Законодательство

Новые требования кибербезопасности для госсистем: гайд 2024

Автор: Елена Воронова 1 мин чтения

Цифровая трансформация государственного управления неразрывно связана с вопросами информационной безопасности. В 2024 году вступили в силу обновленные требования к кибербезопасности государственных информационных систем, которые кардинально меняют подход к защите критически важной информации.

Ключевые изменения в нормативной базе

Основные изменения касаются усиления требований к технической защите информации, расширения перечня подлежащих защите данных и ужесточения ответственности за нарушения. Новые стандарты устанавливают более высокую планку для всех участников процесса создания и сопровождения государственных информационных систем.

Особое внимание уделяется категорированию государственных информационных систем по уровню значимости. Теперь классификация включает четыре категории вместо трех, что требует более детального анализа рисков и соответствующих мер защиты.

Требования к архитектуре защиты

Новые стандарты предусматривают обязательное внедрение многоуровневой системы защиты информации. Это включает:

  • Периметральную защиту сетевой инфраструктуры
  • Системы обнаружения и предотвращения вторжений
  • Средства контроля целостности данных
  • Решения для мониторинга информационной безопасности в режиме реального времени

Архитектура безопасности должна обеспечивать принцип «нулевого доверия», когда каждый элемент системы подвергается проверке независимо от его расположения в сетевой инфраструктуре.

<\!-- IMAGE_2 -->

Влияние на IT-подрядчиков

Для компаний, работающих с государственными заказчиками, новые требования означают существенное изменение подходов к разработке и внедрению информационных систем. Подрядчики должны получить соответствующие аттестаты и сертификаты, подтверждающие их компетенции в области информационной безопасности.

Особые требования предъявляются к персоналу подрядных организаций. Все сотрудники, имеющие доступ к разработке или сопровождению государственных информационных систем, должны пройти специальную подготовку и получить соответствующие допуски.

Технические требования к средствам защиты

Новые стандарты устанавливают конкретные требования к используемым средствам защиты информации:

  1. Все средства криптографической защиты должны быть сертифицированы ФСБ России
  2. Системы аутентификации и авторизации должны поддерживать многофакторную проверку
  3. Обязательно использование отечественных решений для критически важных компонентов
  4. Регулярное обновление средств защиты и контроль их актуальности

Особое внимание уделяется защите персональных данных граждан, обрабатываемых в государственных информационных системах. Требования к шифрованию и контролю доступа к таким данным значительно ужесточены.

Процедуры аудита и контроля

Новая нормативная база предусматривает регулярное проведение аудита информационной безопасности государственных систем. Аудит должен проводиться не реже одного раза в год, а для систем высокой категории значимости — каждые шесть месяцев.

Важно понимать, что соответствие новым требованиям — это не разовая задача, а постоянный процесс совершенствования системы защиты информации.

Подрядчики должны обеспечить возможность проведения внешнего аудита своих решений и предоставить заказчику все необходимые документы, подтверждающие соответствие требованиям информационной безопасности.

Сроки внедрения и переходный период

Для существующих государственных информационных систем установлен переходный период до конца 2024 года. За это время необходимо привести все системы в соответствие с новыми требованиями или разработать планы модернизации с четкими сроками исполнения.

Новые проекты должны изначально соответствовать обновленным стандартам. Это означает, что при планировании бюджета на разработку государственных информационных систем необходимо закладывать дополнительные средства на обеспечение требуемого уровня защиты.

Практические рекомендации для подготовки

Для успешной адаптации к новым требованиям IT-подрядчикам рекомендуется:

  • Провести аудит текущих компетенций в области информационной безопасности
  • Разработать план повышения квалификации персонала
  • Установить партнерские отношения с поставщиками сертифицированных средств защиты
  • Создать внутренние регламенты работы с государственными информационными системами
  • Подготовить техническую базу для соответствия новым стандартам

Своевременная подготовка к внедрению новых требований кибербезопасности позволит избежать рисков потери государственных контрактов и обеспечит конкурентные преимущества на рынке госзакупок IT-услуг.

Елена Воронова
Главный редактор с опытом работы в отраслевых IT-изданиях. Освещаю рынок государственных информационных технологий более 10 лет.

Похожие статьи

Читайте также