ФСТЭК утвердил новый документ по защите информации в ИС: что изменилось

Ранее с нашей стороны публиковался обзор проекта данного документа.

ФСТЭК: методика защиты информации в ИС — структура документа и ключевые изменения

Утвержденная версия документа незначительно отличается от проекта, при этом содержит ряд изменений по вопросам реализации мероприятий по защите информации и конкретных мер защиты информации.

Финальная версия методики содержит следующие разделы:

• Общие положения документа
• Состав и описание факторов, влияющих на состояние защиты информации
• Состав и описание мероприятий по защите информации
• Состав и описание мер по защите информации
• Термины и определения, используемые в документе
• Таблица с составом мер защиты для каждого класса защищенности ИС (аналогично приложениям, которые представлены в рамках 17, 21 и 239 приказов ФСТЭК)
• Рекомендации по адаптации базового набора мер защиты информации, в том числе в случае совмещения ИС ролей ИСПДн и ОКИИ (не был предусмотрен в проекте документа)

Описание факторов, влияющих на защиту информации, остались неизменными, кроме исключения прямой необходимости расчета оценки уровня зрелости защиты информации в рамках проведения мероприятий по оценке эффективности защиты информации.

Мероприятия по защите информации в ИС: процессы, требования и реализация

Состав требуемых к реализации мероприятий по защите информации не изменился.
Изменению подлежат отдельные требования к реализации мероприятий, при этом для большинства мероприятий описаны:

• Цель реализации мероприятия
• Требования к реализации мероприятия
• Требования к документированию процесса реализации мероприятия
• Требования усилению

Актуальный состав требуемых к выполнению мероприятий приведен ниже:

• Поиск и оценка угроз информационной безопасности (ВУ)
• Управление конфигурацией (КК)
• Управление уязвимостями (КУ)
• Управление обновлениями (КО)
• Защита информации ограниченного доступа (ОД)
• Защита конечных устройств (ЗУ)
• Защита мобильных устройств (МУ)
• Защита удаленного доступа (УД)
• Защита беспроводного доступа (БД)
• Управление привилегированным доступом (ПД)
• Мониторинг информационной безопасности (МБ)
• Разработка безопасного программного обеспечения (БР)
• Физическая защита информационных систем (ФЗ)
• Действия при возникновении нештатных ситуаций и правила восстановления деятельности (НФ)
• Обучение сотрудников и повышение осведомления по вопросам защиты информации (УЗ)
• Защиты информации при взаимодействии с подрядными организациями (ЗП)
• Защиты от атак типа «Отказ в обслуживании» (ОО)
• Защита информации при использовании искусственного интеллекта (ИИ)
• Проведение периодического контроля уровня защищенности информации (ПК)

Меры по защите информационных систем и содержащейся в них информации

Актуальный состав групп мер защиты информации глобально не изменился, однако произведено исключение группы мер по защите систем искусственного интеллекта.

Изменения состава конкретных мер защиты информации являются минимальными, однако были внесены значительные изменения в описание правил реализации, регламентации, усиления и фактического применения отдельных мер защиты информации в соответствии с классами защищенности информационных систем.

В целом, требований по применению и усилению мер защиты информации для каждого класса защищенности информационных систем стало меньше и обеспечить их реализацию с точки зрений выделения ресурсов стало проще.

В настоящий момент для проведения аттестационных мероприятий в отношении ГИС или систем, осуществляющих взаимодействие с ГИС необходимо руководствоваться требованиями, отраженными в приказе ФСТЭК № 117 и утвержденным методическим документом.

Актуальный состав мер защиты информации приведен в файле PDF.