Альтернатива приказу ФСТЭК №17: зачем она необходима и каких изменений следует ждать

Главное:

• ФСТЭК представила проект нового приказа о защите информации, который заменит устаревший приказ 2013 года.
• Область применения нового приказа расширена, теперь он касается всех информационных систем госорганов, а не только ГИС.
• Отчетность и контроль за защитой информации становятся более жесткими и частыми.

Обоснование необходимости нового приказа

В связи с быстрым развитием технологий и переходом к новым стандартам, старый приказ ФСТЭК №17, принят в 2013 году, уже не соответствует требованиям современности. За это время появились новые угрозы и риски, а также технологии, такие как использование устройств интернета вещей и искусственного интеллекта. Новый проект приказа становится ответом на необходимость обновления подходов к защите информации в государственных информационных системах (ГИС). Например, он включает требования по взаимодействию с Национальным координационным центром защиты критической информации (НКЦКИ) и ЦМУ ССОП, что говорит о более интегрированном подходе к кибербезопасности.

Также, согласно новому приказу, создание единой структуры нормативных документов по информационной безопасности позволит организациям легче ориентироваться в требованиях и рекомендациях. Ранее различные документы часто существовали автономно, вводя путаницу в процедуру соблюдения норм.

Основные изменения и новшества

В новом проекте приказа сохранены основные этапы защиты информации, но теперь он охватывает более широкий круг систем. Теперь под требования также попадают и внутренние бюджетные системы, такие как корпоративные порталы и системы бронирования. Это значительное изменение, так как ранее такие информационные системы не подпадали под действие приказа, что создавало риски в области защиты.

Кроме этого, в новой версии уменьшено количество таблиц с перечнем мер безопасности, которые использовались для определения класса защищенности. Вместо этого акцент теперь смещается на цели защиты информации и анализ актуальных угроз, что соответствует современным требованиям к адаптивности системы безопасности. Это подчеркивает необходимость индивидуального подхода к каждой информационной системе, что является положительным шагом к повышению уровня безопасности.

Подготовка и перспективы реализации нового приказа

Организациям, которые обязаны соблюдать новый приказ, необходимо уже сейчас начать подготовку к улучшению системы защиты информации. Необходимо провести инвентаризацию данных и разработать планы по защите, включая документирование процессов и назначение ответственных за безопасность.

Ожидается, что новый приказ вступит в силу 1 сентября 2025 года. Это дает время для всех участников процесса адаптироваться к новым требованиям и увеличить уровень подготовки и защиты информации. Однако, в условиях достижения устойчивого кибербезопасности, стоит ожидать, что требования будут только ужесточаться. Таким образом, предстоящее внедрение нового приказа является важным шагом на пути к повышению стандартов защиты информации в государственных структурах.