Что год грядущий нам готовит? Обзор перспектив развития в 2025 году нормативной базы ФСТЭК России в области защиты информации
06.03.2025
Булаев Михаил Александрович, ведущий консультант-аналитик
Двенадцатого февраля этого года в рамках форума "Технологии безопасности 2025" (ТБ-Форум 2025) состоялась конференция "Актуальные вопросы защиты информации", на которой представители ФСТЭК России предъявили общественности планы развития и совершенствования нормативной базы в области защиты информации на 2025 год и ближайшую перспективу.
Эти планы оказались достаточно впечатляющими и касаются нормативного регулирования практически по всем направлениям защиты информации в рамках предоставленных ФСТЭК России полномочий: защита информации в ГИС, обеспечение безопасности критической информационной инфраструктуры, сертификация средств защиты и аттестация объектов информатизации.
Двенадцатого февраля этого года в рамках форума "Технологии безопасности 2025" (ТБ-Форум 2025) состоялась конференция "Актуальные вопросы защиты информации", на которой представители ФСТЭК России предъявили общественности планы развития и совершенствования нормативной базы в области защиты информации на 2025 год и ближайшую перспективу.
Эти планы оказались достаточно впечатляющими и касаются нормативного регулирования практически по всем направлениям защиты информации в рамках предоставленных ФСТЭК России полномочий: защита информации в ГИС, обеспечение безопасности критической информационной инфраструктуры, сертификация средств защиты и аттестация объектов информатизации.
Рассмотрим подробнее планируемые изменения.
Официальная версия проекта приказа ФСТЭК России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений" была размещена для общественного обсуждения 28 декабря 2024 г.
Необходимо отметить, что существенно расширяется область действия новых требований. Они будут распространяться на:
• государственные информационные системы, иные информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений;
• иные (негосударственные) информационные системы в случае передачи в них из государственной информационной системы информации, доступ к которой ограничен в соответствии с законодательством.
- Совершенствование требований по защите информации, обрабатываемой в государственных информационных системах (ГИС)
Официальная версия проекта приказа ФСТЭК России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений" была размещена для общественного обсуждения 28 декабря 2024 г.
Необходимо отметить, что существенно расширяется область действия новых требований. Они будут распространяться на:
• государственные информационные системы, иные информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений;
• иные (негосударственные) информационные системы в случае передачи в них из государственной информационной системы информации, доступ к которой ограничен в соответствии с законодательством.
Кроме аналогичных требований к ГИС, установленных приказом ФСТЭК России от 11 февраля 2013 г. № 17, проект предусматривает необходимость реализации ряда новых требований, в том числе:
• по защите информации при взаимодействии оператора (обладателя информации) с подрядными организациями;
• по обеспечению защиты информации при использовании для функционирования информационных систем искусственного интеллекта;
• по обеспечению доверия при взаимодействии субъектов и объектов доступа в распределенных информационных системах.
• по защите информации при взаимодействии оператора (обладателя информации) с подрядными организациями;
• по обеспечению защиты информации при использовании для функционирования информационных систем искусственного интеллекта;
• по обеспечению доверия при взаимодействии субъектов и объектов доступа в распределенных информационных системах.
Проект новых требований также возлагает на операторов ГИС (обладателей информации) необходимость разработки большого количества внутренних стандартов и регламентов по защите информации, перечень которых приведён в документе.
В отличие от версии проекта приказа, опубликованной 28 декабря 2024 г., срок его вступления в силу переносится на год вперёд – на 1 сентября 2026 г.
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 с 1 сентября 2026 г. будет отменён.
В отличие от версии проекта приказа, опубликованной 28 декабря 2024 г., срок его вступления в силу переносится на год вперёд – на 1 сентября 2026 г.
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 с 1 сентября 2026 г. будет отменён.
- Совершенствование требований по безопасности объектов критической информационной инфраструктуры
Планируется внесение изменений в Федеральный закон от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", согласно которым в закон будут включены перечни объектов КИИ, подлежащие категорированию. Предполагается, что это позволит избежать многочисленных проблем при определении состава объектов субъектов КИИ, подлежащих категорированию.
- Совершенствование системы аттестации объектов информатизации
Отмечается, что качество работ по аттестации объектов информатизации пока остается на низком уровне. Основными недостатками являются недостатки, связанные с тем, что в ходе аттестации органами по аттестации не проводятся инструментальные проверки:
• по анализу уязвимостей ИС;
• по функциональному тестированию механизмов защиты системы защиты информации ИС;
• по тестированию ИС в обход её системы защиты информации (тестирование на проникновение).
• по анализу уязвимостей ИС;
• по функциональному тестированию механизмов защиты системы защиты информации ИС;
• по тестированию ИС в обход её системы защиты информации (тестирование на проникновение).
Для методического обеспечения работ по аттестации ФСТЭК России планирует выпустить соответствующие методические документы, проекты которых уже подготовлены:
• Методика испытаний систем защиты информации информационных систем путем осуществления тестирования её функций безопасности (функционального тестирования);
• Методика анализа уязвимостей в информационных системах;
• Методика испытаний систем защиты информации информационных систем путем тестирования на проникновение.
• Методика испытаний систем защиты информации информационных систем путем осуществления тестирования её функций безопасности (функционального тестирования);
• Методика анализа уязвимостей в информационных системах;
• Методика испытаний систем защиты информации информационных систем путем тестирования на проникновение.
Надеемся, что проекты этих документов будут утверждены в ближайшем будущем.
- Совершенствование системы сертификации средств защиты информации
В 2025 году ФСТЭК России планирует существенное ужесточение требований к средствам защиты информации и порядку их разработки и испытаний.
1. Совершенствование требований к средствам защиты информации
Планируется выпуск новых и уточнение действующих требований к средствам защиты информации, которые должны подтверждаться при их сертификации:
• Требования по безопасности информации к средствам обнаружения и реагирования уровня узла (EDR);
• Требования по безопасности информации к средствам антивирусной защиты (новая редакция);
• Требования по безопасности информации к межсетевым экранам (новая редакция);
• Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам безопасности информационных технологий (новая редакция);
• Требования по безопасности информации к средствам контроля за действиями привилегированных учётных записей.
• Требования по безопасности информации к средствам обнаружения и реагирования уровня узла (EDR);
• Требования по безопасности информации к средствам антивирусной защиты (новая редакция);
• Требования по безопасности информации к межсетевым экранам (новая редакция);
• Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам безопасности информационных технологий (новая редакция);
• Требования по безопасности информации к средствам контроля за действиями привилегированных учётных записей.
2. Совершенствование порядка и процедур сертификации средств защиты
Подготовлены рекомендации по сертификации средств защиты и повышению защищенности инфраструктуры разработчиков программного обеспечения средств защиты информации:
• особенности сертификации СЗИ, в состав которых входят заимствованные программные компоненты с открытым исходным кодом;
• повышение безопасности СЗИ, в состав которых включены средства контейнеризации или образы контейнеров;
• повышение безопасности СЗИ, в состав которых включены интерпретаторы, веб сервера и сервера приложений;
• новая редакция Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении;
• рекомендации по мерам по повышению защищённости инфраструктуры разработки программного обеспечения.
• особенности сертификации СЗИ, в состав которых входят заимствованные программные компоненты с открытым исходным кодом;
• повышение безопасности СЗИ, в состав которых включены средства контейнеризации или образы контейнеров;
• повышение безопасности СЗИ, в состав которых включены интерпретаторы, веб сервера и сервера приложений;
• новая редакция Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении;
• рекомендации по мерам по повышению защищённости инфраструктуры разработки программного обеспечения.
Регулятор также продолжает продвигать необходимость внедрения в организациях разработчиков средств защиты процессов безопасной разработки программного обеспечения средств защиты информации в соответствии с обновленным национальным стандартом ГОСТ Р 56939-2024 "Защита информации. Разработка безопасного программного обеспечения. Общие требования", который вступил в силу с 20 декабря 2024 г. Планируется дальнейшее развитие Банка угроз, включая возможность предоставления авторизованного доступа к Банку разработчикам СЗИ и ПО, получения информации об уязвимостях посредством организации API-взаимодействия. Завершая этот обзор, констатируем: в 2025 году нас ожидает очередная волна существенных изменений требований в области защиты информации.