ФСТЭК России официально опубликовал нормативный акт — приказ от 11.04.2025 г. № 117, утверждающий требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений.
Некоторые положения документа:
- Специалисты по информационной безопасности должны обладать необходимыми компетенциями для выполнения возложенных обязанностей по защите. Не менее 30% работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению подготовки в области ИБ или пройти профессиональную переподготовку;
- Применение пользователями личных мобильных устройств для доступа к информационным системам в целях выполнения своих обязанностей, оператор (обладатель информации) должен применить меры по защите информационных систем и обеспечивать защиту каналов передачи данных, осуществляющих доступ пользователям с применением строгой аутентификации;
- При удаленном доступе пользования должны приниматься меры по защите информационных систем. Удаленный доступ должен осуществляться с использованием сетей связи в РФ;
- Критические уязвимости должны устраняться за 24 часа, уязвимости высокого уровня опасности - не более 7 дней;
- Съемные машинные носители информации подлежат учету и контролю;
- Контроль уровня защищенности информации должен производиться не реже одного раза в три года или после инцидента, производимого у оператора. Методы контроля уровня защищенности информации и период его проведения определяются оператором во внутреннем регламенте.
Некоторые положения документа:
- Специалисты по информационной безопасности должны обладать необходимыми компетенциями для выполнения возложенных обязанностей по защите. Не менее 30% работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению подготовки в области ИБ или пройти профессиональную переподготовку;
- Применение пользователями личных мобильных устройств для доступа к информационным системам в целях выполнения своих обязанностей, оператор (обладатель информации) должен применить меры по защите информационных систем и обеспечивать защиту каналов передачи данных, осуществляющих доступ пользователям с применением строгой аутентификации;
- При удаленном доступе пользования должны приниматься меры по защите информационных систем. Удаленный доступ должен осуществляться с использованием сетей связи в РФ;
- Критические уязвимости должны устраняться за 24 часа, уязвимости высокого уровня опасности - не более 7 дней;
- Съемные машинные носители информации подлежат учету и контролю;
- Контроль уровня защищенности информации должен производиться не реже одного раза в три года или после инцидента, производимого у оператора. Методы контроля уровня защищенности информации и период его проведения определяются оператором во внутреннем регламенте.
Отменяется приказ ФСТЭК № 17. Это означает, что государственные организации обязаны начать подготовку к переходу на новые нормы и стандарты защиты информации начиная с момента официального опубликования нового акта.
Новый порядок вступает в силу с 1 марта 2026 года.
Таким образом, государственные органы и организации имеют достаточно времени для подготовки и адаптации своей деятельности к новым требованиям по информационной безопасности. Однако важно учитывать необходимость заблаговременного принятия мер для соблюдения установленных норм.
Принятие приказа ФСТЭК № 117 свидетельствует о повышении внимания государства к вопросам информационной безопасности и защите критически важной государственной информации. Эти меры призваны укрепить систему защиты информации и повысить уровень доверия граждан к государственным информационным ресурсам.
Новый порядок вступает в силу с 1 марта 2026 года.
Таким образом, государственные органы и организации имеют достаточно времени для подготовки и адаптации своей деятельности к новым требованиям по информационной безопасности. Однако важно учитывать необходимость заблаговременного принятия мер для соблюдения установленных норм.
Принятие приказа ФСТЭК № 117 свидетельствует о повышении внимания государства к вопросам информационной безопасности и защите критически важной государственной информации. Эти меры призваны укрепить систему защиты информации и повысить уровень доверия граждан к государственным информационным ресурсам.