Полное название: Приказ ФСТЭК России от 11.02.2013 N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Основное назначение: Устанавливает требования к защите информации, не относящейся к государственной тайне, обрабатываемой в государственных информационных системах (ГИС).
Ключевые положения:
- Определяет классы защищенности информационных систем (К1, К2, К3, К4)
- Устанавливает организационные и технические меры защиты информации
- Определяет порядок разработки систем защиты информации
- Регламентирует процедуры анализа угроз и оценки рисков
- Устанавливает требования к применению средств защиты информации
- Определяет порядок контроля за выполнением требований к защите информации
Текущий статус и изменения:
Статус: Действующий, но будет заменен новым приказом. 28 декабря 2024 года ФСТЭК России представила на общественное обсуждение проект нового приказа.
Планируемая дата замены: Предположительно 1 марта 2026 года.
Основные нововведения в новом приказе:
- Расширение сферы действия — приказ будет распространяться не только на ГИС, но и на все информационные системы государственных и муниципальных учреждений
- Новые правила определения масштаба информационной системы, приведенные в соответствие с 117 приказом ФСБ
- Дополнительные требования к защите информационных систем, являющихся значимыми объектами КИИ
- Требование разработки единой политики защиты информации для всех информационных систем оператора
- Новые блоки мер защиты, включая защиту контейнерных сред, программных интерфейсов, веб-приложений, электронной почты, конечных устройств и устройств «интернета вещей»
- Требования к периодической оценке показателей защищенности (не реже 1 раза в 6 месяцев)
- Регламентация использования искусственного интеллекта в информационной безопасности
Важные примечания о переходе на новый приказ
После вступления нового приказа в силу:
- Не требуется проводить переаттестацию систем, но необходима регулярная проверка защиты информации
- Система защиты должна быть модернизирована, а затем снова пройти аттестацию на соответствие новым требованиям
- В связи с новыми правилами определения масштаба возможно повышение класса защищённости некоторых систем (до К2 или К1)
- Требуется разработка и доработка внутренних стандартов по защите информации и регламентов
Последнее обновление: Январь 2025
Приказ ФСТЭК № 21 Планируются изменения
Приказ ФСТЭК № 239 Обновлен в 2024
Приказы ФСБ России
Приказ ФСБ № 524 ОтмененПолное название: Приказ ФСБ России от 24.10.2022 N 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств».
Основное назначение: Устанавливал требования о защите информации в государственных информационных системах (ГИС) с использованием шифровальных (криптографических) средств.
Ключевые положения (утратившие силу):
- Определял необходимость применения криптографических средств защиты информации (СКЗИ) в ГИС
- Устанавливал требования к СКЗИ в зависимости от класса защищенности ГИС
- Регламентировал порядок управления ключевой информацией
- Определял требования к защите информации за пределами контролируемой зоны ГИС
- Устанавливал порядок применения СКЗИ в ГИС
Текущий статус:
Статус: Утратил силу. Заменен Приказом ФСБ России от 18.03.2025 N 117.
Причина замены: Необходимость актуализации требований в соответствии с изменениями в законодательстве, внесенными законом от 8 августа 2024 г. № 216-ФЗ в закон о защите информации.
Основные изменения в новом приказе № 117:
- Расширение сферы применения — требования распространяются не только на ГИС, но и на другие информационные системы
- Обновленные требования к классам СКЗИ в зависимости от масштаба информационной системы
- Уточнение требований к защите информации при передаче по каналам связи
- Актуализация требований к управлению криптографическими ключами
- Более детальная регламентация использования российских криптографических алгоритмов
Последнее обновление: Март 2025
Приказ ФСБ № 378 Действующий
Полное название: Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации».
Основное назначение: Определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при использовании криптографической защиты.
Ключевые положения:
- Определяет требования к СКЗИ для защиты персональных данных
- Устанавливает классы СКЗИ (КС1, КС2, КС3, КВ, КА) в зависимости от уровня защищенности персональных данных
- Регламентирует порядок использования СКЗИ при обработке персональных данных
- Определяет требования к ключевой информации и ее защите
- Устанавливает организационные меры по защите персональных данных с использованием СКЗИ
Текущий статус:
Статус: Действующий, но устаревший. Принят в 2014 году, существенных изменений в последнее время не вносилось.
Экспертная оценка: Приказ считается устаревшим, поскольку принят более 8 лет назад, а в сфере информационной безопасности за этот период появились новые виды угроз, СКЗИ стали применяться чаще и в новых сферах.
Ожидаемые изменения: С учетом значительных изменений в законе "О персональных данных" (152-ФЗ) и обновления приказа ФСБ №524, есть основания ожидать обновления и этого приказа в ближайшие годы.
Потенциальные направления обновления:
- Актуализация требований к классам СКЗИ с учетом современных угроз
- Обновление требований к управлению криптографическими ключами
- Уточнение мер защиты при обработке биометрических персональных данных
- Адаптация требований к защите персональных данных в облачных средах
- Согласование требований с новыми штрафами за нарушение защиты персональных данных
Последнее обновление: Январь 2025
Заключение
Законодательство Российской Федерации в сфере информационной безопасности продолжает активно развиваться, отражая как технологические изменения, так и растущие угрозы в цифровой среде. Наиболее интенсивные изменения наблюдаются в сферах защиты персональных данных и обеспечения безопасности критической информационной инфраструктуры.
Основные тенденции в развитии нормативно-правовой базы по информационной безопасности:
- Усиление требований к защите критической информационной инфраструктуры
- Стремление к технологическому суверенитету и приоритет отечественного ПО
- Ужесточение ответственности за нарушения в сфере персональных данных
- Модернизация требований к электронной подписи и электронному документообороту
- Регулирование новых технологий, включая искусственный интеллект и интернет вещей
Организациям рекомендуется регулярно отслеживать изменения в законодательстве и своевременно адаптировать свои системы защиты информации в соответствии с новыми требованиями.