Для ЛЛ: 1 марта 2026 года вступили в силу Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий и государственных учреждений, утвержденные приказом ФСТЭК России от 11 апреля 2025 г. № 117
На вестнике новостей минцифры (ранее – хабр) уже привычно заныли, что как же так, теперь придется не сидеть между авансом и получкой, а еще и работать.
Чуть позже начнется нытье. Ежедневное, привычное, разрешенное для руководства нытье, про дефицит высококвалифицированных малооплачиваемых кадров, как причину срыва программы чего угодно.
Что важно понимать уже сейчас
Первое. Для кого этот приказ:
1. Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений (далее - Требования), применяются для обеспечения защиты (некриптографическими методами) информации, предотвращения несанкционированного доступа к информации, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения, блокирования доступа к информации, содержащейся в функционирующих на территории Российской Федерации государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений (далее соответственно - защита информации, информационные системы).
3. В муниципальных информационных системах защита информации обеспечивается в соответствии с Требованиями, если иное не установлено законодательством Российской Федерации.
То есть, формально под требования попадает любая 1с, любой линукс (даже русифицированный, то есть импортозамещенный), и так далее.
Попадает даже в муниципальных информационных системах.
Второе. Уже не только про бюрократию.
14. Организация деятельности по защите информации должна включать:
.. перечень разрешенного и (или) запрещенного для использования программного обеспечения;
.. разработку и утверждение внутренних регламентов по защите информации.
19. Руководитель оператора (обладателя информации), ответственное лицо должны создать (определить) структурное подразделение или назначает отдельных специалистов, на которых возлагаются обязанности (функции) по защите информации (далее - структурное подразделение (специалисты) по защите информации).
На десерт. Для тех, кто любит «поставил и работает» - то есть МТС, Аэрофлоту, СДЭК, судам, кого еще взломали за последние 4 года, и кто не ставил обновления .
38. Мероприятия по управлению уязвимостями должны включать выявление уязвимостей информационных систем, оценку их критичности, определение методов и приоритетов устранения уязвимостей, а также контроль за устранением уязвимостей.
Устранение уязвимостей, которые могут быть использованы нарушителями, или исключение возможности их использования за счет применения компенсирующих мер должно проводиться оператором (обладателем информации):
в отношении уязвимостей критического уровня опасности[13] - в срок не более 24 часов;
в отношении уязвимостей высокого уровня опасности - в срок не более 7 календарных дней.
В отношении уязвимостей среднего и низкого уровней опасности сроки и порядок их устранения определяются во внутреннем регламенте по защите информации исходя из особенностей функционирования информационных систем.
Тем, кому не хватило, добавили пункт 50
50. Мероприятия по разработке безопасного программного обеспечения должны быть направлены на предотвращение появления, выявление и устранение уязвимостей в разрабатываемом оператором (обладателем информации) программном обеспечении. Мероприятия по разработке безопасного программного обеспечения проводятся в случае осуществления оператором (обладателем информации) самостоятельной разработки программного обеспечения, применяемого в информационных системах.
В случае самостоятельной разработки оператором (обладателем информации) программного обеспечения, предназначенного для использования в информационных системах, должны быть реализованы меры, предусмотренные разделами 4 и 5 ГОСТ Р 56939-2024.
60. Посредством проведения мероприятий по обеспечению защиты информации при использовании для функционирования информационных систем искусственного интеллекта[20] должна быть обеспечена возможность исключения несанкционированного доступа к информации или воздействия на информационные системы, несанкционированного распространения и модификации информации, а также использования информационных систем не по их назначению за счет воздействия на наборы данных[21], применяемые модели искусственного интеллекта[22] и их параметры[23], процессы и сервисы по обработке данных и поиску решений[24].
Не допускается передача лицу, разработавшему модель искусственного интеллекта, информации ограниченного доступа, содержащейся в информационных системах, в том числе для улучшения функционирования модели искусственного интеллекта.
Если смотреть верхнеуровнево, то ничего особенного в приказе нет.
Прежде всего, нет штрафов и наказаний для должностных лиц. Без этого наказывать будут стрелочников, и специалистов по устранению замятия бумаги второго разряда. 274.1 УК РФ распространяется только на КИИ, которыми разного рода гос.органы не являются.
Большая часть описанных внедрений относится к бюрократии, а не к ИТ – посчитать, издать приказ, оформить регламент, вывесить на дверь таблички «не влезать».
Меньшая часть относится к тому, что и так должно было бы быть у тех, кто читал MBSA и Security Compliance , или , хотя бы, Windows 11 книга безопасности (издание 2025).
Но это Microsoft, там читать и думать надо. Для Linux достаточно прочитать шпаргалку. Для остальных есть маленькая красная книжка и книжка с пауком.
PS. Приказ, в первую очередь, направлен на угнетение тех свободных личностей, которые считают ниже своего достоинства выполнить две команды
echo apt update && apt upgrade -y && reboot now -f>> /path/to/your_script.sh
(crontab -l 2>/dev/null; echo "0 2 * * * /path/to/your_script.sh") | crontab -
