Федеральной службой по техническому и экспортному контролю (далее – «ФСТЭК») подготовлен проект методического документа «Мероприятия и меры по защите информации, содержащейся в информационных системах» (далее – «Проект методического документа»).
Проект методического документа определяет основополагающие требования в рамках Приказа ФСТЭК от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», и среди прочего, закрепляет общие подходы, состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях органов и организаций, осуществляющих деятельность в информационно-телекоммуникационных инфраструктурах.
Помимо этого, Проект методического документа детализирует мероприятия, которые подлежат реализации в органе или организации для достижения целей защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры, а также определяет содержание мер по защите информации (обеспечению безопасности), принимаемых в информационных системах и на значимых объектах критической информационной инфраструктуры.
Как сказано в тексте Проекта методического документа, его следует применять в ходе:
-
организации в органе или организации деятельности по защите информации, созданию системы защиты информации органа или организации и управления ею;
-
создания информационных систем, эксплуатации таких информационных систем и поддержания необходимого уровня защищенности;
-
оценки эффективности деятельности по защите информации и управления системой защиты информации органа или организации;
-
аттестации информационных систем на соответствие требованиям по защите информации, проведения иных форм оценки соответствия информационных систем требованиям по защите информации и достаточности принимаемых мер по защите информации.
Также, закрепляются факторы, влияющие на состояние защиты информации, содержащейся в информационных системах и принципы создания информационных систем. Так, к таким принципам относится:
-
дифференциация уровней значимости защищаемых информационных ресурсов в зависимости от их влияния на цели защиты и предоставление доступа к ним на основе проверок уровня доступа субъектов доступа;
-
установление минимальных прав доступа к соответствующему уровню значимости информационных ресурсов;
-
минимизация интерфейсов информационных систем, доступных для субъектов доступа, в соответствии с функциями информационной системы;
-
сегментация (микросегментация) информационных систем с учетом уровней значимости защищаемых информационных ресурсов и контроль доступа в выделенные сегменты на основе уровня доступа субъектов доступа;
- регистрация и анализ действий субъектов при доступе к сегментам информационной системы и к информационным ресурсам.