Главная → Новости → ФСТЭК обновила методику оценки защищенности. Теперь отчитываться придется всем госорганизациям

ФСТЭК обновила методику оценки защищенности. Теперь отчитываться придется всем госорганизациям

В ноябре вышло обновление документа, который раньше волновал в основном тех, кто работает с объектами критической информационной инфраструктуры. Теперь его требования распространяются на все государственные организации. От школы до министерства.

Документ называется «Методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Название длинное, но суть простая: государство ввело четкие числовые показатели защищенности. Теперь нужно подтверждать цифрами и эти цифры зафиксированы в методике.

Что появилось нового

В документе ввели понятие «показатель текущего состояния защищенности». Это не просто абстрактная формулировка, а конкретные метрики, которые организация обязана выполнить и потом отчитаться по ним во ФСТЭК.

Методика делится на две большие части: технические меры и организационные. И те, и другие теперь имеют количественные требования.

Технические меры

Вот несколько примеров из документа, которые напрямую формируют спрос на конкретные решения. Это не рекомендации — это обязательства.

  • Многофакторная аутентификация для привилегированных пользователей. Требование звучит так: не менее 50 процентов администраторов, разработчиков и других привилегированных пользователей должны использовать второй фактор при входе в систему. Это значит, что пароля больше недостаточно. Нужны токены, биометрия или всплывающие уведомления. И нужно это как минимум для половины таких учетных записей.
  • Межсетевые экраны на периметре. Доступ к 100 процентам интерфейсов, которые выходят в интернет, должен контролироваться межсетевыми экранами уровня L3/L4. Если у организации где-то есть прямой доступ в интернет в обход файрвола— это нарушение. Требование жесткое и не допускает исключений.
  • Проверка вложений в письмах. Методика требует, чтобы вредоносное ПО проверялось во вложениях не менее чем на 80 процентах пользовательских устройств. Это значит, что антивирусная защита почты должна быть развернута централизованно и охватывать подавляющее большинство рабочих мест. Локальные установки без централизованного управления здесь уже не подойдут.
  • Сбор событий безопасности и оповещение о неудачных входах. Нужно централизованно собирать события безопасности и отслеживать неудачные попытки входа для привилегированных учетных записей. Это прямое указание на необходимость SIEM-систем или как минимум централизованной системы сбора логов с функцией оповещения.

Организационные меры

Помимо технических требований, методика требует выполнить ряд организационных мероприятий. Их часто недооценивают, но без них отчетность во ФСТЭК будет неполной.

Список типовой:

  • формально назначить ответственных за реализацию мер защиты;
  • разработать или обновить документацию на средства защиты информации;
  • прописать процессы управления доступом;
  • регламентировать действия при инцидентах.

Это не те задачи, которые решаются закупкой коробки с софтом. Здесь нужна проектная работа и консультационное сопровождение. И многие к этому просто не готовы — нет ни штатных специалистов такого профиля, ни опыта подготовки подобных документов.

Возьмем на себя все организационные меры

Вы можете быть спокойны за свои процессы и их соответствие ФСТЭК.

Подробнее

Отчетность во ФСТЭК — новая обязанность

Главное, что меняется для заказчика: он теперь обязан отчитываться по этому документу во ФСТЭК. И отчитываться не абстрактно, а числовыми значениями по каждому показателю.

Это значит, что мало внедрить средства защиты. Что еще нужно?

  • рассчитать фактические значения показателей;
  • подготовить подтверждающие материалы;
  • оформить все в соответствии с требованиями регулятора;
  • направить отчетность и быть готовым к вопросам.

Для большинства государственных организаций это новая задача. Раньше такой отчетности не требовалось.

Как мы можем с этим помочь?

Мы видим, что изменения создают четкий спрос на услуги, которые раньше были востребованы в основном у крупных игроков КИИ, а теперь нужны всем.

Мы запускаем новое направление — подготовку документации для ФСТЭК. Выглядит это так:

  1. Проводим анализ текущего состояния организации под новую методику.
  2. Считаем фактические значения показателей.
  3. Определяем, чего не хватает для выполнения требований.
  4. Готовим полный комплект документов для сдачи во ФСТЭК.

Вы получаете готовый пакет, который остается только направить в регулятор. Всю проектную часть мы берем на себя.

Подведем итог

  • В ноябре обновили методику оценки защищенности.
  • Теперь она действует для всех государственных организаций, а не только для КИИ.
  • Введены числовые показатели, которые нужно выполнять.
  • По ним нужно отчитываться во ФСТЭК.
  • Требования включают и технические меры (МФА, межсетевые экраны, проверка почты, SIEM), и организационные.
  • Мы запускаем услугу по подготовке всей отчетной документации под ключ.

Для государственных организаций это не просто очередное изменение нормативки. Это конкретные обязательства, которые требуют бюджета, времени и экспертизы. И чем быстрее начать готовиться, тем меньше риска получить замечания от регулятора.

Поможем подготовить документацию для ФСТЭК верно

Всего один шаг для грамотной отчетности.

Подробнее

Узнайте больше о наших мероприятиях и образовательных программах. Присоединяйтесь к сообществу профессионалов!

Смотреть все мероприятия
Вернуться к списку
К предыдущей К следующей