Подписано постановление правительства «О проведении эксперимента по повышению уровня защищённости государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений».
Эксперимент проведут в период с 1 апреля 2025 года по 31 декабря 2027 года в целях реализации мероприятия «Проведён независимый анализ защищённости государственных информационных систем (поиск уязвимостей периметра, проведение тестирования на проникновение), включая мобильные приложения» национального проекта «Экономика данных и цифровая трансформация государства».
Такой эксперимент уже проходил с 16 мая 2022 года по 31 декабря 2024 года.
Как поясняли в Минцифры при разработке проекта нового мероприятия, по результатам выполнения работ Минцифры России совместно с участниками эксперимента, а также ФСБ России и ФСТЭК России согласованы перечни мер по уровню защищённости. Владельцами ГИС в соответствии с согласованными перечнями принимаются соответствующие меры в инфраструктурных, архитектурных и организационных решениях ГИС, применяемых средствах защиты информации и программном обеспечении.
Новый эксперимент позволит продолжить положительную практику обеспечения проактивной защиты информации, повышению уровня защищенности ГИС для снижения рисков компрометации данных, управленческих, финансовых и репутационных рисков, сказано в пояснительной записке.
В рамках мероприятия планируется ежегодно осуществлять независимую оценку защищённости не менее 43 ключевых значимых государственных ресурсов (публичных федеральных сервисов и ГИС, содержащих значительные объёмы персональных данных).
Целями эксперимента являются:
- получение независимой оценки текущего уровня защищённости ГИС;
- сбор информации (инвентаризация) о системах защиты информации, размещённой в ГИС, выявление недостатков (уязвимостей) систем защиты информации и программного обеспечения, применяемых в ГИС, а также оценка возможности их использования нарушителем;
- проверка практической возможности использования нарушителем выявленных недостатков (уязвимостей) систем защиты информации и программного обеспечения, применяемых в ГИС;
- получение оценки возможности возникновения недопустимых для процессов государственной информационной системы событий;
- выявление существующих недостатков (уязвимостей) в инфраструктурных, архитектурных и организационных решениях ГИС, которые могут быть использованы внешними и внутренними нарушителями для осуществления несанкционированных действий, направленных на нарушение конфиденциальности, целостности и доступности обрабатываемой в государственной информационной системе информации;
- разработка перечня мер, направленных на нейтрализацию выявленных в государственных информационных системах в рамках эксперимента недостатков (уязвимостей);
- проведение мероприятий по устранению выявленных в ГИС недостатков (уязвимостей).
Участниками эксперимента являются Минцифры, ФОИВ и подведомственные им учреждения — на добровольной основе и на основании совместных ведомственных актов (соглашений о взаимодействии), государственные внебюджетные фонды и иные организации — по согласованию с ними и по решению президиума правительственной комиссии по цифровому развитию.
Перечень ГИС, в отношении которых проводится эксперимент, утверждается решением президиума правительственной комиссии по цифровому развитию.
Минцифры необходимо обеспечить реализацию работ, проводимых в рамках эксперимента, и их мониторинг, в трёхмесячный срок со дня окончания эксперимента совместно с ФСБ и ФСТЭК представить в правительство доклад о ходе проведения эксперимента.
По данным Миницифры на ноябрь 2024 года, в 2022 году эксперимент апробирован на 20 ГИС Минцифры России. В 2023 году в эксперименте приняли участие шесть федеральных органов исполнительной власти (Минпромторг, Минвостокразвития, ФСИН, Росрезерв, Росмолодёжь, ФМБА), всего 17 ГИС.
В 2024 году в эксперименте принимали участие 18 федеральных органов исполнительной власти (МЧС, Минпросвещения, Минтранс, Минэкономразвития, Росгвардия, Ростехнадзор, Рослесхоз, Росморречфлот, Росжелдор, Роснедра, Россельхознадзор, Росстандарт, Росимущество, Росгидромет, Росмолодежь, ФССП, ФСИН, ФМБА) и два подведомственных учреждения ФОИВ (ФГАНУ «ФИЦТО» Минпросвещения России и ФГБУ «СИЦ Минтранса России»), всего 63 ГИС.