить, что классификации подлежат любые информационные системы, на которые распространяются рассматриваемые Требования, в том числе независимо от того, обрабатывается в них информация ограниченного доступа или нет.
В порядок классификации вносятся некоторые полезные уточнения. В частности, устанавливается, что допускается присвоение отдельным сегментам информационной системы разных классов защищенности с реализацией требований по защите информации, содержащейся в сегментах, в соответствии с присвоенными классами защищённости. В этом случае на границе сегмента более высокого класса должны быть приняты меры по защите информации, предусматривающие исключение возможности несанкционированного доступа из сегмента системы низкого класса защищённости в сегмент более высокого класса защищённости.
Классы защищённости информационных систем, функционирующих на базе информационно-телекоммуникационной инфраструктуры, не должны быть выше класса защищённости этой информационно-телекоммуникационной инфраструктуры.
Класс защищённости информационной системы определяется в соответствии с таблицей:
|
Уровень значимости информации |
Масштаб информационной системы |
||
|
Федеральный |
Региональный |
Объектовый | |
| УЗ 1 | К1 | К1 | К1 |
| УЗ 2 | К1 | К2 | К2 |
|
УЗ 3 |
К2 | К3 | К3 |
- О вступлении в силу новых требований
До вступления в силу новых требований применяются Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 13 февраля 2013 г. № 17.
С даты вступления в силу перечисленных выше новых требований (1 сентября 2025 г.) приказ ФСТЭК России от 13 февраля 2013 г. № 17 утрачивает силу.
В пояснительной записке к проекту приказа устанавливается, что принятие проекта приказа не потребует дополнительных расходов из федерального бюджета, так как проект приказа основывается на действующих положениях нормативных правовых актов и направлен на уже созданные и функционирующие элементы системы информационной безопасности Российской Федерации. Однако декларируемая необходимость использования мер, предусмотренных пунктом 52 Требований, явно потребует дополнительных затрат на реализацию этих мер.
В заключение этого обзора целесообразно отметить, что для практического внедрения новых Требований потребуется существенная переработка соответствующих методических документов ФСТЭК России, в том числе Методического документа "Меры защиты информации в государственных информационных системах", утверждённого ФСТЭК России 11 февраля 2014 г.