info@ksb-soft.ru
8 800 3333-872
Задать вопрос
/ Изменения в 17 приказе ФСТЭК России

Изменения в 17 приказе ФСТЭК России


В прошлом году ФСТЭК России объявила о грядущем принятии нового документа, заменяющего приказ № 17 от 11 февраля 2013 года «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». 28 декабря 2024 года ФСТЭК России представила на общественное обсуждение проект нового приказа.

И пока мы ждём финальную версию, методические рекомендации, а также окончательное вступление нового приказа в силу (предположительно 1 марта 2026 года), предлагаем рассмотреть основные нововведения. Но для начала разберёмся, нужно ли после вступления приказа в силу проводить переаттестацию.

Проводить ли вам переаттестацию?

После вступления нового приказа в силу проводить переаттестацию не требуется. Однако, поскольку появились новые требования, необходима регулярная проверка защиты информации. Это значит, что систему защиты нужно модернизировать, а затем снова пройти аттестацию на соответствие новым требованиям.


Основные нововведения в 17 приказе ФСТЭК России:

1.  Расширение сферы действия. Новый приказ будет распространяться не только на государственные информационные системы, но и на все информационные системы организаций, которые попадают под формулировку «Государственное учреждение и муниципальное учреждение» (ГК РФ ст. 123.22). Например, ИСПДн. С момента подписания нового приказа и до вступления его в силу для защиты информации, содержащейся в негосударственных информационных системах, необходимо выполнение требований действующего 17 приказа ФСТЭК России.

2.  Обновленные требования ФСБ к использованию СКЗИ в информационных системах. При использовании СКЗИ нужно дополнительно выполнять требования о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств, утвержденных приказом ФСБ России от 18 марта 2025 г. № 117 для всех информационных систем, а не только для ГИС. Данные требования также будут скорректированы в части применения для всех информационных систем.


3.  Новые правила определения масштаба информационной системы и возможные последствия для классов защищённости. Изменены и приведены в соответствии с 117 приказом ФСБ правила определения масштаба информационной системы.

В связи с новыми правилами определения масштаба есть риск повышения класса защищённости некоторых системах. А именно, в случае повышения масштаба до федерального возможно повышение класса до К2 или К1 в зависимости от уровня значимости информации.

Также необходимо обратить внимание на класс необходимых СКЗИ при составлении закупок. Есть риск, что для систем регионального масштаба будет необходимо применение СКЗИ класса КС3 по требованиям 117 приказа ФСБ РФ.

4.  Требования к защите ИС ЗО КИИ. Защита информационных систем, являющихся значимым объектом КИИ, должна обеспечиваться в соответствии с 187-ФЗ «О безопасности КИИ» совместно с требованиями нового приказа.

5.  Разработка и периодическая актуализация единой политики защиты информации. Требование распространяется на все информационные системы оператора, информационно-телекоммуникационную сеть, если ИС функционирует на базе ИТКС.

Должен быть разработан и утвержден документ в котором будут отражены:

  • область действия политики, включая перечень информации, информационных систем, компонентов информационно-телекоммуникационной инфраструктуры, подлежащих защите;

  • определение целей защиты информации;

  • категории лиц, участвующих в защите информации, их обязанности (функции) и полномочия (права);

  • состав организационной системы управления деятельностью по защите информации и схему взаимодействия ее элементов;

  • ответственность работников за нарушение требований о защите информации.


6.  Оператору требуется разработать и утвердить внутренние стандарты и регламенты по защите информации, связанные с особенностями деятельности оператора и функционирования информационной системы.

Исполнять требования политики защиты информации, стандартов и регламентов должны работники как оператора, так и организации, которым предоставлен доступ к ИС оператора или содержащейся в них информации в части их касающейся. Обязанность сторонней организации по выполнению внутренних стандартов и регламентов по защите информации должна быть указана в договоре или ином документе, на основании которого передается информация, предоставляется доступ к информационным системам оператора или содержащейся в них информации.

Необходима разработка и (или) доработка документов оператора: внутренних стандартов по защите информации и внутренние регламенты по защите информации, которые утверждаются руководителем оператора или уполномоченным руководителем оператора лицом (ответственным лицом).

Информационные системы, в которые из ГИС передаётся информация, также должны соответствовать требованиям нового приказа.


7.  Изменение этапов определения набора мер, переработан Базовый набор.

В частности, появились новые, ранее не выделяемые в 17 приказе блоки мер:

  • защита технологий контейнерных сред и их оркестрации;

  • защита программных интерфейсов взаимодействия приложений;

  • защита веб-приложений;

  • защита электронной почты;

  • защита конечных устройств (точек);

  • защита устройств «интернета вещей».

Часть старых блоков мер также претерпела изменения.

Детальный состав мер ожидается в ближайшее время в новых методических рекомендациях ФСТЭК России (ориентировочно начало 3 квартала 2025 года).

Оператору потребуется переработка документации согласно новому приказу и новым методическим рекомендациям.


8.  Планируется совершенствование требований, относящихся к средствам обнаружения и реагирования уровня узла (EDR), средствам антивирусной защиты, межсетевым экранам, средствам контроля привилегированных учетных записей (PAM).


9.  Требования к периодической оценке показателей защищенности (Кзи) и уровня зрелости (Пзи).

Расчет и оценка показателей должны производится с интервалами:

  • не реже 1 раза в 6 месяцев для Кзи;

  • не реже 1 раза в 2 года для Пзи.

Результаты оценки оператор должен направлять во ФСТЭК России в течение 5 рабочих дней после их расчета.

В случае, если полученные по результатам расчета значения Пзи и Кзи не достигают нормированных значений, необходимо проведение работ по совершенствованию защиты информации. 


10.  Удалённый доступ сотрудников.

Удалённый доступ к внутренним ресурсам организации должен осуществляться с использованием специальных программно-аппаратных средств, предоставляемых самой организацией. Либо, если сотрудник работает с личного устройства, это должно происходить только после согласования с отделом, отвечающим за защиту информации, и при обязательном применении сертифицированных средств для безопасного дистанционного подключения и антивирусной защиты.


11.  Использование мобильных устройств.

В новом приказе подробно расписаны требования по обеспечению защиты информации при использовании мобильных устройств. В частности, потребуется применение СКЗИ, наличие изолированной вычислительной среды, используемой для исполнения функций по защите информации. Возможность использования личных мобильных устройств для доступа к информационным системам и содержащейся в них информации пока окончательно не определена (в приказе запрещается, однако в своих докладах представители ФСТЭК России сообщали, что возможность появится).

Если в информационной системе планируется использовать мобильные устройства, такие как планшеты и смартфоны, то они должны либо работать на операционной системе со встроенными средствами защиты информации (СЗИ), либо иметь установленные СЗИ.


12.  Информационные системы, взаимодействующие с сетью «Интернет», должны проходить мероприятия по мониторингу ИБ в соответствии с 5 разделом ГОСТ Р 59547-2021.

Оператор будет ежегодно разрабатывать отчёт о результатах мониторинга, который руководитель будет направлять во ФСТЭК России.

Компания КСБ-СОФТ поможет обеспечит мониторинг и реагирование на инциденты информационной безопасности. Пакет «Контроль» предусматривает услуги, покрывающие требования ГОСТ 59547-2021. Для реализации требований потребуется детальная проработка самого документа, а также формирование архитектуры центра мониторинга. Это нужно для формирования перечня минимально-необходимых технических решений, которые должны размещаться в инфраструктуре заказчика и позволять осуществлять сбор указанных в ГОСТ типов событий.

Для успешного внедрения требований ГОСТ 59547-2021 понадобится внимательное изучение самого документа и разработка архитектуры центра мониторинга. Это необходимо для составления списка минимально необходимого технических решений, которые должны быть установлены в инфраструктуре заказчика. Эти решения позволят собирать типы событий, указанные в стандарте ГОСТ.


13.  Применение ИИ в информационной безопасности.

Новый приказ описывает, как можно использовать искусственный интеллект в рамках обеспечения защиты информации с отсылкой на Национальную стратегию развития искусственного интеллекта.

Для ограничения возможностей искусственного интеллекта и контроля за его работой необходимо установить строгие рамки и механизмы проверки. Вот основные моменты:

  • Необходимо определить шаблоны запросов, которые пользователи могут отправить искусственному интеллекту, и контролировать их соответствие этим шаблонам. Аналогично, нужно разработать шаблоны для ответов искусственного интеллекта и следить за тем, чтобы они соответствовали заданным критериям.

  • Если запросы и ответы допускают свободную форму, нужно ограничить тематику, по которой пользователи могут взаимодействовать с искусственным интеллектом. Это поможет избежать ситуаций, когда искусственный интеллект получает запросы вне установленных рамок или генерирует нежелательные ответы.

  • Ответы искусственного интеллекта должны быть структурированы таким образом, чтобы соответствовать допустимым тематикам и иметь четкую форму представления.

  • Должен быть предусмотрен механизм, позволяющий выявлять и исправлять ситуации, когда искусственный интеллект выдает неверные или сомнительные ответы.


14.  Требования к разработке безопасного программного обеспечения.

Если оператор самостоятельно разрабатывает ПО в организации, то ему также нужно самостоятельно обеспечивать реализацию мер РБПО в соответствии с ГОСТ Р 56939-2024, а именно:

  • разрабатывать комплект документации, описывающей реализацию процессов РБПО (организационные меры);

  • заниматься построением платформы РБПО, обеспечивающей проверки ПО на предмет выявления уязвимостей и недекларированных возможностей (технические меры).

Если в разработке ПО участвует подрядная организация, то оператор в техническом задании должен будет указать требования в части РБПО с предъявлением ей сертификата соответствия процессов. В таком случае выполнение всех мер возлагается на подрядную организацию, разрабатывающую программное обеспечение.

Подрядная организация также должна пройти сертификацию процессов РБПО в соответствии с приказом ФСТЭК России № 240.


15.  Создание резервных копий. Операторы должны будут обеспечивать непрерывность функционирования ИС путём создания резервных копий с регламентированными интервалами времени восстановления значимых функций при возникновении нештатных ситуаций.

При возникновении инцидента операторам нужно восстановить работу ИС в течение определённого времени:

  • 24 часа с момента обнаружения нарушения функционирования для информационных систем 1 класса защищённости;

  • 7 дней для 2 класса защищённости;

  • 4 недель для 3 класса защищённости.

 

16.  Порядок проведения разработки и тестирования ПО подрядными организациями.

В частности, работники подрядных организаций не смогут проводить разработку (развитие) и (или) тестирование программного обеспечения непосредственно в эксплуатируемых ИС.

Оператору потребуется доработка, пересмотр и дополнение регламентов взаимодействия с подрядными организациями-разработчиками программного обеспечения. Для проведения работ по разработке (развитию) и (или) тестированию программного обеспечения работникам подрядных организаций должен быть предоставлен доступ к специально выделенным для проведения таких работ стендам разработки и (или) тестирования, которые должны быть изолированы от эксплуатируемых информационных систем оператора.


17.  С 1 сентября 2027 г. вступают в силу новые требования для информационных систем 1 класса защищенности. Это касается взаимодействия субъектов и объектов доступа в распределённых системах, имеющих доменную архитектуру. А с 1 января 2029 г. начинают действовать требования о строгой аутентификации с использованием аппаратного модуля безопасности для всех персональных электронных вычислительных машин и серверов, страной происхождения которых является Российская Федерация.

 

18.  Мероприятия по проведению контроля уровня защищённости тоже претерпели некоторые изменения — контроль должен проводиться в соответствии с внутренними регламентами одним или совокупностью методов (выявление уязвимостей, неправомерного подключения устройств к ИС, моделирование актуальных угроз ИС, проведение тренировок работниками оператора по отработке актуальных угроз).

 

19.  Должны проводиться мероприятия по управлению уязвимостями, включающие в себя выявление, оценку критичности, определение методов и приоритетов устранения уязвимостей и контроль за устранением уязвимостей. При выявлении уязвимости, информация о которой отсутствует в БДУ ФСТЭК России, оператор обязан направить информацию об уязвимости в ФСТЭК России в течение 5 рабочих дней (необходима доработка/пересмотр регламента управления уязвимостями).

 

20.  В новом приказе исключена возможность аттестации информационной системы как отдельного набора сегментов. Тем не менее, сама возможность разделения системы на сегменты остается доступной. Подробности по этому вопросу будут предоставлены в методических рекомендациях.


21.  Для организации и управления деятельностью по ЗИ необходимо иметь структурное подразделение или специалистов по защите информации. В своём выступлении на ТБ-Форуме представители ФСТЭК России отметили, что 30% специалистов должны иметь профильное образование (переподготовку).


В заключение отметим, что изменения в 17 приказе ФСТЭК России направлены на укрепление информационной безопасности организаций и адаптацию нормативно-правовой базы к современным вызовам. Обновления касаются важных аспектов, таких как классификация информационных систем, требования к средствам защиты и порядок проведения оценки соответствия. Эти нововведения помогут организациям эффективнее защищать свои данные и соответствовать государственным стандартам в области информационной безопасности.


Важно помнить, для полного понимания и правильного применения новых норм нужно тщательное изучение документа и консультации с профильными специалистами.

Поэтому рекомендуем следить за нашими обновлениями, чтобы не пропустить полный разбор изменений!


21 апреля 2025
Поделиться
Категории
Кейсистемс-Безопасность Контакты:
Адрес: пр. М. Горького, д. 18Б 428000 Чебоксары,
Телефон:88003333872, Электронная почта: support@ksb-soft.ru
Регистрация