ФСТЭК России введёт новые требования по защите информации
ФСТЭК России подготовила новый свод требований по защите информации, который вступит в силу в марте следующего года. Киберэксперт Сергей Полунин рассказал о сложностях и решениях в вопросе защиты информации.
Документ охватывает государственные информационные системы, а также системы других государственных органов, унитарных предприятий и учреждений.
Ключевые нововведения:
— Расширение сферы применения. Документ охватывает защиту информации, содержащейся в государственных информационных системах, включая данные государственной тайны, персональные данные и информацию, относящуюся к критической информационной инфраструктуре.
— Обновление нормативной базы. Новый свод требований опирается на существующие нормативные акты, такие как Постановление Правительства РФ № 1119 и Федеральный закон № 187-ФЗ, а также другие регламенты по технической защите информации. Это позволит адаптировать меры безопасности к современным вызовам.
— Жёсткие сроки устранения уязвимостей. Документ вводит строгие временные рамки для реагирования на угрозы: критические уязвимости необходимо устранять в течение 24 часов, высокие — не позднее 7 рабочих дней, а средние и низкие — в соответствии с внутренними регламентами организации.
— Новые процедуры уведомления. Операторы обязаны в течение 5 рабочих дней передавать в Банк данных угроз ФСТЭК информацию о ранее неизвестных уязвимостях. Это обеспечит оперативное выявление новых киберугроз и позволит быстрее реагировать на потенциальные риски.
— Упрощение классификации информационных систем. Новый подход к классификации упрощает процесс оценки рисков и выбора мер защиты, делая регулирование более прозрачным. Обновлённый свод требований ФСТЭК России направлен на повышение оперативности и эффективности мер по защите информации, адаптацию к современным киберугрозам и создание единого подхода к обеспечению информационной безопасности в государственных структурах.
«Требования регулятора к информационной безопасности на предприятиях вполне логичные и являются адекватным ответом на новые вызовы. Вопрос только в том, насколько это реально поможет что-либо улучшить в нашей жизни, учитывая, что компании всё больше ограничены в бюджетах. Например, для того, чтобы организовать устранение критической уязвимости в течение 24 часов, нужны специалисты соответствующего уровня и вообще готовность инфраструктуры к оперативным изменениям. С другой стороны, применение решений, где механизмы безопасности уже являются частью системы, таких как СУБД Jatoba, существенно сокращает это время», — говорит руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.