16 июня 2025 года зарегистрирован приказ ФСТЭК России №117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», который вступит в силу 1 марта 2026 года. Данный документ заменит приказ ФСТЭК России от 11 февраля 2013 года №17, однако, в отличие от предшественника, его требования будут распространяться на все информационные системы государственных органов, государственных унитарных предприятий и государственных учреждений. Из основных нововведений стоит выделить следующие требования:
- В учреждении должны быть утверждены единая политика защиты информации, внутренние стандарты и регламенты по защите информации;
- Проведение оценки состояния защиты информации на основе показателя защищенности (не реже одного раза в шесть месяцев) и показателя уровня зрелости (не реже одного раза в два года). Результаты оценки должны направляться в ФСТЭК России;
- Переработаны базовые меры по защите информации. Появились новые блоки мер: защита технологий контейнерных средств и их оркестрации, защита веб-технологий, защита технологий интернета вещей и т.д. Детальный состав мер ожидается в новых методических рекомендациях ФСТЭК России;
- Мероприятия по осуществлению мониторинга информационной безопасности должны проводиться в отношении всех информационных систем, за исключением локальных и изолированных. Отчет о результатах мониторинга должен ежегодно направляться в ФСТЭК России;
- Не менее 30 процентов работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению подготовки в области информационной безопасности или пройти обучение по программе профессиональной переподготовки в области информационной безопасности;
- Операторы информационных систем, к которым должен быть обеспечен постоянный доступ из сети «Интернет», должны организовать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Центром мониторинга и управления сетью связи общего пользования.
