Альтернатива приказу ФСТЭК №17
selectel.ru В панель
selectel.ru В панель
описание картинки

Альтернатива приказу ФСТЭК №17: зачем она нужна и что изменит

Софья Шпак
Софья Шпак Продуктовый редактор
27 января 2025

Изучили новый приказ и выяснили, что он изменит.

Изображение записи

ФСТЭК представила для финального обсуждения проект приказа «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Предполагается, что он заменит аналогичный приказ от 2013 года. Разберемся, зачем понадобились эти перемены и как к ним подготовиться.

Зачем понадобился новый приказ

Текущая версия приказа №17 была принята в 2013 году. Описанные в ней требования о защите информации и подход к их реализации с тех пор морально устарели. Во-первых, за прошедшие годы появились новые мероприятия по защите. Во-вторых, значительно изменились технологии, используемые в информационных системах, и в приказе не хватало требований к их защите. Например, в новой версии приказа нашлось место требованиям по взаимодействию с НКЦКИ и ЦМУ ССОП, а также затрагиваются вопросы безопасности информации при использовании мобильных устройств, устройств интернета вещей и искусственного интеллекта.

Кроме того, ФСТЭК не единственный в России регулятор в сфере информационной безопасности. Разработанные ФСБ и Роскомнадзором нормативно-правовые акты, методические документы ФСТЭК и другие документы по информационной безопасности важно синхронизировать между собой. С этой целью в новый приказ добавили ссылки на смежную по направлению документацию: ГОСТы по процессам разработки, мониторингу информационной безопасности, методические документы по выявлению уязвимостей, обновлению ПО и так далее. Проще говоря, раньше множество документов по смежным процессам существовали скорее автономно, а теперь получилось собрать их в единую структуру. 

Что еще изменилось

Радикальных изменений в новом приказе не произошло. В нем остались основные этапы защиты информации в ГИС, которые присутствовали в 17 приказе ФСТЭК. При этом область применения стала шире. Раньше приказ касался непосредственно государственных информационных систем. Новый же проект распространяется на все системы госорганов.

Дело в том, что в госоргане могут функционировать системы, которые не являются ГИС. Например, внутренний корпоративный портал или система бронирования отпусков. Формально, согласно прежней версии приказа, подобные информационные системы не попадали под требования 17 приказа ФСТЭК, а теперь попадают. Это хорошо, поскольку позволяет сделать систему защиты информации более консистентной.

Владислав Павлов Руководитель отдела аналитики и аудита информационной безопасности

Теперь необходимо будет защищать смежные информационные системы, в которые передаются данные, обрабатываемые в ГИС. А от компаний, которые разрабатывают ПО ГИС, смогут потребовать сертифицировать процессы в соответствии с ГОСТ Р 56939-2024.  

Кроме того, раньше в конце приказов ФСТЭК находилась объемная таблица, в которой были расписаны меры для разных классов защищенности системы. Читатели как правило сверялись с ней и игнорировали положения самого приказа. В новой версии подход к построению системы защиты и выбору мер безопасности изменился. Благодаря этому сместился фокус с перечня базовых мер, указанных в таблице. Теперь при построении системы защиты важно учитывать цели защиты информации, актуальные угрозы безопасности, архитектурные особенности ГИС и возможные негативные события.

Как подготовиться

Чтобы выстроить систему защиты в соответствии с приказом №17, необходимо:

  • определить, что именно нужно защищать и от кого; 
  • спроектировать систему защиты и внедрить ее; 
  • разработать документацию и назначить ответственных, которые будут обеспечивать безопасность; 
  • пройти аттестацию. 

С этой точки зрения все осталось по-прежнему, однако есть нюанс.

В новом варианте приказа стало больше моментов, связанных с отчетностью. Оператор ГИС должен будет регулярно проводить оценку состояния защиты информации и раз в полгода направлять во ФСТЭК результаты этой проверки. Также потребуется раз в два года отчитываться по эффективности мер защиты информации. А еще — ежегодно сообщать результаты мониторинга информационной безопасности по ГОСТ Р 59547-2021. Итого — три регулярных мероприятия. Кроме того, по-прежнему необходимо проводить регулярный контроль защиты информации аттестованной системы по 77 Приказу ФСТЭК.

Теперь у ФСТЭК появилось значительно больше вариантов для контроля уровня защищенности информационных систем госорганов.

Владислав Павлов Руководитель отдела аналитики и аудита информационной безопасности

Иными словами, стоит подготовиться к тому, что отчетности станет больше, а систему защиты информации потребуется непрерывно совершенствовать. 

Какие перспективы у этого приказа

Некоторое время он будет находиться на рассмотрении, и, если препятствий не возникнет, приказ вступит в силу 1 сентября 2025 года. Поскольку новые правила вполне ожидаемы и закономерны, вероятнее всего, его примут без больших изменений. 

Новости ИБ

Читайте также:

Изображение записи
Обзоры

Как написать расширение для Home Assistant и подключить радио

Владимир Туров
Владимир Туров Разработчик
Изображение записи
Обзоры

Docker: что это такое и как работать с контейнерами

Геннадий Паршаков
Геннадий Паршаков Разработчик
Изображение записи
Обзоры

Облачные роутеры и публичные IP

Андрей Гордиенко
Андрей Гордиенко Ведущий специалист