Опубликован приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 11.04.2025 № 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений».
Подписанный приказ вступает в силу с 1 марта 2026 года. Действующий до настоящего времени приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» с 1 марта 2026 года признаётся утратившим силу.
Аттестаты соответствия на ГИС и иные ИС, выданные до 1 марта 2026 года, считаются действительными.
Специалист по информационной безопасности (ИБ) Алексей Лукацкий прокомментировал документ в своём Telegram-канале. В частности, приказ предусматривает следующее:
- для подрядчиков должна быть разработана политика ИБ, с которой подрядчики должны быть ознакомлены, в том числе и с обязанностью её исполнения;
- не менее 30% работников подразделения ИБ должны иметь профессиональное образование или пройти профпереподготовку по ИБ;
- необходимо определить события, приводящие к негативным последствиям, системы и средства, воздействие на которые может привести к негативным последствиям, а также угрозы, реализация которых может привести к негативным последствиям. Иными словами, защищать надо не все системы, а только те, которые могут повлиять на реализацию негативных последствий;
- необходимо регулярно оценивать показатель защищённости (не реже одного раза в шесть месяцев) и показатель уровня зрелости (не реже раза в год) согласно методикам ФСТЭК и др.
См. также: ФСТЭК разработала проект изменений в правила категорирования объектов КИИ РФ >>
