Если ранее внимание уделялось отдельным ГИС как изолированным системам, то теперь регулятор фокусируется на инфраструктуре в целом, включая взаимодействие между системами и общими сервисами, которые могут стать источником киберрисков.
Существенно меняется и подход к выбору мер защиты. Новый приказ предполагает их адаптивное применение на основе модели угроз и оценки рисков, а не фиксированного перечня, как это было ранее. Одновременно вводится требование к непрерывному мониторингу защищенности, что фактически заменяет прежнюю практику разовой аттестации перед вводом системы в эксплуатацию. Приоритет смещается с формального соответствия требованиям на эффективность процессов обеспечения информационной безопасности и достижение заданного уровня защищенности в операционной деятельности.
Отдельное внимание уделено управлению уязвимостями. Приказ устанавливает конкретные сроки их устранения: критические должны закрываться в течение 24 часов, уязвимости высокого уровня — в течение семи дней, а сроки для остальных категорий оператор определяет самостоятельно во внутренней документации. При этом, если выявленная уязвимость отсутствует в банке данных угроз ФСТЭК России, оператор обязан направить информацию о ней регулятору в течение пяти рабочих дней.
В «ОБИТ» отмечают, что новые требования потребуют от организаций пересмотра существующих подходов к защите информации. В первую очередь речь идет о комплексном аудите инфраструктуры, уточнении зон ответственности, пересмотре работы с подрядчиками и оценке необходимости модернизации средств защиты. По оценке компании, внедрение новых требований будет сопровождаться ростом спроса на решения в области мониторинга, управления уязвимостями и консалтинга по выстраиванию процессов информационной безопасности.
Руководитель ИТ-департамента «ОБИТ» Кирилл Тимофеев подчеркивает: «Приказ Nº117 переводит регулирование защиты информации в госсекторе от модели формального выполнения набора мер к риск-ориентированному управлению безопасностью. Документ усиливает требования к процессам ИБ, мониторингу защищенности и управлению уязвимостями, фактически приближая практики защиты государственных информационных систем к модели системы управления информационной безопасностью».
