Приказ ФСТЭК России № 117 от 11.04.25, посвященный защите информации в государственных информационных системах (ГИС), вызывает множество вопросов у ИБ-специалистов. В ходе вебинара, организованного компаниями «Инфотекс» и «Центр информационной безопасности», Валентин Селифанов заместитель руководителя обособленного подразделения, и Иван Ситьков, коммерческий директор ГК ЦИБ, подробно разобрали ключевые нововведения документа и дали ответы на самые актуальные вопросы.
Кого коснутся новые требования?
Кого коснутся новые требования?Важнейшее изменение заключается в значительном расширении перечня систем, на которые распространяются требования. Помимо самих ГИС под действие приказа теперь подпадают все информационные системы, обрабатывающие информацию ограниченного доступа государственных органов, госкомпаний (ГУПы) и госучреждений, а также муниципальные информационные системы и иные системы, в которые передается информация ограниченного доступа из государственных информационных систем. Как отметили спикеры, «по сути, ничего нового нет» ‒ ранее на большинство таких систем уже распространялись требования приказа ФСТЭК № 21, касающегося защиты персональных данных. Новый приказ призван «привести все к общему знаменателю», унифицировав регулирование.
Кто отвечает за защиту?
Один из самых сложных вопросов ‒ разграничение ответственности между заказчиком, т. е. органом власти и оператором системы ‒ подведомственным учреждением, которое ее эксплуатирует.
Эксперты пояснили, что конкретный перечень ответственных лиц и порядок взаимодействия должны определяться на этапе создания системы в соответствии с Федеральным законом № 149-ФЗ и иными профильными нормативными актами. Приказ № 117 лишь перечисляет действующих лиц, но не назначает их.
Ключевой принцип заключается в том, что в каждой организации, где находятся сегменты системы, должно быть достаточное количество компетентных сотрудников для обеспечения ее безопасности. Если своих ресурсов не хватает, функции можно передать на аутсорсинг.
Аттестация и оценка эффективности
Порядок проведения аттестационных испытаний по приказу ФСТЭК не меняется. Аттестат соответствия получает тот, кто осуществляет эксплуатацию системы и на кого выделяются бюджеты на эти цели.
Для систем, которые не являются ГИС, но обрабатывают информацию ограниченного доступа государственных органов, вместо аттестации допускается проведение оценки эффективности принимаемых мер защиты. Однако теперь эта оценка проводится не по Приказу № 21, а в соответствии с требованиями Приказа № 117.
Модель угроз и контроль защищенности
Приказ № 117 делает модель угроз обязательным документом не для всех. Однако подчеркивается, что наличие локального акта, определяющего актуальные угрозы, необходимо. Само содержание угроз и методика их определения по документу ФСТЭК 2021 г. остаются прежними.
Согласно приказу № 77, контроль защищенности аттестованных систем должен проводиться не реже чем раз в два года. В то же время приказ № 117 вводит оценку показателя защищенности с периодичностью раз в три года. На текущий момент это рассматривается как две разные административные процедуры, и отчетность по ним, вероятно, необходимо будет отправлять раздельно.
Строгая аутентификация и безопасная разработка
В приказе появляются новые требования, например, к строгой аутентификации. Конкретные рекомендации по ее реализации должны быть детализированы в методических документах ФСТЭК. На рынке уже есть сертифицированные средства, позволяющие это реализовать.
Отдельное внимание уделяется безопасной разработке ПО. Спикеры открыто признали, что это одна из самых проблемных зон. Специалистов, обладающих глубокими знаниями и практическим опытом в области оценки процессов безопасной разработки, на рынке мало. На текущий момент лишь некоторые компании получили от ФСТЭК России сертификат, подтверждающий соответствие их процессов безопасной разработке.
Сколько специалистов нужно?
Приказ не содержит конкретных цифр, определяющих численность штата. Требование о наличии структурного подразделения или отдельных специалистов, ответственных за информационную безопасность, исходит из других нормативных документов, таких, например, как Указ Президента № 250. Ключевой принцип формирования команды заключается в том, что штат должен быть достаточным для качественного и непрерывного выполнения трех основных функций: администрирования и эксплуатации систем защиты, мониторинга, желательно в круглосуточном режиме, и оперативного реагирования на инциденты. Эксперты в данной области отмечают, что для многих организаций, особенно небольших, создание полноценного собственного подразделения, способного закрыть все эти задачи, является экономически и практически нецелесообразным. На сегодняшний день наиболее релевантным вариантом в такой ситуации становится передача функций мониторинга и реагирования на инциденты на аутсорсинг в специализированные сертифицированные центры. Это позволит обеспечить необходимый уровень защиты без содержания большого штата.
В заключение можно еще раз отметить, что Приказ № 117 не привнес принципиально новых изменений, но расставил более четкие и строгие акценты в работе по защите информации.
Артем Пермяков, Connect
