ФСТЭК обновила правила ИБ для госструктур, чтобы усилить защиту от утечек и кибератак

Федеральная служба по техническому и экспортному контролю представила свод новых требований, направленных на усиление защиты информационных систем, находящихся в ведении органов государственной власти и организаций с государственным участием. Документ вступит в силу с 1 марта 2026 года и заменит предыдущие нормы, утверждённые в 2013 году. Об этом говорится в приказе № 117, подписанном 11 апреля 2025 года. Ведомство подчёркивает, что ранее выданные аттестаты на государственные ИС продолжат действовать и после запуска новых регламентов.

Главной задачей комплекса мер названа минимизация рисков, связанных с компрометацией данных, нарушениями функционирования автоматизированных систем управления, ущербом для здоровья, угрозами жизни, а также возможными финансовыми и стратегическими потерями. Регулятор требует от операторов информационной инфраструктуры определить потенциально опасные инциденты, установить источники угроз и перечень объектов, затрагивание которых способно привести к тяжёлым последствиям.

Среди нововведений — обязательное наличие в подразделениях информационной безопасности не менее 30% сотрудников с профильным дипломом или прошедших переобучение по утверждённым программам. Под особый контроль также попали подрядные организации. Им предлагается разработать собственную политику в сфере ИБ, а также следовать директивам заказчика.

Эксперты подчёркивают, что усиление мер в отношении подрядчиков вызвано участившимися случаями компрометации конфиденциальных данных при участии третьих лиц. В числе обязательных процедур — мониторинг состояния защищённости по ГОСТ Р 59547-2021 с ежегодной передачей отчётности в ФСТЭК, регулярные проверки систем на предмет уязвимостей (не менее двух раз в год), а также оценка зрелости системы безопасности по методикам регулятора не реже одного раза в год.

ФСТЭК настаивает на сокращении сроков устранения выявленных уязвимостей. Так, критичные дефекты необходимо устранять в течение суток, а уязвимости высокой степени опасности — не позднее семи календарных дней. Для снижения рисков обязателен жёсткий контроль установки обновлений. Повышенное внимание уделяется работе с привилегированными учётными записями — доступ с них должен осуществляться только после строгой идентификации либо при помощи многофакторной аутентификации с фиксацией всех попыток входа.

Также становится обязательным внедрение решений класса EDR — программ, фиксирующих подозрительное поведение и оперативно реагирующих на инциденты. Что касается использования персональных мобильных устройств, то допускается их эксплуатация только при условии применения защитных средств, антивирусного ПО и криптографических механизмов аутентификации. При этом допускается удалённый доступ, но исключительно изнутри страны и только при наличии подтверждённой защиты.

В числе новых положений — отдельные меры при использовании систем с элементами искусственного интеллекта. Операторы обязаны обеспечить защиту от несанкционированных действий, попыток подмены данных, а также предотвратить участие ИИ в принятии управленческих решений без контроля со стороны человека. Также требуется соблюдать режим взаимодействия с ИИ-платформами — с применением заранее утверждённых шаблонов или с ограничением функционала.

Специалисты в сфере информационной безопасности считают принятые меры реакцией на рост инцидентов, связанных с использованием ИИ, а также результатом анализа последних атак, в том числе с применением эксплойтов и фишинга, направленных на государственные структуры.