Федеральная служба по техническому и экспортному контролю (ФСТЭК России) разработала и утвердила новые требования по защите информации, которые вступят в силу с марта следующего года.
Сергей Полунин, эксперт в области кибербезопасности, поделился своими размышлениями о сложностях и решениях, связанных с обеспечением информационной безопасности.
Документ охватывает государственные информационные системы, а также системы других государственных органов, унитарных предприятий и учреждений.
Основные нововведения включают в себя:
Расширение сферы применения: документ охватывает защиту информации, содержащейся в государственных информационных системах, включая данные государственной тайны, персональные данные и информацию, относящуюся к критической информационной инфраструктуре. Обновление нормативной базы: новый свод требований опирается на существующие нормативные акты, такие как Постановление Правительства РФ № 1119 и Федеральный закон № 187-ФЗ, а также другие регламенты по технической защите информации. Это позволит адаптировать меры безопасности к современным вызовам.
Жёсткие сроки устранения уязвимостей: документ вводит строгие временные рамки для реагирования на угрозы: критические уязвимости необходимо устранять в течение 24 часов, высокие — не позднее 7 рабочих дней, а средние и низкие — в соответствии с внутренними регламентами организации. Новые процедуры уведомления: операторы обязаны в течение 5 рабочих дней передавать в Банк данных угроз ФСТЭК информацию о ранее неизвестных уязвимостях. Это обеспечит оперативное выявление новых киберугроз и позволит быстрее реагировать на потенциальные риски.
-
Упрощение классификации информационных систем: новый подход к классификации упрощает процесс оценки рисков и выбора мер защиты, делая регулирование более прозрачным.
Обновлённый свод требований ФСТЭК России направлен на повышение оперативности и эффективности мер по защите информации, адаптацию к современным киберугрозам и создание единого подхода к обеспечению информационной безопасности в государственных структурах.
Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», отмечает, что требования регулятора к информационной безопасности на предприятиях являются логичными и адекватными ответом на новые вызовы. Однако вопрос о том, насколько эти требования помогут улучшить ситуацию, остаётся открытым, учитывая ограниченность бюджетов компаний.
С одной стороны, для устранения критической уязвимости в течение 24 часов требуются специалисты соответствующего уровня и готовность инфраструктуры к оперативным изменениям. С другой стороны, применение решений, где механизмы безопасности уже являются частью системы, существенно сокращает время на устранение уязвимостей.